Криптографические методы защиты информации

V = F x  K / n,

где F  - тактовая частота,

      K – размер стандартного блока шифрования,

      n -  число тактов, требующееся на преобразование стандартного блока.

Например,  отечественный алгоритм ГОСТ 28147-89 имеет быстродействие 32 такта на 8-байтовый блок, а значит, теоретически скорость шифрования должна стремиться  к 25 Мбайт/с при тактовой частоте 100 Мгц. Однако  скорости аппаратной реализации этого алгоритма - 8-9 Мбайт/с. Ограничения являются чисто технологическими: отсутствие необходимого уровня разработок или элементной базы. Хотелось бы отметить, что программная реализация криптоГОСТа на ПК при тактовой частоте процессора 1 Ггц достигает 12-16 Мбайт/с. Хотя в этом случае аппаратная скорость шифрования теоретически могла бы быть около 250 Мбайт/с. 

5.5  Шифраторы для защиты сетей

Для защиты передаваемой в Сеть информации можно использовать как обычный шифратор, так и проходной (ПШ), который , помимо всего вышеперечисленного, является также полноценным сетевым адаптером Ethernet (т.е. шифратор и сетевой адаптер выполнены в качестве одной РCI-платы). Его достоинства в том, что он полностью контролирует весь обмен данными в по сети , а обойти его (как изнутри, так и снаружи) просто невозможно.

ПШ являются достаточно сложными устройствами, так как они вместо центрального процессора компьютера вынуждены выполнять дополнительные функции по обработке информации. Обычно в ПШ ставят два шифропроцессора: один из них отвечает за шифрование отправляемых данных, а другой расшифровывает принимаемые. Такое устройство может хранить в себе несколько сотен ключей, чтобы каждый блок информации был зашифрован на своем, отличном от других. Это делает все ключи абсолютно недоступными злоумышленникам, но несколько затрудняет процесс управления ими.

Технические трудности в течение определенного времени не позволяли  разрабатывать надежные и быстродействующие ПШ. Однако с появлением  на рынке дорогих, но очень качественных микросхем РLD решились многие проблемы создания сложных многофункциональных устройств, что стимулировало выпуск первых отечественных проходных шифраторов.

Кстати, ПШ допускает и другое применение: он может стоять в разрыве между жестким диском компьютера и его контроллером. В этом случае все, что пишется на  HDD, будет автоматически шифроваться.

Разработчики аппаратных шифраторов и программного обеспечения для них, полагают, что уже скоро будут созданы УКЗД, осуществляющие управление не только работой дисководов, CD-ROM и портов ввода-вывода, но и всеми ресурсами ПК, т.е. компьютеру останется только передавать данные между процессором и оперативной памятью и обрабатывать их, все остальное сделает само УКЗД. Ясно, что абсолютному большинству пользователей это не потребуется. Но там, где ведется работа с важными и конфиденциальными документами, информация должна быть серьезна защищена.

5.6  Загрузка ключей шифрования

Есть еще одна особенность, касающаяся безопасности: чтобы у злоумышленника не было совсем никаких шансов, необходимо ключи загружать в шифратор, минуя    оперативную память компьютера, где их теоретически можно перехватить и даже подменить. Для этого УКЗД дополнительно содержит порты ввода-вывода, например COM или USB, к которым напрямую подключаются разные устройства чтения ключевых носителей. Это могут быть любые смарт-карты, специальные USB-ключи  или электронные таблетки Touch Memory (их очень часто используют, например, для домофонов).

Помимо прямого ввода ключей в УКЗД, многие из таких носителей обеспечивают и их надежное хранение – даже украв USB-ключ, без специального кода доступа к его содержимому  не подобраться.

5.7  Как программы используют шифратор

Установленный на компьютер шифратор может использоваться сразу несколькими программами, например программой прозрачного шифрования, «прогоняющей» данные сквозь шифратор, и программой электронной подписи, использующей для вычисления подписи получаемые от шифратора случайные числа.

Для того чтобы не возникало коллизий при одновременном обращении к шифратору разных программ (представим, что одна из них шифрует логический диск, а вторая на другом ключе расшифровывает файл: если не управлять очередью выполнения шифратором их требований, получится абракадабра ), ставят специальное программное обеспечение управления ими( рис № ). Такое ПО выдает команды через драйвер шифратора и передает последнему данные, следя за тем , чтобы потоки информации от разных источников не пересекались, а также за тем, чтобы в шифраторе всегда находились нужные ключи. Таким образом УКЗД выполняет два принципиально разных вида команд:

       перед загрузкой операционной системы — команды, зашитые в память шифратора. Они осуществляют все необходимые проверки и устанавливают требуемый уровень безопасности — допустим, отключают внешние устройства.

       после загрузки, например, Windows — команды, поступающие через модуль управления шифраторами: шифровать данные, перезагружать ключи, вычислять случайные числа и т.д.

Такое разделение необходимо из соображений безопасности — после выполнения команд первого блока, которые нельзя обойти, злоумышленник уже не сможет сделать что-либо запрещенное.

Еще одно назначение ПО управления шифраторами — обеспечить возможность замены одного шифратора на другой (скажем на более «продвинутый» или быстрый), не меняя программного обеспечения. Это происходит аналогично, например, смене сетевой карты: шифратор поставляется вместе с драйвером, который позволяет программам выполнять стандартный набор функций. Те же программы шифрования и не заметят такой подмены, но будут работать в несколько раз быстрее.

Таким же образом можно заменить аппаратный шифратор на программный. Для этого программный шифратор выполняют обычно в виде драйвера, предоставляющего тот же набор функций.

Впрочем такое ПО нужно не всем шифраторам — в частности, ПШ , стоящий по дороге к  HDD, достаточно настроить один раз,  после чего о нем можно просто забыть.

5.8  Аппаратный шифратор «М-506»

Рассмотрим в качестве примера один из  отечественных аппаратных шифраторов производства  ЗАО НИП «Информзащита»  СКЗИ(Система криптографической защиты информации) М-506.

М-506 представляет собой программно-аппаратный комплекс криптографической защиты информации, реализующий алгоритм шифрования  данных по ГОСТ 28147-89. В этом комплексном средстве защиты информации возможности аппаратного шифратора дополнены широким спектром других функций информационной безопасности

СКЗИ М-506 состоит из следующих компонентов

       сервер безопасности. Установленный на выделенном компьютере или контроллере   домена, он собирает и обрабатывает информацию о состоянии всех защищаемых рабочих станций и хранит данные о настройках всей системы защиты;

      средство защиты информации от несанкционированного доступа (СЗИ) Secret Net NT 4.0. Данным СЗИ оснащаются все рабочие станции, на которых устанавливается также электронный замок «Соболь». Тем самым защищаются ресурсы компьютера и обеспечивается регистрация входа пользователя в систему, предъявления незарегистрированного идентификатора, введения неправильного пароля, превышения числа попыток входа в систему;

      подсистема управления. Этот программный компонент устанавливается на рабочем месте администратора системы и позволяет ему конфигурировать СЗИ Secret Net (а также управлять встроенными возможностями операционной системы), контролировать все события, влияющие на защищенность системы, и реагировать на них в режиме реального времени и в терминах реальной предметной области (сотрудник, задача, подразделение, помещение);

      криптоменеджер. Он устанавливается на автономном компьютере и выполняет следующие функции: создание ключей шифрования, изготовление ключевых дискет, ведение базы созданных ключей на жестком диске компьютера.

Реализованная в СКЗИ М-506 клиент-серверная архитектура позволяет сосредоточить в одном месте функции управления безопасностью корпоративной сети и повысить живучесть всей системы защиты: даже выход из строя сервера безопасности не приводит к снижению уровня защищенности. Развитые возможности защиты от несанкционированного доступа (НСД) интегрированы с криптографическими    механизмами: электронной цифровой подписью, «прозрачным» шифрованием файлов и шифрованием сетевого трафика.

     Для легального пользователя, которому предоставлено право работать с зашифрованным сетевым ресурсом, данный ресурс предстает в своем обычном, незашифрованном виде («прозрачный» режим криптографического преобразования). Но это не значит, что конфиденциальная информация передается по сети в открытом виде: сетевой трафик шифруется, а расшифровывание происходит только на рабочей станции пользователя.

Отметим, что все компоненты СКЗИ М-506 функционируют в замкнутой программной среде, недоступной воздействию вирусов. О высоком качестве данного криптосредства позволяет судить тот факт, что оно сертифицировано ФАПСИ(Федеральное агентство правительственной связи и информации) для защиты информации, содержащей сведения, составляющие государственную тайну.

5.9 Проблемы применения аппаратных шифраторов 

Что же мешает широкому применению аппаратных шифраторов — или, выражаясь точнее, обусловливает их меньшую распространенность по сравнению с криптографическим ПО?

Прежде всего цена — в любом случае стоимость аппаратного шифратора будет выше, чем чисто программного решения. Но для организаций, всерьез заботящихся об информационной безопасности, использование аппаратных шифраторов в силу перечисленных выше причин безусловно желательно — во всяком случае, для защиты наиболее важных ресурсов.  Производители аппаратных криптографических средств постоянно дополняют свои продукты новыми возможностями, и по соотношению цена/качество (если понимать под последним прежде всего функциональность) аппаратные шифраторы выглядят более предпочтительно, если их сравнивать с соответствующим ПО.

  Зачастую на выбор шифрующего средства (программного или аппаратного) влияет и чисто  психологический эффект. Кажется, гораздо проще переписать из Интернета одну из бесплатных или условно-бесплатных программ шифрования и активно ее использовать, в том числе для защиты информационного обмена со сторонними организациями, в то время как закупка аппаратного шифратора представляется началом долгого процесса получения всевозможных лицензий, сбора согласующих виз и т. п. Иными словами, на первый план выходят даже не денежные соображения, а попытки сэкономить время и облегчить себе жизнь.

Замечу, однако, что в нормативных актах, регулирующих практику применения криптографических (шифровальных) средств, не проводится различий между программными и аппаратными средствами: оформлять использование криптосредств надо в любом случае. Другое дело, что документы эти могут быть разными — или лицензия ФАПСИ (ФАПСИ - Федеральное агентство правительственной связи и информации) . Ведомство РФ, в числе прочего занимающееся разработкой криптографических алгоритмов и отвечающее за сертификацию СКЗИ (Средства криптографической защиты информации) в части криптографических функций на использование криптосредств, или договор с организацией, имеющей необходимую лицензию ФАПСИ на предоставление услуг по криптографической защите конфиденциальной информации.  Поэтому переход к применению аппаратных шифраторов можно совместить с оформлением упомянутых выше документов.

6. Советы и рекомендации

Рассмотрев в двух предыдущих главах программные и аппаратные шифраторы, сравнив  их достоинства и недостатки, каждый скорее всего  задастся вопросом: «Что же все таки лучше, программная реализация или аппаратная?». С одной стороны надежность, быстродействие  но  высокая цена, а с другой доступность,   простота в настройке и управлении, но значительно меньшая  защищенность от взлома.

К решению этого вопроса нужно, прежде всего, подходить, исходя из тех функции, которые шифратор будет выполнять. Если вам нужно защитить какие-то файлы от родственников или коллег по работе, файлы, которые не представляют материальной  ценности и которые вряд ли заинтересуют профессионального взломщика (например, личная переписка, дневник и т.п.), то   приобретение программного шифратора , как с материальной точки зрения , так и с точки зрения необходимого уровня  защищенности, является наиболее выигрышным для вас.

Что можно порекомендовать тем, кто решил установить программный шифратор?      

Во-первых пользоваться надо только проверенными программами, которые успешно применяются  несколько лет и зарекомендовали себя как надежные средства, хорошо противостоящие взлому, и которые, естественно, написаны без ошибок.

Во-вторых , как показала практика, не следует приобретать версии программ, оканчивающиеся на «0»(2.0,3.0,4.0 и т.д.), т.к. именно в них чаще всего встречаются т.н. «дыры», которые может обнаружить кто-либо и использовать в собственных целях, и именно в этих версиях чаще встречаются ошибки, ведущие не только к ухудшению работы программ, но и, иногда , вообще к их неправильной работе(может, например, случиться так, что зашифровав какой-либо файл вы потом расшифруете с ошибками или вообще не расшифруете). Это объясняется тем, что , смена версии программы с 2.2 или 2.6 на 3.0 подразумевает по собой значительные изменения, выражающиеся в добавлении новых или расширении старых функций; а т.к. их вряд ли кто-то тщательно проверял на возможность отказа или взлома ( самую тщательную проверку, как правило, устраивают именно пользователи, подкладывая программе какую-нибудь «свинью», дабы убедиться в надежности  программы),то жертвой такой халатности производителя можете стать вы.

В-третьих нужно бдительно охранять собственные, секретные, ключи, чтобы они не стали достоянием общественности, а то от  такой защиты информации будет мало толка.

Если же вы владеете или работаете со строго секретной или конфиденциальной информацией (например, с информацией , являющейся коммерческой тайной), то приобретение аппаратного шифратора — это для вас.