Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Криптография? Железно!

Лукашов Игорь Владиславович

Содержание:

• Hard или soft?

• Не шифром единым

• Криптографический конструктор

• Скорость никогда не бывает лишней

• Выбираем поставщика

• Рекомендации и выводы

^ вернуться к содержанию ^

Шифрование — один из самых эффективных и распространенных способов защиты информации. В свою очередь, аппаратная реализация криптографического алгоритма надежней программного исполнения. В число основных достоинств аппаратных шифраторов входят следующие:

• гарантия неизменности алгоритма шифрования (криптографическое ПО по определению не защищено от воздействия враждебных программ, способных модифицировать его код);

• наличие аппаратного датчика случайных чисел (ДСЧ), используемого при создании криптографических ключей. Для этих целей в аппаратном датчике задействованы физические процессы (обратный пробой специализированного диода и т. п.), что обеспечивает выдачу действительно случайных чисел, распределение которых близко к равновероятному. Аппаратный ДСЧ, как правило, применяется при генерации ключей не только шифрования, но и электронной цифровой подписи (ЭЦП);

• возможность прямой (минуя системную шину компьютера) загрузки ключей шифрования в специализированный процессор аппаратного шифратора с персональных идентификаторов - носителей типа смарт-карт и "таблеток" Touch Memory (ТМ). Тем самым снимается угроза перехвата ключей, которые при использовании программных шифраторов циркулируют в оперативной памяти компьютера;

• хранение ключей шифрования не в ОЗУ компьютера (как в случае с программной реализацией), а в памяти шифропроцессора;

• идентификация и аутентификация пользователя до загрузки операционной системы; запрет на изменение процесса загрузки компьютера (когда, скажем, вход зарегистрированного пользователя осуществляется только по предъявлении идентификатора с ключами, а остальные варианты - с загрузочной дискеты, компакт-диска и т. п. - блокированы); возможности контроля целостности операционной системы и прикладного программного обеспечения, позволяющие, к примеру, отследить действия вирусов; ведение доступного лишь администратору безопасности журнала действий пользователей, регистрирующего все (в том числе и безуспешные) попытки доступа к компьютеру. Эти опции обобщенно именуются функциями "электронного замка";

• обеспечение наряду со всеми перечисленными достоинствами сопоставимой с программными продуктами скорости шифрования. Не менее важно, что шифраторы, конструктивно выполненные в виде плат расширения разъема PCI, способны использовать для выполнения криптографических преобразований свой собственный процессор, не загружая процессор компьютера. Понятно, что при программной реализации добиться разгрузки центрального процессора невозможно.

^ вернуться к содержанию ^

Hard или soft?

Что же мешает широкому применению аппаратных шифраторов — или, выражаясь точнее, обусловливает их меньшую распространенность по сравнению с криптографическим ПО?

Прежде всего цена — в любом случае стоимость аппаратного шифратора будет выше, чем чисто программного решения. Но, как любили повторять в одном из советских киношлягеров, "чем мех лучше, тем он и дороже". Так что для организаций, всерьез заботящихся об информационной безопасности, использование аппаратных шифраторов в силу перечисленных выше причин безусловно желательно — во всяком случае, для защиты наиболее важных ресурсов. Как будет показано ниже, производители аппаратных криптографических средств постоянно дополняют свои продукты новыми возможностями, и по соотношению цена/качество (если понимать под последним прежде всего функциональность) аппаратные шифраторы выглядят более предпочтительно, если их сравнивать с соответствующим ПО.

Зачастую у пользователей отсутствует полное понимание всех нюансов, связанных с правовым регулированием практики применения криптографических средств. Вероятно, здесь имеет место и психологический эффект. Кажется, гораздо проще переписать из Интернета одну из бесплатных или условно-бесплатных программ шифрования и активно ее использовать, в том числе для защиты информационного обмена со сторонними организациями, в то время как закупка аппаратного шифратора представляется началом долгого процесса получения всевозможных лицензий, сбора согласующих виз и т. п. Иными словами, на первый план выходят даже не денежные соображения, а попытки сэкономить время и облегчить себе жизнь.

Заметим, однако, что в нормативных актах, регулирующих практику применения криптографических (шифровальных) средств, не проводится различий между программными и аппаратными средствами: оформлять использование криптосредств надо в любом случае. Другое дело, что документы эти могут быть разными — или лицензия ФАПСИ на использование криптосредств, или договор с организацией, имеющей необходимую лицензию ФАПСИ на предоставление услуг по криптографической защите конфиденциальной информации. Поэтому переход к применению аппаратных шифраторов можно совместить с оформлением упомянутых выше документов.

Можно, наконец, предположить, что осторожность потенциальных пользователей аппаратных шифраторов вызвана и недостатком информации — как о спектре представленных на российском рынке устройств, так и об особенностях их установки, настройки и обслуживания. Что касается первой из названных проблем, то надеемся, что ее решению будут способствовать наши публикации, а опасения по второму поводу скорее всего излишни. С одной стороны, при наличии общих знаний компьютерной техники и готовности читать документацию до установки шифратора, а не после таковой процесс инсталляции не вызовет осложнений; с другой стороны, производители и поставщики криптосредств охотно берутся за сопровождение своей продукции, каковые услуги на первых этапах эксплуатации шифраторов совсем не лишние.

Мы попробуем провести сравнительный анализ трех криптосредств, представленных основными игроками отраслевого рынка — компаниями "Информзащита", ОКБ САПР и "Анкад". Дабы не ввести читателя в заблуждение, сразу оговоримся, что упомянутые средства криптографической защиты информации (СКЗИ), для краткости именуемые в тексте аппаратными шифраторами, на самом деле представляют собой программно-аппаратные комплексы. Так что на вопрос, сформулированный в заголовке этого раздела, правильно следует ответить так: "И то и другое..."

^ вернуться к содержанию ^

Не шифром единым

Стремление разработчиков не ограничиваться рамками аппаратного шифрования демонстрирует СКЗИ М-506. В этом комплексном средстве защиты информации возможности аппаратного электронного замка "Соболь" дополнены широким спектром других функций информационной безопасности.

СКЗИ М-506 состоит из следующих компонентов:

• сервер безопасности. Установленный на выделенном компьютере или контроллере домена, он собирает и обрабатывает информацию о состоянии всех защищаемых рабочих станций и хранит данные о настройках всей системы защиты;

• средство защиты информации от несанкционированного доступа (СЗИ) Secret Net NT 4.0. Данным СЗИ оснащаются все рабочие станции, на которых устанавливается также электронный замок "Соболь". Тем самым защищаются ресурсы компьютера и обеспечивается регистрация входа пользователя в систему, предъявления незарегистрированного идентификатора, введения неправильного пароля, превышения числа попыток входа в систему;

• подсистема управления. Этот программный компонент устанавливается на рабочем месте администратора системы и позволяет ему конфигурировать СЗИ Secret Net (а также управлять встроенными возможностями операционной системы), контролировать все события, влияющие на защищенность системы, и реагировать на них в режиме реального времени и в терминах реальной предметной области (сотрудник, задача, подразделение, помещение);

• криптоменеджер. Он инсталлируется на автономном компьютере и выполняет следующие функции: создание ключей шифрования, изготовление ключевых дискет, ведение базы созданных ключей на жестком диске компьютера.

Реализованная в СКЗИ М-506 клиент-серверная архитектура позволяет сосредоточить в одном месте функции управления безопасностью корпоративной сети и повысить живучесть всей системы защиты: даже выход из строя сервера безопасности не приводит к снижению уровня защищенности. Развитые возможности защиты от несанкционированного доступа (НСД) интегрированы с криптографическими механизмами: электронной цифровой подписью, "прозрачным" шифрованием файлов и шифрованием сетевого трафика.

Последний тезис, звучащий несколько абстрактно, поясним на конкретных примерах. Прежде всего доступ пользователя к защищаемым ресурсам осуществляется в соответствии с уровнем допуска сотрудника; создание, перемещение и удаление информационного ресурса, содержащего конфиденциальную информацию, централизованно отслеживается и контролируется. Исключена опасность подключения к сети и "левых" компьютеров: до тех пор, пока клиентская часть СЗИ Secret Net не будет аутентифицирована на сервере безопасности, доступ к ресурсам сети с данного рабочего места останется заблокированным.

Для легального пользователя, которому предоставлено право работать с зашифрованным сетевым ресурсом, данный ресурс предстает в своем обычном, незашифрованном виде ("прозрачный" режим криптографического преобразования). Но это не значит, что конфиденциальная информация передается по сети в открытом виде: сетевой трафик шифруется, а расшифровывание происходит только на рабочей станции пользователя.

Отметим, что все компоненты СКЗИ М-506 функционируют в замкнутой программной среде, недоступной воздействию вирусов. О высоком качестве данного криптосредства позволяет судить тот факт, что оно сертифицировано ФАПСИ для защиты информации, содержащей сведения, составляющие государственную тайну. Собственно, и само название СКЗИ — несколько загадочно звучащее М-506 — как раз и родилось, по словам специалистов "Информзащиты", в ходе сертификационных исследований в недрах Федерального агентства.

^ вернуться к содержанию ^

Криптографический конструктор

По-своему интригующе складывалась и судьба устройств серии "Криптон". Если "Звездные войны" начинались с "Эпизода IV", то серия данных СКЗИ стартовала (во всяком случае, для широкой публики) с устройства "Криптон-3", добравшись к настоящему времени до девятого порядкового номера.

Уступая конкурирующим продуктам в плане защиты от НСД (см. таблицу), СКЗИ серии "Криптон" превосходят их по числу используемых носителей ключевой информации. Помимо традиционных "таблеток" ТМ, предоставляется возможность использовать и различные типы смарт-карт, в том числе Российскую интеллектуальную карту (РИК). Работают "Криптоны" и с носителями-токенами для шины USB (например, брелоком eToken), но считываемые с брелока ключи проходят через системную шину, что снижает уровень безопасности. Прямой ввод ключей в память шифропроцессора возможен только с ТМ и СК и при наличии соответствующего интерфейса (коннектора в первом случае и закупаемого в "Анкаде" ридера во втором); поддерживаются ридеры других производителей (например, AseDrive), но и здесь, как в ситуации с токенами, ключи проходят через системную шину.

Другим отличием СКЗИ рассматриваемой серии можно считать, пожалуй, наиболее разветвленную систему криптографического программного обеспечения. К традиционному набору функций ЭЦП, прозрачного шифрования логических дисков и шифрования сетевого трафика разработчики фирмы "АНКАД" добавили ПО архивного и абонентского шифрования файлов и совмещенную реализацию шифрования и ЭЦП, причем пользователям предлагаются на выбор две ключевые схемы — асимметричная (что привычно) и симметричная (что весьма оригинально и привлекает, к примеру, госструктуры).

Отметим и тот факт, что у аппаратных "Криптонов" есть программный "собрат" — криптографический эмулятор, поддерживающий общую систему прикладного ПО, совместимый со своими железными "родичами" и даже унаследовавший от них способность работать со смарт-картами и токенами в качестве ключевых носителей. Таким образом, у пользователей в рамках одной серии СКЗИ появляется возможность в заданных пределах варьировать уровень безопасности (применяя для защиты наиболее важных ресурсов аппаратные шифраторы, а на вспомогательных участках ограничиваясь программной реализацией), а значит, и более гибко распределять финансовые средства, выделяемые на защиту информации.

Наконец, можно констатировать, что фирма "Анкад" более активно по сравнению с другими производителями участвует в интеграционных проектах — и не только в сфере "чистой" информационной безопасности. Так, шифраторы этой фирмы использовались для защиты коммуникаций между налогоплательщиками и рядом налоговых инспекций Москвы, причем эксперимент по "безбумажной" сдаче налоговой отчетности успешно стартовал еще даже до принятия закона об ЭЦП. Из других примеров назовем встраивание аппаратных и программных "Криптонов" в VPN-продукты серии "Застава" (производитель — компания "ЭЛВИС+"), а также широко рекламировавшееся фирмой "Аладдин Р.Д." использование сертифицированного криптомодуля "Криптон" в системе защиты информации Secret Disk 2.0.

Словом, фирма "Анкад" предоставляет потребителям простор для полета фантазии: можно, как в конструкторе, набирать необходимые функциональные элементы (в том числе даже решения сторонних компаний), сообразуясь с потребностями и финансовым потенциалом. С одной стороны, такое решение отличается гибкостью и возможностью "подстройки" к интересам заказчика, но с другой — способно поставить неспециалиста в тупик разнообразием вариантов. Заметим, что сходные проблемы испытывают, скажем, операторы сотовой связи, чьи клиенты постоянно теряются в обилии различных тарифных планов. Видимо, выход продуктов высоких технологий на массовый рынок должен сопровождаться специальными "образовательными" усилиями производителей и поставщиков, и одним из направлений здесь может стать формирование типовых предложений и стандартных наборов продуктов и услуг. Но если операторы связи уже подсуетились, изобретя "дачные", "экономные" и т. п. тарифные планы, то на рынке СКЗИ подобные действия еще только предстоят.

^ вернуться к содержанию ^

Скорость никогда не бывает лишней

Особое конструкторское бюро систем автоматизированного проектирования (ОКБ САПР) известно прежде всего средствами защиты от несанкционированного доступа серии "Аккорд". Криптографическим "ответвлением" этой серии стал сопроцессор безопасности "Аккорд-СБ", по сути представляющий собой специализированный на выполнении криптографических функций одноплатный компьютер со своим процессором, внешним ОЗУ и операционной системой.

Специальное программное обеспечение данного СКЗИ включает:

• загрузчик, с помощью которого настраиваются параметры системы и производится загрузка в ОЗУ операционной системы и "монитора";

• монитор, призванный инициализировать ресурсы сопроцессора и позволяющий работать с этими ресурсами в многозадачном режиме;

• прикладные библиотеки для самостоятельного программирования "Аккорда-СБ";

• криптопровайдер, обеспечивающий взаимодействие "Аккорда-СБ" с устанавливаемым в плату его расширения специальным криптоускорителем.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов учебной работы