Генерация ключей
Не стоит использовать неслучайные ключи с целью легкости их запоминания. В серьезных Информационных системах используются специальные аппаратные и программные методы генерации случайных ключей. Как правило используют датчики псевдослучайных чисел. Однако степень случайности их генерации должна быть достаточно высоким. Идеальным генераторами являются устройства на основе “натуральных” случайных процессов. Например, случайным математическим объектом являются десятичные знаки иррациональных чисел, которые вычисляются с помощью стандартных математических методов.
Накопление ключей.
Под накоплением ключей понимается организация их хранения, учета и удаления. Поскольку ключ является самым привлекательным для злоумышленника объектом, открывающим ему путь к конфиденциальной информации, то вопросам накопления ключей следует уделять особое внимание. Секретные ключи никогда не должны записываться в явном виде на носителе, который может быть считан или скопирован. В достаточно сложной ИС один пользователь может работать с большим объемом ключевой информации, и иногда даже возникает необходимость организации мини-баз данных по ключевой информации. Такие базы данных отвечают за принятие, хранение, учет и удаление используемых ключей. Итак, каждая информация об используемых ключах должна храниться в зашифрованном виде. Ключи, зашифровывающие ключевую информацию называются мастер-ключами. Желательно, чтобы мастер-ключи каждый пользователь знал наизусть, и не хранил их вообще на каких-либо материальных носителях. Очень важным условием безопасности информации является периодическое обновление ключевой информации в ИС. При этом переназначаться должны как обычные ключи, так и мастер-ключи. В особо ответственных ИС обновление ключевой информации желательно делать ежедневно. Вопрос обновления ключевой информации связан и с третьим элементом управления ключами - распределением ключей.
Распределение ключей
Р аспределение ключей - самый ответственный процесс в управлении ключами. К нему предъявляются два требования:
- Оперативность и точность распределения;
- Скрытность распределяемых ключей.
В последнее время заметен сдвиг в сторону использования криптосистем с открытым ключом, в которых проблема распределения ключей отпадает. Тем не менее распределение ключевой информации в ИС требует новых эффективных решений. Распределение ключей между пользователями реализуются двумя разными подходами:
- Путем создания одного ли нескольких центров распределения ключей. Недостаток такого подхода состоит в том, что в центре распределения известно, кому и какие ключи назначены и это позволяет читать все сообщения, циркулирующие в ИС. Возможные злоупотребления существенно влияют на защиту.
- Прямой обмен ключами между пользователями информационной системы. В этом случае проблема состоит в том, чтобы надежно удостоверить подлинность субъектов. Для обмена ключами можно использовать криптосистемы с открытым ключом, используя тот же алгоритм RSA.
В качестве обобщения сказанного о распределении ключей следует сказать следующее. Задача управления ключами сводится к поиску такого протокола распределения ключей, который обеспечивал бы:
- возможность отказа от центра распределения ключей;
- взаимное подтверждение подлинности участников сеанса;
- подтверждение достоверности сеанса механизмом запроса-ответа, использование для этого программных или аппаратных средств;
· использование при обмене ключами минимального числа сообщений.
30. Система PGP
Компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде.
Защищённость
На данный момент не известно ни одного способа взломать шифрование PGP при помощи полного перебора или уязвимости криптоалгоритма.Ранние версии PGP обладали теоретическими уязвимостями, поэтому рекомендуется пользоваться современными. Кроме защиты данных, передаваемых по сети, PGP позволяет шифровать запоминающие устройства, например, жёсткие диски.
Механизм работы PGP
Шифрование PGP осуществляется последовательно хешированием, сжатием данных, шифрованием с симметричным ключом, и, наконец, шифрованием с открытым ключом, причём каждый этап может осуществляться одним из нескольких поддерживаемых алгоритмов. Симметричное шифрование производится с использованием одного из пяти симметричных алгоритмов (AES, CAST5, TripleDES, IDEA, Twofish) на сеансовом ключе. Сеансовый ключ генерируется с использованием криптографически стойкого генератора псевдослучайных чисел. Сеансовый ключ зашифровывается открытым
Ключи
Пользователь PGP создаёт ключевую пару: открытый и закрытый ключ. При генерации ключей задаются их владелец (имя и адрес электронной почты), тип ключа, длина ключа и срок его действия.
PGP поддерживает три типа ключей RSA v4, RSA legacy (v3) и Diffie-Hellman/DSS (Elgamal в терминологии GnuPG).
Для ключей RSA legacy длина ключа может составлять от 1024 до 2048 бит, а для Diffie-Hellman/DSS и RSA — от 1024 до 4096. Ключи RSA legacy содержат одну ключевую пару, а ключи Diffie-Hellman/DSS и RSA могут содержать один главный ключ и дополнительные ключи для шифрования. При этом ключ электронной подписи в ключах Diffie-Hellman/DSS всегда имеет размер 1024. Срок действия для каждого из типов ключей может быть определён как неограниченный или до конкретной даты. Для защиты ключевого контейнера используется секретная фраза.
Цифровая подпись
PGP поддерживает аутентификацию и проверку целостности посредством цифровой подписи. По умолчанию она используется совместно с шифрованием, но также может быть применена и к открытому тексту. Отправитель использует PGP для создания подписи алгоритмом RSA или DSA. При этом сначала создаётся хеш открытого текста (также известный как дайджест), затем — цифровая подпись хеша при помощи закрытого ключа отправителя. Для формирования хеша могут использоваться алгоритмы MD5, SHA-1, RIPEMD-160, SHA-256, SHA-384, SHA-512. В новых версиях PGP поддержка MD5 осуществляется для сохранения совместимости с ранними версиями. Для подписи используются алгоритмы RSA или DSA (в зависимости от типа ключа).
Криптографические приложения PGP Corporation
PGP изначально разрабатывалась для шифрования электронной почты на стороне клиента, но с 2002 года включает также шифрование жёстких дисков переносных компьютеров, файлов и директорий, сессий программ мгновенного обмена сообщениям, пакетной передачи файлов, защиту файлов и директорий в сетевых хранилищах, а в современных версиях — ещё и шифрование HTTP-запросов и ответов на стороне сервера (mod openpgp) и клиента (Enigform).
31. Аппаратно-программный комплекс Cobra
Кобра - системa защиты информации от несанкционированного доступа. Гарантирует секретность Вашей информации даже в случае кражи компьютера или съемных носителей информации. Обеспечивает наиболее полную защиту от программных закладок и вирусов, а также уникальную защиту дискет.
· Обладает наиболее развитыми возможностями по защите информации от несанкционированного доступа.
· Сохраняет тайну информации даже в случае кражи компьютера или съемных носителей информации.
· Имеет высокую скорость работы.
· Полностью закрывает рабочую среду компьютера от программных закладок и эффективно противодействует компьютерным вирусам.
· Наиболее экономична, так как допускает установку на неограниченное число компьютеров при разовом приобретении дистрибутива.
· Проста и надежна в установке, освоении и использовании.
Кобра - наиболее широко исследованная система. Имеет экспертные заключения компетентных организаций. Результаты работ по проекту КОБРА отражены более чем в 80-ти публикациях.
Кобра внедрена в органах МВД РФ, Главных Управлениях ЦБ РФ, в/ч и т. д..
Кобра - это программный комплекс для установки на различные по классу ПЭВМ типа IBM PC (настольные, портативные, переносные), работающие под управлением MS DOS.
Возможности системы позволяют обеспечить защиту от НСД любых имеющихся и проектируемых проблемно-ориентированных программных комплексов и баз данных без дополнительных трудозатрат на разработку средств защиты в рамках каждого отдельного проекта. Удобный интерфейс позволяет при минимальных затратах и в течение короткого времени обеспечить защиту данных без изменения привычной технологии работ на ПЭВМ.
Кобра предоставляет пользователю широкий набор средств для обеспечения различных вариантов защиты информации и обеспечения эталонного состояния рабочей среды ПЭВМ. Широкое применение новых эффективных методов преобразования информации позволило решить как проблему защиты информации, так и проблему эталонного состояния рабочей среды компьютера, т.е. обеспечить полную защиту от НСД (программных закладок, вирусов и т.п.).
Кобра обеспечивает широкие возможности по управлению полномочиями пользователей. (полный доступ, только чтение, нет доступа, режим суперзащиты) для логических устройств: A, B, C,..., Z. Санкционируется доступ к LPT и COM портам. При неактивности пользователя блокируется клавиатура. Законным пользователям обеспечивается парольный доступ и возможность работы в соответствии с установленными полномочиями. Может быть организована работа пользователя только с заданным множеством дискет, сформированных администратором безопасности. Посторонним лицам информация на жестком диске ПЭВМ и на таких спецдискетах не доступна.
Кобра способна обнаружить атаку компьютерных вирусов и случайные или преднамеренные искажения программ и данных. Ведет учет работы пользователей на компьютере.
Кобра выполняет автоматическое восстановление эталонной рабочей среды компьютера. Потребляет минимум ресурсов (менее 10 Кбайт ОЗУ, менее 500 Кбайт на жестком диске, скорость преобразования информации до 5 Мбайт/сек для PC-486).