Информационная безопасность_6a_л_состав.ppt

защиты информации: Асимметричные криптографические системы. Электронная подпись

Государственная дума на заседании 25 марта приняла в третьем, окончательном чтении закон «Об электронной подписи», который заменил федеральный закон №1 от 10 января 2002 года «Об электронной цифровой подписи».
Принятие нового закона вызвано необходимостью устранить некоторые недостатки существующего законодательства, а также привести российские принципы регулирования электронных подписей в соответствие с европейскими нормами.
Согласно новому закону, электронная подпись определяется как информация в электронно-цифровой форме, которая используется для идентификации физического или юридического лица.
Определены три вида электронной подписи:
простая,
усиленная и
квалифицированная электронная подпись.
Средства, с помощью которых осуществляется создание подписи и её проверка, должны соответствовать установленным требованиям и содержать элементы криптографии. Закон регулирует выдачу и использование сертификатов ключа подписи, а также аккредитацию и оказание услуг удостоверяющих центров. Предусмотрены механизмы признания иностранных электронных подписей.
Закон вступил в силу после подписания его Президентом РФ и официального опубликования. При этом федеральный закон «Об электронной цифровой подписи» признается утратившим силу с 1 июля 2012 года. Сертификаты ключей подписи, выданные в соответствии с действующим законом, будут действовать до истечения установленного в них срока.

защиты информации: Асимметричные криптографические системы. Электронная подпись

Государственные организации и службы сейчас переводятся на электронный формат взаимодействия, для чего им нужны инструменты организации юридически значимого документооборота. Легитимность электронных документов опирается на ФЗ-63 «Об электронной подписи», где предусмотрена простая электронная подпись (ЭП), неквалифицированная ЭП (НЭП) и квалифицированная (КЭП). Первая может вообще обойтись без криптографических преобразований, а средства изготовления последней должны отвечать требованиям российских регуляторов.
«Использование усиленной квалифицированной электронной подписи минимизирует риск опротестования электронного документа», — заверил Юрий Маслов, коммерческий директор «Крипто-ПРО».
Однако для применения КЭП требуются сертификаты, выданные аккредитованным удостоверяющим центром, и сертифицированное в ФСБ средство изготовления подписи. Причем название средства с его версией должно быть указано в сертификате. Только при соблюдении этих условий можно сформировать КЭП, легитимность которой не требует дополнительных договоров. Для использования двух других типов электронной подписи нужна дополнительная юридическая подготовка в виде различных договоров. Впрочем, по-прежнему законодательно признается и электронно-цифровая подпись, введенная ФЗ-1, но она должна выйти из обращения с 1 июля 2013 года

защиты информации: 3

Предпосылки создания составных криптографических систем:
Недостатком криптосистем симметричного шифрования является необходимость обмена секретным ключом
В криптографической системе с открытым ключом каждый имеет два связанных ключа: публикуемый общий ключ и секретный ключ, поэтому нет проблемы обмена ключами. Однако алгоритм шифрования с открытым ключом значительно медленнее, чем стандартное шифрование с секретным ключом,
Поэтому шифрование сообщения лучше выполнять с использованием высококачественного быстрого стандартного алгоритма симметричного шифрования.
Для процесса распределения ключей использовать преимущества асимметричного шифрования

Принципы работы составной криптографической системы
В процессе, невидимом для пользователя, генерируется временный произвольный ключ, созданный только для этого одного «сеанса»,
Сеансовый ключ используется для традиционного симметричного шифрования файла открытого текста.
Открытый ключ получателя используется только для шифрования этого временного сеансового ключа.
Этот зашифрованный сеансовый ключ посылается наряду с зашифрованным текстом получателю.
Получатель использует свой собственный секретный ключ, чтобы расшифровать этот временный сеансовый ключ
Затем получатель применяет его для выполнения быстрого стандартного алгоритма симметричного расшифрования, чтобы декодировать все зашифрованное сообщение.

4

PGP (Pretty Good Privacy – довольно хорошая конфиденциальность). Создателем PGP является Ф. Циммерман (США, 1991 год). Творение Циммермана было встречено без энтузиазма Агентством Национальной Безопасности США и против него было возбуждено уголовное дело. Хотя АНБ и могущественно, здравый смысл и закон в данном случае восторжествовали.
Филипп Циммерман следующим образом объясняет причину создания программы:
«Людям необходима конфиденциальность. PGP распространяется как огонь в прериях, раздуваемый людьми, которые беспокоятся о своей конфиденциальности в этот информационный век. Сегодня организации по охране прав человека используют программу PGP для защиты своих людей за рубежом. Организация Amnesty International также использует ее».

PGP объединяет в себе удобство использования криптографической системы с открытым ключом Rivest-Shamir-Adleman (RSA) и скорость обычной криптографической системы, алгоритм "дайджеста сообщений" для реализации ЭП, упаковку данных перед шифрованием, хороший эргономический дизайн программы и развитую систему управления ключами. PGP выполняет функции общего ключа быстрее, чем большинство других аналогичных реализаций этого алгоритма.
К основным достоинствам данного пакета можно отнести:
Открытость. Исходный код всех версий программ PGP доступен в открытом виде. Так как сам способ реализации известных алгоритмов был доступен специалистам, то открытость повлекла за собой и другое преимущество – эффективность программного кода.
Стойкость. Для реализации основных функций использовались лучшие из известных алгоритмов, при этом допуская использование достаточно большой длины ключа для надежной защиты данных.
Бесплатность. Готовые базовые продукты PGP доступны в Интернете (www.pgpi.org).
Поддержка как централизованной (через серверы ключей) так и децентрализованной (через «сеть доверия») модели распределения открытых ключей
Удобство программного интерфейса

Схема составной криптосистемы PGP
Ko Kc

Система PGP выполняет следующие функции:
генерацию пары ключей;
управление ключами;
шифрование файла с помощью открытого ключа любого пользователя PGP(в том числе и своего);
наложение ЭП с помощью своего закрытого ключа на файл (аутентификация файла) или на открытый ключ другого пользователя (сертификация ключа);
проверку (верификацию) своей подписи или подписи другого пользователя с помощью его открытого ключа;
расшифровку файла с помощью своего закрытого ключа.

Почему именно PGP, а не что-либо другое?
PGP имеет ряд преимуществ перед большинством программ и стандартов (таких, как X.509 и S/MIME) криптографической защиты информации. Вот некоторые из достоинств криптосистемы PGP:
Используется по всему миру уже более двадцати лет (первая версия была опубликована в 1991 г.).
Основана на шифровании открытым ключом, что исключает необходимость передавать адресату секретный пароль (как при обычном шифровании).
Лежащий в её основе стандарт OpenPGP был принят организацией IETF в качестве интероперативного стандарта Интернета, и сегодня используется во множестве различных программ, обеспечивая их полную совместимость.
Поддерживает асимметричные ключи длиной до 4096 бит, перекрывающие стойкость 128-битовых симметричных шифров.
Поддерживает блочные шифры с длиной ключа вплоть до 256 бит.
Пользователь самостоятельно генерирует свои пары открытых / закрытых ключей и выбирает используемые алгоритмы шифрования.
Пользователь может иметь множество ключей для различных задач и целей и самостоятельно заменять их в любое время по желанию или по необходимости.

В качестве модели отношений доверия реализована распределённая децентрализованная схема Web of Trust, где каждый пользователь лично выбирает источники доверия ключей, а также сам может выступать заверителем чужих ключей, поручительствуя в их благонадёжности.
Использует только опубликованные, проверенные временем и проанализированные лучшими криптографами мира алгоритмы.
Исходные тексты программы (для версий 1.x, 2.x, 5.x, 6.x, 8.0 и выше) опубликованы и доступны для свободного изучения.
Криптографическое ядро PGP SDK, реализованное в PGP 8.1 и выше и в ряде других продуктов, сертифицировано Национальным институтом стандартов и технологий США (NIST) на соответствие нормам безопасности FIPS PUB 140-2.
Де-факто является стандартом шифрования электронной почты с огромной пользовательской базой.
Программа бесплатна для частного некоммерческого использования.
Обеспечивает сквозное шифрование и безопасную связь с пользователями любой операционной системы, email-клиента и почтовой службы.
Криптографические преобразования информации производятся только на компьютерах пользователей с помощью ключей, хранящихся только на компьютерах пользователей.

Поддерживает симметричное шифрование (шифрование только секретным паролем). Позволяет создавать т.н. саморасшифровывающиеся архивы (SDA), защищённые симметричным ключом, которые может распаковать пользователь, не имеющий установленной системы PGP.
Поддерживает электронные цифровые подписи (ЭЦП), позволяющие заверить авторство и целостность передаваемой информации.
Имеет официальные и неофициальные плагины для большинства популярных email-клиентов. Функция работы с активным окном позволяет легко использовать PGP в любых мыслимых приложениях.
Не имеет встроенных "закладок", "люков", "потайных ходов", механизмов депонирования и восстановления ключей, что не допускает возможности получения несанкционированного доступа к зашифрованной информации.

PGP Freeware Бесплатная версия PGP для частного некоммерческого (прежде всего, домашнего) использования. Включает только компоненты PGPkeys и PGPmail, т.е. средства управления ключами и шифрования / подписания / уничтожения данных; не имеет плагинов для интеграции в почтовые клиенты и ICQ и не содержит PGPdisk. Начиная с PGP 9 представляет собой 30-дневную испытательную версию PGP Desktop Professional (полная функциональность), по завершении тестового периода сокращающую объём функций до уровня Freeware.
PGP Personal Desktop Платная версия для частных пользователей и небольших офисов (5-10 человек), может применяться в коммерческих целях. Включает все базовые компоненты плюс плагины для персональных мэйл-клиентов и PGPdisk, однако не имеет поддержки корпоративных почтовых систем вроде MS Exchange Server.
PGP Workgroup Desktop Имеет всё то же, что и PGP Personal, но предназначена в первую очередь для небольших организаций (10-50 человек), поскольку поддерживает корпоративные мэйл-системы MS Exchange Server, Novell GroupWise и Lotus Notes, а также включает компонент PGP Corporate Disk для централизованного управления криптоконтейнерами.
PGP Desktop Home 9.x Предназначен для домашних пользователей и небольших организаций. Включает все коммерческие компоненты (за исключением Whole Disk), поддержку смарт-карт, PGP Virtual Disks, PGP Satellite Proxy (без поддержки проприетарных почтовых протоколов MAPI, NAPI).  Аналог в предыдущей брендинг-системе — PGP Personal / Workgroup Desktop.

PGP Corporate Desktop Комплект поставки для корпоративных пользователей и организаций из 50-5 тыс. пользователей. Включает дистрибутивы PGP Workgroup Desktop, PGP Corporate Disk, PGPadmin, PGP Keyserver. Развёртывается и управляется при помощи PGPadmin.
PGP Desktop Professional 9.x Аналог бывшего PGP Corporate Desktop, предназначен для индивидуальных пользователей и организаций, нуждающихся в полной защите своих ПК и переписки от несанкционированного доступа. Компонент PGP Satellite Proxy поддерживает все почтовые протоколы, включая проприетарные MAPI и NAPI. Программа включает компонент Whole Disk, интегрируется с инфраструктурой PGP Universal, осуществляющей централизованное управление политикой безопасности фирмы
.PGP Whole Disk Комплекс защиты ноутбуков и ПК, поддерживающий полное шифрование всех жёстких дисков, съёмных носителей и операционной системы. Ныне выпускается как в виде самостоятельного продукта, так и в составе PGP Desktop Professional 9
.PGP Mobile Версия PGP для карманных компьютеров под управлением MS Windows CE и Palm OS. Включает компоненты PGPkeys, PGPmail и PGPdisk. В настоящее время поддержка и распространение прекращены.

PGP Command Line Пакет для межсерверной передачи больших объёмов криптографированных данных. Благодаря гибкому набору команд легко встраивается в любой существующий скрипт. Совместима с наиболее распространёнными серверными операционными системами.
PGP NetShare Система защиты данных совместного пользования. Представляет собой расширение обычной концепции совместных (shared) ресурсов, и позволяет большим коллективам работать с общими файлами с меньшим риском компрометации последних: файл остается зашифрован даже будучи скопированным из NetShare-защищенного каталога сервера.
PGP Universal Самоуправляемый серверный комплекс информационной безопасности для средних и крупных организаций (от 25 пользователей до 50 тыс., а поддержка кластеризации снимает любые верхние границы). Концепция кардинально отличается от платформенных решений. Система функционирует автономно, самостоятельно формируя политику безопасности на основе заданных базовых критериев. Криптографические операции могут производиться на центральном сервере либо на машинах пользователей, в зависимости от архитектуры сети и заявленных требований. Защищает всю переписку организации и внешних пользователей, независимо от протоколов передачи сообщений.