Размещено на http://allbest.ru

Содержание

Введение

Глава 1. Моя специальность

Глава 2. Программно-аппаратные средства защиты компьютерной информации, технологии защищенного документооборота

2.1 Программно-аппаратные средства криптографии с закрытым ключом

2.1.1 Требования к используемым криптографическим средствам за рубежом и в России

2.2 Программные и аппаратные средства шифрования с открытым ключом.

2.3 Стеганография

2.3.1 Базовые принципы компьютерной стеганографии

2.3.2 Основные программы стеганографии

2.4 Защита информации от несанкционированного доступа

Заключение

Библиографический список

Введение

В условиях растущих темпов информатизации общества возникает естественная необходимость построения эффективной системы защиты информационных ресурсов. Постоянное увеличение объема конфиденциальной информации, широкое использование различных технических свойств для ее обработки, хранения и передачи, появление новых методов и средств несанкционированного доступа к информации требуют подготовки высококвалифицированных специалистов по защите информации.

Целью учебной практики является ознакомление с программно - аппаратными комплексами в сфере криптографической защиты информации, написание эссе посвященного специальности «Организация и технология защиты информации».

Задачами учебной практики являются:

1. Ознакомление с программно - аппаратными средствами криптографии с закрытым и открытым ключом. Ознакомление с методами защиты от несанкционированного доступа.

2. Изучение отечественных и зарубежных стандартов шифрования.

3. Ознакомление с отечественными и зарубежными программными продуктами в области криптографической защиты.

4. Ознакомление с характеристиками базовых принципов стеганографии.

Отчет состоит из введения, двух глав: «Моя специальность» и программно-аппаратные средства защиты компьютерной информации, заключения и библиографического списка.

Объем отчета составляет сорок страниц.

Глава 1. Моя специальность

Выбрать профессию себе по душе может не каждый. Некоторые, проучившись 5 или 6 лет, понимают, что выбрали не ту профессию, которая приносила бы и счастье, и приличный заработок. Поэтому к выбору профессии нужно отнестись серьезно.

То, что придумывают одни, всегда пытаются использовать другие. И первые рано или поздно начинают защищать плоды собственного интеллекта. Так появилась одна из наиболее ценных и востребованных на сегодняшний день профессий _ специалист по защите информации. Сегодня, разумеется, неразрывно связанная с компьютерами.

Вначале система информационной безопасности разрабатывалась для нужд военных. Стратегические данные, касающиеся обороноспособности, были настолько важны, что их утечка могла привести к огромным людским потерям.

Соответственно, компьютерная безопасность обратилась к опыту криптографии, то есть шифрования. Появлялись криптошрифты и специальные программы, позволяющие автоматизировать процесс шифровки и дешифровки.

Позже, когда необходимость защиты информации распространилась на иные сферы, стало понятно, что иногда шифрование сильно затрудняет и замедляет передачу и использование данных. А с развитием компьютерных сетей и систем стали появляться другие задачи.

Со временем появилась классификация тайн, которые необходимо защищать. Они составили шесть категорий: государственная тайна, коммерческая, банковская, профессиональная, служебная и персональные данные.

Понятно, что для разных отраслей и типов предприятий приоритетными оказываются одна или две категории. Производству, связанному с наукой, например, крайне важно предотвратить утечку планов, новых разработок и испытаний.

Специалисты считают, что сегодня, в отличие от прошлых десятилетий, больше внимания уделяется двум вещам: доступности и целостности информации.

Доступность означает тот факт, что каждый пользователь может в любое время затребовать необходимый сервис и работать в нем без осложнений. С другой стороны, во время хранения и передачи информация должна оставаться целостной. Особенно актуально это, например, для банков, где важно не допустить изменения реквизитов,

Спрос на специалистов по защите информации растет медленно, но абсолютно верно. Если несколько лет назад руководители многих небольших фирм были озадачены в основном физической безопасностью, то с каждым годом увеличивается потребность в технически грамотных, всесторонне подготовленных профессионалах в области компьютерной защиты.

Соответственно, увеличивается конкурс на факультеты, выпускающие подобных специалистов, растет зарплата (руководитель отдела информационной защиты небольшого банка получает в среднем $1-1,5 тыс.) и усложняется работа.

Стать квалифицированным, высоко оплачиваемым специалистом по защите информации может человек, обладающий природной, врожденной психологической стабильностью. Об этом говорят не только психологи, но и эксперты. Умение хранить чужие тайны - это тоже талант, который невозможно заменить набором знанийОльга Черномыс. Журнал "Обучение в России"...

Моя специальность утверждена приказом Министерства образования Российской Федерации

Нормативный срок освоения основной образовательной программы подготовки специалиста по защите информации по специальности 075300 - Организация и технология защиты информации при очной форме обучения составляет 5 лет.

Место специальности в области науки и техники.

Область науки и техники, охватывающая совокупность проблем, связанных с организацией и технологией защиты на объектах информатизации.

Объектами профессиональной деятельности специалиста по защите информации по специальности 075300 (Организация и технология защиты информации) являются правовое обеспечение, организация и эксплуатация систем и средств обеспечения защиты информации на объектах информатизации.

Специалист по защите информации в соответствии с фундаментальной и специальной подготовкой может выполнять следующие виды профессиональной деятельности:

экспериментально-исследовательская;

проектная;

организационно-управленческая;

эксплуатационная.

Специалист по защите информации выполняет сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик.

Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.

Анализирует существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты.

Участвует в обследовании объектов защиты, их аттестации и категорировании.

Разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов. О

рганизует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.

Участвует в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.

Специалист по защите информации должен знать и уметь использовать:

основные понятия и методы математического анализа, аналитической геометрии, линейной алгебры, теории вероятности и математической статистики, дискретной математики;

методы обработки экспериментальных данных;

основные положения теории информации;

основные принципы и законы механики, электромагнетизма, колебательных и волновых процессов, явлений радиоактивности и воздействия излучений;

структуру систем управленческой и научно-технической документации;

принципы построения информационных систем с применением современных технических средств хранения, обработки, поиска и передачи информации;

структуру, правовые основы и содержание деятельности предприятий различных форм собственности;

законы и принципы теории организации;

инфраструктуру и формы организации менеджмента, природу и состав его функций;

логические основы и модели системного анализа, методы сетевого планирования и управления;

закономерности, мотивации и способы регулирования поведения человека в социальной группе;

методы, приемы и инструментарий социальной психологии при прогнозировании поведения человека в различных ситуациях;

структуру и содержание составных частей, формирующих систему управления персоналом;

особенности защиты информации на предприятиях различного профиля и различных форм собственности;

принципы защиты интеллектуальной собственности;

владеть:

методами количественного анализа процессов обработки, поиска и передачи информации;

методами моделирования с учетом их иерархической структуры и оценки пределов применимости полученных результатов;

методами обработки и анализа экспериментальных данных;

методикой отнесения информации к государственной и другим видам тайны и ее засекречивания;

методикой выявления и анализа потенциально существующих угроз безопасности информации, составляющей государственную и другие виды тайны;

методами анализа и оценки риска, методами определения размеров возможного ущерба вследствие разглашения сведений, составляющих государственную и другие виды тайны;

методами организации и моделирования комплексной системы защиты информации, составляющей государственную и другие виды тайны;

методами управления комплексной системой защиты информации, составляющей государственную или другие виды тайны;

методами организации и управления службами защиты информации Федеральные государственные стандарты ВПО URL.

Глава 2. Программно-аппаратные средства защиты компьютерной информации, технологии защищенного документооборота

2.1 Программно - аппаратные средства криптографии с закрытым ключом

Программно - аппаратные средства с закрытым ключом представляют собой алгоритмы, в которых ключ шифрования может бать рассчитан по ключу дешифрирования и наоборот. В большинстве симметричных систем ключи шифрования и дешифрирования одни и те же. Эти алгоритмы также называют симметричными алгоритмами. Для работы такой системы требуется, чтобы отправитель и получатель согласовали используемый ключ перед началом безопасной передачи сообщения и имели защищенный канал для передачи ключа. Безопасность симметричного алгоритма определяется ключом. Обычно ключ шифрования представляет собой файл или массив данных и хранится на персональном ключевом носителе, например дискете или смарт-карте; обязательно принятие мер, обеспечивающих недоступность персонального ключевого носителя кому-либо, кроме его владельца.

Целостность данных обеспечивается присоединением к передаваемым данным имитовставки, вырабатываемой по секретному ключу. Имитовставка является разновидностью контрольной суммы, т. е. некоторой эталонной характеристикой сообщения, по которой осуществляется проверка целостности последнего. Алгоритм формирования имитовставки должен обеспечивать ее зависимость по некоторому сложному криптографическому закону от каждого бита сообщения. Проверка целостности сообщения выполняется получателем сообщения путем выработки по секретному ключу имитовставки, соответствующей полученному сообщению, и ее сравнения с полученным значением имитовставки. При совпадении делается вывод о том, что информация не была модифицирована на пути от отправителя к получателю.

Симметричное шифрование идеально подходит для шифрования информации с целью предотвращения НСД к ней в отсутствие владельца. Это может быть как архивное шифрование выбранных файлов, так и автоматическое шифрование целых логических или физических дисков.

2.1.1 Требования к используемым криптографическим средствам за рубежом и в России

Стандарт шифрования данных DES (Data Encryption Standard) является одним из известных алгоритмов криптографической защиты данных, используемых до недавнего времени в США. Этот стандарт -- типичный представитель криптографических алгоритмов, использующих симметричное шифрование. Благодаря таким качествам, как обеспечение высокого уровня защиты информации, простота и экономичность в реализации, он нашел широкое применение в различных областях государственной и военной деятельности. Рассмотрим детально принцип шифрования данных с помощью алгоритма DES.

Стандарт шифрования в Российской Федерации ГОСТ 28147-89 также относится к симметричным криптографическим алгоритмам. Он введен в действие с июля 1990года и устанавливает единый алгоритм криптографических преобразований для систем обмена информацией в вычислительных сетях, определяет правила шифрования и расшифровки данных, а также выработки имитовставки. Алгоритм в основном удовлетворяет современным криптографическим требованиям, не накладывает ограничений на степень секретности защищаемой информации и обеспечивается сравнительно несложными аппаратными и программными средствами.

Стандарт шифрования ГОСТ2814789 удобен как для аппаратной, так и для программной реализации. При размере блока данных 64 бита основная работа ведется с половинками этого блока (32битными словами), что позволяет эффективно реализовать указанный стандарт шифрования на большинстве современных компьютеров.

Стандарт шифрования ГОСТ 28147-89 предусматривает шифрование и расшифровку данных в следующих режимах работа:

1. Простая замена.

2. Гаммирование.

3. Гаммирование с обратной связью.

4. Выработка имитовставки.

Существует следующие отечественные и зарубежные программно - аппаратные комплексы шифрования:

· Secret Disk;

· «КриптоАРМ»;

· Trusted TLS;

· Zserver;

· Crypton CSP;

· Беркут;

· Secret Net;

· StrongDisk;

· File-PRO;

· TrueCrypt;

· Домен-К;

· КриптоПро CSP и т.д.

TrueCrypt - это высококачественный программный продукт для создания и использования шифрованных томов, шифрование на которые осуществляется "на лету" - то есть целиком автоматически и без промежуточных стадий. Пользователю не требуется явно выполнять операции зашифрования для отдельных файлов или каталогов (например, нажимая кнопку "Зашифровать"). На физическом носителе в открытом виде не сохраняется никакой информации о томе - зашифрованные данные хранятся в виде файла или логического раздела.

Доступ к данным, хранящимся на таком томе можно получить только после ввода истинного пароля, указанного при создании тома. При правильном вводе пароля в системе монтируется виртуальный логический диск, с которым можно выполнять все операции, что и с традиционным разделом диска: создавать, удалять, копировать, просматривать и выполнять файлы и каталоги. Следует указать даже более, что после того, как такой том подмонтирован - тогда он функционирует в полном соответствии с типом файловой системы, указанной при его создании.

Также можно шифровать системный раздел, в котором установлена операционная система - тогда при каждой загрузке системы необходимо вводить пароль для её расшифровывания.

Интерфейс программы обеспечивает удобную работу, что позволяет избежать многих ошибок, ведь каждый шаг сопровождается подсказками и пояснениями. Но вместе с тем программа рассчитана на широкий круг пользователей, в том числе и на пользователей высокой квалификации и с высокими требованиями к безопасности.

Программа TrueCrypt является OpenSource-продуктом, то есть любой желающий может ознакомиться с реализацией алгоритмов, проанализировать их устойчивость и надёжность. При необходимости можно модифицировать код, редактируя встроенные функции или добавляя собственные, и скомпилировать собственную версию.

Разработка Российской компании Zecurion Zserver предназначен для надежной защиты данных, которые хранятся и обрабатываются на серверах и записываются на носители для резервного копирования. Система осуществляет шифрование информации, размещенной на жестких дисках, на дисковых массивах (RAID-массивы любых конфигураций) и в SAN-хранилищах, методом прозрачного шифрования. Модуль для защиты резервных копий Zbackup осуществляет шифрование данных на магнитных лентах и оптических дисках.

1. Защита конфиденциальной информации в местах хранения.

2. Безопасная транспортировка и утилизация данных.

3. Защита баз данных, почтовых и файловых серверов в процессе работы.

4. Контроль доступа к защищаемой информации для пользователей и приложений.

5. Полное скрытие факта наличия на защищаемых носителях каких-либо данных и ПО.

6. Оперативное блокирование доступа к информации в случае экстренной необходимости.

7. Гарантированное уничтожение информации.

На сегодняшний день система Zecurion Zserver нашла широкое применение в банках, финансовых, страховых, производственных, транспортных, торговых и коммерческих компаниях любого масштаба: от небольших компаний до крупнейших российских и международных корпорацийZecurion Zserver. URL: http://www.zecurion.ru/products/zserver/..

2.2 Программные и аппаратные средства шифрования с открытым ключом

В 1976 г. У.Диффи и М.Хеллманом был предложен новый тип криптографической системы - система с открытым ключом. В схеме с открытым ключом имеется два ключа, открытый и секретный, выбранные таким образом, что их последовательное применение к массиву данных оставляет этот массив без изменений. Шифрующая процедура использует открытый ключ, дешифрующая - секретный. Дешифрование кода без знания секретного ключа практически неосуществимо; в частности, практически неразрешима задача вычисления секретного ключа по известному открытому ключу. Основное преимущество криптографии с открытым ключом - упрощенный механизм обмена ключами. При осуществлении коммуникации по каналу связи передается только открытый ключ, что делает возможным использование для этой цели обычного канала и устраняет потребность в специальном защищенном канале для передачи ключа.

С появлением систем с открытым ключом понятие о защите информации, а вместе с ним функции криптографии значительно расширились. Если раньше основной задачей криптографических систем считалось надежное шифрование информации, в настоящее время область применения криптографии включает также цифровую подпись (аутентификацию), лицензирование, нотаризацию (свидетельствование), распределенное управление, схемы голосования, электронные деньги и многое другое. Наиболее распространенные функции криптографических систем с открытым ключом - шифрование и цифровая подпись, причем роль цифровой подписи в последнее время возросла по сравнению с традиционным шифрованием: некоторые из систем с открытым ключом поддерживают цифровую подпись, но не поддерживают шифрование.

Цифровая подпись используется для аутентификации текстов, передаваемых по телекоммуникационным каналам. Она аналогична обычной рукописной подписи и обладает ее основными свойствами: удостоверяет, что подписанный текст исходит именно от лица, поставившего подпись, и не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным текстом. Цифровая подпись представляет собой небольшое количество дополнительной информации, передаваемой вместе с подписываемым текстом. В отличие от шифрования, при формировании подписи используется секретный ключ, а при проверке - открытый.

Из-за особенностей алгоритмов, лежащих в основе систем с открытым ключом, их быстродействие при обработке единичного блока информации обычно в десятки раз меньше, чем быстродействие систем с симметричным ключом на блоке той же длины. Для повышения эффективности систем с открытым ключом часто применяются смешанные методы, реализующие криптографические алгоритмы обоих типов. При шифровании информации выбирается случайный симметричный ключ, вызывается алгоритм с симметричным ключом для шифрования исходного текста. а затем алгоритм с открытым ключом для шифрования симметричного ключа. По коммуникационному каналу передается текст, зашифрованный симметричным ключом, и симметричный ключ, зашифрованный открытым ключом. Для расшифровки действия производятся в обратном порядке: сначала при помощи секретного ключа получателя расшифровывается симметричный ключ, а затем при помощи симметричного ключа - полученный по каналу зашифрованный текст. Для формирования электронной подписи по подписываемому тексту вычисляется его однонаправленная хэш-функция (дайджест) [one-way hash function, digest], представляющая собой один короткий блок информации, характеризующий весь текст в целом; задача восстановления текста по его хэш-функции или подбора другого текста, имеющего ту же хэш-функцию, практически неразрешима. При непосредственном формировании подписи, вместо шифрования секретным ключом каждого блока текста секретный ключ применяется только к хэш-функции; по каналу передается сам текст и сформированная подпись хэш-функции. Для проверки подписи снова вычисляется хэш-функция от полученного по каналу текста, после чего при помощи открытого ключа проверяется, что подпись соответствует именно данному значению хэш-функции. Алгоритмы вычисления однонаправленных хэш-функций, как правило, логически тесно связаны с алгоритмами шифрования с симметричным ключом.

В 1991 г. в США был опубликован проект федерального стандарта цифровой подписи - DSS (Digital Signature Standard, [DSS91], см. также [S94], с.304-314), описывающий систему цифровой подписи DSA (Digital Signature Algorithm). Одним из основных критериев при создании проекта была его патентная чистота.

Предлагаемый алгоритм DSA, имеет, как и RSA, теоретико-числовой характер, и основан на криптографической системе Эль-Гамаля [E85] в варианте Шнорра [S89]. Его надежность основана на практической неразрешимости определенного частного случая задачи вычисления дискретного логарифма. Современные методы решения этой задачи имеют приблизительно ту же эффективность, что и методы решения задачи факторизации; в связи с этим предлагается использовать ключи длиной от 512 до 1024 бит с теми же характеристиками надежности, что и в системе RSA. Длина подписи в системе DSA меньше, чем в RSA, и составляет 320 бит. компьютерный программный криптографический стеганография

С момента опубликования проект получил много критических отзывов (см., напр., [R92]), многие из которых были учтены при его доработке. Одним из главных аргументов против DSA является то, что, в отличие от общей задачи вычисления дискретного логарифма, ее частный случай, использованный в данной схеме, мало изучен и, возможно, имеет существенно меньшую сложность вскрытия. Кроме того, стандарт не специфицирует способ получения псевдослучайных чисел, используемых при формировании цифровой подписи, и не указывает на то, что этот элемент алгоритма является одним из самых критичных по криптографической стойкости.

Функции DSA ограничены только цифровой подписью, система принципиально не предназначена для шифрования данных. По быстродействию система DSA сравнима с RSA при формировании подписи, но существенно (в 10-40 раз) уступает ей при проверке подписи.

Вместе с проектом DSS опубликован проект стандарта SHS (Secure Hash Standard), описывающий однонаправленную хэш-функцию SHA (Secure Hash Algorithm), рекомендованную для использования вместе с DSA (см. [S94], с.333-336). Хэш-функция SHA является модификацией алгоритма MD4, хорошо известного в криптографической литературе.

В 1993 г. в России были изданы два государственных стандарта “Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма” и “Функция хэширования”, под общим заголовком “Информационная технология. Криптографическая защита информации”.

Стандарт “Процедуры выработки и проверки электронной цифровой подписи...” во многом схож со своим американским аналогом DSS. Для формирования и проверки цифровой подписи в нем используется тот же алгоритм Эль-Гамаля и Шнорра, что и в DSS, с незначительными модификациями. Имеется две альтернативных длины ключа, 512 и 1024 бит; длина подписи составляет 512 бит.

Для генерации ключей предложен ряд новых алгоритмов. Ключи, получаемые при помощи этих алгоритмов, имеют специальный вид, что потенциально может упростить задачу вскрытия системы по сравнению с DSS. Критика DSS, связанная с недостаточно разработанным теоретическим обоснованием алгоритма, в случае росийского стандарта несколько смягчается тем, что элемент ключа q выбирается более длинным, чем в DSA. Критика. связанная с отсутствием спецификации на способ получения псевдослучайных чисел, остается в силе.

Как и DSS, российский стандарт определяет только алгоритм цифровой подписи, но не шифрования. Быстродействие обоих алгоритмов приблизительно совпадает.

Стандарт “Функция хэширования” предназначен для использования вместе со стандартом “Процедуры выработки и проверки цифровой подписи” и представляет собой оригинальный алгоритм, основанный на методе шифрования с симметричным ключом ГОСТ 28147. Стандарт не содержит криптографического обоснования выбранного алгоритма и не корректирует ГОСТ 28147 в части заполнения узлов замены.

Несмотря на указанные недостатки, система, описанная в российском стандарте, применима во многих областях, особенно для коммерческих приложений.Для обеспечения конфиденциальности информации, передаваемой через интернет, используется шифрование и цифровые подписи. Рассмотрим одну из бесплатных утилит для поддержки этих функций на вашем компьютере.

Программа является продуктом сообщества OpenSource, распространяется под лицензией General Public License (GPL) и получить ее можно как в бинарном виде для любой платформы, так и в виде исходных текстов. Пакет изначально присутсвует в любом дистрибутиве Linux и используется во многих приложениях.

Основные функции GnuPG таковы:

· шифрование текста и файлов (используется несколько алгоритмов);

· подписывание документов электронной цифровой подписью и проверка чужих подписей;

· создание и управление списками открытых ключей респондентов.

Следует отметить, что GnuPG исключительно консольная утилита и работает только с командной строки. Конечно, уже есть несколько графических оболочек для упрощения работы и доступно множество компонент для разных языков и сред программирования, но об этом мы расскажем в следующих статьях. GnuPG разработана для обеспечения совместимости с пакетом PGP - в большей части все сказанное о GnuPG, включая алгоритмы, команды и форматы файлов, можно применить и к пакету PGP.

В GnuPG используются разные криптографические алгоритмы: симметричные шифры, шифрование с открытым ключом и смешанные алгоритмы. Длина ключа в 1024 или 2048 бит достаточна для того, что бы вы могли спокойно доверить шифрованию свои секретные данные.

Основной особенностью является система ключей. В GnuPG вы создаете себе несколько ключей, причем каждый служит для отдельного действия (и использует разные алгоритмы). Один из ключей, создаваемые первым, является главным ключом, остальные подчиненными, подключами. Для первичного ключа можно (и надо) сгенерировать отзывающий сертификат (revokation certificate), который поможет уведомить ваших респондентов о том, что ваш ключ утерян или раскрыт и не может больше применятся, он с этого момента считается отозванным. В дальнейшем с помощью отозванного ключа можно проверять вашу подпись, но нельзя использовать для подписывания новых документов.

Для работы с документами доступны несколько команд:

· подписать документ;

· зашифровать документ;

· подписать и зашифровать документ

Кратко опишем основные команды GnuPG, которые могут понадобиться для повседневной работы. Весь список команд есть в справке и доступен при помощи команды gpg --help:

· --gen-key - создание новой пары ключей. Команда -edit-key позволяет в последствии изменить параметры ключа.

· --sign - создает подпись для указанных файлов, используя ключ (если не введен его идентификатор, использует ключ по - умолчанию). --detach-sign создаст подпись в отдельном файле, иначе создается совмещенная подпись.

· --encrypt - указывает на то, что данные надо зашифровать. Если применяется совместно с --sign то данные одновременно подписываются.

· --symmetric - можно применять когда просто надо зашифровать файл (используется симметричный алгоритм, но можно выбрать алгоритм командой --cipher-algo).

· --decrypt - расшифровывает указанные файлы и сохраняет результат в файл (если указан) или выводит в консоль. Если файлы содержат подпись, она также проверяется.

· --verify - проверяет подписи для указанных файлов, не выводя содержимого файла.

· --list-keys - выводит список всех открытых ключей. Команда --list-secret-keys показывает ваши секретные ключи.

· --delete-key - удаляет открытый ключ из списка. --delete-secret-key удаляет секретный ключ (например, он скомпрометирован или окончился срок действия)

· --export (--import) - экспорт/импорт ваших ключей, например, для резервирования или переноса на другой компьютер. По умолчанию ключи в бинарном виде, для получения их в ASCI-виде укажите параметр -armor.

Конечно, пользователям Windows работа с командной строки немного непривычна, да и неудобно каждый день все операции набирать в консоли. Поэтому существуют утилиты, которые предоставляют пользователю удобный интерфейс для работы с GnuPG (пользователь может даже не заметить, что он работает с GnuPG). Об этом будет рассказано в одной из следующих статей.

2.3 Стеганография

Стеганография - это метод организации связи, который собственно скрывает само наличие связи. В отличие от криптографии, где неприятель точно может определить является ли передаваемое сообщение зашифрованным текстом, методы стеганографии позволяют встраивать секретные сообщения в безобидные послания так, чтобы невозможно было заподозрить существование встроенного тайного послания.

Слово "стеганография" в переводе с греческого буквально означает "тайнопись" (steganos - секрет, тайна; graphy - запись). К ней относится огромное множество секретных средств связи, таких как невидимые чернила, микрофотоснимки, условное расположение знаков, тайные каналы и средства связи на плавающих частотах и т. д.

Стеганография занимает свою нишу в обеспечении безопасности: она не заменяет, а дополняет криптографию. Сокрытие сообщения методами стеганографии значительно снижает вероятность обнаружения самого факта передачи сообщения. А если это сообщение к тому же зашифровано, то оно имеет еще один, дополнительный, уровень защиты.

При построении стегосистемы должны учитываться следующие положения:

· противник имеет полное представление о стеганографической системе и деталях ее реализации. Единственной информацией, которая остается неизвестной потенциальному противнику, является ключ, с помощью которого только его держатель может установить факт присутствия и содержание скрытого сообщения;

· если противник каким-то образом узнает о факте существования скрытого сообщения, это не должно позволить ему извлечь подобные сообщения в других данных до тех пор, пока ключ хранится в тайне;

· потенциальный противник должен быть лишен каких-либо технических и иных преимуществ в распознавании или раскрытии содержания тайных сообщений.

В общем же случае целесообразно использовать слово "сообщение", так как сообщением может быть как текст или изображение, так и, например, аудиоданные. Далее для обозначения скрываемой информации, будем использовать именно термин сообщение.

Контейнер - любая информация, предназначенная для сокрытия тайных сообщений. Пустой контейнер - контейнер без встроенного сообщения; заполненный контейнер или стего - контейнер, содержащий встроенную информацию. Встроенное (скрытое) сообщение - сообщение, встраиваемое в контейнер. Стеганографический канал или просто стегоканал - канал передачи стего. Стегоключ или просто ключ - секретный ключ, необходимый для сокрытия информации. В зависимости от количества уровней защиты (например, встраивание предварительно зашифрованного сообщения) в стегосистеме может быть один или несколько стегоключей.

По аналогии с криптографией, по типу стегоключа стегосистемы можно подразделить на два типа:

· с секретным ключом;

· с открытым ключом.

В стегосистеме с секретным ключом используется один ключ, который должен быть определен либо до начала обмена секретными сообщениями, либо передан по защищенному каналу.

В стегосистеме с открытым ключом для встраивания и извлечения сообщения используются разные ключи, которые различаются таким образом, что с помощью вычислений невозможно вывести один ключ из другого. Поэтому один ключ (открытый) может передаваться свободно по незащищенному каналу связи. Кроме того, данная схема хорошо работает и при взаимном недоверии отправителя и получателя.

Любая стегосистема должна отвечать следующим требованиям:

· Свойства контейнера должны быть модифицированы, чтобы изменение невозможно было выявить при визуальном контроле. Это требование определяет качество сокрытия внедряемого сообщения: для обеспечения беспрепятственного прохождения стегосообщения по каналу связи оно никоим образом не должно привлечь внимание атакующего.

· Стегосообщение должно быть устойчиво к искажениям, в том числе и злонамеренным. В процессе передачи изображение (звук или другой контейнер) может претерпевать различные трансформации: уменьшаться или увеличиваться, преобразовываться в другой формат и т. д. Кроме того, оно может быть сжато, в том числе и с использованием алгоритмов сжатия с потерей данных.

История стеганографии - это история развития человечества. Местом зарождения стеганографии многие называют Египет, хотя первыми "стеганографическими сообщениями" можно назвать и наскальные рисунки древних людей.

Первое упоминание о стеганографических методах в литературе приписывается Геродоту, который описал случай передачи сообщения Демартом, который соскабливал воск с дощечек, писал письмо прямо на дереве, а потом заново покрывал дощечки воском. Другой эпизод, который относят к тем же временам - передача послания с использованием головы раба. Для передачи тайного сообщения голову раба обривали, наносили на кожу татуировку, и когда волосы отрастали, отправляли с посланием. В Китае письма писали на полосках щелка. Поэтому для сокрытия сообщений, полоски с текстом письма, сворачивались в шарики, покрывались воском и затем глотались посыльными.

Темное средневековье породило не только инквизицию: усиление слежки привело к развитию как криптографии, так и стеганографии. Именно в средние века впервые было применено совместное использование шифров и стеганографических методов. XVII - XVIII века известны как эра "черных кабинетов" - специальных государственных органов по перехвату, перлюстрации и дешифрованию переписки. В штат "черных кабинетов", помимо криптографов и дешифровальщиков, входили и другие специалисты, в том числе и химики. Наличие специалистов-химиков было необходимо из-за активного использования так называемых невидимых чернил. Примером может служить любопытный исторический эпизод: восставшими дворянами в Бордо был арестован францисканский монах Берто, являвшийся агентом кардинала Мазарини. Восставшие разрешили Берто написать письмо знакомому священнику в город Блэй. Однако в конце этого письма религиозного содержания, монах сделал приписку, на которую никто не обратил внимание: "Посылаю Вам глазную мазь; натрите ею глаза и Вы будете лучше видеть". Так он сумел переслать не только скрытое сообщение, но и указал способ его обнаружения. В результате монах Берто был спасен.

Стеганографические методы активно использовались и в годы гражданской войны между южанами и северянами. Так, в 1779 году два агента северян Сэмюэль Вудхулл и Роберт Тоунсенд передавали информацию Джорджу Вашингтону, используя специальные чернила.

Различные симпатические чернила использовали и русские революционеры в начале XX века, что нашло отражение в советской литературе: Куканов в своей повести "У истоков грядущего" описывает применение молока в качестве чернил для написания тайных сообщений. Впрочем, царская охранка тоже знала об этом методе (в архиве хранится документ, в котором описан способ использования симпатических чернил и приведен текст перехваченного тайного сообщения революционеров).

Особое место в истории стеганографии занимают фотографические микроточки. Да, те самые микроточки, которые сводили с ума спецслужбы США во время второй мировой войны. Однако микроточки появились намного раньше, сразу же после изобретения Дагером фотографического процесса, и впервые в военном деле были использованы во времена франко-прусской войны (в 1870 году).

В настоящее время можно выделить три тесно связанных между собой и имеющих одни корни направления приложения стеганографии: сокрытие данных (сообщений), цифровые водяные знаки и заголовки. Сокрытие внедряемых данных, которые в большинстве случаев имеют большой объем, предъявляет серьезные требования к контейнеру: размер контейнера в несколько раз должен превышать размер встраиваемых данных.

Цифровые водяные знаки используются для защиты авторских или имущественных прав на цифровые изображения, фотографии или другие оцифрованные произведения искусства. Основными требованиями, которые предъявляются к таким встроенным данным, являются надежность и устойчивость к искажениям. Цифровые водяные знаки имеют небольшой объем, однако, с учетом указанных выше требований, для их встраивания используются более сложные методы, чем для встраивания просто сообщений или заголовков.

Третье приложение, заголовки, используется в основном для маркирования изображений в больших электронных хранилищах (библиотеках) цифровых изображений, аудио- и видеофайлов. В данном случае стеганографические методы используются не только для внедрения идентифицирующего заголовка, но и иных индивидуальных признаков файла. Внедряемые заголовки имеют небольшой объем, а предъявляемые к ним требования минимальны: заголовки должны вносить незначительные искажения и быть устойчивы к основным геометрическим преобразованиям.

В настоящее время наиболее распространенным, но наименее стойким является метод замены наименьших значащих битов или LSB-метод. Он заключается в использовании погрешности дискретизации, которая всегда существует в оцифрованных изображениях или аудио- и видеофайлах. Данная погрешность равна наименьшему значащему разряду числа, определяющему величину цветовой составляющей элемента изображения (пикселя). Поэтому модификация младших битов в большинстве случаев не вызывает значительной трансформации изображения и не обнаруживается визуально.

Другим популярным методом встраивания сообщений является использование особенностей форматов данных, использующих сжатие с потерей данных (например JPEG). Этот метод (в отличии от LSB) более стоек к геометрическим преобразованиям и обнаружению канала передачи, так как имеется возможность в широком диапазоне варьировать качество сжатого изображения, что делает невозможным определение происхождения искажения.

В большинстве стеганографических программ, которые при желании не трудно найти в Интернете, в качестве файлов-контейнеров используются графические и звуковые файлы. По многим показателям это наилучший выбор. Рисунки или фотографии легко доступны, могут иметь самый разный размер, и пересылка их по почте не вызывает больших подозрений.

По сути компьютерная стеганография базируется на двух принципах. Первый заключается в том, что файлы, содержащие оцифрованное изображение или звук, могут быть до некоторой степени видоизменены без потери функциональности, в отличие от других типов данных, требующих абсолютной точности. Второй принцип состоит в неспособности органов чувств человека различить незначительные изменения в цвете изображения или качестве звука, что особенно легко использовать применительно объекту, несущему избыточную информацию, будь то 16-битный звук, 8-битное или еще лучше 24-битное изображение. Если речь идет об изображении, то изменение значений наименее важных битов, отвечающих за цвет пиксела, не приводит к сколь-нибудь заметному для человека изменению цвета.

Наиболее известной утилитой, умеющей прятать информацию в рисунках и звуках, является программа Энди Брауна S-Tools. Она умеет работать с графическими файлами с расширением gif и bmр, и со звуковыми в формате wav. Во все три формата S-Tools может прятать абсолютно любые файлы, главное только, что бы они были не слишком большими. Размер сообщения обычно должен быть в десять раз меньше файла-контейнера, а лучше еще меньше. При этом S-Tools - это стеганография и криптография "в одном флаконе", потому что файл, подлежащий сокрытию, еще и шифруется с помощью одного из криптографических алгоритмов с симметричным ключом: DES (времена которого прошли), тройной DES или IDEA - два последних на сегодня вполне заслуживают доверия.

Интерфейс S-Tools построен на простом перетаскивании файлов (файл-носитель перетаскивается в окно программы, затем в этот файл перетаскивается файл с данными любого формата), вводится пароль, выбирается алгоритм шифрования, и сразу можно видеть, как меняется, а точнее, почти не меняется (меняются лишь кое-где оттенки цвета), файл-контейнер, в который помещается скрываемая информация. Контейнер не увеличивается в размерах, и аккуратная программа даже не меняет дату его создания. Для большей безопасности следует использовать неизвестные широкой публике изображения, изменения в которых не бросятся в глаза с первого взгляда, а также изображения с большим количеством полутонов и оттенков.

2.3.1 Базовые принципы компьютерной стеганографии

Компьютерные технологии придали новый импульс развитию и совершенствованию стеганографии, появилось новое направление в области защиты информации - компьютерная стеганография.

Компьютерная стеганография - это сокрытие сообщения или файла в другом сообщении или файле.

Контейнер + скрываемое сообщение + стегоключ = стегоконтейнер

Контейнер - любая информация, предназначенная для сокрытия тайных сообщений.

Скрываемое (встраиваемое) сообщение - тайное сообщение, встраиваемое в контейнер.

Стегоключ - секретный ключ, необходимый для скрытия (шифрования) информации.

В зависимости от количества уровней защиты (например, встраивание предварительно зашифрованного сообщения) в стегосистеме может быть один или несколько стегоключей.

Стегоконтейнер - контейнер, содержащий встроенное сообщение.

Стеганографический канал (стегоканал) - канал скрытой передачи информации Скрытая утечка информации. Вячеслав Овсянников. URL: http://old.cio-world.ru/bsolutions/e-safety/28763/..

При построении стегосистемы мы должны учитываться следующие положения:

1. Противник имеет полное представление о стеганографической системе и деталях ее реализации. Единственной информацией, которая остается неизвестной потенциальному противнику, является ключ, с помощью которого только его держатель может установить факт присутствия и содержание скрытого сообщения.

2. Если противник каким-то образом узнает о факте существования скрытого сообщения, это не должно позволить ему извлечь подобные сообщения в других данных до тех пор, пока ключ хранится в тайне.

3. Потенциальный противник должен быть лишен каких-либо технических и иных преимуществ в распознавании или раскрытии содержания тайных сообщений Основные положения стеганографии Генне О.В. URL: http://citforum.ru/internet/securities/stegano.shtml..

В методах суррогатной стеганографии отсутствует возможность выбора контейнера и для сокрытия сообщения выбирается первый попавшийся контейнер, зачастую не совсем подходящий к встраиваемому сообщению. В этом случае, биты контейнера заменяются битами скрываемого сообщения таким образом, чтобы это изменение не было заметным. Основным недостатком метода является то, он позволяет скрывать лишь незначительное количество данных.

В методах селективной стеганографии предполагается, что спрятанное сообщение должно воспроизводить специальные статистические характеристики шума контейнера.

Для этого генерируют большое число альтернативных контейнеров, чтобы затем выбрать наиболее подходящий из них для конкретного сообщения. Частным случаем такого подхода является вычисление некоторой хеш-функция для каждого контейнера. При этом для сокрытия сообщения выбирается тот контейнер, хеш-функции которого совпадает со значением хеш-функции сообщения.

В методах конструирующей стеганографии контейнер генерируется самой стегосистемой. Здесь может быть несколько вариантов реализации. Так, например, шум контейнера может моделироваться скрываемым сообщением.

Это реализуется с помощью процедур, которые не только кодируют скрываемое сообщение под шум, но и сохраняют модель первоначального шума. В предельном случае по модели шума может строиться целое сообщение.

Примерами могут служить метод, который реализован в программе MandelSteg, где в качестве контейнера для встраивания сообщения генерируется фрактал Мандельброта, или же аппарат функций имитации Все о хакерах и компьютерной безопасности. URL: http://metalwarrior.narod.ru/q2news104.htm..

2.3.2 Основные программы стеганографии

S-Tools 4.0 - Программа для скрытия данных от посторонних глаз. Работает без инсталляции. Использует метод стеганографии - данные прячутся в файлах графики (BMP или GIF) или музыкальном WAV-файле, которые внешне не отличаются от аналогичных файлов, не несущих спрятанной информации (картинку можно посмотреть, музыку можно послушать).

Дело в том, что оцифрованные файлы (те же *.bmp или *.wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны). Кроме этого, программа позволяет не только спрятать информацию во внешне ничем не примечательном файле, но и зашифровать ее Softsearch. URL: http://softsearch.ru/programs/133-068-s-tools-download.shtml..

Steganos Privacy Suite - (раньше называлась Security Suite) - cамая известная из программ, использующих стеганографию - способ шифрования данных, который скрывает сам факт шифрования. Для этого зашифрованные данные "прячутся" в файлах графики, или музыкальном файле, которые внешне ничем не отличаются от аналогичных файлов, не несущих зашифрованной информации - картинку можно посмотреть, музыку можно послушать.

Дело в том, что оцифрованные файлы (те же *.bmp или *.wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны).

От аналогичных программ Steganos Security Suite выгодно отличается способностью скрывать данные не только в файлах форматов wav и bmp, но и в html и даже в обычных текстовых.

Не будет лишней и имеющаяся функция удаления файлов без возможности их восстановить. Кроме этого, программа поддерживает 256-битное шифрование по стандарту AES, удаление всех следов нахождения в Интернете, имеет модуль шифрования почты, позволяющий вести шифрованную переписку, а также менеджер паролей. Имеется и такая полезная опция, как блокирование компьютера от посторонних Softodrom. URL: http://soft.softodrom.ru/ap/Steganos-Privacy-Suite-p901..

2.4 Защита информации от несанкционированного доступа

Несанкционированный доступ к информации (НСД) - это доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.

Говорить о надежной защите объекта можно только при реализации системного подхода, то есть комплексного применения всех имеющихся в нашем арсенале методов и средств защиты информации от несанкционированного доступа:

1. Защита компьютера от физического доступа.

2. Защита компьютера от НСД по сети и организация VPN.

3. Шифрование файлов по требованию.

4. Автоматическое шифрование логических дисков компьютера.

5. Проверка ЭЦП.

6. Защита сообщений электронной почты.

Наиболее надежное решение проблемы ограничения физического доступа к компьютеру - использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками».

При входе замок запрашивает у пользователя носитель с ключевой информацией, необходимой для его аутентификации. Если информация не предоставляется или пользователь не является пользователем защищаемой рабочей станции, замок блокирует загрузку ОС.

Если аутентификация пользователя прошла успешно, но при загрузке была нарушена целостность хотя бы одного файла из списка контролируемых, загрузка блокируется. При успешном прохождении всех проверок замок возвращает управление рабочей станции для загрузки штатной ОС.

Настройка «электронного замка» включает в себя следующие действия:

1. Создание списка пользователей, которым разрешен доступ на защищаемый компьютер.

Для каждого пользователя формируется ключевой носитель, по которому будет производиться аутентификация пользователя при входе. Список пользователей сохраняется в энергонезависимой памяти замка;

2. Формирование списка файлов, целостность которых контролируется замком перед загрузкой операционной системы компьютера. Контролю подлежат важные файлы операционной системы, например, следующие:

· системные библиотеки Windows;

· исполняемые модули используемых приложений;

· шаблоны документов Microsoft Word и т. д.

При использовании электронных замков существует ряд проблем, в частности:

1. BIOS некоторых современных компьютеров может быть настроен таким образом, что управление при загрузке не передается BIOS'у замка. Для противодействия подобным настройкам замок должен иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset) в случае, если в течение определенного интервала времени после включения питания замок не получил управление.

2. Злоумышленник может просто вытащить замок из компьютера.

Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN - Virtual Private Network) и межсетевое экранирование.