2015-05-30
1051
ЛЕКЦІЯ
з навчальної дисципліни
____ Прикладні аспекти криптології ____
(назва навчальної дисципліни)
Тема: __ №4 «Класифікація засобів КЗІ, принципи їх побудови та функціонування» __
(номер і назва теми)
Заняття _______________________ №4, лекція ____________________________________
(номер і назва заняття)
Навчальний час – _2_ годин (и).
Для студентів інституту (факультету) __________________________
___________________________________________________________
Навчальна та виховна мета: 1. Вивчити класифікацію засобів криптографічного захисту інформації.
2. Навчити майбутніх спеціалістів (магістрів) системно підходити до оцінки стійкості криптосистем.
3. Сформувати у майбутніх спеціалістів (магістрів) навички формування моделі порушника та моделі безпеки криптосистем.
| Обговорено та схвалено на засіданні кафедри “___” _________ 20___ року Протокол №____ |
Київ – 2014
Зміст
Вступ.
1. Класифікація засобів криптографічного захисту інформації.
2. Види засобів КЗІ залежно від способу їхньої реалізації, їх характеристика. Типова загальна схема шифратору.
|
|
|
3. Основні вимоги до криптосистем. Сутність та методи криптографічного та інженерно-криптографічного аналізу, та спеціальних досліджень засобів КЗІ.
Заключна частина.
Л I Т Е Р А Т У Р А
1. Гулак Г.М., Мухачев В.А., Хорошко В.О., Яремчук Ю.Є. Основи криптографічного захисту інформації: підручник, Вінниця, ВНТУ, 2012, с.48-71.
2. Ліцензійні умови провадження господарської діяльності у сфері КЗІ (Наказ Адміністрації Держспецзв’язку від 26.01.2008 №8∕216);
3. Порядок розроблення, виробництва та експлуатації засобів КЗІ (Наказ Адміністрації Держспецзв’язку від 20.07.2007 №141);
4. Порядок забезпечення режиму безпеки, що повинен бути створений в організаціях, які здійснюють підприємницьку діяльність у сфері КЗІ, що є власністю держави (Наказ ДСТСЗІ СБ України від 22.10.1999 № 45);
5. Порядок постачання і використання ключів до засобів КЗІ (Наказ Адміністрації Держспецзв’язку від 12.06.2007 №114);
6. Порядок проведення державної експертизи у сфері КЗІ (Наказ Адміністрації Держспецзв’язку від 23.06.2008 №100);
7. Порядок проведення сертифікації засобів КЗІ (Наказ ДСТСЗІ СБ України від 24. 09.1999 № 202∕213; Наказ ДСТСЗІ СБ України від 15.12.1999).
Завдання на самостійну роботу
1. Знайти у Положенні про порядок постачання ключів до засобів КЗІ (Наказ Адміністрації Держспецзв’язку від 20.07.2007 №114) умови постачання ключів до засобів КЗІ та законспектувати їх.
2. Самостійно розрахувати ймовірності зустрічаємості бітів у двійковій послідовності яка є результатом порозрядного додавання двох інших двійкових послідовностей, одна з яких має ймовірності зустрічаємості одиниці та нуля P та Q відповідно, інша ‑ p та q відповідно.
|
|
|
Вступ
Невід’ємною складовою безпеки засобів криптографічного захисту є безпека фізичних та математичних методів що покладені в основу їх побудови.
Зазначені методи та механізми суттєво відрізняються один від другого не тільки з погляду на їх швидкодію, а й головне загрозами атак на них та небезпекою їх застосування в умовах відмов певних складових внаслідок старіння електро- та радіоелементів які використовуються для їх побудови.
Це потребує від спеціаліста в галузі безпеки інформаційних чіткого уявлення усіх складових безпеки процесів створення та експлуатації засобів КЗІ, уміння формувати вимоги до шифротехніки та аналізувати характеристики різних технологій залежно від вихідних вимог.
Класифікація засобів криптографічного захисту інформації
Все многообразие существующих симметричных криптосистем, используемых для шифрования исходных сообщений, можно свести к следующим классам преобразований, представленным на рис. 1.
| Симетричні криптосистеми |
| Несохраняющие длину сообщения |
| Поточні шифри |
| Линейное засекречивание |
| Блокові шифри |
| Попереднє шифрування |
| Сохраняющие длину сообщения |
| Не распространяют искажений |
| Распространяют искажения |
Рис. 1. Классификация симметричных криптосистем
Согласно величине элемента открытого сообщения, обрабатываемого за один такт работы алгоритма шифрования, различают криптосистемы поточного типа (один символ алфавита) и блочного типа (шифруемый элемент имеет длину L≥2). Большинство современных стандартов шифрования, включая алгоритмы ГОСТ 28147‑89, DES, AES и другие, предусматривают обработку блока данных длиной от 64 бит.
В зависимости от синхронизации процедур шифрования и передачи информации в канале связи различают:
· предварительное шифрование, при котором криптографическое преобразование и передача информации в канале связи разнесены по времени. Этот вид шифрсистем используется в случае электронной почты, когда сообщение предварительно шифруется, а потом передается в некоторой ИТС, например, в сети Интернет;
· линейное засекречивание относится к классу синхронных поточных шифрсистем и предполагает согласованную роботу шифрующих устройств и связного оборудования. В частности, на этом принципе построена аппаратура шифрования телефонных переговоров.
Залежно від рівня можливостей потенційного порушника засоби КЗІ, що призначені для захисту конфіденційної та відкритої інформації в Україні розділяють на наступні категорії:
1. клас А1 – відповідає вимогам забезпечення стійкості криптографічного перетворення в умовах, коли можливості порушника обмежені лише сучасним станом науки і техніки. Передбачається, що порушник має науково-технічний ресурс, який прирівнюється до науково-технічного ресурсу спеціальної служби розвинутої держави (забезпечується максимальний рівень захисту від будь-якого потенційного супротивника);
2. клас Б1 – відповідає вимогам забезпечення стійкості криптографічного перетворення в умовах можливої наявності не документованих функцій у засобі КЗІ, що закладені його розробником (захист від порушника корпоративного типу, що не може контролювати розробника засобу КЗІ);
3. клас Б2 – відповідає вимогам забезпечення стійкості криптографічного перетворення в умовах можливого здійснення порушником навмисного зовнішнього впливу (захист від порушника такого як і у випадку Б1);
4. клас В1 – відповідає вимогам забезпечення стійкості криптографічного перетворення в умовах можливих несанкціонованих дій з боку легального користувача захищеної системи (захист від порушника, що має обмежені кошти та самостійно створює методи та засоби атак із застосуванням широко розповсюджених програмних засобів та електронно-обчислювальної техніки);
|
|
|
5. клас В2 – відповідає вимогам забезпечення стійкості криптографічного перетворення в умовах помилкових дій обслуговуючого персоналу та можливих відмов технічних засобів (захист від ненавмисного порушення конфіденційності, цілісності та підтвердження авторства інформації);
6. клас В3 – відповідає вимогам забезпечення стійкості криптографічного перетворення за рахунок стійкості криптографічного алгоритму та правильної його реалізації в засобі КЗІ. Тобто не розглядаються загрози, що реалізуються технічними та організаційно-технічними каналами витоку і нав’язування інформації (захист від загроз як і в класі В1 і В2).
В залежності від функціонального призначення розрізняють такі категорії засобів КЗІ:
1. засоби шифрування інформації (далі – засоби категорії «Ш»);
2. засоби, призначені для виготовлення ключових даних або ключових документів (незалежно від виду носія ключової інформації) та управління ключовими даними, що використовуються в засобах КЗІ (далі – засоби категорії «К»); засоби, призначені для виготовлення ключових даних або ключових документів (незалежно від виду носія ключової інформації) та управління ключовими даними, що використовуються в засобах КЗІ (далі – засоби категорії «К»);
3. засоби захисту від нав’язування неправдивої інформації або захисту від несанкціонованої модифікації, що реалізовують алгоритми криптографічного перетворення інформації (далі – криптоалгоритми), у тому числі засоби імітозахисту та електронного цифрового підпису (далі – засоби категорії «П»);
4. засоби захисту інформації від несанкціонованого доступу (у тому числі засоби розмежування доступу до ресурсів електронно-обчислювальної техніки), у яких реалізовані криптоалгоритми (далі – засоби категорії «Р»).
В залежності від принципів реалізації системи захищеного зв’язку розрізняють такі типи засобів КЗІ:
|
|
|
1. апаратура лінійного шифрування (реалізує процес шифрування, автентифікації та імітозахисту з одночасною передачею інформації каналом зв’язку), інколи її називають також технікою автоматичного засекречування зв’язку;
2. апаратура попереднього шифрування (реалізує процес шифрування, автентифікації та імітозахисту);
3. засоби кодового зв’язку (документ кодового зв’язку чи кодова машина), що реалізує шифр заміни або код, що виправляє помилки.
В залежності від виду сигналу, що підлягає криптографічному перетворенню, сучасні засоби шифрування розділяють на:
1. засоби аналогової телефонії (скремблери), що використовують криптографічне перетворення аналогового сигналу, їх ще називають апаратурою тимчасової стійкості;
2. засоби гарантованої стійкості, що перетворюють аналоговий сигнал в цифровий та використовують криптографічне перетворення цифрового сигналу.
В залежності від принципу побудови системи захищеного зв’язку, сучасні засоби КЗІ розділяють на:
1. канальні та абонентські засоби для систем зв’язку з комутацією каналів (аналогових, цифрових та широкосмугових каналів);
2. засоби, що реалізують криптографічні протоколи на різних рівнях моделі OSI систем зв’язку з комутацією пакетів (як правило, це канальний, мережевий та сеансовий рівень).
В загальному випадку, в залежності від технологічного призначення, сучасні засоби КЗІ розділяють на:
1. програмні бібліотеки криптографічних перетворень, що призначені для реалізації програмних, апаратно-програмних та апаратних засобів КЗІ;
2. апаратні бібліотеки криптографічних перетворень (модулі), що призначені для реалізації апаратно-програмних та апаратних засобів КЗІ;
3. абонентські засоби захисту мовної інформації у системах провідного, радіо та мобільного зв’язку;
4. абонентські та канальні засоби захисту цифрових потоків передачі інформації у системах провідного, радіо та мобільного зв’язку;
5. абонентські засоби захисту систем електронної пошти;
6. абонентські засоби захисту електронних баз даних;
7. засоби генерації, розподілу та запису ключової інформації, що реалізуються на генераторах випадкових або псевдовипадкових послідовностей;
8. захищені носії ключової інформації (у тому числі із вбудованою бібліотекою криптографічних перетворень – електронні ключі або eToken);
9. програмно-технічні комплекси центрів сертифікації ключів у складі компонент серверної та клієнтської частин (рішення для реалізації інфраструктури відкритих ключів, РКІ);
10. системи автентифікації.
