Засоби криптографічного захисту інформації: види та застосування

Засоби криптографічного захисту інформації, або скорочено ЗКЗІ, використовуються для забезпечення всебічного захисту даних, що передаються по лініях зв’язку. Для цього необхідно дотримати авторизацію і захист електронного підпису, аутентифікацію сполучених сторін з використанням протоколів TLS і IPSec, а також захист самого каналу зв’язку при необхідності.

У Росії використання криптографічних засобів захисту інформації здебільшого засекречена, тому загальнодоступної інформації щодо цієї теми мало.

Методи, застосовувані у СКЗІ

• Авторизація даних і забезпечення схоронності їх юридичної значимості при передачі або зберігання. Для цього застосовують алгоритми створення електронного підпису та її перевірки згідно з установленим регламентом RFC 4357 і використовують сертифікати за стандартом X. 509.
• Захист конфіденційності даних і контроль їх цілісності. Використовується асиметричне шифрування і імитозахист, тобто протидія підміні даних. Дотримується ГОСТ Р 34.12-2015.
• Захист системного і прикладного ПЗ. Відстеження несанкціонованих змін або неправильного функціонування.
• Управління найбільш важливими елементами системи у суворій відповідності з прийнятим регламентом.
• Аутентифікація сторін, що обмінюються даними.
• Захист з’єднання з використанням протоколу TLS.
• Захист IP-з’єднань за допомогою протоколів IKE, ESP, AH.

Докладним чином методи описані у наступних документах: RFC 4357, RFC 4490, RFC 4491.

Механізми ЗКЗІ для інформаційної захисту

Захист конфіденційності зберігається або переданої інформації відбувається застосуванням алгоритмів шифрування.

При встановленні зв’язку ідентифікація забезпечується засобами електронного підпису при їх використанні під час аутентифікації (за рекомендацією X. 509).

Цифровий документообіг також захищається засобами електронного підпису спільно з захистом від нав’язування або повтору, при цьому здійснюється контроль достовірності ключів, які використовуються для перевірки електронних підписів.

Цілісність інформації забезпечується засобами цифрового підпису.

Використання функцій асиметричного шифрування дозволяє захистити дані. Крім цього, для перевірки цілісності даних можуть бути використані функції хешування або алгоритми имитозащиты. Однак ці способи не підтримують визначення авторства документа.

Захист від повторів відбувається криптографічними функціями електронного підпису для шифрування або имитозащиты. При цьому до кожної мережевої сесії додається унікальний ідентифікатор, досить довгий, щоб виключити його випадкове збіг, і реалізується перевірка приймаючою стороною.

Захист від нав’язування, тобто від проникнення в зв’язок з боку, забезпечується засобами електронного підпису.

Інша захист – проти закладок, вірусів, модифікацій операційної системи і т. д. – забезпечується з допомогою різних криптографічних засобів, протоколів безпеки, антивірусних та організаційних заходів.

Як можна помітити, алгоритми електронного підпису є основоположною частиною засоби криптографічного захисту інформації. Вони будуть розглянуті нижче.

Вимоги при використанні ЗКЗІ

ЗКЗІ націлене на захист (перевіркою електронного підпису) відкритих даних в різних інформаційних системах загального користування та забезпечення їх конфіденційності (перевіркою електронного підпису, имитозащитой, шифруванням, перевіркою хешу) в корпоративних мережах.

Персональне засіб криптографічного захисту інформації використовується для охорони персональних даних користувача. Проте слід особливо виділити інформацію, що стосується державної таємниці. За законом ЗКЗІ не може бути використано для роботи з нею.

Важливо: перед установкою ЗКЗІ насамперед слід перевірити сам пакет забезпечення СКЗІ. Це перший крок. Як правило, цілісність пакета установки перевіряється шляхом порівняння контрольних сум, одержаних від виробника.

Після установки слід визначитися з рівнем загрози, виходячи з чого можна визначити необхідні для застосування види ЗКЗІ: програмні, апаратні та апаратно-програмні. Також слід враховувати, що при організації деяких ЗКЗІ необхідно враховувати розміщення системи.

Класи захисту

Згідно з наказом ФСБ Росії від 10.07.14 під номером 378, що регламентує застосування криптографічних засобів захисту інформації та персональних даних, визначені шість класів: КС1, КС2, КС3, КВ1, КВ2, КА1. Клас захисту для тієї чи іншої системи визначається з аналізу даних про моделі порушника, тобто з оцінки можливих способів злому системи. Захист при цьому будується з програмних та апаратних засобів криптографічного захисту інформації.

АУ (актуальні загрози), як видно з таблиці, бувають 3 типів:

Загрози першого типу пов’язані з недокументированными можливостями в системному ПЗ, що використовується в інформаційній системі.

Загрози другого типу пов’язані з недокументированными можливостями в прикладному ПЗ, що використовується в інформаційній системі.

Загрозою третього типу називаються всі інші.

Недокументовані можливості – це функції та властивості програмного забезпечення, які не описані в офіційній документації або не відповідають їй. Тобто їх використання може підвищувати ризик порушення конфіденційності або цілісності інформації.

Для ясності розглянемо моделі порушників, для перехоплення яких потрібен той чи інший клас засобів криптографічного захисту інформації:

• КС1 – порушник діє ззовні, без помічників всередині системи.
• КС2 – внутрішній порушник, але не має доступу до СКЗІ.
• КС3 – внутрішній порушник, який є користувачем СКЗІ.
• КВ1 – порушник, який приваблює сторонні ресурси, наприклад фахівців з СКЗІ.
• КВ2 – порушник, за діями якого варто інститут або лабораторія, яка працює в галузі вивчення і розробки СКЗІ.
• КА1 – спеціальні служби держав.

Таким чином, КС1 можна назвати базовим класом захисту. Відповідно, чим вище клас захисту, тим менше фахівців, здатних його забезпечувати. Наприклад, у Росії, за даними на 2013 рік, існувало всього 6 організацій, що мають сертифікат від ФСБ і здатних забезпечувати захист класу КА1.

Використовувані алгоритми

Розглянемо основні алгоритми, які використовуються в засобах криптографічного захисту інформації:

• ГОСТ Р 34.10-2001 і оновлений ГОСТ Р 34.10-2012 – алгоритми створення та перевірки електронного підпису.
• ГОСТ Р 34.11-94 і останній ГОСТ Р 34.11-2012 – алгоритми створення хеш-функцій.
• ГОСТ 28147-89 і більш новий ГОСТ Р 34.12-2015 – реалізація алгоритмів шифрування і имитозащиты даних.
• Додаткові криптографічні алгоритми знаходяться в документі RFC 4357.

Електронний підпис

Застосування засобу криптографічного захисту інформації неможливо уявити без використання алгоритмів електронного підпису, які набирають все більшу популярність.

Електронний підпис – це спеціальна частина документа, створена криптографічними перетвореннями. Її основним завданням є виявлення несанкціонованого зміни і визначення авторства.

Сертифікат електронного підпису – це окремий документ, який доводить автентичність та належність електронного підпису своєму власнику по відкритому ключу. Видача сертифіката відбувається засвідчувальними центрами.

Власник сертифіката електронного підпису – це особа, на ім’я якої реєструється сертифікат. Він пов’язаний з двома ключами: відкритим і закритим. Закритий ключ дозволяє створити електронний підпис. Відкритий ключ призначений для перевірки підпису, завдяки криптографічного зв’язку з закритим ключем.

Види електронного підпису

По Федеральним законом № 63 електронний підпис ділиться на 3 види:

• звичайна електронна підпис;
• некваліфікована електронний підпис;
• кваліфікований електронний підпис.

Проста ЕП створюється за рахунок паролів, накладених на відкриття і перегляд даних, або подібних засобів, побічно підтверджують власника.

Некваліфікована ЕП створюється за допомогою криптографічних перетворень даних за допомогою закритого ключа. Завдяки цьому можна підтвердити особа, що підписала документ, та встановити факт внесення в дані несанкціонованих змін.

Кваліфікована і некваліфікована підпису відрізняються тільки тим, що в першому випадку сертифікат на ЕП повинен бути виданий сертифікованим ФСБ засвідчувальним центром.

Область використання електронного підпису

У таблиці нижче розглянуті сфери застосування ЕП.

Найактивніше технології ЕП застосовуються в обміні документами. У внутрішньому документообіг ЕП виступає в ролі затвердження документів, тобто як особистий підпис або печатка. У разі зовнішнього документообігу наявність ЕП критично, так як є юридичним підтвердженням. Варто також зазначити, що документи, підписані ЕП, здатні зберігатися нескінченно довго і не втрачати своєї юридичної значимості з-за таких факторів, як стираються підпису, зіпсована папір і т. д.

Звітність перед контролюючими органами – це ще одна сфера, в якій нарощується електронний документообіг. Багато компанії і організації вже оцінили зручність роботи в такому форматі.

За законом Російської Федерації кожний громадянин має право користуватися ЕП при використанні держпослуг (наприклад, підписання електронного заяви для органів влади).

Онлайн-торги – ще одна цікава сфера, в якій активно застосовується електронний підпис. Вона є підтвердженням того факту, що в торгах бере участь реальна людина і його пропозиції можуть розглядатися як достовірні. Також важливим є те, що будь-який ув’язнений контракт за допомогою ЕП набуває юридичну силу.

Алгоритми електронного підпису

• Full Domain Hash (FDH) і Public Key Cryptography Standards (PKCS). Останнє являє собою цілу групу стандартних алгоритмів для різних ситуацій.
• DSA і ECDSA – стандарти створення електронного підпису в США.
• ГОСТ Р 34.10-2012 – стандарт створення ЕП в РФ. Даний стандарт замінив собою ГОСТ Р 34.10-2001, дія якого офіційно припинилася після 31 грудня 2017 року.
• Євразійський союз користується стандартами, повністю аналогічними російським.
• СТБ 34.101.45-2013 – білоруський стандарт для цифрового електронного підпису.
• ДСТУ 4145-2002 – стандарт створення електронного підпису в Україні і безліч інших.

Варто також зазначити, що алгоритми створення ЕП мають різні призначення і цілі:

• Групова електронний підпис.
• Одноразовий цифровий підпис.
• Довірена ЕП.
• Кваліфікована і некваліфікована підпис та ін.