2015-03-20
1096
Шифрование как способ защиты информации.
Методы шифрования, генерация ключей шифрования.
Использования поточного шифрования. Шифрование при работе в сетях.
Использование криптозащиты, для передачи налоговой отчетности по каналам связи.
Методы шифрования
Зачем необходимо шифровать информацию? Для ответа на этот вопрос достаточно представить ситуацию в которой некая информация должна быть доступна строго ограниченному кругу лиц. Примерами могут служить множество событий из истории развития человечества. Если не возможно скрыть сам факт существования информации, то на криптографические методы ложится задача максимально затруднить понимание передаваемой информации. Строго говоря, систем абсолютно надежных не существует. Всегда существует вероятность, что криптографическая система будет вскрыта. Методы, применяемые для шифрования информации, могут различаться по своей сути. Например можно переставить символы в сообщении или файле перед отправкой. Возможно, провести замену символов, используя перекодировочную таблицу, или сочетание описанных методов. Важнейшим показателем определяющим какой из алгоритмов использовать является стойкость шифра. Известно, что при накоплении определенного количества информации, зашифрованного одним шифром возможно нахождение ключа шифрования. Возможности нелегального восстановления зависят и от длинны используемого ключа. Криптографическая система считается замкнутой если она содержит в себе и зашифрованную информацию и ключ к её дешифровке. Такие методы обычно применяют при выполнении программы исходный код которой зашифрован. Здесь возможны два варианта развития событий. Первый код программы перед выполнением будет полностью расшифрован и затем выполнен, однако в этом случае у злоумышленника остается возможность снять дамп памяти с уже расшифрованной программой и затем воспользоваться им. Второй вариант динамическая расшифровка необходимого кода, исключающая появление в памяти полного нешифрованного кода программы. Обычно носитель с ключевой информацией стараются хранить отдельно от систем для которых он предназначен. Однако система человек + компьютер всё равно остается замкнутой.
|
|
|
Рассмотрим пример пусть два офиса некого предприятия общаются между собой передавая отчеты о вырученных суммах за день. Возможно использовать в качестве среды передачи различные среды:
· Коммутируемый доступ (аналоговые телефонные линии)
· Интернет (как среда передачи данных)
· Выделенная линия
· Радио канал
Очевидно, что все перечисленные среды могут прослушиваться в различной степени. Наиболее защищенной считается выделенная линия, однако это, как правило, и более дорогой вариант. Предположим, что офисы еще и используют Интернет для поиска товаров (или иной информации). Тогда выгоднее было бы использовать Интернет как транспортную среду (Исторический экскурс Интернет и задумывался как таковая среда). В этом случае для соблюдения конфиденциальности информации, перед её отправкой необходимо сделать её не читаемой для посторонних (случайных) слушателей.
|
|
|
Генерация ключей происходит аналогично генерации ключей для ЭЦП. Однако это не означает что эти ключи одинаковы. Как и для ЭЦП создается ключевая пара с секретным ключом и ключом общего пользования. Как вы помните задача ключа подписи состоит в том что бы подтвердить (или опровергнуть) подлинности данного документа, не искажая при этом самого документа. При этом обычно используются математические преобразования не позволяющие по полученной подписи восстановить сам текст или секретный ключ. Задача ключа шифрования состоит в сокрытии информации хранящейся в документе от посторонних глаз. Однако она должна быть полностью восстановлена на стороне получателя.
Если речь идет об информации хранящейся на диске (файле) который необходимо зашифровать, то для этой цели используется специальная программа (которая может быть встроена в приложение работающее с данным файлом) позволяющая производить прозрачное шифрование (дешифрование) при работе с файлом. Слово прозрачное означает, что пользователь может и не знать о том, что на жестком диске данные хранятся в зашифрованном виде. Такой вид шифрования необходим при утрате носителя (жесткого диска или дискеты и т.д.). Возможно применение и сплошного шифрования, когда вся информация записываемая на диски компьютера подлежит шифрованию. Это существенно замедляет работу ОС компьютера, однако применятся на практике для защиты особо важных компьютеров, например генераторов ключей, так как последние не сильно загружены работой.
Другой способ основан на принципе шифровать все, что отправляется за пределы системы. В данном случае при работе компьютера не тратятся ресурсы на шифрование/дешифрование пока не возникнет потребность отправить информацию за пределы компьютера. Именно так устроена система обмена конфиденциальной информацией в налоговых органах. А именно для обмена используется обычная почтовая система на базе технологии ДИОНИС. Клиентское рабочее место, на котором подготавливается конфиденциальная информация к отправке по каналам электронной почты, шифрует почтовое отправление непосредственно перед отправкой на почтовый сервер. В свою очередь почтовый сервер не делает различий между шифрованными не шифрованными сообщениями, так как для его работы важен только адрес получателя. По достижении адресата такое письмо с помощью имеющегося у получателя открытого ключа будет дешифровано (возможно даже автоматически).
Еще один вариант развития событий, когда под системой понимается не единичный компьютер а целая сеть имеющая выходы во внешний мир через строго определенные маршрутизаторы. Тогда с целью сокращения внутри сетевого трафика можно передавать информацию внутри сети не используя шифрование вообще. А весь трафик исходящий на определенные узлы можно шифровать одним ключом и передавать по назначению. То есть одна пара ключей может обеспечить шифрование данных многих машин. Причем само шифрование выполняется отдельной машиной (маршрутизатором) и не занимает ресурсов других компьютеров сети. Такой механизм называется туннелированием. Пусть два маршрутизатора подключены к сети Интернет и способны работать с туннелями. Тогда датаграмма из первой сети адресованная во вторую сеть пройдет следующий путь. Достигнув первого маршрутизатора, последний определит, что данная датаграмма должна быть отправлена в тоннель. Маршрутизатор шифрует датаграмму и передает на отправку. Маршрутизатор второй сети принимает датаграмму. Распознает что данная датаграмма поступила с определенного адреса и подлежит дешифровке, расшифровывает её и направляет во внутреннею сеть адресату. Таким образом создается впечатление, что компьютеры находящиеся в разных сетях соединенные через Интернет «общаются» напрямую.
|
|
|
