Тема: Своевременные подходы к построению криптографических методов.

 

Современные ОС должны давать разграничение доступа (пароли, роли). Но если вынуть жесткий диск и переставить в другой комп - доступ сразу ко всему (другие права).

Но криптография не является панацеей. Могут быть ситуации, когда всё равно к информации получают доступ не те пользователи.

 

Шифрование один из важнейший из (но не единственных) элементов системы ИБ, в комплексе необходимо наличие грамотно настроенной системы получения доступа, необходим контроль целостности ОС, а так же средств обнаружения проникновений, антивирусная и антитроянская защита и ряд других средств.

 

Криптография с точки зрения математики - наука о защите информации с использованием математических методов. Шифрование - наиболее широко используемый криптографический метод , защищающий данные от несанкционированного ознакомления с ними. Наука противоположная криптографии, посвященная методам вскрытия защищенной информации, носит название криптоанализ.

Совокупность криптографии и криптоанализа называют криптологией.

 

Криптографические методы наиболее часто подразделяются в зависимости от количества ключей, используемых в соответствующих криптоалгоритмах.

 

(Не шифровальные методы) Электронные подписи используются для подтверждения целостности и авторства данных.

Целостность данных означает, что данные не были случайно или преднамеренно изменены при их хранении или передаче.

Алгоритмы ЭП используют два вида ключей (одновременно):

• Секретный ключ используется для вычисления электронной подписи;

• Открытый ключ используется для ее проверки.

Если используется криптографически сильный алгоритм в электронной подписи, при грамотном хранении и использовании секретного ключа - т.е. при невозможности использования ключа никем кроме его владельца, становится практически невозможно вычислить верную электронную подпись какого-нибудь документа.

 

Аутентификация позволяет проверить, что пользователь или удаленный компьютер является тем, за кого себя выдает. Простейшая схема: парольная (пользователь предъявляет пароль при запросе); является слабой, если только не предприняты доп. Специальные административно-технические меры.

 

Методы криптографического контрольного суммирования.

Ключевое и бесключевое хеширование, вычисление имитоприставок и использование кодов аутентификации сообщений. Все методы сходятся к вычислению некоторой контрольной суммы фиксированного размера (различным образом) однозначно соответствующую исходным данным.

Высчитывают они ее из данных произвольного размера с использованием секретного ключа или без него. Контрольное криптографическое суммирование широко используется в криптографической защите, в ЭП, в схемах аутентификации пользователей и для подтверждении целостности любых данных в тех случаях, когда использование электронной подписи не возможно - требуется например большая энергоемкость или сам по себе является избыточным.

Генераторы случайных и псевдослучайных чисел позволяют создавать последовательности случайных чисел, широко используется в криптографии. Случайные числа необходимы для генерации секретных ключей, которые в идеале должны быть абсолютно случайными.

Случайные числа применяются во многих схемах аутентификации и во многих алгоритмах ЭП. Необходимо наличие качественных аппаратных генераторов. На основе алгоритмов симметричного шифрования можно построить качественный генератор псевдо случайных чисел.

Если идет тщательное проектирование - то создать качественный генератор реально; но если он плохо реализован - получается существенная недопустимая уязвимость. Это не побочное явление, а очень важный элемент в процессе шифрования.

 

Шифрование - процесс зашифровывания или расшифровывания данных. Шифрование не синоним зашифровыванию.

Зашифровывание - процесс преобразования открытых данных в зашифрованные с помощью шифра. Расшифровывание - процесс преобразования закрытых данных в открытые с помощью шифра.

Шифротекст (криптограмма) - зашифрованный текст. Зашифровывание можно представить в виде следующей формулы:

С - шифротекст, полученный в результате зашифрования;

М- открытая информация (месадж);

Е - функция зашифрования (енкриптион), выполняющая криптографические преобразования над М;

К1 (кей) - ключ зашифрования, параметр функции Е.

Понятия ключа стандартизовано (есть Отечественный 89года, есть Международный).

В стандарте ключ определяется как конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Ключ может принадлежать определенному пользователю или группе пользователей и является дли них уникальным.

Зашифрованная с использованием конкретного ключа информация может быть расшифрованная только с использованием этого же ключа или ключа, связанного с ним определенным соотношением.

 

Для расшифровывания есть формула:

М' - сообщение полученное в результате расшифровывания

Д - функция расшифровывания, выполняет криптографические преобразования над шифротекстом.

К2 - ключ расшифровывания

 

Для того, чтобы в результате расшифровывания получить корректный открытый текст необходимо одновременное выполнение двух условий:

• Функция зашифровывания должна соответствовать функции расшифровывания

• Ключи расшифровывания и зашифровывания должны соответствовать.

Если отсутствует верный К2 получить исходное сообщение М=М' нереально в заданном времени, даже имея функции.

 

 

 

 

 

Законодательные основы ИБ

25 февраля 2012 г.

12:06

Базовый закон в области ИБ в российском законодательстве, определяющий .. ФЗ "Об информации, информационных технологиях и защите информации" от 27.07.2006 года №149-ФЗ регулируют отношение возникающие:

• При осуществлении права на поиск, производство, получение, передачу и распространение информации;

• При применении информационных технологий;

• При обеспечении защиты информации.

 

Этот закон дает определения информационной терминологии.

 

Информация с точки зрения закона - это сведения, сообщения, данные независимо от формы их представления.

Информационные технологии - процессы и методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационные системы - совокупность, содержащейся в БД информации и обеспечивающих ее обработку информационных технологий и технических средств.

Обладатель информации - лицо, самостоятельно создавшее информацию, либо получившее на основании закона либо договора право разрешать или ограничивать доступ к информации, определяемый по каким либо признакам.

Оператор информационной системы - гражданин или юридическое лицо, осуществляющее действие по эксплуатации ИС, в том числе по обработке информации, содержащейся в БД (этой ИС).

Конфиденциальность информации -обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

 

В законе сформулированы принципы правового регулирования отношений в сфере информации, ИТ и защиты информации.

1. Свобода поиска, получения, передачи, производства и распространения информации любым законным способом.

2. Установление ограничений доступа к информации только ФЗ-ми.

3. Открытость информации о деятельности государственных органов и органов местного самоуправлениям и свободный доступ к такой информации, кроме случаев установленных Федеральными законами.

4. равноправие языков народов РФ при создании ИС и их эксплуатации.

5. Обеспечение безопасности РФ при создании ИС, их эксплуатации и защите содержащейся в них информации.

6. Достоверность информации и своевременность предоставления информации.

7. Неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица, кроме случаев установленных в ФЗ.

8. Недопустимость установления нормативными правовыми актами каких-либо преимуществ, применения одних информационных технологий, перед другими, если только обязательность применения определенных ИТ для создания и эксплуатации государственных ИС не установлена ФЗ.

 

Вся информация делится на общедоступную и ограниченного доступа.

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

Закон определяет виды информации, доступ к которой ограничить нельзя. Например: или определенных видах деятельности государственных органов, сведения об окружающей среды. Так же оговаривается в законе, что ограничение доступа к информации может устанавливаться ФЗ в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

 

Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен ФЗ.

Запрещается требовать от физического лица предоставления информации о его частной жизни, в т.ч. Информацию составляющую личную или семейную такну, и получать такую информацию помимо воли гражданина, если иное не предусмотрено законом.

 

Закон выделяет 4 категории информации по свободе предоставления и распространения:

 

1. Информация свободно распространяемая.

2. Информация, предоставляемая по соглашению лиц, участвующих в соответствующих отношениях.

3. Информация, которая в соответствии с ФЗ подлежит распространению или предоставлению.

4. Информация, распространение которой в РФ ограничивается или запрещается.

 

Так же Закон устанавливает равнозначность электронного сообщения, подписанного ЭЦП, или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

 

С точки зрения закона защита информации представляет собой принятие правовых, организационных и технических мер, направленных на три момента:

1. Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а так же иных неправомерных действий в отношении такой информации .

2. Соблюдение конфиденциальности ограниченного доступа.

3. Реализацию законного права на доступ к информации.

 

Обладатель информации и оператор ИС в случаях, установленных конституцией РФ, обязаны обеспечить:

• Предотвращение несанкционированного доступа к информации и передачи ее лицам, не имеющих права на доступ к ей;

• Своевременное обнаружение фактов несанкционированного доступа к информации;

• Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

• Недопущение воздействия на технические средства обработки информации, в результате которых нарушается их работоспособность;

• Возможность незамедлительного восстановления информации модифицированной/уничтоженной, в следствии несанкционированного доступа к ней;

• Постоянный контроль за обеспечением уровня защищенности информации;