<< Предыдущая

стр. 38
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

• электронную цифровую подпись (ЭЦП);
• пакетное шифрование (ПШ) (шифрование IP-пакетов или им подобных);
• криптографическую аутентификацию абонентов.
Шифрование может проводиться как с открытым распределением ключей (асимметричная
криптография), так и с закрытым (симметричная криптография). В любом случае используется
матрица ключей для связи абонентов сети. Однако, в первом случае она вычисляется на базе
собственного секретного ключа абонента и базы открытых сертификатов других абонентов. Во
втором случае она генерируется заранее.
Защита информации в каналах связи производится с помощью абонентского шифрования (с
применением программ Crypton Tools, Crypton Sign, Crypton Soft, Crypton ArcMail для MS-DOS и
пакетов программ «КРИПТОН®Шифрование», «КРИПТОН®Подпись», Crypton ArcMail для Windows
95/98/NT) и прозрачного шифрования передаваемых пакетов с помощью коммуникационных
программ (см. табл. 11.1 и рис. 11.1). Коммуникационные программы осуществляют также изоляцию
компьютера от злоумышленника со стороны сети.
Таблица 11.1.
Наименование Выполняемая функция

CryptonSoft Шифрование по ГОСТ 28147-89.
Интегрированная Электронная цифровая подпись ГОСТ Р 34.10-94
криптографическая и функция хеширования ГОСТ Р 34.11-94.
оболочка Генерация ключей шифрования и ЭЦП.
Генерация главных ключей и узлов замены, ключей
парной связи для сети.
Чтение/запись ключей с/на дискеты, смарт-карты
ОС MS-DOS
КРИПТОН®Шифрование Шифрование по ГОСТ 28147-89.
Шифрование данных Функции генерации и хранения ключей аналогичны
программе Crypton Soft
ОС Windows'95(98)/NT 4.0
CryptonSign Электронная цифровая подпись ГОСТ Р 34.10-94 и
Электронная цифровая функция хеширования ГОСТ Р 34.11-94.
подпись (ЭЦП) Генерация ключей ЭЦП.
Автоматическая проверка сертификатов ключей.
Создание и обслуживание баз данных с открытыми
ключами.
Фиксация проведенных действий в журнале.
Чтение/запись ключей с/на дискеты, смарт-карты
ОС MS-DOS
КРИПТОН®Подпись Функции программы Crypton Sign
ЭЦП ОС Windows'95(98)/NT 4.0
CryptonArcMail Функции программ CryptonSoft и CryptonSign.
Защита электронных Сжатие информации.
документов Контроль входа в программу.
Открытое распределение ключей.
Имеются версии для MS-DOS и Windows'95(98)/NT 4.0
CryptonSilent Прозрачное шифрование логических дисков по ГОСТ
"Прозрачное" 28147-89
шифрование дисков ОС MS-DOS
Crypton Sigma Прозрачное шифрование логических дисков.
"Прозрачное" ОС Windows'95(98)/NT 4.0
шифрование дисков
Secret Disk Прозрачное шифрование логических дисков
"Прозрачное" (совместная разработка ООО АНКАД и Аладдин).
шифрование дисков Для шифрования по ГОСТ 28147-89 используется
криптографический модуль КРИПТОН.
ОС Windows'95(98)/NT 4.0
Crypton LITE Шифрование по ГОСТ 28147-89.
Программный шифратор Генерация случайных чисел.
Загрузка ключей с дискеты/жесткого диска.
ОС MS-DOS
Crypton Emulator Функции программы Crypton LITE.
Программный шифратор ОС Windows'95(98)/NT 4.0
Драйверы устройств Поддержка функционирования плат в ОС MS-DOS,
серии КРИПТОН Windows 95(98)/NT, Unix
Библиотека функций Библиотека представляет универсальный интерфейс
Crypton API доступа к функциям УКЗД серии КРИПТОН.
ОС MS-DOS и Windows'95(98)/NT 4.0
КРИПТОН-IP Прозрачное шифрование IP-пакетов для передачи их
Криптографический в открытых сетях связи (Интернет).
маршрутизатор Защита локальных сетей от вторжения извне.
Возможности построения виртуальных защищенных
сетей (VPN, Virtual Privat Network).
ОС MS-DOS.
Коммуникационные Защита рабочих мест клиента, серверов, локальных
программы сетей. "Прозрачное" шифрование передаваемых IP-
семейства ЗАСТАВА пакетов для различных операционных систем.
(cовместная разработка ООО АНКАД и ОАО Элвис+)
ОС MS-DOS, Windows'95(98)/NT 4.0 и Unix
DiCrypt Абонентское место в телекоммуникационной
технологии "Дионис" (совместная разработка ООО
АНКАД и НПП Фактор).
Поддерживает функции CryptonArcMail без выработки
ключей плюс функции по работе и пересылке почты.
ОС MS-DOS
Библиотеки функций Функции шифрования и ЭЦП для различных ОС
асимметричного Имеются версии для MS-DOS и Windows'95(98)/NT 4.0
шифрования
Crypton ArcMail
Библиотека Библиотеки для разрабочиков приложений,
Crypton Sign DK использующих ЭЦП.
Имеются версии для MS-DOS и Windows'95(98)/NT 4.0
Библиотека Библиотека функций шифрования для устройств
Crypton Development Kit серии КРИПТОН.
(DK) ОС Windows'95(98)/NT 4.0, Unix (Solaris)
Библиотеки функций От функций чтения записи ключей до функций блока
контроллеров безопасности в платежных системах с
SA-101i, SCAT-200, использованием электронных карточек
SR-210

Прозрачное Шифрование файлов, ГОСТ :
ЭЦП, ГОСТ Защита сетей
шифрование Архивное Абонентское

Crypton Silent Crypton Sign

Crypton Soft

Crypton ArcMail

Продукты VPN
Crypton Lite
Crypton Tools
ЗАСТАВА

КРИПТОН-IP
Crypton Access КРИПТОН-ВЕТО (СКЗИ НСД) (программный)


КРИПТОН-IP (программно-аппаратный)

Crypton Sign
DK (библ-ка)
DOS

Crypton Sigma КРИПТОН® Шифрование КРИПТОН®
Подпись
Secret Disk Crypton ArcMail

Crypton ArcMail (библ-ка)

Crypton Sign Продукты VPN
DK (библ-ка) ЗАСТАВА

Crypton Lite (пакет программ)

Crypton ArcMail (пакет программ)
Windows
95/98/NT

Продукты VPN
ЗАСТАВА
Solaris
Рис.11.1. Программные средства шифрования и ЭЦП, соответствующие библиотеки
и программно-аппаратные продукты Фирмы АНКАД.
11.1. Абонентское шифрование и электронная цифровая подпись.
Для реализации абонентского шифрования (АШ) и электронной цифровой подписи (ЭЦП)
может применяться отдельная программа или программно-аппаратная система, запускаемая
непосредственно перед подготовкой документов к передаче или после их приема (автономный
вариант). Второй вариант использования АШ и ЭЦП предусматривает включение соответствующих
модулей в коммуникационные программы. В обоих вариантах система выполняет примерно одни и те
же функции. Рассмотрим их на примерах реализации АШ и ЭЦП в виде отдельных программ для MS-
DOS и пакетов программ для Windows 95/98/NT.

Программы АШ и ЭЦП для MS-DOS.
К программным средствам абонентского шифрования и электронной цифровой подписи серии
Crypton можно отнести следующие программы:
- программа симметричного шифрования и работы с ключами Crypton Tools;
- программа электронной цифровой подписи Crypton Sign;
- программа Crypton Soft для защиты файлов-документов с помощью симметричного шифрования и
ЭЦП;
- программа Crypton ArcMail для защиты файлов-документов с помощью асимметричного
шифрования и ЭЦП.
Для успешного функционирования каждой из этих программ компьютер должен
удовлетворять следующим требованиям:
- микропроцессор 386 или выше;
- операционная система MS-DOS версии 4.0 и выше;
- не менее 350 Кбайт оперативной памяти;
- плата шифрования КРИПТОН или программа Crypton LITE.

Программа шифрования и работы с ключами Crypton Tools.
Программа Crypton Tools предназначена для выполнения операций шифрования и генерации
ключей. Она поставляется Фирмой «АНКАД» в качестве базового программного обеспечения.
Программа совместима «сверху вниз» с ранее поставлявшимся базовым программным
обеспечением – программами CRTOOLS, CRMNG, CRBAT.
Функции шифрования реализованы в соответствии со стандартом ГОСТ 28147-87.
Для управления программой пользователю предоставляется интерфейс, похожий на
интерфейс Norton Commander.
Шифрование файлов. В данной системе в качестве ключей могут использоваться:
- Главный ключ;
- Пароль;
- Ключ Пользователя;
- Сетевой Ключ.
Долговременным элементом ключевой системы алгоритма ГОСТ 28147-89 является Узел
Замены (УЗ). УЗ обычно хранится в файле на ключевой дискете и является первым ключевым
элементом, вводимым в устройство шифрования при инициализации. Все компьютеры, между
которыми предполагается обмен зашифрованной информацией (например, локальная сеть), должны
использовать один и тот же УЗ, так как несоответствие Узлов Замены приведет к невозможности
расшифрования файлов с другой машины. УЗ создается администратором.
Главный ключ (ГК) представляет собой секретный ключ, используемый для шифрования
других ключей. ГК может быть зашифрован на пароле. ГК создается администратором.
Пароль – последовательность символов, вводимых с клавиатуры. Пароль защищает ключи от
несанкционированного использования в случае их хищения или потери. Максимальная длина пароля
для ключей шифрования – 37 символов, минимальная длина – 4 символа. Длина пароля определяет
стойкость системы. Поэтому рекомендуется использовать длинные пароли с неповторяющимися
символами.
Ключ пользователя (ПК) – секретный ключ, используемый для шифрования файлов и других
ключей. Создается пользователем и защищает его данные от посторонних лиц, включая
администратора.
Сетевой ключ – секретный ключ, используемый для шифрования файлов с целью передачи
их между узлами “криптографической” сети.
Все узлы сети нумеруются. Для каждого узла, с которым планируется обмен информацией,
необходимо иметь свой сетевой ключ.
Для обмена зашифрованной информацией между N узлами необходимо N?(N-1) ключей
(каждый узел с каждым). Фактически, эти ключи можно разместить в сетевой таблице, которая
представляет собой таблицу-матрицу. В заголовках строк и столбцов этой таблицы-матрицы
представлены номера узлов, а в ячейках таблицы хранятся ключи. Эта таблица-матрица
симметрична, т.е. ключ для передачи от узла А к узлу Б (сетевой ключ А-Б) в точности равен
сетевому ключу Б-А.
Из полной сетевой таблицы можно для каждого из узлов сформировать сетевой набор
ключей для связи с другими узлами. Фактически, такой сетевой набор представляет собой одну из
строк таблицы.
Сетевой набор хранится в файле NNNNN.SYS в каталоге сетевых ключей, где NNNNN –
номер данного узла. Он всегда зашифрован на ключе сетевого набора (КСН), хранящемся в файле
NNNNN.KEY в каталоге сетевых ключей. КСН получают вместе с сетевым набором от
администратора криптографической сети.
Для обеспечения защиты системы шифрования ГОСТ 28147-89 от навязывания ложных
данных применяется имитовставка (имитоприставка). Имитовставка представляет собой отрезок
информации фиксированной длины, получаемый из открытых данных и ключа. Имитовставка
создается при зашифровании данных и добавляется к ним. При расшифровании данных также
вычисляется имитовставка и сравнивается с хранимой. В случае несовпадения можно выделить
следующие причины:
- изменен Узел Замены;
- изменен ключ, на котором были зашифрованы данные;
- изменены сами зашифрованные данные;
- если при зашифровании использовался пароль, то при расшифровании он был неверно введен;
- неисправно устройство шифрования.
Шифрование файлов может проходить по двум схемам:
- архивное шифрование файлов (обмен которыми не предполагается);
- шифрование файлов для передачи в криптографической сети.
Архивное шифрование файлов. При архивном шифровании файлов сначала генерируется так
называемый Файловый (или сеансовый) Ключ. Это – последовательность из 256 бит, получаемая с
датчика случайных чисел устройства шифрования. Вся информация, содержащаяся в файле,
шифруется на данном файловом ключе. Поскольку расшифрование файла без этого Файлового
Ключа невозможно, то он записывается в зашифрованный файл. При этом Файловый Ключ
шифруется на ключах, указанных пользователем, с вычислением имитоприставки.
Применение для шифрования Файлового Ключа позволяет увеличить криптографическую
устойчивость реализованного механизма шифрования, а также существенно ускорить операцию
перешифрования, поскольку исчезает необходимость осуществлять перешифрование всего файла,
достаточно лишь перешифровать сам Файловый Ключ.
Шифрование файлов для передачи в криптографической сети. При шифровании файлов
для передачи в криптографической сети файл данных, передаваемый узлом А узлу Б,
зашифровывается на Файловом (сеансовом) Ключе. Файловый Ключ создается автоматически при
зашифровании файла данных и передается вместе с ним. Так как Файловый Ключ не может
передаваться в открытом виде, то он зашифровывается на сетевом ключе А-Б. Этот ключ узел А
берет из своего Сетевого Набора.
Сетевой Набор узла А зашифрован на ключе сетевого набора узла А, который, в свою
очередь, тоже может быть зашифрован на каком-либо ключе узла А (как правило, ГК).
Узел Б по информации, заключенной в зашифрованном файле понимает, что файл пришел
от узла А. Используя свои ключи, узел Б сначала расшифровывает свой КСН. Затем, используя КСН,
узел Б расшифровывает свой набор и достает из него сетевой ключ А-Б. Так как этот сетевой ключ
совпадает с тем сетевым ключом, который был использован узлом А для зашифрования, узел Б
может расшифровать Файловый Ключ, пришедший вместе с файлом. Наконец, с помощью Файлового
Ключа расшифровывается пришедший файл.
Перешифрование информации выполняется следующим образом. Из зашифрованного файла
извлекается зашифрованный Файловый Ключ и расшифровывается. Затем производится его
зашифрование на новой ключевой информации, предоставляемой пользователем. Сам Файловый
Ключ (в расшифрованном виде) при этом остается неизменным, что позволяет оставить тело
зашифрованного файла без изменений. В результате перешифрование файла – операция
значительно более быстрая, чем шифрование или расшифрование файла.
В целях обеспечения целостности информации при расшифровании Файловых Ключей
производится проверка имитоприставки. Если она не совпала с хранимой в файле, то система выдает
сообщение об ошибке. Следует отметить, что при расшифровании информации самих файлов
проверка целостности данных не производится. Если зашифрованная информация была изменена,
никаких диагностических сообщений выдаваться не будет, но получаемый после расшифрования
файл не будет эквивалентен исходному.
При зашифровании информации на пароле, а также при расшифровании ключей и файлов,
зашифрованных с использованием пароля, производится запрос пароля.
Если пароль запрашивается для зашифрования объекта (файла или ключа), то пользователю
предоставляется запрос на ввод пароля. При этом пароль необходимо ввести дважды, что
уменьшает вероятность опечатки.

<< Предыдущая

стр. 38
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>