Системи захисту інформації
Електронний замок «Соболь"/"Соболь-PCI» може застосовуватися у складі системи захисту Secret Net для генерації ключів шифрування і электронно-цифровой підписи. З іншого боку, під час використання електронного замку на складі СЗІ Secret Net забезпечується єдине централізоване управління його можливостями. З допомогою підсистеми управління Secret Net адміністратор безпеки має можливість керувати… Читати ще >
Системи захисту інформації (реферат, курсова, диплом, контрольна)
на задану тему: Ефективність систем захисту. Оцінка економічну ефективність систем защиты.
Введение
…3.
1.Электронный замок «СОБОЛЬ » …4.
2. Система захисту «Secret Net 4.0 » …9 3. «Акорд 1.95 » …13 4. «ГРИМ-ДИСК » …14 5. СКЗИ «Верба — ОW » …15 6. Устрою криптографічного захисту даних (УКЗД) серии.
КРИПТОН…23.
6.1. КРИПТОН-ЗАМОК/PCI.
апаратно-програмний модуль довіреною загрузки…26.
6.2. Crypton ArcMail…28.
6.3. КРИПТОН-Шифрование…29.
6.4. КРИПТОН-Подпись…29.
6.5. КРИПТОН-IP…30.
6.6. КРИПТОН AncNet…35.
6.7. КРИПТОН-IDE…36.
6.8. Crypton Disk…37.
6.9. Crypton Lock…37.
Заключение
…39.
Список використовуваної литературы…40.
Рис. 1.1.
1.ЭЛЕКТРОННЫЙ ЗАМОК «СОБОЛЬ «.
Электронные замки «Соболь» (Рис. 1.2.), і «Соболь-PCI» (Рис. 1.1.), розроблено научно-инженерным підприємством «ИНФОРМЗАЩИТА» і призначені за захистом ресурсів комп’ютера від не санкціонованого доступу. Рис. 1.2.
Електронні замки «Соболь» і «Соболь-PCI» сертифіковані Федеральним агентством урядового зв’язку і інформації Росії. Сертифікати ФАПСИ № СФ/122−0305 і № СФ/022−0306 від 10.02.2000, в тому числі сертифікат № СФ/527- 0553 від 01.07.2002 дозволяють застосовувати ці кошти за захистом інформації, складову комерційну чи державну тайну.
З іншого боку, електронний замок «Соболь-PCI» сертифікований Гостехкомиссией Росії. Сертифікат № 457 від 14.05.2001 р. підтверджує відповідність даного вироби вимогам Керівного документа Гостехкомиссии Росії «Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем й вимоги стосовно захисту інформації» і дозволяє вживати даний продукт розробки систем захисту для автоматизованих систем з класом захищеності до 1 В включительно.
Применение Электронный замок «Соболь"/"Соболь-PCI» може застосовуватися як пристрій, що забезпечує захист автономного комп’ютера, і навіть робочої станції чи серверу, входять до складу локальної обчислювальної мережі. Система захисту Електронний замок «Соболь"/"Соболь-PCI» має такими возможностями:
. Ідентифікація і аутентификация пользователей.
. Реєстрація спроб доступу до ПЭВМ.
. Заборона завантаження ОС зі знімних носителей.
. Контроль цілісності програмної середовища. Можливості по ідентифікації і аутентифікації користувачів, і навіть реєстрація спроб доступу до ПЕОМ не залежить від типу використовується ОС.
Идентификация і аутентификация пользователей.
Кожен користувач комп’ютера реєструється у системі електронний замок «Соболь"/"Соболь-PCI», встановленої цьому комп’ютері. Реєстрація користувача здійснюється адміністратором і полягає у визначенні імені реєстрованого користувача, присвоєння йому персонального ідентифікатора та призначення пароля.
Дія електронного замку «Соболь"/"Соболь-PCI» полягає у перевірці персонального ідентифікатора і пароля користувача під час спроби входу в систему. Що стосується спроби входу до системи не зареєстрованого користувача електронний замок «Соболь» реєструє спробу НСД і здійснюється апаратна блокування до 4-х пристроїв, наприклад: FDD, CDROM, ZIP, LPT, SCSI-порты (електронний замок «Соболь-PCI» дозволяє блокувати до 3-х устройств).
У електронному замку використовуються ідентифікатори Touch Memory фірми Dallas Semiconductor. Завантаження ОС з жорсткого диска відбувається лише після пред’явлення зареєстрованого ідентифікатора. Службовий інформацію про реєстрації користувача (ім'я, номер привласненого персонального ідентифікатора тощо.) зберігається в енергонезалежної пам’яті електронного замка.
Регистрация спроб доступу до ПЭВМ.
Електронний замок «Соболь"/"Соболь-PCI» здійснює ведення системного журналу, записи якого зберігаються у спеціальної енергонезалежної памяти.
Електронний замок фіксує в системному журналі вхід користувачів, спроби входу, спроби НСД та інші події, пов’язані з безпекою системы.
У системному журналі зберігається наступна інформація: дата та палестинці час події, ім'я користувача й інформація про типі події, например:
. Факт входу пользователя;
. Запровадження неправильного пароля;
. Пред’явлення не зареєстрованого ідентифікатора пользователя;
. Перевищення числа спроб входу в систему;
. Інші события.
Отже, електронний замок «Соболь» надає інформацію адміністратору про всіх спробах доступу до ПЭВМ.
Контроль цілісності програмної середовища проживання і заборона завантаження зі знімних носителей.
Підсистема контролю цілісності розширює можливості електронного замку «Соболь"/"Соболь-PCI». Контроль цілісності системних областей дисків і найбільш критичних файлів проводиться у разі алгоритму ГОСТ 28 147–89 в режимі имитовставки (Рис. 1.3.). Адміністратор має можливість поставити режим роботи електронного замку, у якому буде блокований вхід користувачів до системи у разі порушення цілісності контрольованих файлів. Рис. 1.3. [pic].
Підсистема заборони завантаження з гнучкого диска і CD ROM диска забезпечує заборона завантаження ОС з цих знімних носіїв всім користувачів комп’ютера, крім адміністратора. Адміністратор розв’яже окремим користувачам комп’ютера виконувати завантаження ОС зі знімних носителей.
Підсистеми контролю цілісності і підсистеми заборони завантаження зі знімних носіїв функціонують під керівництвом наступних ОС:
. MS DOS версій 5.0−6.22;
. ОС сімейства Windows'9x (FAT12, FAT16 чи FAT32);
. Windows NT версій 3.51 і 4.0 з файловій системою NTFS;
. Windows 2000 з файлової системою NTFS (лише «Соболь-PCI»);
. UNIX FreeBSD (лише «Соболь-PCI»).
Возможности по администрированию.
Для настройки електронного замку «Соболь» адміністратор має возможность:
. Визначати мінімальну довжину пароля пользователя;
. Визначати граничне число невдалих входів пользователя;
. Додавати і видаляти пользователей;
. Блокувати роботу користувача на компьютере;
. Створювати резервні копії персональних идентификаторов.
Другие можливості і преимущества.
. Найнижча проти аналогічними продуктами ціна — 190 доларів «Соболь» для стандарту ISA і 230 доларів «Соболь-PCI»;
. Датчик випадкових чисел, відповідний вимогам ФАПСИ.
. Простота установки, настроювання й администрирования.
. Сучасна елементна база, забезпечує високій надійності і долговечность.
. Можливість установки у будь-якій IBM-совместимый персонального комп’ютера, має вільний розняття стандарту ISA чи PCI.
Использование в Secret Net і Континент-К.
Електронний замок «Соболь"/"Соболь-PCI» може застосовуватися у складі системи захисту Secret Net для генерації ключів шифрування і электронно-цифровой підписи. З іншого боку, під час використання електронного замку на складі СЗІ Secret Net забезпечується єдине централізоване управління його можливостями. З допомогою підсистеми управління Secret Net адміністратор безпеки має можливість керувати статусом персональних ідентифікаторів співробітників: присвоювати електронні ідентифікатори, тимчасово блокувати, робити їх недійсними, що дозволяє управляти доступом співробітників до комп’ютерів автоматизованої системи організації. Також «Соболь"/"Соболь-PCI» застосовується у складі апаратно-програмного комплексу «Континент-К» для ідентифікації і аутентифікації адміністратора криптографічного шлюзу, формування ключів шифрування і місцевого контролю цілісності програмного забезпечення комплексу. А також що з криптопровайдером КриптоПРО CSP (задля забезпечення зберігання сертифікатів користувача на електронних ідентифікаторах і як способу формування ключів електронного цифрового подписи).
Комплектация В базовий комплект електронного замку «Соболь"/"Соболь-PCI» входит:
. Контролер «Соболь"/"Соболь-PCI»;
. Считыватель Touch Memory;
. 2 ідентифікатора DS-1992;
. Інтерфейс для блокування завантаження з FDD;
. Інтерфейс для блокування завантаження з CD-ROM;
. Програмне забезпечення формування списків контрольованих программ;
. Документация.
2. Система захисту «Secret Net 4.0 «.
[pic].
Рис. 2.1. Назначение:
Программно-аппаратный комплекс задля забезпечення інформаційну безпеку в локальної обчислювальної мережі, робочі станції і серверу якої працюють на під керівництвом наступних операційними системами: Windows «9x (Windows 95, Windows 98 та його модифікацій); Windows NT версії 4.0; UNIX MP-RAS версії 3.02.00.
Безпека робочих станцій та серверів мережі забезпечується за допомогою різноманітних механізмів защиты:
. посилена ідентифікація і аутентификация,.
. повноважне і виборче розмежування доступа,.
. замкнута програмна среда,.
. криптографічна захист данных,.
. інші механізми захисту. Адміністратору безпеки надається єдине засіб управління усіма захисними механізмами, що дозволяє централізовано керувати й контролювати виконання вимог політики безопасности.
Уся інформацію про подіях у інформаційній системі, причетних до безпеки, реєструється на єдиній журналі реєстрації. Про спробах звершення користувачами неправомірних дій адміністратор безпеки дізнається немедленно.
Існують кошти генерації звітів, попередньої обробки журналів реєстрації, оперативно керувати віддаленими робітниками станціями. Схема система захисту «Secret Net 4.0 «представлена на Рис. 2.1.
Компоненты Secret Net.
Система Secret Net складається з трьох компонент:
Клиентская частина Сервер безпеки Підсистема управління Особливістю системи Secret Net є клиент-серверная архітектура, коли він серверна частина забезпечує централізоване збереження і обробку даних системи захисту, а клієнтська частина забезпечує захист ресурсів робочої станції чи серверу та зберігання керуючої інформацією базі данных.
Клієнтська частина системи защиты Клиент Secret Net (як автономний варіант, і мережевий) встановлюється на комп’ютер, у якому важливу інформацію, чи це робоча станція у мережі чи будь-якою сервер (зокрема і сервер безопасности).
Основне призначення клієнта Secret Net:
Защита ресурсів комп’ютера від несанкціонованого доступу і розмежування прав зареєстрованих користувачів. Реєстрація подій, що відбуваються на робочої станції чи сервері мережі, і передачі інформації на сервер безпеки. Виконання централізованих і децентралізованих управляючих впливів адміністратора безопасности.
Клієнти Secret Net оснащуються засобами апаратної підтримки (для ідентифікації користувачів з питань електронних идентификаторам та управління завантаженням з зовнішніх носителей).
Сервер безопасности Сервер безпеки встановлюється на виділений комп’ютер чи контролер домену і відданість забезпечує рішення наступних задач:
Ведение центральної бази даних (ЦБД) системи захисту, що існує під управлінням СУБД Oracle 8.0 Personal Edition і що містить інформацію, необхідну роботи системи захисту. Інформація про події подіях від усіх клієнтів Secret Net у єдиний журнал реєстрацію ЗМІ й передача обробленою інформації підсистемі управління. Взаємодія з підсистемою управління і передачі управляючих команд адміністратора на клієнтську частина системи защиты.
Підсистема управління Secret Net.
Подсистема управління Secret Net встановлюється робочому місці адміністратора безпеки і дає йому такі возможности:
Централизованное управління захисними механізмами клієнтів Secret Net. Контроль всіх подій причетних до безпеки інформаційної системи. Контроль дій співробітників у ІВ організації та оперативне реагування на факти і що спроби НСД. Планування запуску процедур копіювання ЦБД і архівування журналів реєстрації. Схема управління, реалізована в Secret Net, дозволяє управляти інформаційної безпекою в термінах реальної предметної області й повною мірою забезпечити жорстке поділ повноважень адміністратора сіті й адміністратора безопасности.
Автономний і мережевий вариант Система захисту Secret Net випускається в автономному і мережному вариантах.
Автономный варіант — полягає з клієнтської частини Secret Net і призначений задля забезпечення захисту автономних комп’ютерів чи робочих станцій та серверів мережі, містять важливу інформацію. Мережний варіант — складається з клієнтської частини, підсистеми управління, серверу безпеки і дозволяє реалізувати захист, як усіх комп’ютерів мережі, і лише про тих робочих станцій та серверів, які бережуть та обробляють важливу інформацію. Причому мережному варіанті, наявністю серверу безпеки і підсистеми управління, буде забезпечена централізоване управління економіки й контроль всіх комп’ютерів, у яких встановлено клієнти Secret Net.
Сфери застосування Secret Net.
Основными сферами застосування системи Secret Net являются:
Защита інформаційних ресурсів; Централізоване управління інформаційної безпекою; Контроль стану інформаційної безопасности.
Сертификаты Secret Net 4.0.
Семейство засобів захисту інформації Secret Net має всі необхідні сертифікати Гостехкомиссии Росії і близько Федерального агентства урядового зв’язку і інформації России.
Система захисту Secret Net 4.0 сертифікована Гостехкомиссией Росії з 3 класу захищеності. Це означає, що Secret Net 4.0 можна застосовувати за захистом інформації, що містить відомості, складові державну тайну.
3. «Акорд 1.95 «.
Представлене виріб одна із низки програмно-апаратних комплексів захисту сімейства «Акорд », має і автономні, і мережні версії, виконані на платах як шини ISA, так шини РС1. Комплекс «Акорд 1.95 «забезпечує такі функції зашиты:
. ідентифікація і аутентификация пользователей;
. обмеження «часу життя «паролів і часу доступу користувачів к.
ПК;
. контроль цілісності програм, тож даних, зокрема файлів ОС і службових областей жорсткого диска;
. розмежування доступу до інформаційним і апаратним ресурсів ПК;
. можливість тимчасової блокування ПК і гасіння екрана при тривалої неактивності користувача до повторного введення идентификатора;
. функціональне замикання інформаційних систем з виключенням можливості несанкціонованого виходу в ОС, завантаження з дискети і переривання контрольних процедур з клавиатуры.
Важливою характерною рисою «Акорду «і те, що він в повною мірою реалізований принцип відчуження контрольованого і контролюючого об'єктів друг від друга. Контролер «Акорду «має власний процесор, який би захищає від прочитання і модифікації флеш-пам'ять, де зберігаються ключі і контрольні суми, а й організовує виконання перевірки цілісності конфігурації системи ще до його завантаження ОС.
Ще одна перевага «Акорду «- дуже багато атрибутів доступу до програмам і файлам. Якщо SecretNet їх три (дозволу читання, модифікацію і запуск завдання), то туйки їх 11. Це дає адміністратору велику волю організації доступу користувачів до ресурсів ПК.
Вбудоване в контролер ПО забезпечує розбір найпопулярніших файлових систем: FAT12, FAT16, FAT32, NTFS, HPFS, FreeBSD. До комплекту поставки крім контролера, считывателя Touch Memory і двох ключів входить програмна оболонка «Акорд 1.95 », інсталяційна програму і документація на дискетах. Загальну сприятливу оцінку кілька псує лише недостатньо докладна документация.
4. «ГРИМ-ДИСК «.
Спільний продукт АТЗТ «НИИМВ «і ВАТ «ЭЛиПС «цікаве своєю надійністю і здавалося б простотою. Пристрій призначено за захистом даних на жорсткому диску з інтерфейсом IDE. «Прозоре «шифрування реалізовано на апаратній рівні IDE-интерфейса. Плата шифратора і жорсткий диск перебувають у зйомний контейнер, завдяки чому їх за час легко отримати від комп’ютера та, наприклад, розмістити у сейф. Попереду на контейнері закріплене пристрій зчитування ключів Touch Memory і сигнальні све-тодиоды. ПЗУ з інтерфейсом користувача перебуває в мережевий PCI-плате EtherNet NE2000.
Шифрування проводиться у разі алгоритму ГОСТ 28 147–89 (що знижує швидкість записи/считывания даних на жорсткому диску на 40%) чи з алгоритму Vesta-2M (пригальмовує на 20%). Слід зазначити, що алгоритм Vesta- 2M не сертифікований ФАПСИ, і тому неспроможна застосовуватися у держустановах, проте комерційним організаціям він доведеться дуже кстати.
Логіка роботи устрою така: щоб «ГРИМ-ДИСК «став доступний, користувач повинен ідентифікувати себе з допомогою Touch Memory, запровадити пароль під час роботи счетчика-таймера BIOS й тицьнути на. Після завантаження ОС «ГРИМ-ДИСК «готовий до роботи. Для ОС він звичним жорстким диском, що можна встановити як і провідне, і як відоме пристрій. Усі записані у ньому дані будуть недоступними для сторонніх після перезавантаження чи вимикання харчування комп’ютера. Якщо ж доступом до закритим даним непотрібен, ніяких спеціальних дій зі ПК виробляти зайве: загрузившись звісно ж, т. е. не прикладаючи ідентифікатора, ви «ГРИМ-ДИСКА «не увидите.
Пристрій це й зручно у спілкуванні. Воно напевно зацікавить деякі комерційні організації, проте необхідно враховувати такі моменти. Заміна жорсткого диска може бути виконано власником комп’ютера — цього доведеться звертатися до виробника. З іншого боку, хорошою лазівкою до законного користувача для витонченого зловмисника може бути процедура скидання даних (свопинга) на системний диск. До комплекту поставки входять осередок «ГРИМ-ДИСК », контейнер з формчинником 5,25 дюйма, считывающее пристрій, таблетка Touch Memory, 20- Гбайт жорсткий диск Seagate, мережна плата з ПЗУ.
5. СКЗИ «Верба — ОW «.
Захист даних із допомогою криптографічних перетворень (перетворення даних шифруванням і (чи) виробленням имитовставки) — одне із можливих рішень проблеми їх безопасности.
Шифрування даних здійснюється з метою приховати зміст представленої ним інформації. Зашифровані дані стають доступними лише тим, далі - хтозна відповідний ключ, з допомогою якого розшифрувати повідомлення, і тому викрадення зашифрованих даних не повідомляючи ключа є безглуздим занятием.
Передані каналами телефонного зв’язку зашифровані дані ставилися до спотворень. Використовувані в СКЗИ «Верба-ОW «методи шифрування гарантують не лише високу таємність, а й ефективне виявлення спотворень чи помилок в переданої информации.
Криптографія забезпечує надійний захист даних. Але потрібно розуміти, що її застосування перестав бути абсолютним вирішенням усіх проблем захисту. Для розв’язання проблеми захисту необхідний ціле пасмо заходів, що включає у собі відповідні організаційно-технічні й адміністративні заходи, пов’язані з забезпеченням правильності функціонування технічних засобів оброблення і передачі, і навіть встановлення відповідних правил для обслуговуючого персоналу, допущеного роботи з конфіденційної информацией.
Основними компонентами криптографії є дані, криптографічне перетворення і ключ:
. дані - при зашифровании вихідними даними буде повідомлення, а результирующими — зашифроване повідомлення. При расшифровании вони змінюються місцями. Повідомлення може бути різних типів: текст, відеозображення і т.п.;
. криптографічне перетворення — під криптографічним перетворенням розуміють перетворення даних з допомогою алгоритму шифрування чи вироблення электронно-цифровой підписи. Вважається, що криптографічне перетворення відомо всім, але, не знаючи ключа, з допомогою якого користувач закрив повідомлення, практично неможливо відновити зміст повідомлення чи підробити электронно-цифровую підпис. Термін «шифрування «об'єднує у собі процеси: зашифрование і расшифрование інформації. Якщо зашифрование і расшифрование здійснюються з допомогою однієї й тієї ж ключа, такий алгоритм криптографічного перетворення називається симетричним, інакшеасиметричним. У СКЗИ «Верба-OW «використовується симетричний алгоритм криптографічного преобразования;
. ключ шифрування (ключ зв’язку) — конкретне секретне стан деяких параметрів алгоритму криптографічного перетворення даних. У разі термін «ключ «означає унікальний бітовий шаблон.
При зашифровании повідомлення криптографічне перетворення використовує ключ. Він використовується аналогічно звичайному ключу, яким замикають двері, і закриває повідомлення від від сторонніх очей. Для расшифрования повідомлення потрібен відповідний ключ. Важливо обмежити доступом до ключам шифрування, оскільки будь-який, хто має ключем шифрування, може прочитати зашифроване Вами сообщение.
У СКЗИ «Верба-OW «використовується механізм відкритого розподілу ключів, за якого формування ключа зв’язку використовується пара ключів: відкритий і секретний ключі шифрования.
Алгоритм криптографічного преобразования.
У СКЗИ «Верба-ОW «використовується симетричний алгоритм криптографічного перетворення даних, певний ГОСТ 28 147–89. Цей алгоритм призначений для апаратної і програмної реалізації і задовольняє необхідним криптографічним вимогам. ГОСТ 28 147–89 передбачає кілька режимів роботи алгоритму криптографічного перетворення. У СКЗИ «Верба-ОW «використовується алгоритм шифрування, заснований на принципі гаммирования, який передбачає процес накладення за певним закону гами шифру на відкриті дані (під гамою розуміється псевдослучайная двоичная послідовність, вироблювана по заданому алгоритму). ГОСТ 28 147–89 також процес вироблення имитовставки. Имитовставка — це послідовність даних фіксованою довжини, яку виробляють за певним правилу з розчинених даних, і ключа шифрування. Вироблення имитовставки забезпечує захист інформації випадкових чи навмисних спотворень у каналі зв’язку. Вироблення имитовставки забезпечує захисту від нав’язування хибних даних. Можливість нав’язування хибних перешкод дорівнює 10−9. Имитовставка передається по каналу зв’язку разом із зашифрованим повідомленням. Що Надійшли зашифровані дані расшифровываются, і з отриманих блоків даних виробляється контрольна имитовставка, які потім порівнюється зі имитовставкой, отриманою з каналу зв’язку. Що стосується розбіжності имитовставок все розшифровані дані вважаються ложными.
Пара: секретний і щирий ключи.
Останнім часом широкого розповсюдження набули писав криптографічні системи з відкритою розподілом ключів. У цих системах кожен користувач формує два ключа: відкритий і секретний. Таємний ключ шифрування повинен зберігатися таємно. Відкритий ключ шифрування перестав бути секретним і то, можливо опубліковано від використання усіма користувачами системи, які обмінюються повідомленнями. Знання відкритого ключа шифрування це не дає практичної можливості визначити секретний ключ.
Загальний секретний ключ зв’язку (довжиною 256 біт відповідно до вимог ГОСТ 28 147–89) виробляється по тому, як абоненти мережі обмінялися своїми відкритими ключами.
СКЗИ «Верба-ОW «є системою з відкритою розподілом ключів. Кожен користувач виробляє власний секретний ключ, з яких потім із допомогою деякою процедури формується відкритий ключ. Відкриті ключі об'єднують у справочник.
У СКЗИ «Верба-ОW «ключ зашифрования збігаються з ключем расшифрования. При зашифровании повідомлення i-ым абонентом для j-ого абонента загальний секретний ключ зв’язку виробляється з урахуванням секретного ключа шифрування i-ого абонента і відкритого ключа шифрування j-ого абонента. Відповідно, для расшифрования цих слів j-ым абонентом формується секретний ключ зв’язку з урахуванням секретного ключа шифрування j-ого абонента і відкритого ключа шифрування i-ого абонента. Отже, задля забезпечення зв’язки України із іншими абонентами кожному користувачеві необхідно иметь:
. власний секретний ключ шифрования;
. довідник відкритих ключів шифрування користувачів мережі конфіденційної связи.
Приймемо таке угоду. Абонента, який зашифровує повідомлення, будемо надалі називати відправником; абонента, який розшифровує закрите повідомленняодержувачем. Електронна цифрова подпись.
Електронна цифрова підписцей засіб, що дозволяє з урахуванням криптографічних методів надійно встановити авторство та істинність електронного документа. Електронна цифрова підпис дозволяє замінити при безпаперовому документообігу традиційні печатку й підпис. При побудові цифрового електронного підпису замість звичайній зв’язок між печаткою чи рукописної підписом і листом папери виступає складна математична залежність між електронним документом, секретним і загальнодоступним ключами. Практична неможливість підробки електронного цифрового підпису спирається на дуже великий обсяг певних математичних вычислений.
Проставление підписи під документом не змінює самого документа, вона тільки дає можливість перевірити справжність і авторство отриманої информации.
У СКЗИ «Верба-ОW «реалізована система електронного цифрового підпису на базі криптографічного алгоритму, відповідного ГОСТ Р34.10−94. Таємний ключ підписи використовується розробки електронного цифрового підписи. Тільки за збереження користувачем таємно свого секретного ключа гарантує неможливість підробки зловмисником документи й цифровий підписи від імені заверяющего.
Відкритий ключ підписи обчислюється як значення деякою функції від секретного ключа, але знання відкритого ключа дає можливості визначити секретний ключ. Відкритий ключ то, можливо опубліковано і використовується для перевірки справжності підписаного документа, і навіть попередження шахрайства із боку котрий запевняє як відмови його від підписи документа.
Працюючи з СКЗИ «Верба-ОW «кожен користувач, який має право підписи, самостійно формує особисті секретний і щирий ключі підписи. Відкриті ключі підписи всіх користувачів об'єднують у довідники відкритих ключів мережі конфіденційного зв’язку. Кожному користувачеві, котрий володіє правом підписи, необхідно иметь:
. секретний ключ подписи;
. довідник відкритих ключів підписи користувачів сети.
У СКЗИ «Верба-ОW «реалізована система електронного цифрового підпису на базі асиметричного криптографічного алгоритму відповідно до ГОСТу Р 34.10−94. Електронна цифрова підпис виробляється з урахуванням електронного документа, потребує завірення, і секретного ключа. Відповідно до стандарту документ «стискається «з допомогою функції хэширования (ГОСТР34.11−94 «ІНФОРМАЦІЙНА ТЕХНОЛОГІЯ. КРИПТОГРАФІЧНА ЗАХИСТ ІНФОРМАЦІЇ. ФУНКЦІЯ ХЭШИРОВАНИЯ »). Односпрямована хэш-функция отримує на вході вихідне повідомлення довільній довжини і перетворює їх у хэш-значение фіксованою довжини (256 біт відповідно до ГОСТу Р34.11−94). Значення хэш-функции складним чином від змісту документа, але з дозволяє відновити сам документ. Хэш-функция вразлива щодо усіляким змін у тексті. З іншого боку, для даної функції не можна обчислити, які два вихідні повідомлення можуть генерувати один і той ж хэш-значение, оскільки хэшзначення двох 256-битовых документів можуть збігтися у одному з 2256 (1077) випадків. Далі до одержаному хэш-значению застосовується деяке математичне перетворення, у результаті якого виходить власне цифрова підпис електронного документа.
Під час перевірки підписи перевіряючий повинен розташовувати відкритим ключем користувача, котре поставило підпис. Перевіряючий може бути повністю певний дійсності відкритого ключа (приміром у тому, наявний в нього відкритий ключ відповідає відкритого ключу конкретного користувача). Процедура перевірки підписи складається з обчислення хэш-значения документи й перевірки деяких співвідношень, що пов’язують хэш-значение документа, підпис під цим документом і і щирий ключ який підписав користувача. Документ вважається справжнім, а підпис правильної, коли ці співвідношення виконуються. Інакше підпис під документом вважається недействительной.
Щоб з суперечок між відправником і одержувачем інформації, що з можливістю спотворення який пересилається документа чи відкритого ключа перевірки підписи, достовірна копія цього ключа може видаватися третій стороні (арбітру) уживати їм під час виникненні конфлікту між відправником і одержувачем. Наявність у абонента секретного ключа не дозволяє він повинен змінити свій номер у мережі чи виробити підпис під номером іншого абонента.
Для контролю цілісності і дійсності довідників відкритих ключів використовується процедура вироблення имитовставки, обумовлена ГОСТ 28 147–89. Під час перевірки підписи перевіряючий повинен розташовувати відкритим ключем користувача, котре поставило підпис. Перевіряючий може бути повністю певний дійсності відкритого ключа (приміром у тому, наявний в нього відкритий ключ відповідає відкритого ключу конкретного пользователя).
Процедура перевірки підписи складається з обчислення хэш-значения документи й перевірки деяких співвідношень, що пов’язують хэш-значение документа, підпис під цим документом і і щирий ключ який підписав користувача. Документ вважається справжнім, а підпис правильної, коли ці співвідношення виконуються. Інакше підпис під документом вважається недійсною. АРМ Адміністратора безопасности.
АРМ Адміністратора безпеки (АРМ АБ), функціонуючий під керівництвом ОС MS DOS v5.0 і від на персональних ЕОМ, сумісних з IBM PC/АТ (процесор 80 386 і від), призначений до роботи з ключовою інформацією. Він позволяет:
. з урахуванням вихідної ключовою інформації, яка перебуває на ліцензійної дискеті виробляти робочі ключі (секретні і відкриті) шифрування пользователей;
. з урахуванням ключів шифрування формувати секретні і відкриті ключи.
ЭЦП;
. створювати робочі копії ключових дискет шифрування і ЭЦП;
. готувати ключі шифрування й таємні ключі ЭЦП для зберігання на жорсткому диске.
Ядром АРМ АБ є програма HOST_O.EXE, входила до складу СКЗИ «ВербаОW ». Працюючи з ключовою інформацією застосовується також програмний датчик випадкових чисел — резидентный драйвер CYPRASW.EXE. Правила роботи з ключовою інформацією і програмами описані у документах «ЯЦИТ.7- 01 90 01. Адміністратор безпеки. Ключова система. Ідентифікація абонента в сети.
Кожна подсеть однозначно визначається всередині всієї інформаційної мережі номером SSSSSS, який може приймати значення від 0 до 999 999. Цей номер присвоюється ключового диску із вихідною ключовою інформацією і називається номером серії. Абоненти всередині в усій мережі різняться за номерами виду XXXXSSSSSSYY, а всередині окремої подсетиза номерами виду XXXXYY. Номери всередині окремої подсети розподіляються користувачем під час створення носіїв ключовою інформації. Складова XXXX позначає номер ключового диска для шифрування і може приймати значення від 0000 до 9999. Ключовою диск для підписи створюється з допомогою ключового диска для шифрування. На кожному ключовому диску для шифрування можна від 0 до 99 ключових дисків для підписи, які ідентифікуються з особистого коду YY. Таким чином, абоненти, які мають право шифрувати документи, ідентифікуються всередині окремої подсети за номерами виду XXXX, де XXXX — номер ключовою дискети; абоненти, які мають право підписи — за номерами виду XXXXYY, де XXXX — номер ключовою дискети, YY — особистий код. Носії ключовою інформації Типи ключових дисків У СКЗИ «Верба-ОW «використовуються такі типи носіїв ключовою информации:
. ключовою диск для шифрования;
. ключовою диск для подписи;
. сполучений ключовою диск (з ключами шифрування і підпису) та його робочі копии.
Під час створення робочих копій ключових дисків необхідно використовувати кошти СКЗИ «Верба-ОW ». Отриманий з допомогою СКЗИ «Верба-ОW «робочий диск перестав бути точної копією вихідного, але цілком виконує його функції. Не можна створити робочу копію вихідного диска з ключовою інформацією простим копіюванням файлів з вихідного ключового диска. Створення носіїв ключовою информации.
Вихідні ключові диски для шифрування виготовляються ФАПСИ за заявкою користувача утримують відповідний даному абоненту вектор ключів шифрування, номер серії і той службову інформацію. Ключовою диск для підписи формується користувачем з урахуванням диска для шифрування або його робочої копії. Після закінчення вироблення ключів сформується файл, у якому ключ підписи, його номер, і навіть індивідуальні ключі шифрування секретних ключів підпис шифрування для зберігання їх у ЖМД. Секретні ключі користувача мусить зберігатися таємно. Тимчасовий зберігання секретних ключів на жорсткому диске.
ПО «Верба-ОW «передбачає можливість збереження секретних ключів на жорсткому диску, що зручно при частому зверненні до ключовою информации.
Секретні і відкриті ключі шифрування і підпису зберігаються у захищеному вигляді. При зберіганні на ключовому ГМД ключі перешифровываются на так званому головному ключі, при часовому зберіганні на ЖМДголовному ключі і на індивідуальних ключах шифрування секретних ключів. Типи ключів. Визначено такі типи відкритих ключей:
. действующий;
. скомпрометированный;
. резервный.
Смена ключів. Зміна ключів можлива у таких ситуациях:
. планова зміна ключей;
. компрометація ключа;
. введення на дію нового ключа;
. видалення ключа.
Планову зміну ключів рекомендується виробляти не менше десь у рік. За планової зміні ключів, за її компрометації і видаленні абонента з мережі конфіденційного зв’язку, всі таємні ключі (шифрування і підпису) мають бути знищені, а виведені з дії відкриті ключі повинні зберігатися протягом визначеного «центром «часу для розбору конфліктних ситуацій. Після знищення ключовою інформації (при компрометації ключа) запроваджують резервні ключі. Усі зміни мають негайно відбиватися в довідниках ключів і порадила негайно розсилатися всім абонентам мережі. Знищення ключовою информации.
Для знищення ключовою інформації передбачена спеціальна процедура форматування ключовою дискети, яка прописує несекретну інформацію у тому, щоб що містяться у ньому дані зникли физически.
Технические характеристики.
У 2000р. довжина відкритих ключів шифрування і підпису збільшена до 1024 бит.
Після обробітку інформації на ПЕОМ СКЗИ «Верба-ОW» забезпечує такі показники (не враховуючи часу звернення до пристроям введеннявывода):
Операції Intel Celeron 266 МГц.
Шифрование/расшифрование 2,0 МБайт/с.
Обчислення хэш-функции 1,9 МБайт/с.
Формування ЭЦП 0,01 с.
Перевірка ЭЦП 0,04 с.
6. Устрою криптографічного захисту даних (УКЗД) серії КРИПТОН.
Устрою криптографічного захисту даних (УКЗД) серії КРИПТОН — це апаратні шифратори для IBM PC-совместимых комп’ютерів. Устрою застосовують у складі засобів і систем криптографічного захисту даних для забезпечення інформаційну безпеку (зокрема захисту з великим рівнем таємності) у державних і комерційних структурах.
Устройства КРИПТОН гарантують захист інформації, оброблюваної на персональному комп’ютері і/або переданої по відкритим каналам связи.
Устройства КРИПТОН виконані у вигляді плат розширення ISA і PCI персонального комп’ютера з процесором i386 і выше.
Переваги пристроїв серії КРИПТОН.
. апаратна реалізація алгоритму криптографічного перетворення гарантує цілісність алгоритма;
. шифрування виробляється ключі шифрування зберігаються у самої платі, а чи не оперативному пам’яті компьютера;
. апаратний датчик випадкових чисел;
. завантаження ключів шифрування в пристрій КРИПТОН зі смарт-карт і ідентифікаторів Touch Memory (i-Button) виробляється безпосередньо, минуя.
ОЗУ і системну шину комп’ютера, що виключає можливості перехоплення ключей;
. з урахуванням пристроїв КРИПТОН можна системи захисту від несанкціонованого доступу і розмежування доступу до компьютеру;
. застосування спеціалізованого шифрпроцессора до виконання криптографічних перетворень розвантажує центральний процесор комп’ютера; можлива також розпорядження про одному комп’ютері кількох пристроїв КРИПТОН, що ще більше підвищить швидкість шифрування (для пристроїв з шиною PCI);
. використання парафазных шин в архітектурі шифрпроцессора виключає загрозу зняття ключовою інформації з які виникають у ході криптографічних перетворень коливань електромагнітного випромінювання в.
ланцюгах «земля — харчування» микросхемы.
Устрою КРИПТОН розроблено, виробляються реалізуються Фірма АНКАД. Вони побудовано на розроблених Фірма АНКАД спеціалізованих 32-разрядных шифрпроцессорах серії БЛЮМИНГ.
За 10 років Фірма АНКАД поставила понад п’ятнадцять тисяч пристроїв КРИПТОН замовникам у московському Центральному Банку, Федеральному агентстві урядової зв’язку й інформації за Президента РФ, міністерствах оборони та внутрішніх справ, Міністерстві із податків і зборів, Федеральному казначействі, комерційних банках, фінансових і страхові компанії, багатьом корпоративним клиентам.
Сеть коопераційного виробництва пристроїв КРИПТОН охоплює найбільш відомі підприємства російської електроніки (ВАТ «Ангстрем» та інших.). Устрою серії КРИПТОН мають сертифікати відповідності вимогам ФАПСИ (зокрема у складі абонентських пунктів та автоматизованих робочих місць за захистом інформації, що містить відомості, складові державну тайну).
Программное забезпечення пристроїв КРИПТОН позволяет:
. шифрувати комп’ютерну інформацію (файли, групи файлів і розділи дисків), забезпечуючи їх конфиденциальность;
. здійснювати електронний цифровий підпис файлів, перевіряючи їх цілісність і авторство;
. створювати прозоро шифруемые логічні диски, максимально полегшуючи і спрощуючи роботу користувача з конфіденційної информацией;
. формувати криптографически захищені віртуальні мережі, шифрувати IPтрафік забезпечуватиме захищений доступом до ресурсів мережі мобільних віддалених пользователей;
. створювати системи захисту від несанкціонованого доступу і розмежування доступу до компьютеру.
Основні технічні дані і характеристики Алгоритм шифрування… ГОСТ 28 147- 89.
Размерность ключа шифрування, бит…256.
(количество можливих комбінацій ключів — 1077).
Количество рівнів ключовою системы…3.
(главный ключ — пользовательский/сетевой ключ — сеансовый ключ) Датчик випадкових чисел… аппаратный.
(аттестован експертної организацией) Отклонение розподілу значення випадкових чисел от равновероятного розподілу, не более…0,0005.
Поддерживаемые операційні системи… MS-DOS, Windows 95(98)/ME/NT 4.0/2000/XP UNIX (Solaris/Intel) (можливе створення оригінальних програмних драйверів до роботи устройств) КРИПТОН-4 (Рис. 6.1.).
Рис. 6.1.
устройство криптографічного захисту данных Шина… …ISA-8.
Реализация алгоритму шифрования… аппаратная Скорость шифрування, Кбайт/с…до 350.
Носители ключів …дискети, смарт-карти (СК) із відкритою памятью Сертификаты ФАПСИ… № СФ/110−0359 від 01.11.2000;
№ СФ/110−0368 від 05.12.2000;
№ СФ/110−0377 від 10.01.2001.
КРИПТОН-4/PCI (Рис. 6.2.).
Рис. 6.2.
пристрій криптографічного захисту данных и обмеження доступу до компьютеру Шина… …PCI (Target).
Реализация алгоритму шифрования… аппаратная Скорость шифрування, Кбайт/с…до 1100.
Носители ключів … дискети, СК з открытой и захищеної пам’яттю, мікропроцесорні СК, ТМ Устройство КРИПТОН-4/PCI представлене сертифікацію в ФАПСИ.
КРИПТОН-8/PCI Рис. 6.3.).
Рис. 6.3.
устройство криптографічного захисту данных и обмеження доступу до компьютеру Шина… …PCI (Bus Master, Target).
Реализация алгоритму шифрования… аппаратная Скорость шифрування, Кбайт/с…до 8500.
Носители ключей… дискеты, СК із відкритою і захищеної памятью, микропроцессорные СК, ТМ Устройство КРИПТОН-8/PCI представлене сертифікацію в ФАПСИ.
КРИПТОН-9/PCI (Рис. 6.4.).
Рис. 6.4.
пристрій криптографічного захисту данных и обмеження доступу до компьютеру Шина —————————————————————- PCI (Bus Master).
Реализация алгоритму шифрування ——————— аппаратная Скорость шифрування, Кбайт/с ——————————————————— до 10 000.
Носители ключів ————————————————- дискети, СК із відкритою і захищеної пам’яттю, мікропроцесорні СК, ТМ.
6.1. КРИПТОН-ЗАМОК/PCI.
апаратно-програмний модуль довіреною завантаження (Рис. 6.5.).
Рис. 6.5.
АПМДЗ «КРИПТОН-ЗАМОК/PCI» — це комплекс апаратно-програмних коштів, призначеним задля забезпечення розмежування і функцію контролю доступу користувачів до технічних засобів обчислювальної мережі (серверу і створить робочі станції), у яких буде оброблятися інформація, зокрема і з великим грифом таємності, розмежування доступу до апаратним ресурсів комп’ютерів, і навіть контролю цілісності встановленої за комп’ютером програмної середовища під будь-які ОС, використовують файлові системи FAT12, FAT16, FAT32 і NTFS (Windows NT 4.0 і Windows 2000).
«КРИПТОН-ЗАМОК/PCI» має такими возможностями:
. ідентифікація і аутентификация користувачів перед запуском BIOS компьютера (большой вибір типів ключових носіїв (смарт-карти із відкритою і захищеної пам’яттю, мікропроцесорні смарт-карти, Тouch.
Мemory),.
. створення кількох профілів захисту, надійне розмежування ресурсів комп’ютера, примусова завантаження операційній системы.
(ОС) з обраного влаштування у відповідність до індивідуальними настройками адміністратора кожному за пользователя;
. блокування комп’ютера при НСД, накопичення і ведення електронного журналу подій (у власному енергонезалежної памяти);
. підрахунок еталонних значень контрольних сум об'єктів і перевірка поточних значень контрольних сум (розраховуються за алгоритмом обчислення хэш-функции по ГОСТ Р34.11−94), експорт/імпорт списку перевірених об'єктів на гнучкий магнітний диск;
. інтеграція до інших системи безпеки (сигналізація, пожежна охорона і пр.);
. організація бездисковых робочих місць з урахуванням убудованого Флешдиска 16 Мбайт.
Алгоритм кодування аутентифицирующей інформацією «КРИПТОНЗАМОК/PCI» — відповідно до вимогами ГОСТ 28 147–89.
Администратор має можливість дозволити деяким користувачам здійснювати завантаження ОС з нагромаджувача на гнучкому магнітному диску (НГМД) чи CD ROM. У інших випадках «КРИПТОН-ЗАМОК/PCI» завантажує ОС лише через мережевий адаптер, вироблений фірмою «АНКАД», чи з однієї з накопичувачів на жорсткого магнітному диску (НЖМД) комп’ютера, який спеціально підготовлений администратором.
Одна з головних відмінних рис «КРИПТОН-ЗАМОК/PCI» — це її модульна структура, що дозволяє налаштовувати і доробляти його передачі під різноманітні вимоги заказчиков.
«КРИПТОН-ЗАМОК/PCI» приходить у кількох модификациях:
. одноконтурная модель — для робочого місця одного пользователя;
. багатоконтурна модель — створення кількох контурів безпеки, тобто. здійснюється завантаження конфігурації комп’ютера відповідно до індивідуальними настройками системи кожному за користувача, поділ користувачів по фізичним дискам (інформація одного користувача недоступна другому).
. модель з функціями роботи з змінними дисками (компьютер має бути оснащений контейнером Mobile Rack для шини IDE) — завантаження програмної середовища сіло чи іншого змінного НЖМД й доступу користувача щодо нього дозволяється тільки після успішної ідентифікації диска, список зареєстрованих змінних дисків зберігається у пам’яті «КРИПТОН;
ЗАМОК/PCI ", кількість змінних магнітних дисків однією устройстве.
" КРИПТОН-ЗАМОК/PCI «- до 32.
6.2. Crypton ArcMail.
Засіб криптографічного захисту (СКЗИ) Crypton ArcMail забезпечує конфіденційність, перевірку авторства і цілісності файлів, каталогів і областей пам’яті. Crypton ArcMail на єдиній сервісі надає функції архівування, електронного цифрового підпису (ЭЦП) і шифрования.
Crypton ArcMail створює підписаний і/або зашифрований архів, який можна відправляти адресата (адресатам) по відкритим каналами зв’язку, зокрема. по мережі Интернет.
Мастер ключів (доступний в версії Адміністратора) дозволяє створювати секретні і відкриті ключі і сертифікувати відкриті ключі. Для генерації ключів використовується датчик випадкових чисел програмного шифратора Crypton Emulator чи апаратного устрою КРИПТОН, в поєднанні з якими (по вибору споживача) поставляється Crypton ArcMail.
Применяя програму інтерактивною обробки файлів, можна за щиглику правої кнопки миші викликати функції створення зашифрованих і/або підписаних архівів, перевірки підпис расшифрования архівів, які надійшли від інших абонентов.
Утилита командної рядки дозволяє вбудовувати функції архівування, шифрування і ЭЦП до продуктів інших разработчиков.
Crypton ArcMail поставляється як у вигляді прикладної програми для кінцевих користувачів, і у вигляді бібліотеки функций.
До основних рис Алгоритм шифрування … ГОСТ 28 147–89.
Алгоритм ЭЦП … ГОСТ Р 34.10−94.
Алгоритм функції хэширования … ГОСТ Р 34.11−94.
Длина секретного ключа, біт … 256.
Длина відкритого ключа, біт … 512 чи 1024.
Схема управління ключами … асиметрична, симметричная Возможность сертифікації відкритих ключів дозволяє вживати Сrypton ArcMail в архітектурі PKI (Public Key Infrastructure — інфраструктура відкритих ключей).
6.3. КРИПТОН-Шифрование.
Дозволяє шифрувати файли, забезпечуючи їх конфіденційність. Зашифровану інформацію можна зберігати будь-яких носіях (зокрема. дисках самого персонального комп’ютера), передавати через мережу Internet та інших відкритим різноманітних каналах зв’язку, не побоюючись, що зі змістом зашифрованих файлів ознайомляться посторонние.
Алгоритм шифрування … ГОСТ 28 147–89.
Длина ключа шифрування, біт … 256.
(количество можливих комбінацій ключів — 1077).
Количество рівнів ключовою системи … 3.
(главный ключ — пользовательский/сетевой ключ — сеансовый ключ) Схема управління ключами … симметричная Длина пароля, символів, щонайменше … 4.
Мастер ключів шифрування (приходить у версії Адміністратора) дозволяє створювати ключі й управляти ними ими.
Расширение Провідника Windows забезпечує можливість інтерактивною обробки файлів: досить клацнути правої кнопкою миші, щоб зашифрувати, розшифрувати, перешифровать чи знищити файл (з неможливістю восстановления).
Утилита командної рядки дозволяє вбудовувати функції шифрування до інших продукти (поштові системи, системи «банкклієнт «і т.п.).
6.4. КРИПТОН-Подпись.
Реалізує функції електронного цифрового підпису (ЭЦП), забезпечуючи перевірку авторства і цілісності файлов.
Электронная цифрова підпис служить аналогом підписи відповідального обличчя і друку організації; і той ж файл може бути підписаний кілька разів (бухгалтером, головбухом, директором і т.д.).
Возможность сертифікації відкритих ключів дозволяє вживати КРИПТОНПідпис в архітектурі PKI (Public Key Infrastructure — інфраструктура відкритих ключей).
Алгоритм ЭЦП … ГОСТ Р 34.10−94.
Алгоритм функції хэширования … ГОСТ Р 34.11−94.
Длина секретного ключа, біт … 256.
Длина відкритого ключа, біт … 1024.
Схема управління ключами … асимметричная Длина пароля секретного ключа, символів, щонайменше … 4.
Мастер ключів підписи (приходить у версії Адміністратора) дозволяє створювати секретні і відкриті ключі і сертифікувати відкриті ключи.
Расширение Провідника Windows одним помахом правої кнопкою миші викликає функції простановки, перевірки і видалення подписи.
Утилита командної строкипозволяет вбудовувати функції ЭЦП до інших продукты.
6.5. КРИПТОН-IP.
Апаратно-програмний комплекс.
Криптографічний IP-маршрутизатор
для MS-DOS.
Криптографічний маршрутизатор КРИПТОН-IP призначений для побудови захищених віртуальних приватних мереж (VPN), дозволяють об'єднувати локальні комп’ютерні мережі через передачу даних через глобальні мережі відкритого доступу (наприклад, Internet).
КРИПТОН-IP забезпечує маршрутизацію IP-пакетов в глобальних мережах та його конфіденційність, і навіть захищає локальні мережі від вторгнення извне.
Криптографічна захист даних реалізована методом прозорого шифрування IP-пакетов під час обміну вони за відкритим каналів зв’язку. Для захисту від НСД локальних комп’ютерних мереж використовуються методи фільтрації IPпакетів за правилами з аутентификацией їх джерел постачання та одержувачів, і навіть методи приховування IP-адресов.
КРИПТОН-IP дозволяє також здійснюватиме криптографічну захист файлів даних. Для контролю цілісності і авторства файлів формується їх електронний цифровий підпис (ЭЦП).
Криптографічним ядром КРИПТОН-IP є апаратний шифратор КРИПТОН-4К/16 (в програмно-апаратної конфігурації) чи програмний шифратор Crypton LITE (в програмної конфігурації). Програмно-апаратна конфігурація КРИПТОН-IP має додатковими функциями:
. Завантаження ключів зі смарт-карт, минаючи шину даних системного блоку КМ;
. Наявність енергонезалежної пам’яті для зберігання унікальних данных.
(ключів шифрования);
. Моніторинг цілісності системного й ужиткового ПО до завантаження ОС і під час работы;
. Розмежування доступу до програмним засобам і даним із державною реєстрацією процесу доступу в електронному журнале.
Можлива робота комплексу з цими двома типами ключових систем: асиметричної (з допомогою відкритих ключів) чи симетричній (з урахуванням повної матриці ключей).
З використанням асиметричної ключовою системи ключова інформація генерується і обробляється з допомогою програм роботи з ЭЦП.
Працюючи з симетричній ключовою системою необхідно додатково використовувати програмно-апаратний комплекс, готовий до генерации/конвертации ключовою інформації та створення ключових носіїв для вживаних у цій мережі комплексів КРИПТОН-IP. ПО рекомендується встановлювати на виділеному персональному компьютере.
В ПО застосована засіб криптографічного захисту (СКЗИ) «Crypton ArcMail », має сертифікат ФАПСИ (реєстраційний номер СФ/120−0278 від 30 червня 1999 року, видано ТОВ фірма «АНКАД »).
КРИПТОН-IP прийнято на сертифікацію в ФАПСИ (зокрема до застосування його з метою захисту відомостей, складових державну таємницю). Основні функционально-технические характеристики КРИПТОН-IP: |Шифрування даних |алгоритм ГОСТ 28 147–89 | |Швидкість шифрування даних |1,5 Мбайт/с | |Електронна цифрова підпис |алгоритм ГОСТ Р 34.10/11−94 | |Продуктивність шифрування пакетів |1,2−1,8 Мбіт/с | |даних | | |(при довжині пакета 1,5 До і симетричній | | |ключовою системі) | | |Носії ключів |дискети, смарт-карти | |Операційна середовище (ОС) комп’ютера |MS-DOS 6.22 і від |.
Програмно-апаратна конфігурація комплексу КРИПТОН-IP.
. Програма криптографічного маршрутизации.
Реалізує методи криптографічного захисту та автоматичну маршрутизацію пакетів за її приеме/передаче через мережу обміну данными.
. Пристрій криптографічного захисту даних (УКЗД) КРИПТОН-4К/16.
УКЗД має локальне програмне забезпечення (BIOS), яке виконує: завантаження ключів шифрування даних до завантаження операційній середовища комп’ютера; контроль цілісності операційній середовища до загрузки.
MS-DOS; апаратне шифрування данных.
. Адаптер смарт-карт SA-101i .
Забезпечує введення ключовою інформацією УКЗД зі смарт-карт, минаючи шину компьютера.
. Система криптографічного захисту від НСД КРИПТОН-ВЕТО 2.0.
Забезпечує управління процесом контролю цілісності операційній середовища комп’ютера; шифрування даних, і ЭЦП; розмежування доступу до ресурсів комп’ютера; реєстрацію подій у апаратній журналі. Система сертифікована Гостехкомиссией за класом 1 В. Програмно-апаратна конфігурація комплексу КРИПТОН-IP.
. Програма криптографічного маршрутизации.
. Crypton Emulator для MS DOS.
Комплекс забезпечує шифрування даних (програмну эмуляцию функций.
УКЗД КРИПТОН) і ЭЦП. Crypton ArcMail (сертифікат ФАПСИ).
. Пристрій криптографічного захисту даних (УКЗД) КРИПТОН-4К/16.
. Адаптер смарт-карт SA-101i із відкритою памятью.
. Система криптографічного захисту від НСД КРИПТОН-ВЕТО 2.0.
. Програма Keys Convert Utility v2.0, конвертор ключових систем.
Програма забезпечує генерацію повної матриці ключів і/або їх конвертацію в потрібні форматы.
. Програма Crypton ArcMail v1.3 захисту електронних документов.
Програма забезпечує сертифікацію ключів й створення баз даних ключів. Типова схема підключення локальної комп’ютерну мережу до глобальної мережі (Internet) з допомогою криптографічного маршрутизатора (КМ) КРИПТОНIP (Рис. 6.5.1.).
[pic]Crypton АПІ v2.25. Рис. 6.5.1.
Цей пакет програм забезпечує програмний інтерфейс до пристроям криптографічного захисту даних (УКЗД) серії «Криптон» для додатків Win32 і програм ДОС як эмуляции ДОС в операційних середовищах Windows 95/98/NT 4.0, Solaris 2. x, 7, 8 (x86, Sparc). До складу даного пакета програм входять драйвери УКЗД для Windows 95/98/NT 4.0, драйвери підтримки ДОС-приложений як эмуляции ДОС, Win32-приложение, тестирующее УКЗД.
Рис. 6.5.2.
Універсальність інтерфейсу, наданого пакетом програм Crypton АПІ, у тому, що наданий програмам інтерфейс ідентичний незалежно від конкретного УКЗД серії «Криптон «(чи його програмного эмулятора) навіть від типу ключового носія, подключаемого через інтерфейс SCApi. Емулятор підключається до Crypton АПІ аналогічно драйверу УКЗД серії «Криптон ». Схема роботи Cripton АПІ представлена Рис. 6.5.2.
6.6. КРИПТОН AncNet.
Апаратно-програмний комплекс.
Апаратно-програмний комплекс «КРИПТОН AncNet» призначений для захищеної передачі у мережі (зокрема і із високим рівнем грифа таємності) та питаннями захисту комп’ютера мережі від несанкціонованого втручання сторонніх осіб у його роботу. Комплекс КРИПТОН AncNet забезпечує :
. прийом і що передачу кадрів формату Ethernet II за протоколами семейства.
TCP/IP версія 4;
. шифрування даних відповідно до ГОСТ 28 147–89;
. контроль цілісності переданої информации;
. захисту від НСД апаратно-програмних ресурсів компьютера;
. ідентифікацію і аутентификацию користувача під час запуску комп’ютера перед запуском BIOS;
. контроль цілісності загружаемой ОС;
. блокування запуску комп’ютера при НСД;
. реєстрацію подій НСД;
. апаратну блокування від несанкціонованої завантаження ОС з гнучкого диска і CD-ROM диска.
Основні технічні характеристики :
Швидкість передачі через мережу …10/100Мбит/с;
Підтримувані протоколи… Fast Ethernet 802.3,.
2000 Edition; 802.3U;802.3X.
Мережевий среда…100 Base-FX, 10/100Base-TX, 10Base-T, 10Base;
FL.
(з допомогою стандартних трансиверов).
Режими роботи у мережі …Full/Half duplex.
Спосіб захисту даних … Прозоре шифрование.
інформаційної частини IP пакета.
Стандарт системної шини… PCI Local bus Rev. 2.1,.
2.2.
Режим обміну по шине.
PCI…Bus Master.
Алгоритм шифрования…
ГОСТ 28 147–89.
Швидкість шифрования.
…9 Мбайт/с.
Носій ключовою информации… Touch Memory.
До складу комплексу «КРИПТОН AncNet» входять: модуль мережного шифратора і підсистема захисту від НСД з урахуванням апаратно-програмного модуля довіреною загрузки.
Подсистема захисту даних під час передачі у мережі реалізована з урахуванням Модуля мережного шифратора і відданість забезпечує абонентське шифрування інформації, переданої між комп’ютерами, об'єднаними до мережі з допомогою активного і пасивного мережного устаткування. Шифрування інформаційної частини IP пакета реалізується апаратно, із наступною передачею пакета в канал.
Система захисту від НСД комплексу КРИПТОН AncNet будується з урахуванням АПМДЗ, який встановлюється на комп’ютер, підключений до обчислювальної мережі, і забезпечує контроль доступу користувача до комп’ютера контроль загружаемой ОС (ОС).
Разграничение доступу користувачів до апаратним ресурсів робочого місця налаштовується адміністратором з урахуванням настройки індивідуальних прав (повноважень) кожного пользователя.
6.7. КРИПТОН-IDE.
Апаратно-програмний комплекс.
Апаратно-програмний комплекс «КРИПТОН-IDE» призначений за захистом інформації на жорсткому магнітному диску (зокрема і із високим рівнем грифа таємності) та питаннями захисту комп’ютера від несанкціонованого втручання сторонніх осіб у його роботу. Комплекс «КРИПТОН-IDE» забезпечує :
. «прозоре «шифрування (криптографічне перетворення) інформації, переданої між хост-контроллером на системної платі комп’ютера та жорстким магнітним диском;
. шифрування даних відповідно до ГОСТ 28 147–89;
. захисту від НСД апаратно-програмних ресурсів компьютера;
. ідентифікацію і аутентификацию користувача під час запуску комп’ютера перед запуском BIOS;
. контроль цілісності загружаемой ОС;
. блокування запуску комп’ютера при НСД;
. реєстрацію подій НСД;
. апаратну блокування від несанкціонованої завантаження ОС з гнучкого диска, CD-ROM диска DVD-диска і з USB FLASH диска.
Основні технічні характеристики :
Інтерфейс ЖМД … ATA/ATAPI -6 для IDE пристроїв і ANSI x3.298−1997;
Спосіб захисту даних… Прозоре шифрование.
Электропитание…от джерел харчування компьютера.
Алгоритм шифрування… ГОСТ.
28 147−89.
Швидкість шифрування … 70.
Мбит/с.
Носій ключовою иформации… Touch Memory.
В склад комплексу «КРИПТОН — IDE» входять: модуль шифратора жорсткого диска і підсистема захисту від НСД з урахуванням апаратно-програмного модуля довіреною загрузки.
Подсистема захисту даних під час роботи з жорстким диском реалізована з урахуванням плати шифратора жорсткого диска і відданість забезпечує «прозоре» шифрування інформації, переданої між хост-контроллером на системної платі комп’ютера та жорстким магнітним диском. Шифрування реалізується аппаратно.
Система захисту від НСД комплексу «КРИПТОН-IDE» будується з урахуванням АПМДЗ, який встановлюється на комп’ютер та забезпечує контроль доступу користувача до комп’ютера контроль загружаемой ОС (ОС).
Разграничение доступу користувачів до апаратним ресурсів робочого місця налаштовується адміністратором з урахуванням настройки індивідуальних прав (повноважень) кожного пользователя.
6.8. Crypton Disk.
Засіб захисту від несанкціонованого доступу Crypton Disk підключається до шифратору (програмному эмулятору чи апаратному КРИПТОНу) і дозволяє створювати секретні логічні диски, вміст яких шифрується в прозорому (непомітному для користувача) режимі доступні лише для власника диска. Під час читання будь-якої програмної інформації з секретного диска цю інформацію розшифровується, а під час запису — зашифровывается.
Crypton Disk не жадає від користувача додаткових зусиль: для доступу до секретного диску його власника досить пред’явити носій ключів і запровадити пароль. Таємний диск існує у вигляді файла-контейнера (можна заборонити незареєстрованим користувачам випадкове чи навмисне знищення файлов-контейнеров); для законного власника секретний диск постає як чергового логічного диска.
Crypton Disk дозволяє користувачам закривати доступ всім логічним дискам після закінчення встановленого часу і/або комбінації гарячих клавиш.
6.9. Crypton Lock Чи траплялося Вам забувати пароль для входу до операційної систему? А, може, від Вас йшов системний адміністратор, який залишив свого пароля?
Или Ваші співробітники роздають паролі для входу до мережі направо й наліво, і… Ви будь-коли знаєте, скільки користувачів перебуває у сіті й хто они?
ВЫ МОЖЕТЕ ЗАБУТИ ПРО ПРОБЛЕМИ З ПАРОЛЕМ (Рис. 6.9.1.).
Модуль санкціонованого доступу Crypton Lock для Windows NT 4.0/2000 дозволить Вам:
. зберігати пароль в захищеної пам’яті брелока e Token для шини USB;
. забезпечити вхід до системи лише зареєстрованих користувачів по пред’явленні брелока;
. блокувати систему тимчасово отсутствия.
Рис. 6.9.1.
оператора робочому місці. Адміністратору безпеки цілком вистачило раз запровадити паролі на згадку про брелоков і роздати брелоки користувачам; повідомляти паролі користувачам не нужно.
От користувача буде лише отримати брелок (як і, наприклад, як ключі до приміщення) і пред’явити його за вході у систему, повідомивши своє ім'я для реєстрації. ПАРОЛЬ ТЕПЕР МАТЕРИАЛЕН, може бути зберігати й уміти враховувати, як і будь-який матеріальний объект.
Для роботи модуля Crypton Lock необхідні операційна система Windows NT 4.0 чи 2000 і саме брелок.
При купівлі брелока в Фірмі АНКАД дають можливість також зберігати у його пам’яті ключі шифрування та електронної цифрового електронного підпису для продуктів серії КРИПТОН/Crypton: КРИПТОН®Шифрование, КРИПТОН®Подпись, Crypton ArcMail, Crypton Word, Crypton Excel.