Криптопровайдер – средство криптозащиты информации (СКЗИ) выполняет шифрование и дешифрование документов. Без этой программы не удастся использовать ЭЦП на компьютере.
Среди самых популярных программ криптозащиты можно выделить (таблица 1):
· Крипто-Про CSP,
· Lissi-CSP,
· Signal-ComCSP,
· VipNet-CSP.
Таблица 1
Сравнительное описание программ криптозащиты
По своему функционалу эти программы похожи. Они не только шифруют документы в системах ЭДО, но и позволяют использовать ЭЦП в таких приложениях, как: · Microsoft Office (MS Outlook, MS Word, MS Excel, MS Power Point, MS Info Path), · почтовый клиент MicrosoftOutlook Express, · приложение контроля целостности программного обеспечения MicrosoftAuthenticode, · программа для защиты файлов КриптоАРМ (разработчик - ООО «Цифровые технологии»), · почтовый клиент TheBat! (разработчик-компания «RITLABS»), · cистема защиты конфиденциальной информации на персональном компьютере SecretDisk NG (разработчик - компания «ALADDIN SoftwareSecurity R.D.») и др. | ||
МЕХАНИЗМ ЭЦП
|
|
Электронный сертификат – это файл, который представляет собой открытый ключ клиента, подписанный ЭЦП удостоверяющего центра.
Бумажный сертификат содержит следующие данные:
· открытый ключ ЭЦП,
· ФИО его владельца,
· срок действия сертификата (обычно один год),
· область применения ключа (перечень документов, которые можно подписывать с помощью ключа, на который выдан сертификат),
· информацию об организации, представителем которой является владелец ключа.
Кроме открытого ключа ЭЦП имеет и закрытый ключ. Чтобы сгенерировать эти 2 ключа, используется СКЗИ. Закрытый ключ клиент хранит у себя в надежном месте и использует, чтобы подписать документ. Возникают вопросы:
· Каким образом партнеры могут получить открытый ключ владельца и понять, что он принадлежит именно ему?
· Как защитить открытые ключи, доступные любому пользователю, от подделки или подмены?
Решением этих проблем занимаются удостоверяющие центры. Эти организации регистрируют открытый код клиента и выпускают сертификат его ЭЦП – это документ в электронной или бумажной форме, он содержит открытый ключ, информацию о владельце, информацию об удостоверяющем центре (рис. 19). Если у контрагента есть сертификат ЭЦП владельца, он без труда сможет читать документы, подписанные его ЭЦП.
Рис.19. Информация о владельце ЭЦП, подписавшем электронный документ
Чтобы воспользоваться ЭЦП, его владельцу понадобятся:
· Средства криптозащиты информации – программа, которая сгенерирует ключевую пару, зашифрует и расшифрует документы;
· Носитель для хранения закрытого ключа;
|
|
· Сертификат ЭЦП, который выдает удостоверяющий центр, когда регистрирует открытый ключ.
Существует два основных варианта использования закрытого и открытого ключей:
1. Отправитель подписывает документ ЭЦП, подтверждая свое авторство;
2. Отправитель зашифровывает документ для одного-единственного получателя.
Таблица 2
Порядок использования криптографических ключей
Отправитель | Подписание документа | Шифрование документа |
Подписывает документ своим закрытым ключом | Шифрует документ отрытым ключом контрагента | |
Получатель | Просмотр документа, подписанного ЭЦП | Расшифровка документа, закодированного открытым ключом |
Убеждается в личности отправителя с помощью открытого ключа, содержащегося в сертификате ЭЦП | Расшифровывает документ с помощью своего закрытого ключа |
Существуют особенности хранения закрытого ключа ЭЦП ( секретного шифра владельца).
Необходимо отметить, что современные алгоритмы ЭЦП гораздо более устойчивы ко взлому информационными методами, нежели ко взлому в результате вмешательства человеческого фактора.
Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключами
- Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
- Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
- Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.
Использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа позволяет снизить опасность социальных атак.
КЛЮЧЕВЫЕ НОСИТЕЛИ
Ключевые носители – это хранилища закрытых ключей, а также сертификатов открытых ключей. В качестве носителей ключевой информации могут использоваться:
- дискета,
- флэш-накопитель,
- смарт-карта,
- токен.
Важными качествами каждого типа носителей являются:
· физическая надежность (количество циклов перезаписи и срок эксплуатации носителя),
· функция защиты информации.
НЕ Дискета
самый ненадежный вид ключевых носителей для сертификатов и ключей. Дискета легко ломается – соответственно, хранимая на ней информация может быть вами безвозвратно потеряна. В настоящее время дискеты почти не используются.
НЕ CD-диск
в настоящее время технология ЭЦП не допускает использования оптического носителя для хранения закрытого ключа.
НЕ флэш-накопитель
удобен, практичен, надежен. Но у флэш-накопителя имеются 3 проблемы: во-первых, нет никакой защиты от несанкционированного доступа (любой может воспользоваться подписью), во-вторых, информацию легко стереть (придется заново покупать ЭЦП), в-третьих, кто угодно может скопировать закрытый ключ и воспользоваться им в своих целях.
Смарт-карта
это пластиковая карта с чипом. Ее надежность не вызывает сомнений, но для использования понадобится специальный считыватель.
Токен
устройство, больше всего напоминающее USB-брелок. Его удобно носить на ключах, для использования нужно просто вставить его в USB-порт компьютера. Главное отличие токена от флэш-накопителя – это дополнительные механизмы защиты размещенной на нем информации от доступа, изменения, повреждения:
· на токен можно поставить пин-код, чтобы никто, не смог им воспользоваться;
· с токена нельзя ничего скопировать, в том числе и закрытый ключ.
· токен производится из более высококачественных материалов, чем обычный флэш-накопитель, риск механических повреждений для него ниже, а срок работы – дольше.
Для хранения ЭЦП лучше всего подходит токен, потому что это наиболее надежный носитель с физической точки зрения и точки зрения безопасности.
|
|
Токен может самостоятельно:
1. Шифровать\расшифровывать в соответствии с алгоритмами симметричного и асимметричного шифрования;
2. Генерировать ключи шифрования;
3. Формировать и проверять ЭЦП;
4. Хешировать данные и т.д.
Токен представляет собой некий «черный ящик» во время осуществления криптографических операций: данные поступают на вход, преобразуются с помощью ключа и передаются на выход. Его можно сравнить с микрокомпьютером. Ввод и вывод информации для токена происходит по USB, есть свой процессор, оперативная и защищенная долговременная память.
На российском рынке наиболее популярны токены:
· Rutoken – российский продукт компании «Актив»,
· eToken – разработка компании Aladdin.