1 Обзор литературы

Еще 20 лет назад криптография использовалась почти исключительно для обеспечения безопасности военной и дипломатической связи, а также для целей разведывательной и контрразведывательной служб. Вместе с тем начавшееся в 80-е годы бурное развитие информационных технологий и внедрение автоматизированных методов и средств обработки информации практически во все сферы деятельности людей привели к необходимости более широкого использования криптографических средств защиты информации. При этом использование таких средств невозможно без знания основных принципов, лежащих в основе их функционирования и определяющих возможности этих средств по защите информации. Имеющиеся в настоящее время многочисленные публикации по вопросам криптографии в основном адресованы либо специалистам-криптографам, и поэтому оставляют без должного внимания многие практические и системные вопросы, не связанные непосредственно с математическими аспектами указанной науки, либо посвящены хотя и важным, но отдельным аспектам обеспечения защиты информации криптографическими методами, либо носят научно-популярный характер в ущерб научной глубине излагаемых результатов. Однако при желании можно найти литературу, более или менее не имеющую указанные недостатки, причем не только в Интернете.

Результаты поиска приводятся ниже.

В [1] представлены научные статьи, в которых предлагаются методы и пути по практической реализации основных положений концепции "Общих критериев оценки безопасности информационных технологий". В первом разделе "Нормативно-методическая база" статьи В.В.Анищенко, М.А.Талалуевой и В.К.Фисенко посвящены обоснованию необходимости внедрения в практику, прежде всего, в области сертификации и аттестации основополагающих концептуальных положений "Общих критериев оценки безопасности информационных технологий". Во втором разделе "Информационная безопасность корпоративных сетей" исследуются проблемы безопасности корпоративных сетей и даны рекомендации по ее обеспечению за счет централизованного управления защищенностью на основе единой базы данных безопасности и экспертной системы анализа и выдачи управляющих воздействий на сервер администратора безопасности (Л.Г. Осовецкий и А. В. Птицын), на базе реализации кампусной сети с применением маршрутизирующих коммутаторов и за счет использования proxy-серверов в процессе администрирования сетей (А.В. Федулов и К.Э. Образцов). Интерес представляет также статья А.В. Федулова "Анализ методов организации активных tсp-атак", в которой рассматриваются принципы организации tcp-атак с целью принятия адекватных мер по обеспечению безопасности сети. В статье С.А.ДаСильва Антонио проведен обзор брандмауэров - важнейшего звена безопасности сети. Завершается раздел статьей В.И. Стецюренко и А.Г. Батракова, в которой изложены требования к документу, определяющему информационную безопасность сетей при их взаимодействии с глобальной сетью INTERNET. Третий раздел "Криптографические механизмы" посвящен исследованиям задач кодирования (шифрования) знаний с целью их защиты и сжатия при хранении и передаче по компьютерной сети (А.А.Процкевич, B.C.Яковишин), полиалфавитного преобразования на основе электронной роторной машины (В.Н. Ярмолик, О.А. Судник), встраивания алгоритмов сжатия в криптосистемы в качестве одного из шифрующих элементов (К.Ю. Балашов). Исследуется также новый метод скоростного шифрования, основанный на использовании управляемых операций перестановок (Т.Г.Белкин, А.А.Молдовян, Н.А.Молдовян), и метод криптоанализа на основе решения системы логических уравнений (А.Д. Закревскнй и И.В. Василькова).

[2] написано преподавателями БГУ и является первым отечественным учебным пособием по криптологии, в котором рассматриваются теоретические аспекты криптографии и криптоанализа.

В [3] приводится аналитический обзор отечественных систем защиты информации от несанкционированного доступа, криптографических методов защиты информации и систем защиты программ от копирования. Рассмотрены варианты программной реализации систем защиты информации (включая авторскую систему КРИПТОН), а также средства разграничения доступа в ПЭВМ. Приводятся основные методы и подробные алгоритмы, позволяющие в течение 10 минут «взломать» некоторые распространенные системы защиты от копирования. На примере разработанной авторами системы CERBERUS излагается методология построения систем защиты, не поддающихся «взлому» известными способами. Приложения содержат тексты программ на ассемблере, иллюстрирующие положения обзора. В настоящей работе авторы сосредоточили внимание на исследовании средств построения «программно-математического» контура системы зашиты информации. Области права, организации управления и проектирования технических средств остались вне рассмотрения. Книга состоит из введения, четырех глав, приложений и списка литературы.

В первой главе обсуждается проблема несанкционированного доступа (НСД), анализируются возможные каналы утечки информации и проводится их классификация. На основе этой классификации выделяются следующих три основных «программных» возможных канала утечки информации:

• несанкционированный доступ программы к информации;

• несанкционированная расшифровка программой зашифрованной информации;

• несанкционированное копирование информации с носителей.

Анализ, проведенный в первой главе, и выделение трех основных «программных» возможных каналов утечки определили содержание трех последующих глав: в каждой из них рассматривается отдельный канал утечки и средства, позволяющие его закрыть.

Во второй главе исследуются средства, с помощью которых можно построить «программный» контур защиты обрабатываемой и хранящейся в ПЭВМ информации. Предлагается схема, увязывающая все эти средства в одну систему. Анализируется ряд отечественных систем защиты информации в ПЭВМ, в том числе наиболее стойкая к взлому система KRYPTON.

В третьей главе исследуются основные криптографические методы защиты информации. Акцент делается на наиболее часто используемых на практике методах. Проводится сравнение методов.

В четвертой главе исследуется достаточно не новая проблема — защита программ от копирования. Приводятся сведения, необходимые для понимания основных принципов построения систем защиты от копирования. Обсуждаются методы построения таких систем. Описываются «ноу-хау» разработки систем защиты от копирования — методы создания ключевых (не копируемых) дискет, методы борьбы, позволяющие изучать логику работы системы с помощью отладчиков и дисассемблеров. Исследуются возможные способы взлома таких систем.

В приложениях приводятся исходные тексты разработанных авторами программ. Эти программы могут служить основой для проектирования надежных средств закрытия возможных каналов утечки информации.

В [4] рассмотрены актуальные вопросы обеспечения интегральной безопасности объектов, информации и личности. Основной упор сделан на технологические аспекты реализации политики безопасности. С единых позиций систематизированы материалы зарубежных и отечественных публикаций, конференций, семинаров и выставок, посвященных проблемам обеспечения безопасности. По результатам анализа современного российского рынка подробно рассмотрены новые эффективные интегральные технологии, средства и услуги безопасности.

Материал книги может быть использован при организации работ по защите предприятий, вычислительных центров, узлов связи, банков, офисов, коммерческих объектов, жилых домов, транспортных средств и т. д.

Интегральный подход, использованный при написании книги, объединяет рассмотрение не только средств защиты, но и средств нападения. На примере глобальной сети Internet в первой главе рассмотрены современные угрозы в информационно-вычислительных и коммуникационных сетях.. По результатам анализа современного российского рынка показаны технологические возможности сетевой защиты компьютерной информации.

Во второй главе рассмотрены особенности современных каналов утечки и несанкционированного доступа к информации, в том числе:

• уязвимые места распределенных вычислительных систем (на примере сети Internet);

• особенности каналов утечки и несанкционированного доступа к информации (на примере типового современного офиса);

• современные методы программной и аппаратной реализации несанкционированного доступа;

• использование программных закладок и компьютерных вирусов.

Анализу защиты компьютерных и телекоммуникационных сетей посвящены материалы третьей главы. В ней рассмотрены современные методы и средства обеспечения безопасности в каналах ИВС и телекоммуникаций, технические средства защиты вычислительных центров и персональных компьютеров, методы защиты информации от НСД, проведена оценка безопасности связи в сети Internet, рассмотрены стандарты криптографической защиты.

С использованием интегрального подхода к проблеме обеспечения безопасности в четвертой главе рассмотрены современные средства обеспечения безопасности объектов, личности и информации, в том числе средства охраны и защиты стационарных и мобильных объектов, современная реализация интегрированных систем безопасности, технические средства личной безопасности и обнаружения угроз. Особое внимание уделено методам и средствам интегральной защиты информации.

Новые технологии обеспечения безопасности личности, объектов и информации рассмотрены в пятой главе. Это прежде всего твейджинг-технологии, существенно продвинувшие вперед развитие систем безопасности и надежной оперативной связи, оповещение и охрану подвижных объектов, а также проксимити-технология, обеспечивающая автоматическую дистанционную идентификацию и перспективная для внедрения в системах управления доступом, технология, которая, по прогнозам, должна прийти на смену магнитным картам. Подробно рассмотрена новая эффективная технология самозащиты ЭЙР ТЕЙЗЕР. Особое внимание уделено компьютерной стеганографии — технологии защиты информации XXI века. Дан анализ развития стеганографии с момента ее возникновения и дальнейших перспектив. Рассмотрено современное состояние компьютерной стеганографии с обзором методов и программ.

В шестой главе систематизированы и классифицированы по видам услуги обес­печения безопасности. Сделан вывод о наметившейся тенденции к интеграции услуг безопасности. Приведены основные виды деятельности и координаты свыше 600 фирм, предприятий и организаций, формирующих современный российский рынок услуг безопасности.

В приложении 1 приведен "Краткий толковый словарь терминов и определений по обеспечению интегральной безопасности". Сводная таблица фирм-изготовителей и поставщиков технических средств и услуг безопасности, приведенная в приложении 2, безусловно, поможет сэкономить время на поиск требуемой фирмы-изготовителя или поставщика соответствующих услуг.

В первой главе [5] излагается краткий план книги и даются определения некоторых терминов, хотя перечень этих терминов (четыре) весьма неполный. Здесь сформулированы также основные принципы проектирования систем защиты информации, которые могут представить значительный интерес. Правда, второй принцип (несекретность проектировании) вызывает определенные сомнения.

В гл. 2—4 описываются способы организации защиты информации в автоматизированных системах коллективного пользования. Рассмотрено три аспекта проблемы: установление подлинности и полномочий и регистрация, причем каждому аспекту выделена самостоятельная глава, что способствует целенаправленному ознакомлению с каждым из них.

Основное содержание первого аспекта сведено к описанию различных процедур установления подлинности, причем наиболее полно рассмотрено опознавание по паролям. Установление подлинности автором интерпретируется двояко: с одной стороны, система должна установить подлинность обратившегося к ней пользователя, а с другой — пользователь должен установить подлинность той системы, к которой он обратился. Последнее обстоятельство является весьма важным в том случае, когда для связи пользователей с системой обработки данных используются каналы связи общего назначения.

Рассмотрение вопроса об установлении полномочий сведено к описанию способов их задания по специальным матрицам и по уровням, некоторому обоснованию названных способов и рациональных путей их реализации в системах обработки данных.

Под регистрацией в системах защиты информации понимается автоматическое ведение специальных журналов, в которых фиксируются данные о всех обращениях к защищаемым ресурсам системы. Этому аспекту уделяется очень большое внимание, так как хорошо организованная регистрация способствует не только выявлению действительных нарушителей безопасности, но оказывает также психологическое воздействие на потенциальных нарушителей, сдерживая их от злоумышленных действий.

В гл. 5—7 излагаются проблемы криптографического закрытия информации в вычислительных системах и сетях. В гл. 5 даются общие представления о принципах и методах криптографического закрытия.

В гл. 6 изложена сущность программного шифрования с использованием генераторов псевдослучайных чисел. Само шифрование осуществляется методом гаммирования, или аддитивным методом. В главе достаточно строго и последовательно описана сущность метода и приведены некоторые соображения о надежности шифрования и возможностей раскрытия зашифрованного текста. Особый интерес представляет заключительный параграф главы, в котором приведены данные о затратах на программное шифрование информации.

В гл. 7 изложен материал по аппаратному шифрованию информации в вычислительных системах и сетях. Приведено объяснение принципов аппаратного шифрования и описаны две системы — аппарат ЛЮЦИФЕР и аппаратура, реализующая федеральный стандарт криптографического закрытия информации. Небезынтересны также некоторые требования к шифрованию информации в сетях ЭВМ, хотя они и являются почти очевидными.

В следующих трех главах обсуждаются проблемы защиты, порождаемые архитектурой современных ЭВМ и их программным обеспечением.

В гл. 8 рассматривается та часть названных проблем, которая обусловлена системными программами, прежде всего операционными системами и программами-утилитами, Описаны некоторые потенциально возможные пути утечки информации, которые могут возникать из-за несовершенства (с точки зрения безопасности информации) современных операционных систем, и возможности защиты прикладных программ в этих условиях. Особый интерес в этой главе представляет материал, в котором в систематизированном виде представлены функциональные недостатки операционных систем и возможности использования их для несанкционированного доступа к информации. Представляет также интерес описание попыток добавления средств безопасности к операционной системе общего назначения OS/360, следствием чего явилась система RSS. В заключительном параграфе описан новый тип операционной системы, получившей название монитора виртуальной машины. Судя по приведенному описанию, эти системы обеспечивают значительно большую безопасность информации по сравнению с традиционными операционными системами, хотя имеющаяся в книге информация недостаточна для более глубокого изучения вопроса.

В гл. 9 рассмотрены некоторые аппаратные средства защиты информации. Наиболее интересны сведения о возможностях использования мини-ЭВМ в качестве специальных устройств в системах обеспечения безопасности.

В гл. 10 описаны некоторые потенциально существующие возможности несанкционированного получения информации из автоматизированных банков данных и основные мероприятия, которые необходимы для нейтрализации (хотя бы частичной) указанных возможностей.

В гл. 11 и 12 рассмотрены некоторые теоретические проблемы, связанные с обеспечением безопасности.

В гл. 11 описываются различные модели процессов защиты информации в автоматизированных системах обработки данных. Автор отмечает, что рассматриваемые процессы трудноформализуемы, поэтому приведенные варианты моделей являются или частными, отображающими лишь часть общего процесса защиты, или слишком абстрактными. Интересной и в некотором смысле неожиданной является теорема о невозможности решения чисто алгоритмическим путем задачи определения для общего случая степени безопасности системы обработки, хотя доказательство теоремы довольно сложное и несколько искусственное. Значение теоремы в том, что она весьма серьезно предостерегает от слишком оптимистических надежд на разработку надежных систем безопасности, функционирование которых базировалось бы на чисто формальных процедурах.

В гл. 12 рассматриваются некоторые области будущих исследований проблем безопасности, причем основное внимание уделено анализу возможных путей построения достаточно общих, адекватных и практически значимых моделей процессов обеспечения безопасности. Кроме того, описаны (правда, весьма бегло) терминалы с встроенными средствами защиты, а в конце выдвинута в качестве актуальной задача разработки норм и стандартов по различным аспектам защиты информации.

В последний раздел входят гл. 13 и 14, в которых рассматриваются различные нетехнические аспекты защиты информации, (физические, административные, законодательные меры, а также этические нормы и правила). Основной материал сконцентрирован в гл. 13, он представляет собой хороший систематизированный обзор. Центральными в главе являются тезисы о комбинированном использовании всех средств, методов, мер и мероприятий при построении механизма защиты, о повышенной значимости нетехнических аспектов для обеспечения надежной защиты и о необходимости систематического анализа состояния механизма защиты.

В заключительной, 14-й, главе книги описываются основные законы США, имеющие отношение к защите информации в вычислительных системах.

Книга содержит обширную библиографию. В конце каждой главы приведен перечень вопросов, самостоятельный ответ на которые служит достаточным свидетельством усвоения материала.

Пособие [6] представляет собой переработку курсов, которые читались авторами в нескольких вариантах в Институте криптографии, связи и информатики Академии ФСБ России и Московском государственном институте радиотехники, электроники и автоматики. Приводится общее описание методов криптоанализа, позволяющие оценить их опасность и выработать адекватные меры по их нейтрализации. Изложение материала в необходимых случаях сопровождается примерами.

В первой главе приводится исторический очерк развития криптографии, от древнейших времен до наших дней. В следующих главах рассматриваются:

• основные понятия криптографии;

• классификации и надежность шифров;

• системы блочного и поточного шифрования, методы их анализа;

• шифрование в аналоговой телефонии;

• системы шифрования с открытым ключом;

• хеш-функции и цифровая подпись;

• практические аспекты использования криптосистем.

[7] предназначено для проведения компьютерного практикума по математическим методам защиты информации в форме лабораторных занятий на ЭВМ. Глава 1 содержит описание свыше двадцати статистических тестов проверки гипотезы о том, что исследуемая случайная или псевдослучайная последовательность является «чисто случайной». В главе 2 дается классификация существующих алгоритмов генерации псевдослучайных последовательностей, а также описание и анализ свойств двенадцати основных классов алгоритмов генерации. Главы 3, 4 содержат элементы математических моделей симметричных и асимметричных криптосистем. В главе 5 излагаются алгоритмы блочного шифрования и их свойства, а в главе 6 – алгоритмы поточного шифрования. В главе 7 представлены типовые функции хеширования, а в главе 8 – типовые криптосистемы с открытым ключом. Глава 9 содержит описание пакета прикладных программ «КриптоЛаборатория», специально разработанного для данного практикума.

Учебное пособие [9] посвящено вопросам программной реализации различных методов защиты информации, причем основное внимание уделяется криптографическим механизмам защиты.

Во введении излагаются основные понятия, определения и алгоритмы, связанные с криптографической защитой информации.

Первая глава пособия посвящена проблемам реализации отечественного стандарта криптографической защиты 28147-89. Подробно описаны различные аспекты реализации и оптимизации алгоритма, приведены его реализации на языках низкого и высокого уровней, примеры, позволяющие контролировать правильность реализации. Вторая глава описывает различные варианты реализации ключевых систем, форматы представления данных сертифицированной системы криптографической защиты «Верба-О». Третья глава посвящена алгоритмам выработки и проверки электронной цифровой подписи, соответствующей российскому стандарту. Четвертая глава описывает основные методы реализации датчиков случайных чисел. Вопросам повышения надежности работы программных средств защиты информации посвящена пятая глава. Шестая глава содержит оригинальный, ранее нигде не публикованный материал, описывающий современные реализации криптографических функций в составе операционных сред – криптографический провайдер со стандартизированным интерфейсом CryptoAPI1.0. В седьмой главе изложен обобщающий материал, касающийся системных вопросов использования криптографических методов защиты информации.

Массу полезной информации можно найти в Интернет. Примеры интересных ссылок:

1. http://www.infocity.kiev.ua/ - целый виртуальный город компьютерной документации. На сайте можно найти интересные статьи: «Введение в криптографию» (перевод статьи Tatu Ylonen "Introduction to Cryptography"), «Введение в криптосистемы», «Надежна ли цифровая подпись» (Илья Ивт, Вадим Богданов);

2. http://support.wplus.net/security/ - новый сайт про безопасность для клиентов Windows, на котором найдена статья «Введение в криптографию» (авторизованный перевод статьи Дж. Чандлер "Cryptography 101");

3. http://www.math.omsu.omskreg.ru/info/oop/uch/speckurs/cripto.html - Омский государственный университет, математический факультет, кафедра информационных систем: программа спецкурса "ВВЕДЕНИЕ В КРИПТОГРАФИЮ" (математические основы криптографии).

4. http://w3.ipk.polynet.lviv.ua/bk/Internet/YP_WORLD/K20.HTM - архив по криптографии. Здесь представлена хорошо организованная, компактная подборка материалов по криптографии.

5. http://inroad.kiev.ua/prog/prog.htm - криптография и идентификация субъектов доступа в ИВС, Закон о криптографии Украины, лицензионные условия.

6. http://www.fssr.ru/ - сайт Института криптографии, связи и информатики Академии ФСБ России.

7. http://halyava.ru/aaalexey/CryptFAQ.html - русский faq по криптографии.

8. http://www.DC.ru/cripto/ - алгоритмы криптографии На данной электронной странице автор попытался собрать сведения о существующих на сегодня алгоритмах защиты информации, а также о способах анализа зашифрованных данных.