Криптографические методы и средства защиты информации

Размещено на http://www.allbest.ru/

Департамент образования и науки Брянской области

ГБОУ СПО «Новозыбковский профессионально-педагогический колледж»

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

Криптографические методы и средства защиты информации

Сидоренко Николай Николаевич

Специальность 050202

Информатика

V курс, 51 группа

Научный руководитель:

Дятлов Игорь Николаевич

Новозыбков, 2015



Содержание

Введение

Глава 1. Современные проблемы информационной безопасности и возможные пути их решения

1.1 Угрозы информационной безопасности

1.2 Методы и средства защиты информации в компьютерных системах

Глава 2. Криптографическая защита информации

2.1 Основные понятия и определения криптографии

2.2 Основные современные методы шифрования

2.3 Средства криптографической защиты информации

Заключение

Список использованной литературы

Приложение

Введение

То, что информация имеет ценность, люди осознали очень давно - недаром переписка сильных мира сего издавна была объектом пристального внимания их недругов и друзей. Тогда-то и возникла задача защиты этой переписки от чрезмерно любопытных глаз. Древние пытались использовать для решения этой задачи самые разнообразные методы, и одним из них была тайнопись - умение составлять сообщения таким образом, чтобы его смысл был недоступен никому, кроме посвященных в тайну. Есть свидетельства тому, что искусство тайнописи зародилось еще в доантичные времена. На протяжении всей своей многовековой истории, вплоть до совсем недавнего времени, это искусство служило немногим, в основном верхушке общества, не выходя за пределы резиденций глав государств, посольств и - конечно же - разведывательных миссий. И лишь несколько десятилетий назад все изменилось коренным образом - информация приобрела самостоятельную коммерческую ценность и стала широко распространенным, почти обычным товаром. Ее производят, хранят, транспортируют, продают и покупают, а значит - воруют и подделывают - и, следовательно, ее необходимо защищать. Современное общество все в большей степени становится информационно-обусловленным, успех любого вида деятельности все сильней зависит от обладания определенными сведениями и от отсутствия их у конкурентов. И чем сильней проявляется указанный эффект, тем больше потенциальные убытки от злоупотреблений в информационной сфере, и тем больше потребность в защите информации. Одним словом, возникновение индустрии обработки информации с железной необходимостью привело к возникновению индустрии средств защиты информации.

Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах, от несанкционированного доступа. Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних нарушителей, так и со стороны внутренних нарушителей.

В области защиты информации и компьютерной безопасности в целом наиболее актуальными являются три группы проблем:

нарушение конфиденциальности информации;

нарушение целостности информации;

нарушение работоспособности информационно-вычислительных систем.

Защита информации превращается в важнейшую проблему государственной безопасности, когда речь идет о государственной, дипломатической, военной, промышленной, медицинской, финансовой и другой доверительной, секретной информации. Огромные массивы такой информации хранятся в электронных архивах, обрабатываются в информационных системах и передаются по телекоммуникационным сетям. Основные свойства этой информации - конфиденциальность и целостность, должны поддерживаться законодательно, юридически, а также организационными, техническими и программными методами.

Безопасность информации в информационной системе обеспечивается способностью этой системы сохранять конфиденциальность информации при ее вводе, выводе, передаче, обработке и хранении, а также противостоять ее разрушению, хищению или искажению. Безопасность информации обеспечивается путем организации допуска к ней, защиты ее от перехвата, искажения и введения ложной информации. С этой целью применяются физические, технические, аппаратные, программно-аппаратные и программные средства защиты. Последние занимают центральное место в системе обеспечения безопасности информации в информационных системах и телекоммуникационных сетях.

Проблема защиты информации путем ее преобразования, исключающего ее прочтение посторонним лицом, волновала человеческий ум с давних времен и остается актуальной по сегодняшний день. История криптографии - ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии тому примеры.

Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ, аппаратных или аппаратно-программных комплексов.

Объект исследования: информационная безопасность.

Предмет исследования: криптографические методы и средства обеспечения безопасности информации в компьютерных системах.

Основной целью работы является изучение и анализ существующих аспектов криптографической защиты компьютерной информации.

Поставленная цель предполагает решение следующих задач:

изучить и проанализировать библиографические источники по теме исследования;

описать и дать классификацию основных угроз информационной безопасности;

изучить и описать основные методы и средства обеспечения безопасности компьютерной информации и вычислительных систем;

рассмотреть основные понятия и определения криптографии;

изучить и описать основные типы криптосистем и методы шифрования;

изучить и представить основные средства криптографической защиты информации.

Методы исследования, использованные при написании работы: обобщение, анализ, систематизация.

шифрование криптосистема вычислительный безопасность



Глава 1. Современные проблемы информационной безопасности и возможные пути их решения

1.1 Угрозы информационной безопасности

Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является определение, анализ и классификация возможных угроз безопасности АС. Перечень значимых угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для проведения анализа рисков и формулирования требований к системе зашиты АС.

Под угрозой (вообще) обычно понимают потенциально возможное событие, процесс или явление, которое может (воздействуя на что-либо) привести к нанесению ущерба чьим-либо интересам [8, c. 52].

Угрозой интересам субъектов информационных отношений (угрозой информационной безопасности) называется потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию, ее носители и процессы обработки может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

Нарушением безопасности (или атакой) называется реализация угрозы безопасности.

В силу особенностей современных АС, существует значительное число различных видов угроз безопасности субъектов информационных отношений.

Следует иметь ввиду, что научно-технический прогресс может привести к появлению принципиально новых видов угроз и что изощренный ум злоумышленника способен придумать новые пути и способы преодоления систем безопасности, НСД к данным и дезорганизации работы АС [14, c. 45].

Основными источниками угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:

* стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

* сбои и отказы оборудования (технических средств) АС;

* ошибки проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

* ошибки эксплуатации (пользователей, операторов и другого персонала);

* преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные) (см. Рис.1.).

Рис.1. Классификация угроз по источникам и мотивации.

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека [20, c. 52].

Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

* непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

* преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).

Источники угроз по отношению к АС могут быть внешними или внутренними (компоненты самой АС - ее аппаратура, программы, персонал, конечные пользователи) [26, c. 176].

Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

2) неправомерное отключение оборудования или изменение режимов работы устройств и программ;

3) неумышленная порча носителей информации;

4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

6) заражение компьютера вирусами;

7) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;

8) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

9) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;

10) игнорирование организационных ограничений (установленных правил) при работе в системе;

11) вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);

12) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

13) пересылка данных по ошибочному адресу абонента (устройства);

14) ввод ошибочных данных;

15) неумышленное повреждение каналов связи.

Основные преднамеренные искусственные угрозы сводятся к умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

1) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.) [8, c. 348];

2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);

3) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.) [5, c. 200];

4) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

5) вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;

6) применение подслушивающих устройств, дистанционная фото- и видео-съемка и т.п.;

7) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сели питания, отопления и т.п.);

8) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему [26, c. 409];

9) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);

10) несанкционированное копирование носителей информации;

11) хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);

12) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;

13) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой зашиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;

14) незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя;

15) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п. [26, c. 410];

16) вскрытие шифров криптозащиты информации;

17) внедрение аппаратных "спецвложений", программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему зашиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

18) незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

19) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений [8, c. 150].

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.

1.2 Методы и средства защиты информации в компьютерных системах

Средства защиты информации могут быть классифицированы по разным направлениям. Одной из наиболее распространенных классификаций является разделение защитных механизмов в зависимости от участия в их реализации человека. При таком подходе методы и средства защиты информации в компьютерных системах подразделяются на формальные и неформальные (см. Приложение 1).

Формальными называются средства защиты, выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека.

Формальные методы обеспечения безопасности реализуются на практике за счет применения технических и программных средств, и часто называются инженерно-техническими средствами защиты.

По функциональному назначению средства инженерно-технической защиты делятся на следующие группы [9, c. 55]:

1) физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

2) аппаратные средства - приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятия находит широкое применение самая различная аппаратура, начиная с телефонного аппарата до совершенных автоматизированных систем, обеспечивающих производственную деятельность. Основная задача аппаратных средств - обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;

3) программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбор, накопление, хранение, обработка и передача) данных [13, c. 157];

4) криптографические средства - это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования [6, c. 20].

Физические средства защиты - это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников.

К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.

Эти средства применяются для решения следующих задач:

1) охрана территории предприятия и наблюдение за ней;

2) охрана зданий, внутренних помещений и контроль за ними;

3) охрана оборудования, продукции, финансов и информации;

4) осуществление контролируемого доступа в здания и помещения.

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов - это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и т. д.). Средства пожаротушения относятся к системам ликвидации угроз [12, c. 40].

К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации [16, c. 100].

Аппаратные средства защиты информации применяются для решения следующих задач:

1) проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;

2) выявление каналов утечки информации на разных объектах и в помещениях;

3) локализация каналов утечки информации;

4) поиск и обнаружение средств промышленного шпионажа;

5) противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.

Программные методы и средства защиты информации весьма разнообразны и классифицируются, как:

1) средства собственной защиты, предусмотренные общим программным обеспечением;

2) средства защиты в составе вычислительной системы;

3) средства защиты с запросом информации;

4) средства активной защиты;

5) средства пассивной защиты и другие.

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности такие [19, c. 135]:

1) защита информации от несанкционированной доступа;

2) защита информации от копирования;

3) защита программ от копирования;

4) защита программ от вирусов;

5) защита информации от вирусов;

6) программная защита каналов связи.

По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.

Программные средства защиты имеют следующие разновидности специальных программ:

1) идентификации технических средств, файлов и аутентификации пользователей;

2) регистрации и контроля работы технических средств и пользователей;

3) обслуживания режимов обработки информации ограниченного пользования;

4) защиты операционных средств ЭВМ и прикладных программ пользователей;

5) уничтожения информации в защитные устройства после использования;

6) сигнализирующих нарушения использования ресурсов;

7) вспомогательных программ защиты различного назначения.

Криптографические методы предотвращения угроз в КС являются наиболее эффективными способами защиты ИТ. При этом под криптографическим преобразованием информации понимается такое преобразование исходной информации, в результате которого она становится недоступной для ознакомления и использования лицами, не имеющими на это полномочий [18, c. 347].

Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию эти методы подразделяют на четыре группы [25, c. 39]:

кодирование,

стенография,

сжатие/расширение,

шифрование/дешифрование.

Содержанием процесса кодирования информации является замена смысловых конструкций исходной информации (слов, предложений) кодами. В качестве кодов могут использоваться сочетания букв, цифр, букв и цифр. При кодировании и обратном преобразовании используют специальные таблицы или словари. Кодирование информации целесообразно применять в системах с ограниченным набором смысловых конструкций. Такой вид криптографического преобразования применим, например, в командных линиях АСУ. Недостатками кодирования конфиденциальной информации является необходимость хранения и распространения кодировочных таблиц, которые требуется часто менять, чтобы избежать раскрытия кодов статистическими методами обработки перехваченных сообщений [6, c. 68].

Сжатие/расширение информации может быть отнесено к методам криптографического преобразования информации с определенными оговорками. Целью сжатия является сокращение объема информации. В то же время сжатая информация не может быть прочитана или использована без обратного преобразования. Учитывая доступность средств сжатия и обратного преобразования, эти методы нельзя рассматривать как надежные средства криптографического преобразования информации. Даже если держать в секрете алгоритмы, то они могут быть сравнительно легко раскрыты статистическими методами обработки. Поэтому сжатые файлы конфиденциальной информации подвергаются последующему шифрованию. Для сокращения времени целесообразно совмещать процесс сжатия и шифрования информации.

В отличие от других методов криптографического преобразования информации методы стенографии позволяют скрыть не только смысл хранящейся или передаваемой информации, но и сам факт ее хранения или передачи. Практическое использование стенографии в КС только начинается, но проведенные исследования показывают ее перспективность. В основе всех методов стенографии лежит маскирование закрытой информации среди открытых файлов. Обработка мультимедийных файлов в КС открыла практически неограниченные возможности перед стенографией [25, c. 73].

Существует несколько методов скрытой передачи информации. Одним из них является простой метод скрытия файлов при работе в операционной системе. Скрытый файл может быть зашифрован. Если кто-то случайно обнаружит скрытый файл, то зашифрованная информация будет воспринята как сбой в работе системы [26, c. 78].

Графическую и звуковую информацию представляют в числовом виде. Так, в графических объектах наименьший элемент изображения может кодироваться одним байтом. В младшие разряды определенных байтов изображения в соответствии с алгоритмом криптографического преобразования помещаются биты скрытого файла. Если правильно подобрать алгоритм преобразования и изображение, на фоне которого помещается скрытый файл, то человеческому глазу практически невозможно отличить полученное изображение от исходного. Очень сложно выявить скрытую информацию и с помощью специальных программ. Наилучшим образом для внедрения скрытой информации подходят изображения местности: фотоснимки со спутников, самолетов и т.п. С помощью средств стенографии могут маскироваться текст, изображение, речь, цифровая подпись, зашифрованное сообщение. Комплексное использование стенографии и шифрования многократно повышает сложность решения задачи обнаружения и раскрытия конфиденциальной информации.

Основным видом криптографического преобразования информации в КС является шифрование или дешифрование [2, c. 72]. Под шифрованием понимается преобразование открытой информации в зашифрованную информацию (шифртекст) или обратное преобразования зашифрованной информации в открытую. Процесс преобразования открытой информации в закрытую получил название зашифрование, а обратный процесс - расшифрование [2, c. 71].

За многовековую историю использования шифрования информации человечеством изобретено множество методов шифрования, или шифров. Методом шифрования (шифром) называется совокупность обратимых преобразований открытой информации в закрытую в соответствии с алгоритмом шифрования. Большинство методов шифрования не выдержали проверку временем, некоторые используются до сих пор. Появление ЭВМ и КС инициировало процесс разработки новых шифров, учитывающих возможности использования ЭВМ как для зашифрования/расшифрования информации, так и для атак на шифр.

Современные методы шифрования должны отвечать следующим требованиям [25, c. 153]:

1. Стойкость шифра к противостоянию криптоанализу (криптостойкость) должна быть такой, чтобы вскрытие его могло быть осуществлено только путем решения задачи полного перебора ключей.

2. Криптостойкость обеспечивается не секретностью алгоритма шифрования, а секретностью ключа.

3. Шифртекст не должен существенно превосходить по объему исходную информацию.

4. Ошибки, возникающие при шифровании, не должны приводить к искажениям и потерям информации.

5. Время шифрования не должно быть большим.

6. Стоимость шифрования должна быть согласована со стоимостью закрываемой информации.

Криптостойкость шифра является основным показателем его эффективности. Она измеряется временем или стоимостью средств, необходимых криптоаналитику для получения исходной информации по шифртексту, при условии, что ему неизвестен ключ [18, c. 210].

Сохранить в секрете широко используемый алгоритм шифрования практически невозможно, поэтому алгоритм не должен иметь скрытых слабых мест, которыми могли бы воспользоваться криптоаналитики. Если это условие выполняется, то криптостойкость шифра определяется длиной ключа, так как единственный путь вскрытия зашифрованной информации - перебор комбинаций ключа и выполнение алгоритма расшифрования. Таким образом, время и средства, затрачиваемые на криптоанализ, зависят от длины ключа и сложности алгоритма шифрования. В качестве примера удачного метода шифрования можно привести шифр DES (Data Encryption Standard), применяемый в США с 1978 г. в качестве государственного стандарта. Алгоритм шифрования не является секретным и был опубликован в открытой печати. За все время использования этого шифра не было обнародовано ни одного случая обнаружения слабых мест в алгоритме шифрования [18, c. 105].

Все методы шифрования могут быть классифицированы по различным признакам. Эти методы можно подразделить на две группы: методы шифрования с симметричными ключами и системы шифрования с открытыми ключами.

Первая группа включает в себя методы:

замены - прямой замены, алгоритмов моноалфавитной замены, методы полиалфавитной замены, модифицированной матрицы шифрования;

перестановки - простая перестановка, усложненная перестановка по таблице, усложненная перестановка по маршрутам;

аналитические - подразумевают применение матричной алгебры;

аддитивные (гаммирование) - предусматривают применение операторов псевдослучайных чисел;

комбинированные - подразумевают применение указанных выше методов в различных комбинациях.

Во второй группе выделяют системы RSA, Эль-Гамаля и криптосистемы Мак-Элиса [18, c. 120].

Неформальными называются средства защиты, определяющиеся целенаправленной деятельностью человека либо регламентирующие эту деятельность [9, c. 40].

Эти методы обеспечения безопасности реализуются на практике за счет применения организационных, законодательных и морально-этических средств защиты.

Организационные и правовые методы защиты процессов переработки информации в КС занимают первое место в технологиях предотвращения угроз ИБ. Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности. Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемых процессов обработки информации.

Для защиты обработки информации требуется не просто разработка частных механизмов защиты, а организация целого комплекса мер, т.е. использование специальных средств, методов и мероприятий. Новая современная разработка - это технология защиты процессов переработки информации в компьютерных информационных системах и сетях передачи данных [12, c. 125].

К организационным и правовым методам и средствам предотвращения угроз ИБ относятся:

* государственная политика безопасности информационных технологий (ИТ);

* правовой статус КС, информации, систем защиты информации владельцев и пользователей и т.д.;

* иерархическая структура государственных органов политики безопасности ИТ;

* система стандартизации, лицензирования и сертификации средств защиты информации;

* воспитание патриотизма и бдительности, повышение уровня образования и ответственности граждан в области ИТ.

Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, ведомствах, учреждениях и организациях. При рассмотрении вопросов безопасности обработки информации такая деятельность относится к организационным методам защиты процессов переработки информации. Эти методы включают в себя меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня безопасности обработки информации [1, c. 80].

Организационные методы защиты переработки информации тесно связаны с правовым регулированием в области ИБ. В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты процессов переработки информации создаются специальные службы безопасности. Эти службы подчиняются, как правило, руководству учреждения. Руководители служб обеспечивают создание и функционирование систем защиты [14, c. 54]. На организационном уровне решаются следующие задачи обеспечения ИБ в КС:

* разработка системы защиты процессов переработки информации;

* ограничение доступа на объект и к ресурсам КС;

* разграничение доступа к ресурсам КС;

* планирование мероприятий;

* разработка документации;

* воспитание и обучение обслуживающего персонала и пользователей;

* сертификация средств защиты обработки информации;

* лицензирование деятельности по защите процессов переработки информации;

* аттестация объектов защиты;

* совершенствование системы защиты процессов переработки информации;

* оценка эффективности функционирования системы защиты;

* контроль выполнения установленных правил работы в КС.

Организационные методы являются основой комплексной системы обеспечения защиты процессов переработки информации и КС [15, c. 199]. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты обработки информации в единую комплексную систему.

Государство должно обеспечить защиту процессов переработки информации как в масштабах всего государства, так и на уровне организаций и отдельных граждан. Для решения этой проблемы государство обязано:

* выработать государственную политику безопасности в области ИТ;

* законодательно определить правовой статус компьютерных систем, информации, систем защиты процессов переработки информации, владельцев и пользователей информации и т.д.;

* создать иерархическую структуру государственных органов, вырабатывающих и проводящих в жизнь политику безопасности ИТ;

* создать систему стандартизации, лицензирования и сертификации в области защиты процессов переработки информации; обеспечить приоритетное развитие отечественных защищенных ИТ;

* повышать уровень образования граждан в области ИТ, воспитывать у них патриотизм и бдительность;

* установить ответственность граждан за нарушения законодательства в области ИТ.

Политика государства в области безопасности ИТ должна быть единой. Исходя из этой позиции в Российской Федерации вопросы ИБ изложены в Концепции национальной безопасности Российской Федерации, утвержденной Указом Президента РФ от 17.12.97 № 1300 и затем уже в Доктрине информационной безопасности. В Концепции национальной безопасности Российской Федерации определены важнейшие задачи государства в области ИБ [9]:

установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;

совершенствование информационной структуры, ускорение развития новых ИТ и их широкое внедрение, унификация средств поиска, сбора, хранения и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

разработка соответствующей нормативной правовой базы и координация деятельности органов государственной власти и других органов, решающих задачи обеспечения ИБ;

развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

защита государственного информационного ресурса, прежде всего в федеральных органах государственной власти и на предприятиях оборонного комплекса.

Усилия государства должны быть направлены на воспитание ответственности граждан за неукоснительное выполнение правовых норм в области ИБ. Необходимо использовать все доступные средства для формирования у граждан патриотизма, чувства гордости за принадлежность к стране, коллективу. Важной задачей государства является также повышение уровня образования граждан в области ИТ. Большая роль в этой работе принадлежит образовательной системе государства, государственным органам управления, средствам массовой информации. Это важное направление реализации политики ИБ [16, c. 324].

Законодательная база обеспечения информацией обоснована социально-экономическими изменениями в обществе, происшедшими в последние годы. Они требовали законодательного регулирования отношений, складывающихся в области информационных технологий. В связи с этим был принят Федеральный закон «Об информации, информатизации и защите информации» от 25.01.95 № 24-ФЗ, в котором даны определения основных терминов: «информация», «информатизация», «информационные системы», «информационные ресурсы», «конфиденциальная информация», «собственник и владелец информационных ресурсов», «пользователь информации». Государство гарантирует право владельца информации независимо от форм собственности распоряжаться ею в пределах, установленных законом. Владелец информации имеет право защищать свои информационные ресурсы, устанавливать режим доступа к ним. В законе определены права и обязанности граждан и государства по доступу к информации. В нем установлен общий порядок разработки и сертификации информационных систем, технологий, средств их обеспечения, а также порядок лицензирования деятельности в сфере ИТ. В этом законе определены цели и режимы защиты процессов переработки информации, а также порядок защиты прав субъектов в сфере информационных процессов и информатизации [21].

Другим важным правовым документом, регламентирующим вопросы защиты информации в КС, является Закон РФ «О государственной тайне» от 21.07.1993 N 5485-1 (ред. от 21.12.2013), который определяет уровни секретности государственной информации (грифы секрет-поста) и соответствующую степень важности информации. Руководствуясь данным законом и Перечнем сведений, отнесенных к государственной тайне, введенным в действие Указом Президента РФ от 30.11.95, соответствующие государственные служащие, устанавливают гриф секретности информации [19].

Отношения, связанные с созданием программ и баз данных, ретируются Законом РФ «О правовой охране программ для электронных вычислительных машин и баз данных» от 23.09.92 № 3523-1 и Законом РФ «Об авторском праве и смежных правах» от 09.07.93 N-5352-1.

На основании приведенных правовых документов ведомства (министерства, объединения, корпорации и т.п.) разрабатывают нормативные документы (приказы, директивы, руководства, инструкции и др.), регламентирующие порядок использования и защиты процессов переработки информации в подведомственных организациях.

Важной составляющей правового регулирования в области ИТ является установление ответственности граждан за противоправные действия при работе с КС. Преступления, совершенные с использованием КС или причинившие ущерб владельцам компьютерных систем, получили название компьютерных преступлений. В нашей стране 1 января 1997 г. введен в действие новый Уголовный кодекс Российской Федерации (УК РФ). В него впервые включена гл. 28, в которой определена уголовная ответственность за преступления в области компьютерных технологий [22, c. 374].

В ст. 272 предусмотрены наказания за неправомерный доступ к компьютерной информации, охватывающие диапазон от денежного штрафа в размере 200 минимальных заработных плат до лишения свободы на срок до пяти лет. Отягощающими вину обстоятельствами являются совершение преступления группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сетям.

Статья 273 устанавливает ответственность за создание, использование и распространение вредоносных (вредительских) программ для ЭВМ. По этой статье предусмотрено наказание в виде штрафа в размере заработной платы или иного дохода осужденного, или наказание от двух месяцев лишения свободы до семи лет (в зависимости от последствий).

В ст. 274 определена ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сетям. Нарушение правил эксплуатации лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сетям, если это деяние причинило существенный вред, наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет либо обязательными работами на срок от 180 до 200 ч. Если те же деяния повлекли тяжкие последствия, то предусмотрено лишение свободы на срок до четырех лет.

Другие законодательные акты (законы РФ, указы и распоряжения Президента Российской Федерации), а также организационно-методические и руководящие документы Государственной технической комиссии при Президенте Российской Федерации указывают на организационно-правовую реализацию ИБ путем комплексной защиты информационной деятельности в России [23, c. 379].

К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений [13, c. 422].

Глава 2. Криптографическая защита информации

2.1 Основные понятия и определения криптографии

Криптографическими средствами защиты называются специальные средства и методы преобразования информации, в результате которых маскируется ее содержание. Основными видами криптографического закрытия являются шифрование и кодирование защищаемых данных. При этом шифрование есть такой вид закрытия, при котором самостоятельному преобразованию подвергается каждый символ закрываемых данных; при кодировании защищаемые данные делятся на блоки, имеющие смысловое значение, и каждый такой блок заменяется цифровым, буквенным или комбинированным кодом. При этом используется несколько различных систем шифрования: заменой, перестановкой, гаммированием, аналитическим преобразованием шифруемых данных. Широкое распространение получили комбинированные шифры, когда исходный текст последовательно преобразуется с использованием двух или даже трех различных шифров.

Итак, криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа[3, c. 9].

Перечислим вначале некоторые основные понятия и определения.

Криптография - это наука об обеспечении безопасности данных. Она занимается поисками решений четырех важных проблем безопасности - конфиденциальности, аутентификации, целостности и контроля участников взаимодействия.

Алфавит - конечное множество используемых для кодирования информации знаков.

Текст - упорядоченный набор из элементов алфавита.

В качестве примеров алфавитов, используемых в современных ИС можно привести следующие:

алфавит Z33 - 32 буквы русского алфавита и пробел;

алфавит Z256 - символы, входящие в стандартные коды ASCII и КОИ-8;

бинарный алфавит - Z2 = {0,1};

восьмеричный алфавит или шестнадцатеричный алфавит.

Шифрование - способ преобразования открытой информации в закрытую и обратно. Применяется для хранения важной информации в ненадёжных источниках или передачи её по незащищённым каналам связи. Согласно ГОСТ 28147-89, шифрование подразделяется на процесс зашифровывания и расшифровывания [3, c. 15].

Зашифровывание - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом.

Расшифровывание - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный.

Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.

Криптографическая система представляет собой семейство преобразований открытого текста, члены этого семейства индексируются, или обозначаются символом k; параметр k является ключом.

Пространство ключей - это набор возможных значений ключа. Обычно ключ представляет собой последовательный ряд букв алфавита.

Криптосистемы разделяются на симметричные и асимметричные(с открытым ключом) .

В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ.

В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения. [6, c. 30]

Термины распределение ключей и управление ключами относятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Электронной (цифровой) подписью называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа (т.е. криптоанализу) [17, c. 58].

Криптографическая стойкость (или криптостойкость) - способность криптографического алгоритма противостоять возможным атакам на него. Атакующие криптографический алгоритм используют методы криптоанализа. Стойким считается алгоритм, который для успешной атаки требует от противника недостижимых вычислительных ресурсов, недостижимого объёма перехваченных открытых и зашифрованных сообщений или же такого времени раскрытия, что по его истечению защищенная информация будет уже не актуальна, и т. д.

Типы криптостойких систем шифрования:

1. Абсолютно стойкие системы.

Доказательство существования абсолютно стойких алгоритмов шифрования было выполнено Клодом Шенноном и опубликовано в работе «Теория связи в секретных системах». Там же определены требования к такого рода системам:

* ключ генерируется для каждого сообщения (каждый ключ используется один раз);

* ключ статистически надёжен (то есть вероятности появления каждого из возможных символов равны, символы в ключевой последовательности независимы и случайны);

* длина ключа равна или больше длины сообщения;

* исходный (открытый) текст обладает некоторой избыточностью (является критерием оценки правильности расшифровки).

Стойкость этих систем не зависит от того, какими вычислительными возможностями обладает криптоаналитик. Практическое применение систем, удовлетворяющих требованиям абсолютной стойкости, ограничено соображениями стоимости и удобства пользования.

Некоторыми аналитиками утверждается, что Шифр Вернама является одновременно абсолютно криптографически стойким и к тому же единственным шифром, который удовлетворяет этому условию.

2. Достаточно стойкие системы.

В основном применяются практически стойкие или вычислительно стойкие системы. Стойкость этих систем зависит от того, какими вычислительными возможностями обладает криптоаналитик. Практическая стойкость таких систем базируется на теории сложности и оценивается исключительно на какой-то определенный момент времени и последовательно c двух позиций:

* вычислительная сложность полного перебора;

* известные на данный момент слабости (уязвимости) и их влияние на вычислительную сложность.

В каждом конкретном случае могут существовать дополнительные критерии оценки стойкости.

Эффективность шифрования с целью защиты информации зависит от сохранения тайны ключа и криптостойкости шифра [11, c. 73].

Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.

Любой криптографический метод характеризуется такими показателями, как стойкость и трудоемкость:

* Стойкость метода - это тот минимальный объем зашифрованного текста, статистическим анализом которого можно вскрыть исходный текст. Таким образом стойкость шифра определяет допустимый объем информации, зашифровываемый при использовании одного ключа [6, c. 45];

* Трудоемкость метода - определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста.

Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:

зашифрованное сообщение должно поддаваться чтению только при наличии ключа;

число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста;

должно быть не меньше общего числа возможных ключей;

число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);

знание алгоритма шифрования не должно влиять на надежность защиты;

незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа;

структурные элементы алгоритма шифрования должны быть неизменными;

дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;

длина шифрованного текста должна быть равной длине исходного текста;

не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования;

любой ключ из множества возможных должен обеспечивать надежную защиту информации;

алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.

Симметричные и асимметричные криптосистемы.

Рассмотрим концепцию симметричных и асимметричных криптосистем. Сгенерировать секретный ключ и зашифровать им сообщение - это еще полдела. А вот как переслать такой ключ тому, кто должен с его помощью расшифровать исходное сообщение? Передача шифрующего ключа считается одной из основных проблем криптографии.

Оставаясь в рамках симметричной системы, необходимо иметь надежный канал связи для передачи секретного ключа. Но такой канал не всегда бывает доступен, и потому американские математики Диффи, Хеллман и Меркле разработали в 1976 г. концепцию открытого ключа и асимметричного шифрования [3, c. 24].

Симметричная (секретная) методология.

В этой методологии и для шифрования, и для расшифровки отправителем и получателем применяется один и тот же ключ, об использовании которого они договорились до начала взаимодействия. Если ключ не был скомпрометирован, то при расшифровке автоматически выполняется аутентификация отправителя, так как только отправитель имеет ключ, с помощью которого можно зашифровать информацию, и только получатель имеет ключ, с помощью которого можно расшифровать информацию. Так как отправитель и получатель - единственные люди, которые знают этот симметричный ключ, при компрометации ключа будет скомпрометировано только взаимодействие этих двух пользователей. Проблемой, которая будет актуальна и для других криптосистем, является вопрос о том, как безопасно распространять симметричные (секретные) ключи[11, c. 85].