Головна  /  поломки  /  Що таке криптографічні засоби. Порівняння засобів шифрування

Що таке криптографічні засоби. Порівняння засобів шифрування

поломки
19.09.2020

Про ввезення
на митну територію Євразійського
економічного союзу і вивезенні з митної
території Євразійського економічного союзу
шифрувальних (криптографічних) коштів

перелік
категорій товарів, які є шифрувальними (криптографічними) засобами або містять в своєму складі шифрувальні (криптографічні) кошти, технічні та криптографічні характеристики яких підлягають нотифікації

1. Товари, що містять в своєму складі шифрувальні (криптографічні) кошти, які мають одну з наступних складових:

1) симетричний криптографічний алгоритм, який використовує криптографічний ключ довжиною, що не перевищує 56 біт;

2) асиметричний криптографічний алгоритм, заснований на будь-якому з наступних методів:

розкладання на множники цілих чисел, розмір яких не перевищує 512 біт;

обчислення дискретних логарифмів в мультиплікативної групі кінцевого поля, розмір якого не перевищує 512 біт;

дискретний логарифм в групі кінцевого поля, відмінного від поля, зазначеного в абзаці третьому цього підпункту, розмір якого не перевищує 112 біт.

Примітки: 1. Біти парності не включаються в довжину ключа.

2. Термін "криптографія" не відноситься до фіксованих методам стиснення або кодування даних.

2. Товари, що містять шифрувальні (криптографічні) кошти, що мають такі обмеженими функціями:

1) аутентифікація, що включає в себе всі аспекти контролю доступу, де немає шифрування файлів або текстів, за винятком шифрування, яке безпосередньо пов'язане із захистом паролів, персональних ідентифікаційних номерів або подібних даних для захисту від несанкціонованого доступу;

Примітка. Функції аутентифікації та електронного цифрового підпису (електронний підпис) включають в себе пов'язану з ними функцію розподілу ключів.

3. шифрувальних (криптографічних) кошти, які є компонентами програмних операційних систем, криптографічні можливості яких не можуть бути змінені користувачами, які розроблені для установки користувачем самостійно без подальшої суттєвої підтримки постачальником і технічна документація (опис алгоритмів криптографічних перетворень, протоколи взаємодії, опис інтерфейсів і т . д.) на які є доступною користувачеві.

4. Персональні смарт-карти (інтелектуальні карти):

1) криптографічні можливості яких обмежені їх використанням в категоріях товарів (продукції), зазначених у пунктах 5 - 8 цього переліку;

2) для широкого загальнодоступного застосування, криптографічні можливості яких не доступні користувачеві і які в результаті спеціальної розробки мають обмежені можливості захисту що зберігається на них персональної інформації.

Примітка. Якщо персональна смарт-карта (інтелектуальна карта) може здійснювати кілька функцій, контрольний статус кожної з функцій визначається окремо.

5. Приймальна апаратура для радіомовлення, комерційного телебачення або аналогічна комерційна апаратура для мовлення на обмежену аудиторію без шифрування цифрового сигналу, крім випадків використання шифрування виключно для управління відео- або аудіоканалів, відправлення рахунків або повернення пов'язаної з програмою інформації провайдерам мовлення.

6. Обладнання, криптографічні можливості якого не доступні користувачеві, спеціально розроблене та обмежене для застосування будь-яким з наступних способів:

1) програмне забезпечення виконано в захищеному від копіювання вигляді;

2) доступом до будь-якого з наступного:

захищеному від копіювання вмісту, що зберігається тільки на доступному для читання електронному носії інформації;

інформації, що зберігається в зашифрованій формі на електронних носіях інформації, які пропонуються на продаж населенню в ідентичних наборах;

3) контроль копіювання аудіо- та відеоінформації, захищеної авторськими правами.

7. шифрувальних (криптографічне) обладнання, спеціально розроблене та обмежене застосуванням для банківських або фінансових операцій.

Примітка. Фінансові операції включають в себе в тому числі збори і оплату за транспортні послуги і кредитування.

8. Портативні або мобільні радіоелектронні засоби цивільного призначення (наприклад, для використання в комерційних цивільних системах стільникового радіозв'язку), які не здатні до наскрізного шифрування (від абонента до абонента).

9. Бездротове радіоелектронне обладнання, що здійснює шифрування інформації тільки в радіоканалі з максимальною дальністю бездротового дії без посилення і ретрансляції менш 400 м відповідно до технічних умов виробника.

10. шифрувальних (криптографічних) засоби, що використовуються для захисту технологічних каналів інформаційно-телекомунікаційних систем і мереж зв'язку.

11. Товари, криптографічний функція яких заблоковано виробником.

12. Інші товари, які містять шифрувальні (криптографічні) кошти, відмінні від зазначених у пунктах 1 - 11 цього переліку, і відповідають наступним критеріям:

1) загальнодоступні для продажу населенню відповідно до законодавства держави - члена Євразійського економічного союзу без обмежень з наявного в наявності асортименту в місцях роздрібного продажу за допомогою будь-якого з наступного:

продажу за готівкові;

продажу шляхом замовлення товарів поштою;

електронних угод;

продажу по телефонним замовленням;

2) шифрувальні (криптографічні) функціональні можливості яких не можуть бути змінені користувачем простим способом;

3) розроблені для установки користувачем без подальшої суттєвої підтримки постачальником;

4) технічна документація, що підтверджує, що товари відповідають вимогам підпунктів 1 - 3 цього пункту, розміщена виробником у вільному доступі і представляється при необхідності виробником (особою, ним уповноваженою) згода органів за його запитом.

Криптографічні засоби забезпечення інформаційної безпеки засновані на використанні принципів шифрування даних.

шифрування- це оборотне перетворення інформації з метою приховування від неавторизованих осіб, із збереженням доступу до даних для авторизованих користувачів.

Шифрування використовується:

  • для приховування інформації від неавторизованих користувачів при передачі, зберіганні та попередження податкових змін;
  • аутентифікації джерела даних і запобігання відмови відправника інформації від факту відправки;
  • конфіденційності інформації, що передається, т. е. її доступності тільки для авторизованих користувачів, які володіють певним автентичним (дійсним, справжнім) ключем.

Таким чином, за допомогою шифрування забезпечуються обов'язкові категорії ІБ: конфіденційність, цілісність, доступність та ідентифікуються.

Шифрування реалізується двома процесами перетворення даних - Зашифровки і розшифровкою з використанням ключа. Згідно ГОСТ 28147-89 «Системи обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення », ключ-це конкретне секретне стан деяких параметрів алгоритму криптографічного перетворення, що забезпечує вибір одного перетворення з сукупності всіляких для даного алгоритму перетворень.

ключ шифрування- це унікальний елемент для зміни результатів роботи алгоритму шифрування: одні й ті ж вихідні дані при використанні різних ключів будуть зашифровані по-різному.

Для розшифровки зашифрованою інформацією приймаючій стороні необхідні ключ і дешифратор - пристрій, що реалізує розшифровку даних. Залежно від кількості ключів, використовуваних для процесів шифрування, розрізняють два методи шифрування:

  • симетричне - використання одного і того ж ключа і для шифрування і для розшифровки даних;
  • асиметричне - використовуються два різних ключа: один для шифрування (відкритий), інший для розшифрування (закритий).

Процедури перетворення даних з використанням ключа є алгоритм шифрування. Найбільш популярними в даний час є такі криптостійкі алгоритми шифрування, описані в державних стандартах: ГОСТ 28147-89 (Росія), AES (Advanced Encryption Standard, США) і RSA (США). Проте, не дивлячись на високу складність зазначених алгоритмів шифрування, будь-який з них може бути зламаний шляхом перебору всіх можливих варіантів ключів.

Поняття «шифрування» є базовим для іншого криптографічного засобу забезпечення ІБ - цифрового сертифікату.

цифровий сертифікат- це випущений підтверджуючий центр (центром сертифікації) електронний або друкований документ, що підтверджує приналежність власнику відкритого ключа або будь-яких атрибутів.

Цифровий сертифікат складається з 2 ключів: публічного (public) І приватного (private). Public-частина використовується для зашифровування трафіку від клієнта до сервера в захищеному з'єднанні, ^ пш ^ е-частина - для розшифрування отриманого від клієнта зашифрованого трафіку на сервері. Після генерації пари public / private на основі публічного ключа формується запит на сертифікат в Центр сертифікації. У відповідь центр сертифікації висилає підписаний цифровий сертифікат, при цьому перевіряючи справжність клієнта - власника сертифіката.

Центр сертифікації (що засвідчує центр, Certification authority, С А) - це сторона (відділ, організація), чия чесність незаперечна, а відкритий ключ широко відомий. Основне завдання центру сертифікації полягає в підтвердженні справжності ключів шифрування за допомогою цифрових сертифікатів (сертифікатів електронного підпису) шляхом:

  • надання послуг по посвідченню цифрових сертифікатів (сертифікатів електронного підпису);
  • обслуговування сертифікатів відкритих ключів;
  • отримання та перевірки інформації про відповідність даних, зазначених у сертифікаті ключа і пред'явленими документами.

Технічно центр сертифікації реалізований як компонент глобальної служби каталогів, що відповідає за управління криптографічними ключами користувачів. Відкриті ключі та інша інформація про користувачів зберігається засвідчують центрами у вигляді цифрових сертифікатів.

Основним засобом забезпечення ІБ електронних документів в сучасних ІС є їх захист за допомогою електронної (електронного цифрового) підписи.

Електронний підпис (ЕП)- реквізит електронного документа, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа, що дозволяє встановити відсутність спотворення даних з моменту формування підпису та перевірити приналежність підпису власникові цифрового сертифікату (сертифіката ключа ЕП).

Електронний підпис призначена для ідентифікації особи, яка підписала електронний документ, і є повноцінною заміною (аналогом) власноручного підпису у випадках, передбачених законом. Використання ЕП дозволяє здійснити:

  • контроль цілісності переданого документа: при будь-якому випадковому або навмисному зміні документа підпис стане недійсним, оскільки обчислена на підставі вихідного стану документа і відповідає лише йому;
  • захист від змін (підроблення) документа завдяки гарантії виявлення підробки при контролі цілісності даних;
  • доказове підтвердження авторства документа, оскільки закритий ключ ЕП відомий лише власнику відповідного цифрового сертифікату (можуть бути підписані поля: «автор», «внесені зміни», «мітка часу» і т. д.).

Оскільки реалізація ЕП заснована на застосуванні принципів шифрування даних, розрізняють два варіанти побудови ЕП:

  • на основі алгоритмів симетричного шифрування, що передбачає наявність у системі третьої особи (арбітра), якому довіряють обидві сторони. Авторизацією документа є сам факт зашифровуваної його секретним ключем і передача його арбітра;
  • на основі алгоритмів асиметричного шифрування - найбільш поширені в сучасних ІС: схеми, засновані на алгоритмі шифрування RSA (Full Domain Hash, Probabilistic Signature Scheme, PKCS # 1), Ель-Гамаля, Шнорра, Діффі-Хельмана, Pointcheval-Stem signature algorithm, імовірнісна схема підпису Рабина, Boneh-Lynn- Shacham, Goldwasser-Micali-Rivest, схеми на основі апарату еліптичних кривих ECDSA, національні криптографічні стандарти: ГОСТ Р 34.10-2012 (Росія), ДСТУ 4145-2002 (Україна), СТБ 1176.2-99 ( Білорусія), DSA (США).

На даний момент головним вітчизняним стандартом, який регламентує поняття ЕП є ГОСТ Р 34.10-2012 «Інформаційна технологія. Криптографічний захист інформації. Процеси формування та перевірки електронного цифрового підпису ».

Як правило, реалізація ЕП в ІС виконується включенням до їх складу спеціальних модульних компонент, що містять сертифіковані засоби криптографічного захисту даних: КріптоПро CSP, сигналки CSP, Верба OW, Домен-К, Авест, Генка і інші, сертифіковані ФАПСИ (Федеральне агентство урядового зв'язку та інформації при Президентові Російської Федерації) і задовольняють специфікації Microsoft Crypto API.

Microsoft CryptoAPI є інтерфейс програмування Windows-додатків, який містить стандартний набір функцій для роботи з криптопровайдером. Входить до складу операційних систем Microsoft Windows (починаючи з 2000 р).

CryptoAPI дозволяє шифрувати і розшифровувати дані, підтримує роботу з асиметричними і симетричними ключами, а також цифровими сертифікатами. Набір підтримуваних криптографічних алгоритмів залежить від конкретного криптопровайдера.

Криптопровайдер (Cryptography Service Provider, CSP) - це незалежний модуль для здійснення криптографічних операцій в операційних системах Microsoft під управлінням функцій CryptoAPI. Таким чином, крипто провайдер є посередником між операційною системою, яка може керувати ним за допомогою стандартних функцій CryptoAPI, і виконавцем криптографічних операцій, наприклад прикладної ІС або апаратним забезпеченням.

Згідно із законодавством ЄАЕС, шифрувальні (криптографічні) кошти (Далі - ШКС) - це " апаратні, програмні та апаратно-програмні засоби, системи і комплекси, що реалізують алгоритми криптографічного перетворення інформації і призначені для захисту інформації від несанкціонованого доступу при її передачі по каналах зв'язку і (або) при її обробці і зберіганні” .

Дане визначення досить абстрактно, в зв'язку з чим віднесення або невіднесення конкретного товару до ШКС може викликати істотні ускладнення.

Список товарів, що відносяться до ШКС

У Положенні про ввезення (вивезення) ШКС наведено список функцій (компонентів), які повинен містити товар, щоб він міг вважатися ШКС:

  • кошти імітозащіти
  • засоби електронного цифрового підпису
  • засоби кодування
  • засоби виготовлення криптографічних ключів
  • самі криптографічні ключі
  • системи, обладнання та компоненти, розроблені або модифіковані для виконання крипто-аналітичних функцій
  • системи, обладнання та компоненти, розроблені або модифіковані для застосування криптографічних методів генерації розширюється коду для систем з ширшим спектром, включаючи стрибкоподібну перебудову кодів для систем зі стрибкоподібною перебудовою частоти
  • системи, обладнання та компоненти, розроблені або модифіковані для застосування криптографічних методів формування каналів або засекречувати кодів для модульованих за часом надширокосмугових систем.

Однак, на практиці нерідко виникає ситуація, що митні органи, керуючись переліком з розділу 2.19 (і навіть тільки кодом ТН ЗЕД з переліку), можуть вирішити, що ввозиться продукт є шифрувальним засобом (і неважливо, чи є там шифрування насправді чи ні ). В цьому випадку імпортеру доведеться отримувати дозвільні документи або доводити митниці, що в товарі відсутній шифрування.

Процедура імпорту (експорту) ШКС

Залежно від митної процедури для ввезення (вивезення) ШКС необхідно оформити різні види документів:

12 категорій ШКС

На практиці переважна більшість товарів з функцією шифрування ввозяться на підставі нотифікації.

Нотифікація може зареєстрована тільки на товари, що відносяться до однієї або декількох з 12 категорій шифрувальних засобів, технічні та криптографічні характеристики яких підлягають нотифікації. Даний перелік наведено у Положенні про нотифікації.

Категорія №1

1. Товари, що містять в своєму складі шифрувальні (криптографічні) кошти, які мають одну з наступних складових: 1) симетричний криптографічний алгоритм, який використовує криптографічний ключ довжиною, що не перевищує 56 біт; 2) асиметричний криптографічний алгоритм, заснований на будь-якому з наступних методів: розкладання на множники цілих чисел, розмір яких не перевищує 512 біт; обчислення дискретних логарифмів в мультиплікативної групі кінцевого поля, розмір якого не перевищує 512 біт; дискретний логарифм в групі кінцевого поля, відмінного від поля, зазначеного в абзаці третьому цього підпункту, розмір якого не перевищує 112 біт.

ШКС даної категорії виконуються різні криптографічні функції, але визначальним фактором віднесення до даної категорії є довжина криптографічного ключа. Зазначені довжини ключів істотно менше рекомендованих мінімальних значень для відповідних груп алгоритмів. Використання таких коротких криптографічних ключів робить можливим на сучасному обладнанні розтин зашифрованих повідомлень методом повного перебору.

симетричне шифрування в основному використовується для забезпечення конфіденційності даних, і засноване на тому, що відправник і одержувач інформації використовують один і той же ключ як для шифрування повідомлень, так і для їх розшифровки. Цей ключ повинен зберігатися в таємниці і передаватися способом, що виключає його перехоплення. Приклади симетричних алгоритмів шифрування: RC4, DES, AES.

З перерахованих алгоритмів тільки DES (вважається застарілим) безумовно потрапляє в категорію 1; також алгоритм RC4 іноді може використовуватися з короткими ключами (наприклад, в протоколі WEP технології зв'язку Wi-Fi: довжина ключа 40 або 128 біт).

В асиметричних алгоритмах шифрування (Або криптографії з відкритим ключем) для зашифровування інформації використовують один ключ (відкритий), а для розшифрування - інший (секретний). Дані алгоритми широко використовуються для встановлення захищених з'єднань по відкритих каналах зв'язку, для цілей ЕЦП. Приклади алгоритмів: RSA, DSA, Протокол Діффі - Хеллмана, ГОСТ Р 34.10-2012.

зазначені методи відносяться до математичної базі функціонування асиметричних алгоритмів:

  • розкладання на множники цілих чисел - алгоритм RSA
  • обчислення дискретних логарифмів в мультиплікативної групі кінцевого поля - алгоритми DSA, Діффі-Хеллмана, Ель-Гамаля
  • дискретний логарифм в групі кінцевого поля, відмінного від поля, зазначеного в абзаці третьому цього підпункту - алгоритми на еліптичних кривих: ECDSA, ECDH, ГОСТ Р 34.10-2012.

Приклади нотіфіціруемих ШКС: теоретично будь-який товар може використовувати застарілі алгоритми, або короткі ключі в сучасних алгоритмах. На практиці, однак, це має мало сенсу, тому що не забезпечує достатній рівень захисту. Одним з реальних прикладів може бути Wi-Fi в режимі WEP з ключем довжини 40 біт.

Категорія №2

2. Товари, що містять шифрувальні (криптографічні) кошти, що мають такі обмеженими функціями: 1) аутентифікація, що включає в себе всі аспекти контролю доступу, де немає шифрування файлів або текстів, за винятком шифрування, яке безпосередньо пов'язане із захистом паролів, персональних ідентифікаційних номерів або подібних даних для захисту від несанкціонованого доступу;

Перевірка автентичності користувача в рамках даної категорії передбачає порівняння введеного їм пароля або інших аналогічних ідентифікують даних з інформацією, збереженою в базі даних авторизованих користувачів, а сам процес шифрування полягає в захисту секретних даних користувача від копіювання та незаконного використання при їх передачі від об'єкта аутентифікації (користувача) контролюючому пристрою.

Приклади нотіфіціруемих ШКС: пристрою систем контролю і управління доступом - зчитувачі паролів, пристрої для зберігання і формування баз даних авторизованих користувачів, мережеві пристрої аутентифікації - шлюзи, роутери, маршрутизатори і т.д., пристрої із захистом інформації, що зберігаються на них - жорсткі диски з функцією парольного обмеження доступу.

2) електронний цифровий підпис (електронний підпис).

Процес підписи реалізується шляхом криптографічного перетворення інформації з використанням закритого ключа підпису і дозволяє перевірити відсутність спотворення інформації в електронному документі з моменту формування підпису (цілісність), приналежність підпису власникові сертифіката ключа підпису (авторство), а в разі успішної перевірки підтвердити факт підписання електронного документа (неспростовності).

Приклади нотіфіціруемих ШКС: генератори ЕЦП, програмне забезпечення для супроводу і реалізації механізму застосування ЕЦП, пристрої зберігання ключової інформації ЕЦП.

Категорія №3

3. шифрувальних (криптографічних) кошти, які є компонентами програмних операційних систем, криптографічні можливості яких не можуть бути змінені користувачами, які розроблені для установки користувачем самостійно без подальшої суттєвої підтримки постачальником і технічна документація (опис алгоритмів криптографічних перетворень, протоколи взаємодії, опис інтерфейсів і т . Д.) на які є доступною користувачеві.

Операційна система це комплекс взаємопов'язаних програм, призначених для управління ресурсами комп'ютера та організації взаємодії з користувачем.

Приклади нотіфіціруемих ШКС: операційні системи і програмні комплекси на їх основі.

Категорія №4

4. Персональні смарт-карти (інтелектуальні карти): 1) криптографічні можливості яких обмежені їх використанням в категоріях товарів (продукції), зазначених у пунктах 5 - 8 цього переліку; 2) для широкого загальнодоступного застосування, криптографічні можливості яких не доступні користувачеві і які в результаті спеціальної розробки мають обмежені можливості захисту що зберігається на них персональної інформації.

Смарт-карти це пластикові карти з вбудованою мікросхемою. У більшості випадків смарт-карти містять мікропроцесор і операційну систему, що управляє пристроєм і контролюючу доступ до об'єктів в його пам'яті.

Приклади нотіфіціруемих ШКС: SIM-карти доступу до послуг мобільних операторів, банківські картки, оснащені чіпом-мікропроцесором, інтелектуальні карти ідентифікації її власника.

Категорія №5

5. Приймальна апаратура для радіомовлення, комерційного телебачення або аналогічна комерційна апаратура для мовлення на обмежену аудиторію без шифрування цифрового сигналу, крім випадків використання шифрування виключно для управління відео- або аудіоканалів, відправлення рахунків або повернення пов'язаної з програмою інформації провайдерам мовлення.

Дана категорія належить до товарів, призначених для надання користувачу доступу до платних кодованим цифровим супутниковим, ефірним і кабельним телеканалам і радіостанціям (радіоканалах) (приклади стандартів: DVB-CPCM, DVB-CSA).

Приклади нотіфіціруемих ШКС: TV-тюнери, приймачі телесигналів, супутникові телеприймачі.

Категорія №6

6. Обладнання, криптографічні можливості якого не доступні користувачеві, спеціально розроблене та обмежене для застосування будь-яким з наступних способів: 1) програмне забезпечення виконано в захищеному від копіювання вигляді; 2) доступом до будь-якого з наступного: захищеному від копіювання вмісту, що зберігається тільки на доступному для читання електронному носії інформації; інформації, що зберігається в зашифрованій формі на електронних носіях інформації, які пропонуються на продаж населенню в ідентичних наборах; 3) контроль копіювання аудіо- та відеоінформації, захищеної авторськими правами.

Приклади нотіфіціруемих ШКС: Ігрові консолі, ігри, програмне забезпечення і т.п.

Категорія №7

7. шифрувальних (криптографічне) обладнання, спеціально розроблене та обмежене застосуванням для банківських або фінансових операцій.

Товари даної категорії повинні бути апаратним пристроєм, тобто мати закінчений вигляд банківського обладнання, застосування якого не передбачає додаткової збірки або доопрацювання за винятком цілей модернізації.

Приклади нотіфіціруемих ШКС: Банкомати, платіжні термінали, пін-пади (банківські карти відносять до категорії №4).

Категорія №8

8. Портативні або мобільні радіоелектронні засоби цивільного призначення (наприклад, для використання в комерційних цивільних системах стільникового радіозв'язку), які не здатні до наскрізного шифрування (від абонента до абонента).

До цієї категорії віднесені всі пристрої мобільного стільникового зв'язку, що працюють в стандартах GSM, GPRS, EDGE, UMTS, LTE, а також деякі радіостанції. Головною вимогою до товарів даної категорії в області виконуваного функціоналу - відсутність здатності до наскрізного шифрування, Тобто зв'язок між абонентами повинна здійснюватися через пристрій ретрансляції.

Приклади нотіфіціруемих ШКС: Мобільні пристрої зв'язку і пристрої, що мають в своєму складі модулі стільникового зв'язку вищевказаних стандартів, радіостанції.

Категорія №9

9. Бездротове радіоелектронне обладнання, що здійснює шифрування інформації тільки в радіоканалі з максимальною дальністю бездротового дії без посилення і ретрансляції менш 400 м відповідно до технічних умов виробника.

Так само як більшість пристроїв, які інакше можна назвати як «Радіоелектронні засоби малого радіусу дії». Шифрування відбувається при передачі / прийому інформації по бездротовому радіоканалу з метою її захисту від перехоплення, проникнення несанкціонованих користувачів в мережу зв'язку. Як відомо, такий захист підтримує більшість бездротових стандартів передачі даних: Wi-Fi, Bluetooth, NFC, іноді RFID.

Приклади нотіфіціруемих ШКС: роутери, точки доступу, модеми, пристрої, що містять в своєму складі модулі бездротового радіозв'язку ближнього радіусу дії, безконтактні карти доступу / оплати / ідентифікації.

Категорія №10

10. шифрувальних (криптографічних) засоби, що використовуються для захисту технологічних каналів інформаційно-телекомунікаційних систем і мереж зв'язку.

Дана категорія описує товари, які є мережевими пристроями, що виконують комутаційні і сервісні функції. Як правило більшість даних пристроїв підтримують прості мережеві протоколи управління, що дозволяють здійснювати моніторинг стану мережі, її продуктивність, а також направляти команди адміністратора мережі в її різні вузли.

Приклади нотіфіціруемих ШКС: Сервери, комутатори, мережеві платформи, шлюзи.

Категорія №11

11. Товари, криптографічний функція яких заблоковано виробником.

Дана категорія може бути представлена \u200b\u200bабсолютно різними типами пристроїв різних призначень і області застосування. Вирішальним фактором віднесення таких товарів до категорії №11 є наявність встановленого програмного або апаратного забезпечення, Яке виробляє цілеспрямовану блокування виконуваних товаром криптографічних функцій.

Категорія №12

12. Інші товари, які містять шифрувальні (криптографічні) кошти, відмінні від зазначених у пунктах 1 - 11 цього переліку, і відповідають наступним критеріям: 1) загальнодоступні для продажу населенню відповідно до законодавства держави - члена Євразійського економічного союзу без обмежень з наявного в наявності асортименту в місцях роздрібного продажу за допомогою будь-якого з наступного: продажу за готівкові; продажу шляхом замовлення товарів поштою; електронних угод; продажу по телефонним замовленням; 2) шифрувальні (криптографічні) функціональні можливості яких не можуть бути змінені користувачем простим способом; 3) розроблені для установки користувачем без подальшої суттєвої підтримки постачальником; 4) технічна документація, що підтверджує, що товари відповідають вимогам підпунктів 1 - 3 цього пункту, розміщена виробником у вільному доступі і представляється при необхідності виробником (особою, ним уповноваженою) згода органів за його запитом.

Варто відзначити, що на практиці ЦЛСЗ ФСБ Росії висуває підвищені вимоги до подання матеріалів для реєстрації нотифікацій на товари даної категорії. Так, всі перераховані критерії повинні бути підтверджені (посиланнями на сайт виробника з інформацією російською мовою або документально).

Найбільш поширені категорії ШКС

В Єдиному реєстрі для кожної нотифікації наводиться перелік категорій, до яких віднесено товар. Дана інформація закодована в поле "Ідентифікатор": Поле являє собою 12-значний код, при цьому, якщо товар відноситься до категорії з номером N зі списку вище, то на позиції N в коді буде стоять цифра 1, в іншому випадку - 0.

Наприклад, код 110000000110 говорить про те, що товар нотифікованими за категоріями №№ 1, 2, 10 та 11.

Цікаво подивитися на статистику використання різних категорій.

Як видно з діаграми, найбільш поширеними і часто зустрічаються криптографічними функціями в ШКС є шифрування даних в бездротовому радіоканалі малого радіусу дії (Wi-Fi, Bluetooth) - 27% від загального числа зареєстрованих ШКС, що логічно, враховуючи обсяг вироблених мобільних засобів зв'язку, персональних комп'ютерів та інших технічних пристроїв, оснащених модулями, що підтримують дані технології зв'язку.

Друге місце займають ШКС, що підтримують функції аутентифікації і здійснення контролю доступу до захищеної інформації - 19,5% . Дана тенденція також легко пояснюється підвищеними стандартами і запитами споживачів до захисту персональної інформації як на фізичних носіях (жорсткі диски, USB-флеш накопичувачі, сервери і т.п.), так і на мережевих (хмарні сховища, мережеві банки даних і т.п .). Додатково варто відзначити, що переважна більшість ШКС, використовувані в системах контролю і управління доступом (більш відомі як СКУД) також виконують криптографічний функціонал, що відноситься до категорії № 2.

Оскільки робота в мережі є невід'ємною частиною функціонування будь-якої інформаційної системи, то аспекти адміністрування даною мережею зв'язку реалізовані в мережевих пристроях управління. Безпека ж організованого цими пристроями інтерфейсу управління реалізована за допомогою застосування механізмів шифрування технологічних каналів зв'язку, що є підстава для категорирования такого роду ШКС по категорії №10, що є третьою за поширеністю - 16% .

Важливо також відзначити, що найменш поширені функції ШКС розподіляються за категоріями №5 (0,28% ), №12 (0,29% ) і №7 (0,62% ). Товари реалізують дані криптографічні функції є рідкісними і при проведенні реєстрації в ЦЛСЗ документація на них піддається більш докладного аналізу, тому що «Не поставлена \u200b\u200bна потік» і набори використовуваних криптографічних протоколів і алгоритмів можуть бути унікальні в кожному окремому випадку. Саме тому товарам даних категорій необхідно приділити максимальну увагу при складанні необхідних документів, оскільки в іншому випадку ризик відмови в реєстрації нотифікації вкрай великий.

Примітки

посилання

  • Електронний підпис (ЕЦП), - Єдиний портал Електронної підписи, - http://www.techportal.ru/glossary/identifikatsiya.html
  • Криптографічні методи захисту інформації, - Збірник лекцій з основ локальних мереж Національного відкритого Університету, - http://www.intuit.ru/studies/courses/16655/1300/lecture/25505?page\u003d2
  • Поняття операційної системи, - Матеріали порталу про операційні системи, - http://osys.ru/os/1/ponyatie_operatsionnoy_sistemy.shtml
  • Введення в SNMP, - Матеріали з мережевої безпеки, - http://network.xsp.ru/6_1.php

Термін "криптографія" походить від давньогрецьких слів «прихований» і «пишу». Словосполучення висловлює основне призначення криптографії - це захист і збереження таємниці переданої інформації. Захист інформації може відбуватися різними способами. Наприклад, шляхом обмеження фізичного доступу до даних, приховування каналу передачі, створення фізичних труднощів підключення до ліній зв'язку і т. Д.

мета криптографії

На відміну від традиційних способів тайнопису, криптографія передбачає повну доступність каналу передачі для зловмисників і забезпечує конфіденційність і автентичність відбитку інформації за допомогою алгоритмів шифрування, які роблять інформацію недоступною для стороннього прочитання. Сучасна система криптографічного захисту інформації (СКЗИ) - це програмно-апаратний комп'ютерний комплекс, що забезпечує захист інформації за такими основними параметрами.

  • Конфіденційність - неможливість прочитання інформації особами, які не мають відповідних прав доступу. Головним компонентом забезпечення конфіденційності в ЗКЗІ є ключ (key), що представляє собою унікальну буквено-числову комбінацію для доступу користувача в певний блок ЗКЗІ.
  • цілісність - неможливість несанкціонованих змін, таких як редагування і видалення інформації. Для цього до вихідної інформації додається надмірність у вигляді перевірочної комбінації, що обчислюється за криптографічним алгоритмом і залежить від ключа. Таким чином, без знання ключа додавання або зміна інформації стає неможливим.
  • аутентифікація - підтвердження достовірності інформації та сторін, її відправляють і отримують. Що передається по каналах зв'язку інформація повинна бути однозначно аутентифицироваться за змістом, часу створення і передачі, джерела і одержувача. Слід пам'ятати, що джерелом загроз може бути не тільки зловмисник, але і сторони, що беруть участь в обміні інформацією при недостатньому взаємній довірі. Для запобігання подібних ситуації ЗКЗІ використовує систему міток часу для неможливості повторної або зворотного відсилання інформації та зміни порядку її проходження.

  • авторство - підтвердження і неможливість відмови від дій, скоєних користувачем інформації. Найпоширенішим способом підтвердження автентичності є Система ЕЦП складається з двох алгоритмів: для створення підпису і для її перевірки. При інтенсивній роботі з ЕКЦ рекомендується використання програмних засвідчувальних центрів для створення і управління підписами. Такі центри можуть бути реалізовані як повністю незалежне від внутрішньої структури засіб ЗКЗІ. Що це означає для організації? Це означає, що всі операції з обробляються незалежними сертифікованими організаціями та підробка авторства практично неможлива.

алгоритми шифрування

На поточний момент серед ЗКЗІ переважають відкриті алгоритми шифрування з використанням симетричних і асиметричних ключів з довжиною, достатньою для забезпечення потрібної криптографічного складності. Найбільш поширені алгоритми:

  • симетричні ключі - російський Р-28147.89, AES, DES, RC4;
  • асиметричні ключі - RSA;
  • з використанням хеш-функцій - Р-34.11.94, MD4 / 5/6, SHA-1/2.

Багато країн мають свої національні стандарти В США використовується модифікований алгоритм AES з ключем довжиною 128-256 біт, а в РФ алгоритм електронних підписів Р-34.10.2001 і блоковий криптографічний алгоритм Р-28147.89 з 256-бітовим ключем. Деякі елементи національних криптографічних систем заборонені для експорту за межі країни, діяльність з розробки ЗКЗІ вимагає ліцензування.

Системи апаратної криптозахисту

Апаратні ЗКЗІ - це фізичні пристрої, що містять в собі програмне забезпечення для шифрування, записи і передачі інформації. Апарати шифрування можуть бути виконані у вигляді персональних пристроїв, таких як USB-шифратори ruToken і флеш-диски IronKey, плат розширення для персональних комп'ютерів, спеціалізованих мережевих комутаторів і маршрутизаторів, на основі яких можлива побудова повністю захищених комп'ютерних мереж.

Апаратні ЗКЗІ швидко встановлюються і працюють з високою швидкістю. Недоліки - висока, в порівнянні з програмними та програмно-апаратними ЗКЗІ, вартість і обмежені можливості модернізації.

Також до апаратних можна віднести блоки ЗКЗІ, вбудовані в різні пристрої реєстрації і передачі даних, де потрібно шифрування і обмеження доступу до інформації. До таких пристроїв належать автомобільні тахометри, здатні фіксувати параметри автотранспорту, деякі типи медичного обладнання і т.д. Для повноцінної роботи таким систем потрібна окрема активація ЗКЗІ модуля фахівцями постачальника.

Системи програмної криптозахисту

Програмні ЗКЗІ - це спеціальний програмний комплекс для шифрування даних на носіях інформації (жорсткі і флеш-диски, карти пам'яті, CD / DVD) і при передачі через Інтернет (електронні листи, файли у вкладеннях, захищені чати і т.д.). Програм існує досить багато, в т. Ч. Безкоштовних, наприклад, DiskCryptor. До програмних ЗКЗІ можна також віднести захищені віртуальні мережі обміну інформацією, що працюють «поверх Інтернет» (VPN), розширення Інтернет протоколу HTTP з підтримкою шифрування HTTPS і SSL - криптографічний протокол передачі інформації, що широко використовується в системах IP-телефонії та інтернет-додатках.

Програмні ЗКЗІ в основному використовуються в мережі Інтернет, на домашніх комп'ютерах і в інших сферах, де вимоги до функціональності і стійкості системи не дуже високі. Або як у випадку з Інтернетом, коли доводиться одночасно створювати безліч різноманітних захищених з'єднань.

Програмно-апаратна криптозащита

Поєднує в собі кращі якості апаратних і програмних систем ЗКЗІ. Це найнадійніший і функціональний спосіб створення захищених систем і мереж передачі даних. Підтримуються всі варіанти ідентифікації користувачів, як апаратні (USB-накопичувач або смарт-карта), так і «традиційні» - логін і пароль. Програмно-апаратні ЗКЗІ підтримують всі сучасні алгоритми шифрування, володіють великим набором функцій по створенню захищеного документообігу на основі ЕЦП, усіма необхідними державними сертифікатами. Установка ЗКЗІ проводиться кваліфікованим персоналом розробника.

Компанія «КРИПТО-ПРО»

Один з лідерів російського криптографічного ринку. Компанія розробляє весь спектр програм по захисту інформації з використанням ЕЦП на основі міжнародних і російських криптографічних алгоритмів.

Програми компанії використовуються в електронний документообіг комерційних і державних організацій, для здачі бухгалтерської та податкової звітності, в різних міських та бюджетних програмах і т. Д. Компанією видано понад 3 млн. Ліцензій для програми КріптоПро CSP і 700 ліцензій для засвідчувальних центрів. «Кріпто-ПРО» надає розробникам інтерфейси для вбудовування елементів криптографічного захисту в свої і надає весь спектр консалтингових послуг зі створення ЗКЗІ.

криптопровайдер КріптоПро

При розробці ЗКЗІ КріптоПро CSP використовувалася вбудована в операційну систему Windows криптографічний архітектура Cryptographic Service Providers. Архітектура дозволяє підключати додаткові незалежні модулі, що реалізують необхідні алгоритми шифрування. За допомогою модулів, що працюють через функції CryptoAPI, криптографічний захист можуть здійснювати як програмні, так і апаратні ЗКЗІ.

носії ключів

Як особистих ключів можуть використовуватися різні такі як:

  • смарт-карти і зчитувачі;
  • електронні замки і зчитувачі, що працюють з пристроями Touch Memory;
  • різні USB-ключі і змінні USB-накопичувачі;
  • файли системного реєстру Windows, Solaris, Linux.

функції криптопровайдера

ЗКЗІ КріптоПро CSP повністю сертифікована ФАПСИ і може використовуватися для:

2. Повної конфіденційності, автентичності та цілісності даних за допомогою шифрування і імітаційної захисту згідно російським стандартам шифрування і протоколу TLS.

3. Перевірки і контролю цілісності програмного коду для запобігання несанкціонованого зміни і доступу.

4. Створення регламенту захисту системи.

Криптографічними засобами захисту називаються спеціальні засоби і методи перетворення інформації, в результаті яких маскується її зміст. Основними видами криптографічного закриття є шифрування і кодування даних, що захищаються. При цьому шифрування є такий вид закриття, при якому самостійного перетворенню піддається кожен символ закриваються даних; при кодуванні захищаються дані діляться на блоки, які мають смислове значення, і кожен такий блок замінюється цифровим, буквеним або комбінованим кодом. При цьому використовується кілька різних систем шифрування: заміною, перестановкою, гамування, аналітичним перетворенням шифрованих даних. Широке поширення набули комбіновані шифри, коли початковий текст послідовно перетвориться з використанням двох або навіть трьох різних шифрів.

Принципи роботи криптосистеми

Типовий приклад зображення ситуації, в якій виникає завдання криптографії (шифрування) зображений на малюнку №1:

Рис. №1

На малюнку № 1 А і В - законні користувачі захищеної інформації, вони хочуть обмінюватися інформацією по загальнодоступному каналу зв'язку.

П - незаконний користувач (супротивник, хакер), який хоче перехоплювати надіслані через з'єднання повідомлення і спробувати витягти з них цікаву для нього інформацію. Цю просту схему можна вважати моделлю типовою ситуації, в якій застосовуються криптографічні методи захисту інформації або просто шифрування.

Історично в криптографії закріпилися деякі військові слова (супротивник, атака на шифр і ін.). Вони найбільш точно відображають зміст відповідних криптографічних понять. Разом з тим широко відома військова термінологія, заснована на понятті коду (військово-морські коди, коди Генерального штабу, кодові книги, кодобозначенія і т. П.), Вже не застосовується в теоретичній криптографії. Справа в тому, що за останні десятиліття сформувалася теорія кодування - великий науковий напрям, яке розробляє і вивчає методи захисту інформації від випадкових спотворень в каналах зв'язку. Криптографія займається методами перетворення інформації, які б не дозволили противнику витягти її з перехоплюваних повідомлень. При цьому по каналу зв'язку передається вже не сама захищається інформація, а результат її

перетворення за допомогою шифру, і для супротивника виникає складне завдання розтину шифру. Розтин (злом) шифру - процес отримання інформації, що захищається з шифрованого повідомлення без знання застосованого шифру. Противник може намагатися не одержати, а знищити або модифікувати захищається інформацію в процесі її передачі. Це - зовсім інший тип загроз для інформація, відмінний від перехоплення і розтину шифру. Для захисту від таких загроз

розробляються свої специфічні методи. Отже, на шляху від одного законного користувача до іншого інформація повинна захищатися різними способами, що протистоять різним загрозам. Виникає ситуація ланцюга з різнотипних ланок, яка захищає інформацію. Природно, противник буде прагнути знайти найслабшу ланку, щоб з найменшими витратами дістатися до інформації. А значить, і законні користувачі повинні враховувати цю обставину в своїй стратегії захисту: безглуздо робити якусь ланку дуже міцним, якщо є свідомо більш слабкі ланки ( "принцип равнопрочності захисту"). Придумування хорошого шифру справа трудомістка. Тому бажано збільшити час життя хорошого шифру і використовувати його для шифрування як можна більшої кількості повідомлень. Але при цьому виникає небезпека, що противник уже розгадав (розкрив) шифр і читає захищається інформацію. Якщо ж в шифрі мережу змінний ключ те, замінивши ключ, можна зробити так, що розроблені противником методи вже не дають ефекту.