A titkosítási kriptográfiai eszközök a következők: Az Orosz Föderáció jogszabályainak áttekintése: kriptográfia. A kriptorendszer működési elvei

Információs technológia

KRIPTOGRÁFIAI INFORMÁCIÓVÉDELEM

A titkosítási (kriptográfiai) információbiztonsági eszközök fejlesztésének és korszerűsítésének elvei

Információs technológia. Kriptográfiai adatbiztonság. A kriptográfiai modulok létrehozásának és korszerűsítésének elvei

OKS 35.040

Bevezetés dátuma 2018-05-01

Előszó

Előszó

1 A Szövetségi Biztonsági Szolgálat Információvédelmi és Speciális Kommunikációs Központja KIALAKÍTA Orosz Föderáció(Oroszországi FSZB)

2 BEVEZETE a Szabványügyi Technikai Bizottság TC 26 "Criptográfiai információk védelme"

3 A Szövetségi Műszaki Szabályozási és Mérésügyi Ügynökség 2017. december 22-i, N 2068-st rendeletével JÓVÁHAGYOTT ÉS HATÁLYBA LÉPTETT

4 ELŐSZÖR BEMUTATVA


Ezen ajánlások alkalmazására vonatkozó szabályokat a Az Orosz Föderáció szabványosításáról szóló, 2015. június 29-i N 162-FZ szövetségi törvény 26. cikke . Ezen ajánlások változásairól szóló tájékoztatást az éves (a tárgyév január 1-jétől érvényes) „Nemzeti Szabványok” információs indexben, a változtatások és módosítások hivatalos szövegét pedig a „Nemzeti Szabványok” havi információs indexben teszik közzé. Ezen ajánlások felülvizsgálata (lecserélése) vagy visszavonása esetén a megfelelő értesítést a „Nemzeti Szabványok” havi információs index következő számában teszik közzé. A vonatkozó információk, közlemények és szövegek is megjelennek az információs rendszerben közhasználatú- a Szövetségi Műszaki Szabályozási és Metrológiai Ügynökség hivatalos honlapján (www.gost.ru)

Bevezetés

Az államtitkot nem tartalmazó információkat (a továbbiakban: CIPF) nem tartalmazó információk védelmére szolgáló titkosítási (kriptográfiai) eszközök fejlesztésére vonatkozó jelenlegi eljárást az Orosz Föderációban (a továbbiakban: CIPF) a fejlesztési, előállítási, végrehajtási és működési szabályzat határozza meg. titkosítási (kriptográfiai) eszközök az információ védelmére (a PKZ - 2005 szabályzata) .

A PKZ - 2005 előírásai szerint a CIPF ügyfele, a CIPF fejlesztője, a CIPF esettanulmányait végző szakosított szervezet és az oroszországi FSB, amely a esettanulmányok eredményei, amelyek eredményei alapján meghatározzák a CIPF működésbe vételének lehetőségét.

Ez a dokumentum módszertani jellegű, és tartalmazza azokat az elveket, amelyeken a meglévő CIPF fejlesztésének és/vagy korszerűsítésének kell alapulnia.

A dokumentum hatóköre a CIPF ügyfelek és fejlesztői közötti interakció a kommunikáció során:

- egymás között;

- esettanulmányokat végző szakosodott szervezetekkel;

- az orosz FSB-vel, amely az esettanulmányok eredményeit vizsgálja.

Ez a dokumentum lehetővé teszi a CIPF ügyfelei számára, hogy eligazodjanak és megismerkedjenek a CIPF fejlesztése és működése során felmerülő problémákkal. A jelen dokumentumban megfogalmazott elvek lehetővé teszik a CIPF ügyfele számára, hogy meghatározza azokat a rendelkezéseket, amelyeket a CIPF fejlesztésére és/vagy korszerűsítésére vonatkozó feladatmeghatározásba bele kell foglalni, valamint az elfogadott biztonsági intézkedések besorolására vonatkozó szabályokkal összhangban. az Orosz Föderációban határozza meg a fejlesztés alatt álló CIPF osztályát, és biztosítsa a védett információ szükséges biztonsági szintjét.

Ez a dokumentum lehetővé teszi a CIPF fejlesztői számára, hogy az ügyféllel folytatott kommunikáció során indokolják a CIPF fejlesztéséhez és/vagy korszerűsítéséhez szükséges munkák listáját, valamint megszervezzék az interakciót a szakosodott szervezetekkel, megkapva tőlük a CIPF fejlesztéséhez szükséges információkat. .

1 Alkalmazási terület

Ezek az ajánlások az Orosz Föderáció területén történő használatra szánt titkosítási (kriptográfiai) információbiztonsági eszközökre (CIPF) vonatkoznak.

Ezek az ajánlások meghatározzák az államtitkot nem tartalmazó információkat védő titkosítási (kriptográfiai) eszközök fejlesztésének és korszerűsítésének elveit.

Ez a dokumentum nem tárgyalja a védett információk CIPF-ben történő feldolgozása előtti biztonságának biztosításának elveit.

A rendelkezésben (4. pont) felsorolt ​​titkosítási (kriptográfiai) információbiztonsági eszközök fejlesztésének és korszerűsítésének elveit külön szabványosítási ajánlások szabályozhatják.

2 Normatív hivatkozások

Ezek az irányelvek normatív hivatkozásokat használnak a következő szabványokra:

GOST 2.114 Egységes rendszer tervdokumentáció. Műszaki adatok

GOST 19.202 Egységes programdokumentációs rendszer. Specifikáció. A tartalommal és a dizájnnal szemben támasztott követelmények

GOST 19.401 Egységes programdokumentációs rendszer. Program szövege. A tartalommal és a dizájnnal szemben támasztott követelmények

GOST 19.402 Egységes programdokumentációs rendszer. A program leírása

GOST 19.501 Egységes programdokumentációs rendszer. Forma. A tartalommal és a dizájnnal szemben támasztott követelmények

GOST 19.502 Egységes programdokumentációs rendszer. Az alkalmazás leírása. A tartalommal és a dizájnnal szemben támasztott követelmények

GOST R 51275-2006 Információvédelem. Információs objektum. Információt befolyásoló tényezők. Általános rendelkezések

GOST R 56136-2014 Katonai termékek életciklus-kezelése. Kifejezések és meghatározások

Megjegyzés - Ezen ajánlások alkalmazásakor tanácsos ellenőrizni a referenciaszabványok érvényességét a nyilvános információs rendszerben - a Szövetségi Műszaki Szabályozási és Metrológiai Ügynökség hivatalos honlapján az interneten vagy a „Nemzeti szabványok” éves információs index segítségével. , amely a tárgyév január 1-jétől jelent meg, valamint a "Nemzeti Szabványok" című havi tájékoztató tárgyévre vonatkozó számaiban. Ha egy dátum nélküli referenciaszabványt lecserélnek, ajánlatos annak a szabványnak az aktuális verzióját használni, figyelembe véve az ezen a verzión végrehajtott változtatásokat. Ha egy keltezett referenciaszabványt lecserélnek, akkor annak a szabványnak a fent jelzett jóváhagyási (elfogadási) évével rendelkező változatát javasoljuk használni. Ha ezen ajánlások jóváhagyását követően a hivatkozott szabványban, amelyre a dátummal hivatkoznak, olyan módosítás történik, amely a hivatkozott rendelkezést érinti, ajánlatos ezt a rendelkezést az ezt a változást. Ha a referenciaszabványt csere nélkül törlik, akkor a hivatkozást nem érintő részben az arra vonatkozó rendelkezést kell alkalmazni.

3 Kifejezések, meghatározások és rövidítések

3.1.1 hardver; AS: Egy vagy több meghatározott funkciót megvalósító fizikai eszköz. A jelen dokumentum keretein belül a hardver AS SF és AS CIPF részekre oszlik.

3.1.2 támadás: Hardver és/vagy szoftver felhasználásával a védett információ biztonságának megsértésére irányuló, vagy ennek feltételeit megteremtő céltudatos cselekvés.

3.1.3 hozzáférés tárgy hitelesítése: Olyan műveletek sorozata, amelyek kriptográfiai mechanizmusok segítségével ellenőrzik és megerősítik azokat az információkat, amelyek lehetővé teszik a hitelesített (ellenőrzött) hozzáférési alany egyedi megkülönböztetését a többi hozzáférési alanytól.

3.1.4 biológiai érzékelő véletlen számok; BDSC: Olyan érzékelő, amely véletlenszerű sorozatot generál véletlenszerű tesztek végrehajtásával a CIPF-fel és a CIPF működési környezetével való ismételt emberi interakciók véletlenszerű jellege alapján.

3.1.5 dokumentáció: Egymáshoz kapcsolódó dokumentumok halmaza, amelyeket egy közös cél egyesít. Jelen dokumentum keretein belül a dokumentáció az IS, SF, CIPF szoftver és CIPF AS dokumentációjára, valamint a CIPF szállítókészletében található CIPF dokumentációjára oszlik.

3.1.6 CIPF életciklus: Olyan jelenségek és folyamatok összessége, amelyek a CIPF szabványos kialakításának (mintájának) élettartama által meghatározott gyakorisággal ismétlődnek a koncepciótól az ártalmatlanításig, vagy a CIPF egy konkrét példánya a gyártás pillanatától az ártalmatlanításig (lásd GOST R 56136). -2014, 3.16. cikk).

3.1.8 védett információ: A CIPF által egy vagy több kriptográfiai mechanizmussal konvertált védett információ.

3.1.9 igaz üzenet utánzása (utánzás): Hamis üzenet, amelyet a felhasználó valódi üzenetként érzékel.

3.1.10 utánzat betét: Elektronikus formátumú információ, amely más elektronikus formátumú információhoz (feldolgozott információ) kapcsolódik vagy más módon kapcsolódik, és amelyet arra használnak, hogy a feldolgozott információkat kriptográfiai mechanizmusokkal megvédjék a hamis információk előírásától.

3.1.11 utánzatvédelem: A feldolgozott információk védelme kriptográfiai mechanizmusokkal a hamis információk előírásától.

3.1.12 mérnöki kriptográfiai mechanizmus: A CIPF-ben megvalósított algoritmikus vagy technikai intézkedés, amely megvédi az információkat a CIPF AS és SF AS meghibásodásából vagy meghibásodásából eredő támadásokkal szemben.

3.1.13 inicializálási sorrend (kezdeti kulcsinformáció): A PDSCH által egy pszeudo-véletlen sorozat létrehozásához használt adatkészlet.

3.1.14 tájékoztató jel: Olyan jel, amelynek értékei és/vagy paraméterei felhasználhatók védett vagy kriptográfiailag veszélyes információk meghatározására (lásd ajánlások, 3.2.6. cikk).

3.1.15 információs rendszer; IS: Információk kommunikációs csatornákon keresztül történő bemutatására, tárolására, feldolgozására, keresésére, terjesztésére és továbbítására tervezett rendszer, amely számítógépes technológia segítségével érhető el. Abban az esetben, ha a CIPF-et az IS-ben feldolgozott információk védelmére használják, az információs rendszer egy vagy több CIPF működési környezet halmaza.

3.1.16 kommunikációs csatorna: Totalitás technikai eszközöket, amely biztosítja az információ átadását a forrástól a címzetthez. A technikai eszközök készlete tartalmazhat különösen adót, kommunikációs vonalat, adathordozót, vevőt, hardvert és/vagy szoftvert.

Megjegyzés - Példák kommunikációs csatornákra: vezetékes és vezeték nélküli csatornák, rádiócsatornák, valamint elidegeníthető (eltávolítható) adathordozók használatával megvalósított csatornák.

3.1.17 hitelesítési kulcs: A hozzáférési alany hitelesítésére használt kriptográfiai kulcs.

Megjegyzés – Ebben a dokumentumban a hitelesítési kulcsok az aszimmetrikus kriptográfiai sémákban és protokollokban használt privát és nyilvános kulcspárokra vonatkoznak. A hitelesítési kulcsok lehetnek elektronikus aláírás valamint az elektronikus aláírás-ellenőrző kulcs, a megosztott kulcs vagy aszimmetrikus (hibrid) titkosítási séma létrehozására szolgáló protokoll résztvevőinek nyilvános és titkos kulcsa. A hitelesítési kulcsok jelszavakat is tartalmaznak.

3.1.19 elektronikus aláírási kulcs: Egy titkosítási kulcs, amely egyedi karaktersorozat, amelynek célja az elektronikus aláírás létrehozása (szövetségi törvény, 2. cikk, 5. bekezdés).

3.1.20 legfontosabb információk: Adatok és/vagy kriptográfiai kulcsok speciálisan szervezett gyűjteménye kriptográfiai védelem információkat egy bizonyos ideig.

3.1.21 kulcsfontosságú dokumentum: Kulcsinformáció-hordozó, amely kulcsinformációkat és/vagy inicializálási sorrendet, valamint szükség esetén vezérlési, szolgáltatási és technológiai információkat tartalmaz.

3.1.22 kulcshordozó: Egy bizonyos szerkezetű fizikai adathordozó, amelyet kulcsfontosságú információk és/vagy inicializálási szekvencia befogadására és tárolására terveztek. Vannak egyszeri kulcshordozó(asztal, lyukszalag, lyukkártya stb.) és újrafelhasználható kulcshordozók (mágnesszalag, hajlékonylemez, CD, adatkulcs, intelligens kártya, érintőmemória stb.).

3.1.23 tervdokumentáció: A CIPF, AS, SF és IS dokumentációja, amely részletes információkat tartalmaz a CIPF, AS, SF és IS működési elveiről és fejlesztési folyamatáról.

3.1.24 ellenőrzött terület: Az a tér, amelyen belül a szokásos létesítmények találhatók, és figyelemmel kísérik a személyek és/vagy járművek tartózkodását és tevékenységét.

Megjegyzés - Az ellenőrzött övezet határa lehet például egy vállalkozás (intézmény) védett területének kerülete, védett épület bekerítő szerkezetei, védett épületrész, vagy kijelölt helyiség.

3.1.25 kriptográfiai funkció: A CIPF által megvalósított paraméteres funkció, amelyet a védett információk biztonságának biztosítására terveztek. A kriptográfiai függvény egyik paramétere lehet egy kriptográfiai kulcs.

Megjegyzés – Ebben a dokumentumban a CIPF által megvalósítható kriptográfiai funkciókat a következőképpen kell érteni:

- pszeudo-véletlen sorozatok generálásának funkciója;

- adattitkosítás/dekódolás funkció;

- imitációs védelmi funkció (adatintegritás-figyelő funkció);

- elektronikus aláírás létrehozásának funkciója;

- elektronikus aláírás ellenőrzési funkció;

- az elektronikus aláírási kulcs és az elektronikus aláírás-ellenőrző kulcs létrehozásának funkciója;

- a kulcsfontosságú dokumentumok előállításának funkciója;

- a kulcsfontosságú információk kommunikációs csatornákon keresztüli továbbításának funkciója;

- hitelesítési funkció.

3.1.26 kriptográfiailag veszélyes információ: A CIPF működési szakaszában tárolt és/vagy generált minden olyan információ, amelynek behatoló általi birtoklása a védett és/vagy védett információ biztonságának megsértéséhez vezethet.

3.1.27 kulcs (kriptográfiai kulcs): Változó elem (paraméter), amelynek minden értéke egyedileg megfelel a CIPF által megvalósított leképezések (kriptográfiai függvények) valamelyikének (lásd szótár, 31. oldal).

MEGJEGYZÉS Ebben a dokumentumban a kriptográfiai kulcsok privát kulcsokra és nyilvános kulcsokra vannak felosztva.

3.1.28 kriptográfiai mechanizmus: Olyan algoritmus, protokoll vagy séma, amely során az információt titkosítókulcs segítségével konvertálják (kriptográfiai átalakítás).

3.1.29 előírás: Olyan támadás, amelyet úgy hajtanak végre, hogy a felhasználónak egy valódi üzenet utánzatát juttatják el, hamis üzenet generálásával vagy egy valóban továbbított vagy tárolt üzenet módosításával.

Megjegyzés - Ebben a dokumentumban a nem bejelentett képességeket úgy kell érteni, mint funkcionalitás szoftverek, valamint hardverek, amelyek működése a védett információ biztonságának megsértéséhez vezethet, vagy ennek feltételeit teremtheti meg.

Megjegyzések

1 Jogosulatlan hozzáférést végezhet jogi személy, magánszemély, csoport magánszemélyek, beleértve az állami szervezeteket is.

2 Azon információk, amelyekhez illetéktelen hozzáférés nem engedélyezett, különösen védett információk, kulcsfontosságú információk és kriptográfiailag veszélyes információk lehetnek.

3.1.32 a CIPF működési helye: Azon szabványos létesítmények helye, ahol a CIPF működik.

3.1.33 informatizálási objektum: Totalitás információs források, az adott információtechnológiának megfelelően használt információfeldolgozó eszközök és rendszerek, informatizálási objektum támogatásának eszközei, helyiségek vagy objektumok (épületek, építmények, műszaki eszközök), amelyekbe be vannak szerelve (lásd GOST R 51275-2006, 3.1. cikk).

Megjegyzés - Ebben a dokumentumban az informatizálás tárgyai különösen az IS, SF, CIPF, rendszeres eszközökkel, olyan helyiségek, ahol szabványos berendezések és kommunikációs csatornák találhatók.

3.1.35 szervezési és technikai intézkedések: A szervezettámogató intézkedések együttes alkalmazását célzó cselekvések összessége információbiztonság, az információ védelmének technikai és kriptográfiai módszerei, olyan eszközök használatával, amelyek megfeleltek az Orosz Föderáció információbiztonsági jogszabályai követelményeinek való megfelelés értékelésének.

3.1.36 nyilvános kulcs: Osztályozatlan kriptográfiai kulcs, amely egyedileg kapcsolódik a CIPF titkos kulcsához (lásd szótár, 32. oldal).

Megjegyzés – A nyilvános kulcsra példa az elektronikus aláírás-ellenőrző kulcs.

3.1.37 jelszó: Olyan kriptográfiai kulcs, amely az értékeket alacsony számosságú halmazból veszi. Általában egy rögzített ábécé véges karaktersorozataként jelenik meg, és a CIPF-hez való hozzáférés tárgyának hitelesítésére szolgál.

3.1.38 szoftver; Szoftver: Adatok és parancsok összessége, amelyek forrás- és/vagy végrehajtható kód formájában jelennek meg, és egy bizonyos eredmény elérése érdekében speciális és általános célú hardvereken működnek.

Megjegyzés - A jelen dokumentum keretein belül szoftver PO SF, PO AS SF, PO CIPF és PO AS CIPF.

3.1.39 szoftveres véletlenszám-érzékelő; PDSCH: Olyan érzékelő, amely az inicializálási szekvencia (eredeti kulcsinformáció) determinisztikus átalakításával pszeudo-véletlen sorozatot generál.

3.1.40 hozzáférési alanyok szerepalapú hitelesítése: Hozzáférési alanyok hitelesítése, amelynek sikeres befejezése lehetővé teszi, hogy a hozzáférési alany és a CIPF interakcióját előre meghatározott szabályrendszerrel társítsa a hozzáférési alanyhoz.

3.1.41 titkos kulcs: A védett információhoz, CIPF kriptográfiai kulcsokhoz és/vagy CIPF kriptográfiai funkciók használatához nem hozzáférési joggal nem rendelkező személyek elől titokban tartott kriptográfiai kulcs (lásd szótár, 32. oldal).

3.1.42 speciális szervezet: A megvalósításra jogosult szervezet egyes fajok a titkosítási (kriptográfiai) eszközökkel és esettanulmányokkal kapcsolatos tevékenységek (lásd a rendelet 2. cikkének 32. bekezdését).

3.1.43 CIPF működési környezet; SF: Egy vagy több hardverből (AS SF) és szoftverből (szoftverből) álló halmaz, amellyel együtt a CIPF normálisan működik, és amely befolyásolhatja a CIPF-re vonatkozó követelmények teljesítését.

A szoftver a következőkre oszlik:

- operációs környezeti hardverszoftver (AS SF szoftver), amely egyben működő szoftver hardverés rendkívül speciális feladatok megoldására tervezték, például BIOS, vezérlőillesztő merevlemez stb.;

- operációs környezeti szoftver (SF szoftver), amely a következőkre oszlik:

1) operációs rendszer (OS),

2) alkalmazásszoftver (ASW), amelynek működnie kell vagy működnie kell az operációs rendszerben.

Sematikusan a működési környezet a következőképpen ábrázolható (lásd 1. ábra).

1. ábra - A működési környezet diagramja

1. ábra

3.1.44 kriptográfiai információvédelmi eszközök; CIPF: Olyan titkosító (kriptográfiai) eszköz, amely olyan információk védelmére szolgál, amelyek nem tartalmaznak államtitkot, és amely egy vagy több összetevő kombinációja:

- szoftver (CIPF szoftver);

- hardver (AS CIPF);

- hardver szoftver (AS CIPF szoftver).

A CIPF sematikusan a következőképpen ábrázolható (lásd a 2. ábrát).

2. ábra - CIPF-séma

2. ábra

3.1.45 hozzáférés tárgya: Olyan személy vagy folyamat az információs rendszerben, akinek az információs rendszer erőforrásaihoz való hozzáférését hozzáférés-szabályozási szabályok szabályozzák.

Megjegyzés – A CIPF-hez való hozzáférés alanya különösen az lehet, aki a CIPF kriptográfiai funkcióit használja a védett információk biztonságának biztosítására, vagy olyan információs rendszer-folyamat, amely kölcsönhatásba lép a CIPF-fel.

3.1.46 a kulcsfontosságú dokumentumokra vonatkozó taktikai és technikai követelmények; TTT: Olyan kriptográfiai, speciális és műszaki követelményeket meghatározó dokumentum, amelyeknek a kulcsdokumentumoknak meg kell felelniük (lásd a rendelet 2. cikkének 28. bekezdését).

Megjegyzés - A taktikai és technikai követelményeket a CIPF fejlesztője dolgozta ki, és az orosz FSB hagyta jóvá.

3.1.47 esettanulmányok: Titkosító, mérnöki kriptográfiai és speciális tanulmányok sorozata, amelyek célja annak felmérése, hogy a CIPF megfelel-e a CIPF-re vonatkozó információbiztonsági követelményeknek (lásd Szabályzat, 2. cikk, 31. bekezdés).

3.1.48 A CIPF műszaki jellemzői: A CIPF szoftver és hardver paraméterei, valamint módszerek a védett információk és/vagy védett CIPF információk biztonságának biztosítására azok tárolása vagy kommunikációs csatornákon történő továbbítása során, amelyek értékei lehetővé teszik a szükséges biztonsági szint biztosítását.

Megjegyzés - A CIPF műszaki jellemzői között szerepelhet különösen az egy titkos kulcson titkosított információ mennyisége, a CIPF hardver és/vagy a CIPF működési környezet meghibásodásának vagy meghibásodásának valószínűsége, valamint az információs jelzések paraméterei.

3.1.49 univerzális szoftver; UPO: Meghatározatlan felhasználók által általánosan használt szoftver. Az univerzális szoftvert anélkül fejlesztették ki, hogy bármilyen konkrét tevékenységi területet megcéloznának, és az SF szoftver része.

3.1.50 sikeres támadás: Egy támadás, amely elérte a célját.

3.1.51 sebezhetőség: Az AS és/vagy szoftver olyan tulajdonsága, amely különösen végrehajtási hibákból és/vagy nem bejelentett képességek meglétéből ered, és lehetővé teszi a CIPF elleni sikeres támadásokat.

3.1.52 fizikai véletlenszám-érzékelő; FDSC: Olyan szenzor, amely véletlenszerű sorozatot generál egy véletlenszerű folyamatból származó jel átalakításával, amelyet egy nem determinisztikus fizikai rendszer generál, amely ellenáll a külső körülmények és paraméterei reálisan lehetséges változásainak.

3.1.53 szabvány jelentése: AS és szoftver halmaza, amelyen az IS, SF és CIPF implementálva van.

3.1.54 exportált függvény: A CIPF-szoftverben megvalósított és a CIPF-szoftver dokumentációjában leírt funkció, amelyet a CIPF-et IS-be ágyazó fejlesztők számára biztosítanak.

3.1.55 elektronikus aláírás; ES: Elektronikus formátumú információ, amelyet más elektronikus formátumú információhoz csatolnak vagy más módon kapcsolódnak hozzá (aláírt információ), és amelyet az információt aláíró személy azonosítására használnak (szövetségi törvény, 2. cikk (1) bekezdés).

Megjegyzés – Az elektronikus aláírások típusai az egyszerű elektronikus aláírás és a továbbfejlesztett elektronikus aláírás. Különbséget kell tenni a továbbfejlesztett minősítetlen elektronikus aláírás és a továbbfejlesztett minősített elektronikus aláírás között.

3.1.56 CIPF életciklus szakasza: Rész életciklus CIPF, amelyet a vezérlési nyomatékok (szabályozási határok) jellemzői különböztetnek meg, amelyek lehetővé teszik a CIPF szabványos kialakításának tervezési megoldásainak és/vagy a CIPF példányok fizikai jellemzőinek ellenőrzését (lásd a GOST R 56136-2014 3.18. cikket).

Megjegyzés - Ez a dokumentum csak a CIPF életciklusának következő szakaszait tárgyalja: fejlesztés (korszerűsítés), gyártás, tárolás, szállítás, üzembe helyezés (üzembe helyezés) és a CIPF működése.

3.2 Ezekben az ajánlásokban a következő rövidítéseket használjuk:

AC - hardver;

AS CIPF - CIPF hardver;

AS SF - a működési környezet hardvere;

BDSN - biológiai véletlenszám-érzékelő;

DSCh - véletlenszám-érzékelő (FDSN-re, BDSN-re és PDSN-re osztva);

IS - információs rendszer;

OS - operációs rendszer;

PDSCh - szoftveres véletlenszám-érzékelő;

Szoftver - szoftver;

AS CIPF szoftver - CIPF hardver szoftver;

AS SF szoftver - hardver szoftver az operációs környezethez;

CIPF szoftver - CIPF szoftver;

SF szoftver - operációs környezeti szoftver;

PPO - alkalmazásszoftver;

A CIPF a kriptográfiai információvédelem eszköze;

SF - működési környezet;

TK - a CIPF fejlesztésének (korszerűsítésének) műszaki előírásai;

TTT - a kulcsfontosságú dokumentumok taktikai és technikai követelményei;

UPO - univerzális szoftver;

FDSN - fizikai véletlenszám-érzékelő;

ES - elektronikus aláírás.

4 A CIPF felépítésének általános elvei

Ez a rész azokat az általános elveket tartalmazza, amelyeken új kriptográfiai információvédelmi rendszerek fejlesztése vagy módosítása alapul.

4.1 A CIPF-nek biztosítania kell a védett információk biztonságát, amikor a védett információk CIPF-ben történő feldolgozása során támadásokat hajtanak végre, és/vagy a védett CIPF-információkhoz való jogosulatlan hozzáférés esetén azok tárolása vagy kommunikációs csatornákon történő továbbítása során.

4.2 A CIPF-nek egy vagy több kriptográfiai funkciót kell megvalósítania. A megvalósított kriptográfiai funkcióktól függően a CIPF egy vagy több eszközbe sorolható:

a) titkosító eszköz;

b) az utánzatvédelem eszközei;

c) elektronikus aláírási eszköz;

d) kódoló eszköz;

e) a kulcsfontosságú dokumentumok előállításának eszköze;

f) kulcsdokumentum.

4.3 Ez a dokumentum nem tárgyalja a kódoló eszközöket.

4.4 Minden CIPF 5 osztályba van osztva, szolgálati idő szerint:

a) KC1 osztály - junior a KC2, KC3, KB és KA osztályokhoz képest;

b) KC2 osztály - junior a KC3, KB, KA osztályok tekintetében és senior a KC1 osztály tekintetében;

c) KC3 osztály - junior a KB, KA és senior a KC1, KC2 osztályok tekintetében;

d) KB osztály - junior a KA osztályhoz és senior a KC1, KC2, KC3 osztályokhoz képest;

e) KA osztály - idősebb a KC1, KC2, KC3, KB osztályokhoz képest.

4.5 A fejlesztés alatt álló (frissítendő) CIPF osztályát a CIPF ügyfele határozza meg úgy, hogy összeállítja a védendő IP objektumok listáját és azon képességek készletét, amelyek felhasználhatók metódusok létrehozásában, ezen objektumok elleni támadások előkészítésében és végrehajtásában, figyelembe kell venni az IP-ben használtakat információs technológia, működési környezet és hardver.
[e-mail védett]

Ha a fizetési eljárás az oldalon fizetési rendszer nem fejeződött be, készpénz
Az összeg NEM kerül levonásra a számlájáról, és nem kapunk visszaigazolást a fizetésről.
Ebben az esetben a jobb oldali gombbal megismételheti a dokumentum vásárlását.

Hiba történt

A fizetés technikai hiba miatt nem fejeződött be, készpénz fiókjából
nem írták le. Várjon néhány percet, és ismételje meg a fizetést.

A cikk ötlete abból indult ki, hogy az EFSOL szakembereit az éttermi üzletág információbiztonsági kockázatainak elemzésével és az ellenük fellépő intézkedések kidolgozásával bízták meg. Az egyik jelentős kockázatot a vezetői információk lefoglalásának lehetősége jelentette, az egyik ellenintézkedés pedig a számviteli adatbázisok titkosítása volt.

Azonnal hadd tegyek egy fenntartást azzal kapcsolatban, hogy ennek a cikknek nem célja az összes lehetséges kriptográfiai termék vagy megoldás figyelembevétele, amelyek meghatározott számviteli rendszereken alapulnak. Csak minket érdekel összehasonlító elemzés személyes pénzeszközök titkosítás, amelyhez a legnépszerűbb ingyenes és nyílt forráskódú megoldást és néhány legnépszerűbb kereskedelmi analógot választottunk. Hagyja, hogy a tapasztalatlan felhasználók ne ijedjenek meg a „nyílt forráskódú” kifejezéstől - ez csak azt jelenti, hogy a fejlesztést egy lelkes csoport végzi, akik készek elfogadni mindenkit, aki segíteni akar nekik.

Akkor miért választottuk ezt a megközelítést? A motiváció rendkívül egyszerű.

1. IN különböző cégek Saját számviteli rendszerünket használjuk, ezért olyan titkosítási eszközöket választunk, amelyek nem kötöttek egy adott platformhoz - univerzális.
2. A személyes kriptográfiai védelmet célszerűbb alkalmazni kisvállalkozásoknál, ahol 1-5 felhasználó dolgozik a könyvelő programmal. A nagyvállalatok számára a vezetői információk lefoglalása nagyobb anyagi veszteséggel jár, ezért a védelmi megoldások sokkal többe kerülnek.
3. Számos kereskedelmi információ-titkosítási termék elemzése értelmetlen: elég ezek közül többet kiértékelni, hogy megértsük az árakat és a funkcionalitást.

Térjünk át a termékek összehasonlítására, ami kényelmesen elvégezhető egy pivot tábla alapján. Szándékosan nem adtam meg sok technikai részletet (például a támogatást hardveres gyorsítás vagy többszálú, több logikai vagy fizikai processzor), amelyből rendszeres felhasználó Fájni kezd a fejem. Koncentráljunk csak arra a funkcionalitásra, amelynek előnyeit igazán kiemelhetjük.

A műfaji törvényszerűségeket követve nem marad más hátra, mint az egyes pontokhoz hozzászólni, és kiemelni ennek vagy annak a megoldásnak az előnyeit. Minden világos a termékárakkal, valamint a támogatott operációs rendszerekkel kapcsolatban. Csak azt a tényt jegyzem meg, hogy a TrueCrypt for MacOS és Linux verzióinak megvannak a saját használati árnyalatai, és a Microsoft szerverplatformokra történő telepítése, bár bizonyos előnyökkel jár, egyáltalán nem képes helyettesíteni a kereskedelmi adatvédelem hatalmas funkcionalitását. rendszerek be vállalati hálózat. Hadd emlékeztesselek arra, hogy továbbra is fontolgatjuk a személyes kriptográfiai védelmet.

A kriptográfiai szolgáltatók, ellentétben a beépített titkosítási algoritmusokkal, külön beépülő modulok, amelyek meghatározzák a program által használt kódolási (dekódolási) módszert. Miért használnak kriptográfiai szolgáltatói csomagokat a kereskedelmi megoldások? A válaszok egyszerűek, de anyagilag indokolt.

1. Nem szükséges módosítani a programot bizonyos algoritmusok hozzáadásához (fizetni a programozókat) – csak hozzon létre egy új modult, vagy csatlakoztasson külső fejlesztőktől származó megoldásokat.
2. A nemzetközi szabványok kidolgozása, tesztelése és bevezetése az egész világon folyik, de oroszországra kormányzati szervek az FSTEC és az FSB követelményeinek való megfelelés szükséges. Ezek a követelmények magukban foglalják az információbiztonsági eszközök létrehozásának és terjesztésének engedélyezését.
3. Az adattitkosítási eszközöket a kriptográfiai szolgáltatók biztosítják, és maguk a programok nem igényelnek tanúsítványt a fejlesztéshez és a terjesztéshez.

A kaszkád titkosítás az információ kódolásának képessége egy algoritmus használatával, amikor azt egy másik már kódolta. Ez a megközelítés, bár lassítja a munkát, lehetővé teszi a védett adatok hackeléssel szembeni ellenállásának növelését - minél többet tud az „ellenfél” a titkosítási módszerekről (például a használt algoritmusról vagy a kulcskarakterkészletről), annál könnyebb. hogy ő felfedje az információkat.

Az XTS titkosítási technológia (XEX-alapú Tweaked CodeBook mód (TCB) CipherText Stealing-el (CTS)) a korábbi XEX és LRW blokktitkosítási módszerek logikus továbbfejlesztése, amelyek használatában sérülékenységeket fedeztek fel. Mivel az adathordozón az olvasási/írási műveleteket szektoronként blokkokban hajtják végre, a streaming kódolási módszerek alkalmazása elfogadhatatlan. Így 2007. december 19-én az AES-algoritmus XTS-AES titkosítási módszerét ismertette és ajánlotta a tárolt információk védelmére vonatkozó IEEE P1619 nemzetközi szabvány.

Ez a mód két kulcsot használ, amelyek közül az első az inicializálási vektor létrehozására szolgál, a második pedig az adatokat titkosítja. A módszer a következő algoritmus szerint működik:

1. vektort generál a szektorszám első kulccsal való titkosításával;
2. hozzáadja a vektort az eredeti információhoz;
3. titkosítja az összeadás eredményét egy második kulccsal;
4. hozzáadja a vektort a titkosítási eredményhez;
5. megszoroz egy vektort egy véges mező generáló polinomjával.

A Nemzeti Szabványügyi és Technológiai Intézet az XTS mód használatát javasolja az adatok titkosításához blokk belső szerkezetű eszközökön, mert:

• nemzetközi szabvány írja le;
• rendelkezik nagy teljesítményű előzetes számítások és párhuzamosítások elvégzésével;
• lehetővé teszi egy tetszőleges szektorblokk feldolgozását az inicializálási vektor kiszámításával.

Azt is megjegyzem, hogy az IEEE P1619 az XTS módszer használatát javasolja az AES titkosítási algoritmussal, de a mód architektúrája lehetővé teszi, hogy bármilyen más blokkrejtjellel együtt is használható legyen. Így, ha szükséges egy olyan eszköz tanúsítása, amely az orosz jogszabályok követelményeinek megfelelően végrehajtja az átlátható titkosítást, akkor lehetséges az XTS és a GOST 28147-89 együttes használata.

A titkosított lemezek vészleállítása tagadhatatlanul szükséges funkció olyan helyzetekben, amelyek azonnali reagálást igényelnek az információk védelme érdekében. De mi történik ezután? Az „ellenfél” olyan rendszert lát, amelyre kriptográfiai védelem van telepítve, és amely nem olvasható rendszer azt jelenti korong. Az információk elrejtésére vonatkozó következtetés nyilvánvaló.

Megkezdődik a „kényszer” szakasza. Az „ellenfél” fizikai vagy jogi erővel kényszeríti a tulajdonost információ közzétételére. Irrelevánssá válik a „meghalok, de nem adom ki” kategóriából a „kényszer jelszó megadása” hazai bevett megoldás. Lehetetlen törölni azokat az információkat, amelyeket az „ellenfél” korábban másolt, de megteszi - ne kételkedjen. A titkosítási kulcs eltávolítása csak megerősíti, hogy az információ valóban fontos, és a tartalék kulcs valahol biztosan el van rejtve. És még kulcs nélkül is elérhető információ a kriptográfiai elemzéshez és a hackeléshez. Nem megyek bele abba, hogy ezek az akciók mennyire közelebb hozzák az információ birtokosát a jogi fiaskóhoz, de elmondom a részvétel elfogadható tagadásának logikus módszerét.

A rejtett partíciók és a rejtett operációs rendszer használata nem teszi lehetővé az „ellenfélnek” a védett információk létezésének bizonyítását. Ennek fényében az információk nyilvánosságra hozatalára vonatkozó követelések abszurddá válnak. A TrueCrypt fejlesztői a sávok további elhomályosítását javasolják: a rejtett partíciók vagy operációs rendszerek mellett készítsenek titkosított, látható partíciókat is, amelyek csalárd (fiktív) adatokat tartalmaznak. Az „ellenfél”, miután felfedezte a látható titkosított részeket, ragaszkodni fog ezek felfedéséhez. Az ilyen információk kényszerű felfedésével a tulajdonos semmit sem kockáztat, és elhárítja magáról a gyanút, mert a rejtett titkosított részeken a valódi titkok láthatatlanok maradnak.

Összegezve

Az információvédelemben nagyon sok árnyalat van, de ami már lefedett, az elegendő legyen a köztes eredményekhez – mindenki maga hozza meg a végső döntést. Az előnyökhöz ingyenes program A TrueCrypt érdemes megfontolni a funkcionalitását; mindenki számára a tesztelésben és a fejlesztésben való részvétel lehetősége; Túl sok nyílt információ az alkalmazás működéséről. Ezt a megoldást olyan emberek alkották meg, akik sokat tudnak róla biztonságos tárolás információkat, és folyamatosan fejlesztik termékeiket az igazán érdekelt emberek számára magas szintű megbízhatóság. A hátrányok közé tartozik a támogatás hiánya, a nagy bonyolultság az átlagos felhasználó számára, a kétszintű hitelesítés hiánya az operációs rendszer indítása előtt, valamint a harmadik féltől származó kriptográfiai szolgáltatók moduljainak csatlakoztatásának hiánya.

A kereskedelmi termékek teljes mértékben törődnek a felhasználóval: technikai támogatás, kiváló felszereltség, alacsony költség, hitelesített verziók elérhetősége, GOST 28147-89 algoritmus használatának lehetősége, többfelhasználós mód differenciált kétszintű hitelesítéssel. Az egyetlen kiábrándító dolog a korlátozott funkcionalitás és naivitás a titkosított adattárolás titkosságának megőrzésében.

Frissítve: 2015. június.

Annak ellenére, hogy a TrueCrypt 7.1a verzióját 2011. február 7-én adták ki, ez továbbra is a termék utolsó teljes értékű funkcionális verziója.

Érdekes a TrueCrypt fejlesztés leállása körüli titokzatos történet. 2014. május 28-án minden korábbi verziók termék és a 7.2-es verzió megjelent. Ez a verzió csak a korábban titkosított lemezeket és tárolókat tudja visszafejteni – a titkosítási funkciót eltávolították. Ettől a pillanattól kezdve a webhely és a program a BitLocker használatát kéri, és a TrueCrypt használatát nem biztonságosnak nevezik.

Ez pletykahullámot váltott ki az interneten: a program készítőit azzal gyanúsították, hogy „könyvjelzőt” helyeztek a kódba. Az NSA egykori alkalmazottja, Snowden információi alapján, miszerint a titkosszolgálatok szándékosan gyengítik a kriptográfiát, a felhasználók pénzt gyűjtöttek a TrueCrypt kód auditálására. A program tesztelésére több mint 60 000 dollár gyűlt össze.

Az ellenőrzés 2015 áprilisára teljesen lezárult. A kódelemzés nem tárt fel hibákat, kritikus építészeti hibákat vagy sebezhetőségeket. A TrueCrypt jól megtervezett kriptográfiai eszköznek bizonyult, bár nem tökéletes.

A fejlesztők Bitlockerre váltásra vonatkozó tanácsát sokan „a kanári bizonyítékának” tartják. A TrueCrypt szerzői mindig is nevetségessé tették a Bitlockert és különösen annak biztonságát. A Bitlocker használata a programkód zártsága és a „kisebb” verziókban való elérhetetlensége miatt is bölcs dolog. Windows kiadás. A fentiek miatt az internetes közösség hajlamos azt hinni, hogy a fejlesztőket hírszerző ügynökségek befolyásolják, és hallgatásukkal valami fontosra utalnak, hamisan a Bitlockert ajánlják.

Foglaljuk össze újra

A TrueCrypt továbbra is a legerősebb, legbiztonságosabb és leggazdagabb kriptográfiai eszköz. Mind az ellenőrzés, mind a titkosszolgálatok nyomása ezt csak megerősíti.

A Zdisk-nek és a Secret Disk-nek van verziója az FSTEC által tanúsított. Ezért ésszerű ezeket a termékeket használni, hogy megfeleljenek az Orosz Föderáció információvédelemre vonatkozó jogszabályai követelményeinek, például a személyes adatok védelmének követelményeinek. Szövetségi törvény 152-FZ és az annak alárendelt szabályozási aktusok.

Azok számára, akik komolyan aggódnak az információbiztonság miatt, létezik egy átfogó megoldás „Szerver Izraelben”, amelyben átfogó adatvédelmi megközelítést vállalkozások.

Rendszerintegráció. Tanácsadó

A kriptográfiai biztonsági eszközök az információ átalakításának speciális eszközei és módszerei, amelyek eredményeként annak tartalma el van takarva. A kriptográfiai lezárások fő típusai a védett adatok titkosítása és kódolása. A titkosítás ugyanakkor a lezárás egyik fajtája, amelyben a lezárandó adatok minden szimbóluma független átalakításnak van kitéve; Kódoláskor a védett adatokat blokkokra osztják, amelyeknek szemantikai jelentése van, és minden ilyen blokkot digitális, alfabetikus vagy kombinált kóddal helyettesítenek. Ebben az esetben többféle titkosítási rendszert alkalmaznak: csere, permutáció, gamma, titkosított adatok analitikai átalakítása. Elterjedtek a kombinált titkosítások, amikor a forrásszöveget szekvenciálisan átalakítják két vagy akár három különböző rejtjel segítségével.

A kriptorendszer működési elvei

Az 1. ábrán egy tipikus példa látható egy olyan helyzetre, amikor kriptográfiai (titkosítási) probléma merül fel:

Rizs. №1

Az 1. ábrán A és B a védett információ jogos felhasználói, nyilvános kommunikációs csatornán keresztül kívánnak információt cserélni.

P egy illegális felhasználó (ellenfél, hacker), aki egy kommunikációs csatornán továbbított üzeneteket akar elfogni, és megpróbálja kiszedni belőlük az őt érdeklő információkat. Ez egyszerű diagram modellnek tekinthető tipikus helyzet, amely kriptográfiai módszereket használ az információk védelmére vagy egyszerűen a titkosításra.

Történelmileg néhány katonai szó beépült a kriptográfiába (ellenség, titkosítás elleni támadás stb.). Ezek tükrözik a legpontosabban a megfelelő kriptográfiai fogalmak jelentését. Ugyanakkor a jól ismert, a kód fogalmán alapuló katonai terminológia (haditengerészeti kódok, vezérkari kódok, kódkönyvek, kódmegjelölések stb.) már nem használatos az elméleti titkosításban. A tény az, hogy az elmúlt évtizedekben a kódolási elmélet kialakult - egy nagy tudományos irányt, amely módszereket fejleszt és tanulmányoz az információk véletlenszerű torzulásokkal szembeni védelmére a kommunikációs csatornákban. A kriptográfia olyan információátalakítási módszerekkel foglalkozik, amelyek megakadályozzák, hogy az ellenfél kinyerje azt az elfogott üzenetekből. Ebben az esetben már nem maga a védett információ kerül továbbításra a kommunikációs csatornán, hanem annak eredménye.

átalakítása rejtjel segítségével, és az ellenfélnek a rejtjel feltörésének nehéz feladatával kell szembenéznie. A titkosítás megnyitása (feltörése) az a folyamat, amelynek során egy titkosított üzenetből védett információt nyerünk a használt rejtjel ismerete nélkül. Az ellenfél nem kísérelheti meg megszerezni, hanem megsemmisíteni vagy módosítani a védett információt annak továbbítása során. Ez egy teljesen más típusú információ fenyegetés, különbözik az elfogástól és a kód feltörésétől. Az ilyen fenyegetések elleni védekezés

Saját specifikus módszereinket fejlesztjük. Ezért az információkat védeni kell az egyik jogos felhasználótól a másikhoz vezető úton. különféle módokon különféle fenyegetésekkel szemben. Olyan helyzet áll elő, amikor különböző típusú kapcsolatok láncolata védi az információkat. Természetesen az ellenség arra törekszik, hogy megtalálja a leggyengébb láncszemet, hogy a legalacsonyabb áron jusson el az információhoz. Ez azt jelenti, hogy a jogos felhasználóknak ezt a körülményt figyelembe kell venniük védelmi stratégiájukban: nincs értelme bizonyos kapcsolatot nagyon erőssé tenni, ha nyilvánvalóan gyengébb láncszemek vannak („az egyenlő erősségű védelem elve”). Egy jó titkosítás kidolgozása munkaigényes feladat. Ezért tanácsos megnövelni a jó titkosítás élettartamát, és amennyire csak lehetséges, titkosításra használni. többüzeneteket. De ez azzal a veszéllyel jár, hogy az ellenség már megoldotta (megnyitotta) a kódot, és olvassa a védett információt. Ha a hálózati rejtjel rendelkezik cserélhető kulccsal, akkor a kulcs cseréjével úgy tehetjük, hogy az ellenség által kifejlesztett módszerek már ne fejtsenek ki hatást.

Az EAEU jogszabályai szerint titkosítás (kriptográfiai) azt jelenti(a továbbiakban - ShKS) - Ez " hardver, szoftver és hardver-szoftver eszközök, rendszerek és komplexek, amelyek algoritmusokat valósítanak meg az információk kriptográfiai átalakítására, és amelyek célja, hogy megvédjék az információkat a jogosulatlan hozzáféréstől a kommunikációs csatornákon keresztül történő továbbítás és (vagy) feldolgozás és tárolás során” .

Ez a meghatározás nagyon elvont, ezért egy adott termék ShKS-hez való hozzárendelése vagy el nem adása jelentős nehézségeket okozhat.

Az ShKS-hez kapcsolódó áruk listája

Az ShKS importjára (exportjára) vonatkozó szabályzat felsorolja azokat a funkciókat (összetevőket), amelyeket egy terméknek tartalmaznia kell ahhoz, hogy ShKS-nek minősüljön:

• utánzatvédelmi eszközök
• elektronikus digitális aláírási eszközök
• kódoló eszközök
• kriptográfiai kulcsok előállításának eszközei
• maguk a kriptográfiai kulcsok
• kriptoanalitikus funkciók ellátására tervezett vagy módosított rendszerek, berendezések és alkatrészek
• olyan rendszerek, berendezések és alkatrészek, amelyeket kriptográfiai technikák alkalmazására terveztek vagy módosítottak szórt spektrumrendszerekhez szórt kód generálására, beleértve a frekvenciaugratásos rendszerek kódugrását
• időmodulált ultraszéles sávú rendszerek kriptográfiai csatornázási technikáinak vagy biztonsági kódjainak alkalmazására tervezett vagy módosított rendszerek, berendezések és alkatrészek.

A gyakorlatban azonban gyakran előfordul olyan helyzet, hogy a vámhatóságok a 2.19. pontban szereplő lista (és akár csak a listán szereplő HS-kód) alapján dönthetnek úgy, hogy az importált termék titkosító eszköz (és nem mindegy, valóban ott van-e titkosítás vagy nincs ). Ebben az esetben az importőrnek engedélyt kell szereznie, vagy bizonyítania kell a vámhatóságnak, hogy a termék nem tartalmaz titkosítást.

Az ShKS behozatali (exportálási) eljárása

Az import (export) vámeljárásától függően ShKS-t kell kiállítani különféle típusok dokumentumok:

12 ShKS kategória

A gyakorlatban a titkosítási funkcióval rendelkező áruk túlnyomó többségét bejelentés alapján importálják.

Az értesítés regisztrálható csak a 12 kategória közül egyhez vagy többhez tartozó áruk esetében titkosítási eszközök, amelynek műszaki és kriptográfiai jellemzői bejelentéskötelesek. Ez a lista a Bejelentési Szabályzat tartalmazza.

1. kategória

Az ebbe a kategóriába tartozó ShKS különféle kriptográfiai funkciókat lát el, de a kategóriához való hozzárendelés meghatározó tényezője a kriptográfiai kulcs hossza. A megadott kulcshosszak lényegesen kisebbek az ajánlottaknál minimális értékeket a megfelelő algoritmuscsoportokhoz. Az ilyen rövid kriptográfiai kulcsok használata lehetővé teszi modern felszerelés titkosított üzenetek megnyitása brute force módszerekkel.

Szimmetrikus titkosítás főként az adatok titkosságának biztosítására szolgál, és azon alapul, hogy az információ feladója és címzettje ugyanazt a kulcsot használja az üzenetek titkosításához és visszafejtéséhez. Ezt a kulcsot titokban kell tartani, és elfoghatatlan módon továbbítani kell. Példák szimmetrikus titkosítási algoritmusokra: RC4, DES, AES.

A felsorolt ​​algoritmusok közül csak a (elavultnak tekintett) DES tartozik biztosan az 1. kategóriába; Az RC4 algoritmus néha rövid kulcsokkal is használható (például a Wi-Fi kommunikációs technológia WEP protokolljában: a kulcs hossza 40 vagy 128 bit).

IN aszimmetrikus titkosítási algoritmusok(vagy nyilvános kulcsú kriptográfia) egy kulcsot (nyilvános) használ az információk titkosításához, egy másik (titkos) kulcsot pedig azok visszafejtéséhez. Ezeket az algoritmusokat széles körben használják biztonságos kapcsolatok létrehozására nyílt kommunikációs csatornákon digitális aláírás céljából. Példák az algoritmusokra: RSA, DSA, Diffie-Hellman Protokoll, GOST R 34.10-2012.

Meghatározott mód hivatkozzon az aszimmetrikus algoritmusok működésének matematikai alapjára:

• egész számok faktorizálása - RSA algoritmus
• diszkrét logaritmusok számítása véges mező multiplikatív csoportjában - DSA, Diffie-Hellman, El-Gamal algoritmusok
• diszkrét logaritmus egy véges mező egy csoportjában, amely eltér az ezen alpont harmadik bekezdésében meghatározott mezőtől - algoritmusok elliptikus görbéken: ECDSA, ECDH, GOST R 34.10-2012.

Példák a bejelentett ShKS-re: elméletileg bármely termék használhat elavult algoritmusokat vagy rövid billentyűket modern algoritmusok. A gyakorlatban azonban ennek nincs sok értelme, mert nem nyújt megfelelő szintű védelmet. Egy valós példa erre a Wi-Fi WEP módban 40 bites kulcshosszal.

2. kategória

Az ebbe a kategóriába tartozó felhasználói hitelesítés magában foglalja a felhasználó beírt jelszavának vagy más hasonló azonosító adatainak összehasonlítását a jogosult felhasználók adatbázisában tárolt információkkal, és maga a titkosítási folyamat a következőkből áll: a felhasználói titkos adatok védelme a másolástól és az illegális felhasználástól amikor átkerülnek a hitelesítési objektumból (felhasználóból) a vezérlő eszközbe.

Példák a bejelentett ShKS-re: beléptető és felügyeleti rendszerek eszközei - jelszóolvasók, jogosult felhasználók adatbázisainak tárolására és létrehozására szolgáló eszközök, hálózati hitelesítési eszközök - átjárók, útválasztók, útválasztók stb., a rajtuk tárolt információk védelmét szolgáló eszközök - merevlemezek jelszó hozzáférést korlátozó funkcióval.

2) elektronikus digitális aláírás (elektronikus aláírás).

Az aláírási folyamatot a információk titkosítási átalakítása privát aláírási kulcs segítségévelés lehetővé teszi annak ellenőrzését az elektronikus dokumentumban lévő információk torzulásának hiányáról az aláírás létrehozásának pillanatától kezdve (integritás), hogy az aláírás az aláírási kulcs tanúsítvány tulajdonosához tartozik (jogosultság), és sikeres ellenőrzés esetén megerősíti az elektronikus dokumentum aláírásának ténye (letagadhatatlanság).

Példák a bejelentett ShKS-re: EDS generátorok, szoftverek az EDS alkalmazási mechanizmus karbantartásához és megvalósításához, tárolóeszközök az EDS kulcsfontosságú információkhoz.

3. kategória

operációs rendszer A számítógépes erőforrások kezelésére és a felhasználói interakció megszervezésére szolgáló, egymással összekapcsolt programok készlete.

Példák a bejelentett ShKS-re: operációs rendszerek és szoftverrendszerek ezek alapján.

4. kategória

Intelligens kártyák Ezek beépített mikrochippel ellátott műanyag kártyák. A legtöbb esetben az intelligens kártyák mikroprocesszort és operációs rendszert tartalmaznak, amely vezérli az eszközt, és szabályozza a memóriájában lévő objektumok elérését.

Példák a bejelentett ShKS-re: SIM-kártyák a szolgáltatások eléréséhez mobilszolgáltatók, bankkártyák, mikroprocesszoros chippel felszerelt, intelligens azonosító kártyák tulajdonosának.

5. kategória

Ez a kategória azokra a termékekre vonatkozik, amelyek célja, hogy a felhasználó hozzáférést biztosítsanak a fizetős, titkosított digitális műholdas, földi és kábel TV-csatornákhoz és rádióállomásokhoz (rádiócsatornákhoz) (szabványpéldák: DVB-CPCM, DVB-CSA).

Példák a bejelentett ShKS-re: TV tunerek, TV jelvevők, műholdas TV vevők.

6. kategória

Példák a bejelentett ShKS-re: elektronikus média a nyilvánosság számára azonos készletekben eladásra kínált információk;

3) a szerzői jog által védett hang- és képinformáció másolásának ellenőrzése.

Az ebbe a kategóriába tartozó termékeknek hardvereszköznek kell lenniük, pl. kész típusú banki berendezéssel kell rendelkeznie, amelynek használata nem igényel további összeszerelést vagy módosítást, kivéve a korszerűsítési célokat.

Példák a bejelentett ShKS-re: ATM-ek, fizetési terminálok, gombostűk (a bankkártyák a 4. kategóriába tartoznak).

8. kategória

Ez a kategória az összes mobileszközt tartalmazza sejtes kommunikáció GSM, GPRS, EDGE, UMTS, LTE szabványokban, valamint néhány rádióállomáson működik. Az ebbe a kategóriába tartozó termékekkel szemben támasztott fő követelmény a funkcionalitás terén a képesség hiánya végpontok közötti titkosítás, azaz az előfizetők közötti kommunikációt közvetítő eszközön keresztül kell megvalósítani.

Példák a bejelentett ShKS-re: Mobil eszközök Kommunikáció és a fenti szabványok szerinti cellás kommunikációs modulokat tartalmazó eszközök, rádióállomások.

9. kategória

Ebbe beletartozik a legtöbb egyébként hívható eszköz „rövid hatótávolságú rádióelektronikai eszközök”. A titkosítás akkor történik, amikor információt küldenek/fogadnak vezeték nélküli rádiócsatornán, hogy megvédjék azokat az elfogástól és az illetéktelen felhasználók kommunikációs hálózatba való behatolásától. Mint ismeretes, az ilyen védelmet a legtöbb vezeték nélküli adatátviteli szabvány támogatja: Wi-Fi, Bluetooth, NFC és néha RFID.

Példák a bejelentett ShKS-re: routerek, hozzáférési pontok, modemek, kis hatótávolságú vezeték nélküli rádiómodulokat tartalmazó eszközök, érintés nélküli hozzáférési/fizetési/azonosító kártyák.

10. kategória

Ez a kategória azokat a termékeket írja le, amelyek hálózati eszközök, amelyek teljesítenek átkapcsolásÉs szolgáltatás funkciókat. A legtöbb ilyen eszköz általában támogatja az egyszerű hálózatkezelési protokollokat, amelyek lehetővé teszik a hálózat állapotának, teljesítményének figyelését, valamint hálózati rendszergazdai parancsok küldését a különböző csomópontoknak.

Példák a bejelentett ShKS-re: Szerverek, kapcsolók, hálózati platformok, átjárók.

11. kategória

Ez a kategória abszolút képviselhető különböző típusok különböző célokra és felhasználási területekre alkalmas eszközök. Az ilyen áruk 11. kategóriába való besorolásának döntő tényezője az előre telepített termék megléte szoftver vagy hardver , amely célzottan termel blokkolása a termék által végzett kriptográfiai funkciók.

12. kategória

értékesítés telefonon keresztül;

2) amelynek titkosítási (kriptográfiai) funkciója a felhasználó által nem módosítható

egyszerű módon ; 3) úgy tervezték, hogy a felhasználó a szállító további jelentős támogatása nélkül telepítse; 4) a gyártó nyilvánosan közzéteszi azt a műszaki dokumentációt, amely megerősíti, hogy az áru megfelel az e bekezdés 1–3. kérésére.Érdemes megjegyezni, hogy a gyakorlatban az oroszországi TsLSZ FSB fokozott követelményeket ír elő az ebbe a kategóriába tartozó árukra vonatkozó bejelentések regisztrálásához szükséges anyagok benyújtására. Így az összes felsorolt ​​kritériumot meg kell erősíteni (a gyártó webhelyére mutató hivatkozásokkal, orosz nyelvű vagy dokumentált információkkal).

Az ShKS leggyakoribb kategóriái 110000000110 Az Egységes Nyilvántartás minden egyes bejelentéshez megadja azon kategóriák listáját, amelyekbe a termék be van sorolva.

Ez az információ

Amint az a diagramból látható, az ShKS-ben a leggyakoribb és leggyakrabban előforduló kriptográfiai funkciók az adatok titkosítása egy rövid hatótávolságú vezeték nélküli rádiócsatornán (Wi-Fi, Bluetooth) - 27% az összes regisztrált ShKS számából, ami logikus, tekintettel a gyártott mobilkommunikációs berendezések mennyiségére, személyi számítógépekés mások technikai eszközök olyan modulokkal felszerelve, amelyek támogatják ezeket a kommunikációs technológiákat.

A második helyet az ShCS foglalja el, amely támogatja a hitelesítés és a védett információkhoz való hozzáférés ellenőrzésének funkcióit - 19,5% . Ez a tendencia könnyen magyarázható a megnövekedett szabványokkal és a személyes adatok védelmével kapcsolatos fogyasztói igényekkel mind a fizikai adathordozókon (merevlemezek, USB flash meghajtók, szerverek stb.), mind a hálózaton ( felhőalapú tárolás, hálózati adatbankok stb.). Emellett érdemes megjegyezni, hogy a beléptető és felügyeleti rendszerekben (ismertebb nevén ACS) használt ShKS-ek túlnyomó többsége a 2. kategóriába tartozó kriptográfiai funkciókat is ellátja.

Mivel a hálózatépítés minden információs rendszer működésének szerves része, e kommunikációs hálózat adminisztrálásának szempontjait a hálózati eszközök menedzsment. Az ezen eszközök által szervezett vezérlő interfész biztonsága a technológiai kommunikációs csatornák titkosítási mechanizmusainak alkalmazásával valósul meg, ami az alapja annak, hogy az ilyen típusú ShCS-t a 10-es kategóriába soroljuk, amely a harmadik leggyakoribb - 16% .

Azt is fontos megjegyezni, hogy az ShCS legkevésbé gyakori funkciói kategóriákra vannak osztva №5 (0,28% ), №12 (0,29% ) És №7 (0,62% ). Ritkán fordulnak elő olyan termékek, amelyek megvalósítják ezeket a kriptográfiai funkciókat, és a TsLSZ-nél történő regisztrációkor az ezekhez tartozó dokumentációt több részletes elemzés, mert „nem kerül gyártásba”, és az alkalmazott kriptográfiai protokollok és algoritmusok minden esetben egyediek lehetnek. Éppen ezért az összeállítás során ezen kategóriák termékeire kell maximális figyelmet fordítani szükséges dokumentumokat, mivel ellenkező esetben rendkívül magas a bejelentés nyilvántartásba vételének elutasításának kockázata.

Megjegyzések

Linkek

• Elektronikus aláírás (EDS), - Egyetlen portál Elektronikus aláírás, - http://www.techportal.ru/glossary/identifikatsiya.html
• Az információvédelem kriptográfiai módszerei, - Előadások gyűjteménye az alapokról helyi hálózatok Nemzeti Nyílt Egyetem, - http://www.intuit.ru/studies/courses/16655/1300/lecture/25505?page=2
• Az operációs rendszer fogalma, - Portál anyagok kb operációs rendszerek, - http://osys.ru/os/1/ponyatie_operatsionnoy_sistemy.shtml
• Bevezetés az SNMP-be, - Anyagok tovább hálózati biztonság, - http://network.xsp.ru/6_1.php

Cél: Az információk titkosságának, hitelességének és integritásának védelme. Titkosító rendszereket és technikákat kell használni az információk védelmére, amelyek veszélybe kerülhetnek, ha más eszközök nem biztosítanak megfelelő védelmet.

10.3.1 Kriptográfiai szabályzat

Annak eldöntése, hogy a kriptográfiai módszerek alkalmasak-e egy kiválasztott célra, egy szélesebb kockázatértékelési és eszközkiválasztási folyamat részét kell, hogy képezzék. Kockázatértékelést kell végezni annak meghatározásához, hogy az információ milyen védelmi szintet igényel. Az értékelés ezután meghatározhatja, hogy a ebben az esetben kriptográfiai eszközök, milyen eszközöket kell bevezetni, és milyen célokra és üzleti folyamatokra fogják használni.

A szervezetnek ki kell dolgoznia egy szabályzatot a kriptográfiai eszközök használatára információi védelmére. Egy ilyen politika szükséges a kriptográfiai technikák használatából származó előnyök maximalizálása és a kockázatok csökkentése, valamint a visszaélések és visszaélések elkerülése érdekében. A politikák kialakításakor a következőket kell figyelembe venni:

a) a vezetőség hozzáállása a kriptográfiai eszközök szervezeten belüli használatához, beleértve a szervezethez tartozó információk védelmének általános elveit;

b) a kulcsfontosságú információkezelési módszerek megközelítése, beleértve a titkosított információk visszaállításának módszereit a kulcsok elvesztése, veszélyeztetése vagy sérülése esetén;

c) pozíciók és felelősségek, mint például a következőkért felelős alkalmazottak kinevezése:

d) politika végrehajtása;

e) kulcskezelés;

f) módszer a kriptográfiai védelem szükséges szintjének meghatározására;

g) szabványok, amelyeket át kell venni a hatékony megvalósításhoz a szervezet egészében (a választott megoldások megfelelősége illüzleti folyamatok).

10.3.2 Titkosítás

A titkosítás egy titkosítási technika, amely az információk titkosságának védelmére használható. Javasoljuk, hogy fontolja meg ennek a módszernek a használatát a bizalmas vagy érzékeny információk védelme érdekében.

A kockázatértékelés eredményei alapján meg kell határozni a szükséges védelmi szintet, figyelembe véve a választott titkosítási algoritmus típusát és minőségét, valamint a használt kriptográfiai kulcsok hosszát.

Amikor egy kriptográfiai irányelvet alkalmaz egy szervezetben, tisztában kell lennie a szervezetében előforduló kriptográfiai technikák használatával kapcsolatos törvényekkel és kormányzati korlátozásokkal. különböző országokban, valamint a titkosított információk országon kívüli átvitelének kérdései. Ezenkívül figyelembe kell venni a kriptográfiai technológiák exportjával és importjával kapcsolatos kérdéseket is (lásd még a 12.1.6. szakaszt).

A szükséges biztonsági szint meghatározásához konzultáljon szakemberrel, aki segít kiválasztani a megfelelő eszközöket, amelyek biztosítják a szükséges biztonságot, és támogatni tudják a biztonságos kulcskezelő rendszert (lásd még a részt

ISO/EIC 17799:2000

10.3.5). Ezenkívül jogi tanácsra lehet szükség a szervezete titkosítási módszereire vonatkozó törvényekkel és szabályozásokkal kapcsolatban.

10.3.3 Digitális aláírások

A digitális aláírás az elektronikus dokumentumok hitelességének és integritásának védelmét szolgáló eszköz. Használhatók például az e-kereskedelemben annak ellenőrzésére, hogy ki regisztrált elektronikus dokumentum, és hogy változott-e az aláírt dokumentum tartalma.

A digitális aláírás bármely feldolgozott dokumentumra alkalmazható elektronikus formában. Használhatók például tanúsításra elektronikus fizetések, pénzátutalások, szerződések és megállapodások. A digitális aláírási rendszer egyedi módon összekapcsolt kulcspár felhasználásán alapuló kriptográfiai módszerrel valósítható meg. Ebben az esetben az egyik kulcs az aláírás létrehozására szolgál (privát kulcs), a másik pedig annak ellenőrzésére szolgál (nyilvános kulcs).

A privát kulcs titkosságát gondosan figyelemmel kell kísérni. Ezt a kulcsot titokban kell tartani, mert aki hozzáfér ehhez a kulcshoz, az aláírhat dokumentumokat (számlákat, szerződéseket stb.) a kulcstulajdonos aláírásának hamisításával. Ezenkívül védeni kell a nyilvános kulcs integritását. Hasonló védelmet biztosítanak nyilvános kulcsú tanúsítványok (lásd a 10.3.5. szakaszt).

Gondolnia kell az aláírási algoritmus típusára és minőségére, valamint a használt kulcsok hosszára. A digitális aláírásokhoz használt kriptográfiai kulcsoknak különbözniük kell a titkosításhoz használt kulcsoktól (lásd: 10.3.2. szakasz).

Digitális aláírás használatakor tisztában kell lennie azokkal a törvényekkel, amelyek leírják azokat a feltételeket, amelyek mellett a digitális aláírás jogilag kötelező érvényű. Például az e-kereskedelem területén ismerni kell a digitális aláírások jogi érvényességét. Ha az alkalmazandó jog rendelkezései nem elegendőek, szerződések vagy egyéb megállapodások szükségesek a digitális aláírások használatának támogatására. Kérjen jogi tanácsot azokkal a törvényekkel és rendelkezésekkel kapcsolatban, amelyek a szervezete által választott digitális aláírás-használatra vonatkozhatnak.

10.3.4 A visszautasítás nélküliség biztosítása

Letagadhatatlan intézkedésekre lehet szükség az események vagy cselekmények megtörténtével kapcsolatos viták rendezésekor – például ha vita merül fel az elektronikus aláírás vagy fizetés használatával kapcsolatban. Ezek az eszközök segíthetnek olyan bizonyítékok megszerzésében, amelyek meggyőzően igazolják, hogy valamilyen esemény vagy cselekvés történt, például a digitálisan aláírt utasítás elküldésének elmulasztása email. Ezek az eszközök titkosításon és digitális aláíráson alapulnak (lásd.

a 10.3.2. és 10.3.3. szakasz is).

10.3.5 Kulcskezelés

10.3.5.1 A kriptográfiai kulcsok védelme

A kriptográfiai kulcskezelő eszközök elengedhetetlenek a kriptográfiai technikák hatékony megvalósításához. A kriptográfiai kulcsok veszélyeztetése vagy elvesztése veszélyeztetheti az információk bizalmasságát, hitelességét és/vagy integritását. A szervezetnek létre kell hoznia egy olyan irányítási rendszert, amely kétféle kriptográfiai módszer használatát támogatja, nevezetesen:

ISO/EIC 17799:2000

ugyanaz a kulcs, amelyet az információk titkosításához és visszafejtéséhez is használnak. Ezt a kulcsot titokban tartják, mert bárki, aki hozzáfér, visszafejtheti az összes vele titkosított információt, vagy jogosulatlan információkat vihet be a rendszerbe;

b) nyilvános kulcsú módszerek, amelyekben minden felhasználónak van egy kulcspárja - egy nyilvános kulcs (amely bárkivel megosztható) és egy privát kulcs (amit titokban kell tartani). A nyilvános kulcsú módszerek titkosításra (lásd: 10.3.2. szakasz) és digitális aláírások létrehozására (lásd: 10.3.3. szakasz) használhatók.

Minden kulcsot védeni kell a módosítástól és a megsemmisüléstől. Titkos és privát kulcsok védeni kell a jogosulatlan nyilvánosságra hozataltól. Erre a célra kriptográfiai módszerek is használhatók. A kulcsok létrehozására, tárolására és archiválására használt berendezéseket fizikailag védeni kell.

10.3.5.2 Szabványok, eljárások és módszerek

A kulcskezelési rendszernek elfogadott szabványokon, eljárásokon és eljárásokon kell alapulnia biztonságos módszerek az alábbi feladatok elvégzésére:

a) kulcsok létrehozása különféle kriptográfiai rendszerekhez és különféle alkalmazásokhoz;

b) nyilvános kulcsú tanúsítványok létrehozása és beszerzése;

c) kulcsok kiosztása a megfelelő felhasználóknak, a kulcs aktiválására vonatkozó utasításokkal együtt;

d) kulcstárolás és kulcsok beszerzésére vonatkozó utasítások a jogosult felhasználók számára;

e) a kulcsok megváltoztatása vagy frissítése, valamint a kulcscsere időzítését és módját meghatározó szabályok;

f) a feltört kulcsokkal kapcsolatos műveletek;

g) kulcs visszavonása, beleértve a kulcsok visszavonásának vagy inaktiválásának módszereit, például ha a kulcsot feltörték, vagy ha a tulajdonos elhagyja a szervezetet (ebben az esetben a kulcsot is archiválni kell);

h) elveszett vagy sérült kulcsok helyreállítása az üzletmenet folytonosságának támogatása érdekében, például a titkosított információk helyreállítása;

én) archiválási kulcsok, például az archívumokhoz és biztonsági másolatok információ;

j) a kulcsok megsemmisítése;

k) kulcsfontosságú irányítási tevékenységek naplózása és auditálása.

A kompromittálás valószínűségének csökkentése érdekében a kulcsoknak rendelkezniük kell kezdő és záró dátummal, hogy csak korlátozott ideig legyenek használhatók. Ennek az időtartamnak a kriptográfiai eszköz használatának feltételeitől és a lehetséges kockázattól kell függnie.

Szükséges lehet szabályok kidolgozása a kriptográfiai kulcsokhoz való hozzáférésre vonatkozó jogi kérések megválaszolására (például szükséges lehet, hogy titkosított információkat titkosítatlan formában adjon meg bizonyítékként a bíróságon).

A privát és privát kulcsok biztonsága mellett a nyilvános kulcsok védelmére is gondolni kell. Fennáll annak a veszélye, hogy egy támadó hamisíthat digitális aláírás, lecseréli a felhasználó nyilvános kulcsát a sajátjára. Oldd meg ezt