2015-05-30
797
ЛЕКЦІЯ
з навчальної дисципліни
____ Прикладні аспекти криптології ____
(назва навчальної дисципліни)
Тема: ___№1 «Законодавство з питань криптографічного захисту інформації ______
(номер і назва теми)
Заняття _______________________ №1, лекція_________________________________
(номер і назва заняття)
Навчальний час – _2_ годин (и).
Для студентів інституту (факультету) __________________________
___________________________________________________________
Навчальна та виховна мета: 1. Вивчити структуру законодавства України та основні положення законодавчих актів щодо КЗІ
2. Навчити майбутніх спеціалістів (магістрів) вільно орієнтуватися у законодавчій базі КЗІ
3. Сформувати у майбутніх спеціалістів (магістрів) почуття відповідального ставлення щодо провадження діяльності у галузі КЗІ згідно із законодавством
| Обговорено та схвалено на засіданні кафедри “___” _________ 20___ року Протокол №____ |
Київ – 2014
Зміст
Вступ.
1. Основні поняття криптології що визначені на законодавчому рівні. Рівняння криптоперетворення у загальному вигляді
|
|
|
2. Структура законодавства у галузі криптографічного захисту інформації
3. Вимоги законодавства щодо розроблення, виробництва, досліджень, сертифікації та експлуатації криптосистем
Заключна частина.
Л I Т Е Р А Т У Р А
1. Нормативно-правові акти України у галузі криптографічного захисту інформації. – Режим доступу: http://www.dstszi.gov.ua.
(повна назва джерела із зазначенням розділів та сторінок)
2. Основи криптографічного захисту інформації: підручник/ Г.М.Гулак, В.А. Мухачев, В.О. Хорошко, Ю.Є. Яремчук, Вінниця, ВНТУ, 2012, с.8-22
3. Математические и компьютерные основы криптологии: Учеб. пособие / Ю.С. Харин, В.И. Берник, Г.В. Матвеев, С.В. Агиевич. - Мн.: Новое знание, 2003. с.11-18
Наочні посібники
(Інфокус, полілюкс, слайди, схеми, макети тощо).
Завдання на самостійну роботу
1. Згадати основні положення та визначення криптології.
2. Вивчити основні властивості елементарних шифрів.
Вступ
Розвиток сучасних інформаційно-телекомунікаційних технологій та методів криптографії призвів до появи нового ринку засобів, систем і послуг криптографічного захисту інформації, що призначені для захисту як інформації з обмеженим доступом, так і відкритої інформації від загроз витоку і нав’язування. Відповідно, криптографічний захист інформації є, фактично, окремою галуззю діяльності з широким спектром адміністративних і технічних питань.
В зв’язку з цим з’явилась об’єктивна необхідність у регулюванні порядку здійснення криптографічного захисту інформації на державному. Мова йде про питання державної регуляторної політики для господарської діяльності у сфері КЗІ, стандартизації методів КЗІ, організаційно-правового та організаційно-технічного забезпечення систем спеціального зв’язку і систем електронного цифрового підпису (архітектури відкритих ключів).
|
|
|
Основні поняття криптології що визначені на законодавчому рівні. Рівняння криптоперетворення у загальному вигляді
Під криптографічним захистом інформації (КЗІ) прийнято розуміти вид захисту, що спрямований на унеможливлення реалізації загроз несанкціонованого доступу до інформації з обмеженим доступом, або модифікації інформації (нав’язування хибної інформації) (тобто порушенню конфіденційності, цілісності та авторства на інформацію) шляхом використання математичних перетворень із секретним параметром, який отримав назву ключа. Тобто, передбачається, що потенційний противник має змогу отримати інформацію, але не може нею скористатись.
Методи та проблеми КЗІ вивчає криптологія (cryptology) – це технічна область знань та наука, що включає як криптографію, так і криптоаналіз. Хоча її традиційно досить часто називають криптографією.
Теоретична криптологія – це технічна область знань та наука, але вона використовує досить потужний математичний апарат для побудови та оцінки властивостей криптографічних перетворень. Тому її можна вважати одним із напрямів прикладної математики, що вивчає методи побудови та аналізу математичних перетворень інформації.
Практична криптологія – це технічна область знань, що описує методи криптографічного захисту інформації та криптоаналізу без математичного обґрунтування методів їх побудови та оцінки криптографічних властивостей.
КЗІ реалізується шляхом шифрування інформації згідно певних (криптографічних) алгоритмів шифрування, застосуванням методів захисту від нав’язування фальшивої інформації з використанням МАС-кодів та алгоритмів електронного цифрового підпису) та методи передачі інформації з технічним механізмом відповідальності сторін за виконані дії (криптографічні протоколи розподілу ключів, автентифікації та підтвердження факту прийому або передачі інформації).
Під шифруванням розуміють процедури зашифрування і розшифрування відкритих текстів (повідомлень, даних, інформації) за допомогою певного криптографічного алгоритму та деякого ключу, а під дешифруванням – процес відновлення відкритого тексту з шифрованого тексту без знання ключа (атака на КЗІ).
Під відкритим текстомприйнято розуміти подане у деякому алфавіті повідомлення (текст, мова, зображення та будь-які інші дані), що підлягає зашифруванню. Відповідно, під шифрованим текстом (або шифротекстом) розуміється текст, який отримано в результаті зашифрування відкритого тексту.
Зауважимо, що згідно з Положенням про порядок криптографічного захисту інформації в Україні (затверджено Указом Президента України №505/1998), криптографічна система – це сукупність засобів КЗІ, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує належний рівень захищеності інформації, що обробляється, зберігається та (або) передається.
Виходячи з цього визначення можливо зрозуміти, вивчення методів побудови та аналізу криптографічних систем включає наступні аспекти:
- Нормативно-правові вимоги щодо створення засобів КЗІ та забезпечення безпеки їх застосування;
- Організаційно-технічні заходи щодо безпеки криптографічного захисту інформації;
- Математичні методи, які використовуються для криптографічного захисту;
- Фізичні, програмні та схемно-технічні методи та технології побудови засобів КЗІ.
З урахування зробленого зауваження надалі у рамках курсу мають бути розглянуті перелічені аспекти побудови криптосистем та забезпечення безпеки їх застосування.
|
|
|
У загальному математичне перетворення що використовується для шифрування інформації можливо подати у наступному загальному вигляді:
C=E(M,Ke),
Де Е – деяке обернене математичне перетворення (криптографічний алгоритм), вимоги стосовно якого мають бути обговорені у наступних главах;
М – послідовність символів початкового, так званого відкритого тексту;
С – послідовність символів шифрованого тексту;
Кe – спеціальний параметр – ключова інформація для зашифрування.
Зворотне перетворення за допомогою якого отримують відкрите повідомлення має вигляд:
M=E-1(C,Kd),
Де Е-1 – зворотне до Е математичне перетворення,
Кd – спеціальний параметр – ключова інформація для розшифрування.
Далі звернемо увагу на те, що алгоритми шифрування та криптографічні алгоритми в цілому, поділяють на симетричні та асиметричні.
Симетричними називають класичні криптографічні перетворення з секретним ключем, при цьому ключи зашифрування і розшифрування співпадають Ке=Кd, або один з другого може бути досить легко обчислений.
Асиметричними (або алгоритмами з відкритим ключем) називають алгоритми в яких використовуються два різних ключа Ке≠Kd, при цьомуобчислення одного з другою є практично не розв’язною задачею. Один з двох ключів зберігається як секретний, інший відкритий зберігається в певних базах даних для абонентів деякої мережі.
Зважаючи на особливий вплив методів криптографічного захисту інформації на чутливі сфери діяльності держави, а саме її оборону, національну безпеку, економіку тощо у багатьох країнах світу КЗІ реалізується на підставі національної політики у цій сфері.
Національна політика у сфері КЗІ визначає основні принципи, механізми і форми нормативно-правового регулювання цієї області діяльності.
У загальному випадку, метою національного законодавства у сфері КЗІ, що реалізує політику у сфері КЗІ, можна вважати результат досягнення компромісу при вирішенні наступних завдань:
|
|
|
1. Усунення адміністративних і технічних перешкод для розгортання і використання широкими масами населення сучасних послуг у мережі Інтернет, що безпосередньо впливають на темпи розвитку економіки, як на національному, так і міжнародному рівнях. Мається на увазі системи електронної комерції і електронного документообігу, що забезпечують правовий статус електронних документів.
2. Усунення адміністративних і технічних перешкод для виробництва, впровадження і експлуатації сучасних інформаційних, комп’ютерних і телекомунікаційних технологій із функціями автентифікації і забезпечення цілісності інформації, що безпосередньо впливають на темпи розвитку сучасних технологій автоматизованого управління на національному і міжнародному рівнях. Тобто мова йде про уніфікацію методів, засобів і систем КЗІ, які використовуються різними виробниками сучасних інформаційно-телекомунікаційних технологій.
3. Створення умов для забезпечення достатнього рівня криптографічного захисту інформації державних структур, організацій і підприємств усіх форм власності.
4. Протидія спробам використання стійких засобів шифрування в противоправній діяльності, у тому числі і терористичного характеру.
5. Забезпечення прав і свобод громадян на захист приватного життя і персональних даних при використанні послуг сучасних інформаційно-телекомунікаційних послуг.
В світі відбулося істотне ослаблення контролю над криптографією, що обумовлене, перш за все, достатньо вагомим впливом на національну політику у сфері КЗІ міжнародних суспільних організацій та правозахисних груп.
Так, організація по міжнародному співробітництву та розвитку (ОЕСР) у 1996 році запропонувала наступні основні принципи у сфері КЗІ як рекомендації для формування національної політики.
1. Методи криптографічного захисту інформації повинні користуватися довірою, щоб такою ж довірою користувалися інформаційно-телекомунікаційні системи.
2. Користувачі методів криптографічного захисту інформації повинні мати право обирати будь-який метод, що не забороняється законом.
3. Розвиток криптографічних засобів повинен визначатися потребами приватних осіб, комерційних організацій і державних структур.
4. Технічні стандарти, щодо алгоритмів, протоколів та засобів криптографічного захисту інформації повинні розроблятися і підтримуватися на як національному, так і міжнародному рівнях.
5. Основні права людини на недоторканність приватного життя, включаючи таємницю телекомунікацій і захист персональних даних, повинні бути недоторканими в національній політиці у сфері криптографічного захисту інформації і в практиці використання криптографічних засобів.
6. Національна політика у сфері криптографічного захисту інформації може передбачати законний доступ до зашифрованих даних або ключів з урахуванням решти вже зазначених принципів.
7. Відповідальність приватних осіб і організацій, що пропонують послуги із криптографічного захисту інформації повинна бути чітко визначена законом або договором.
В загальному випадку, нормативно-правові акти у сфері КЗІ охоплюють питання стандартизації методів, засобів і систем КЗІ, адміністративно-правового регулювання господарської діяльності у сфері КЗІ, організаційно-правового і організаційно-технічного регулювання порядку забезпечення КЗІ в системах спеціального зв’язку та ЕЦП.
Механізм стандартизації у сфері криптографічного захисту інформації обумовлений необхідністю формування єдиних технічних норм до методів, засобів і систем КЗІ з метою їх уніфікації і реалізації простого механізму довіри до рівня стійкості у виробників, системних інтеграторів, власників і користувачів відповідно.
Механізм адміністративно-правового регулювання господарської діяльності у сфері КЗІ створює систему довіри між суб’єктами господарської діяльності у сфері КЗІ, споживачами засобів і послуг КЗІ, а також державою – гарантом забезпечення достатнього рівня захисту національних інформаційних ресурсів. Як правило, адміністративно-правове регулювання включає в себе порядок ліцензування, розробки, експертизи, експорту та імпорту, впровадження, експлуатації засобів і систем КЗІ.
Ліцензування – це процедура підтвердження спроможності суб’єкта господарської діяльності виконувати заявлені види робіт шляхом перевірки державою кваліфікаційних, організаційних, технологічних та інших необхідних характеристик.
Сертифікація та експертиза – це процедури державного підтвердження якості виконання заявлених видів робіт суб’єктом господарської діяльності, що включає в себе перевірку математичних, технічних і організаційно-технічних характеристик засобів і систем КЗІ.
Сертифікація – це процедура перевірки відповідності характеристик засобів КЗІ до вимог нормативно-правових актів у сфері КЗІ (стандартів, технічних специфікацій) та технічної документації, що додається.
В свою чергу, в рамках експертизи окрім верифікації, також обґрунтовуються висновки щодо рівня захисту інформації і надаються рекомендації щодо порядку використання (експлуатації) засобів КЗІ та криптосистем.
Порядок розробки засобів КЗІ визначає, перш за все, технічні норми безпеки до засобів і систем КЗІ в залежності від їх призначення і виду інформації, яка потребує захисту.
Питання імпорту та експорту засобів КЗІ розглядаються у якості одного із способів протидії можливості використання стійких засобів шифрування для організації противоправної діяльності, у тому числі, і терористичного характеру. Сучасний етап розвитку стандартизації у сфері КЗІ і відкритої криптографії призводить до того, що ця норма поступово стає недієвою і уходить в історію.
Адміністративно-правове регулювання у сфері КЗІ визначає також додаткові норми до організаційно-технічних заходів безпеки і порядку технічного захисту інформації у засобах і системах КЗІ, вибір характеристик яких визначається в залежності від введеного законодавством режиму доступу до інформації з обмеженим доступом.
Окремо розглядається питання щодо використання засобів КЗІ громадянами в особистих цілях, яке пов’язане із реалізацією права людини на захист персональних даних, тайну переписки, телефонних переговорів, почтових і телеграфних повідомлень в контексті основних прав і свобод людини і громадянина.
На сьогоднішній день відомі два основних підходи до вирішення цієї проблеми. Це механізми депонування ключів (key escrow) та юридичної відповідальності громадян у випадках відмови пред’явити використаний ключ шифрування згідно до вимог, встановлених законом.
Кожний із цих підходів знайшов певний супротив у суспільній думці, тому вони застосовуються на практиці далеко не у всіх країнах.
Організаційно-правове і організаційно-технічне регулювання порядку забезпечення КЗІ представляє собою набір формальних вимог до порядку експлуатації засобів і систем КЗІ. Тобто, організаційні і технічні норми для систем спеціального зв’язку та систем ЕЦП.
