<< Предыдущая

стр. 39
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

Если пароль запрашивается для расшифрования объекта, то пользователю предоставляется
диалог запроса пароля с одним полем ввода. При неправильном вводе пароля выдается сообщение о
неверном пароле, и запрос пароля повторяется до тех пор, пока пользователь не введет верный
пароль или откажется от ввода пароля.
В случае операций над несколькими файлами последний введенный пароль запоминается в
оперативной памяти (ОП) до окончания операции, что избавляет от необходимости ввода одного и
того же пароля для каждого файла. По окончании операции пароль стирается из ОП.
Зашифрование файлов производится системой в диалоговом режиме работы с
пользователем. При этом пользователь должен выбрать (отметить) файлы, подлежащие
шифрованию, затем выбрать ключевую систему шифрования, ввести пароль и ключ пользователя.
При выполнении операции зашифрования для каждого выбранного файла будут
последовательно выполняться следующие действия:
- генерируется Файловый Ключ;
- файл шифруется на данном Файловом Ключе;
- Файловый Ключ шифруется на указанной пользователем ключевой системе с вычислением
имитоприставки;
- в файл записывается информация, необходимая для последующего расшифрования: старое имя
файла, имена ключей и т.д.
Расшифрование файлов производится аналогичным образом в диалоговом режиме работы
системы с пользователем. Система расшифровывает считанный файловый ключ. Если при этом
необходим пароль, он запрашивается у пользователя. При помощи восстановленного Файлового
Ключа зашифрованная информация расшифровывается и записывается в файл с тем же именем, что
и до зашифрования.
Создание ключей шифрования. Программа Crypton Tools позволяет выполнить следующие
операции:
- генерация Узла Замены;
- генерация Главного Ключа;
- смена Пароля ключа;
- генерация Ключа Пользователя;
- генерация Сетевой Таблицы;
- генерация Сетевого Набора;
- перешифрование ключей шифрования;
- создание ключевой дискеты.
Указанные действия с ключами осуществляются системой в диалоге с пользователем.
Пользователь должен ввести в диалоговом окне информацию, описывающую ключ или набор ключей.
Следует отметить, что смену Узла Замены рекомендуется проводить только в самых
экстренных случаях. Смена УЗ требует расшифрования всей зашифрованной на
скомпрометированном УЗ информации и зашифрования с новым УЗ. Поскольку УЗ должен быть
одинаков для всех абонентов, ведущих обмен зашифрованной информацией, эту работу придется
проделать всем пользователям защищаемого контура. Поэтому рекомендуется проводить эту
операцию только один раз при установке системы.
При создании Главного Ключа необходимо использовать пароль. Этот пароль применяется
для закрытия Главного ключа.
Для генерации ключей используется датчик случайных чисел устройства шифрования.

Программа электронной цифровой подписи Crypton Sign.
Программа Crypton Sign предназначена для формирования и проверки электронной цифровой
подписи электронных документов. Электронная цифровая подпись (ЭЦП) обеспечивает установление
авторства электронных документов и проверку целостности электронных документов.
В программе Crypton Sign реализованы алгоритмы цифровой подписи и функции хэширования
ГОСТ Р 34.10-94, ГОСТ Р 34.11-94.
Электронная цифровая подпись представляет собой последовательность байт, помещаемую
в конец подписываемого документа (файла) или в отдельный файл. ЭЦП формируется на основании
содержимого документа, секретного ключа и пароля лица, подписывающего документ (файл). Для
каждого секретного ключа создается открытый ключ для проверки подписи.
Подписывание документа-файла состоит в вычислении с помощью программы по
содержимому файла некоторого большого числа (512 или 1024 бита), которое и является его
электронной подписью. Принципиальным моментом в электронной подписи является невозможность
ее подделывания без секретного ключа.
Программа проверки на основании анализа содержимого документа-файла, электронной
подписи и открытого ключа удостоверяет, что подпись вычислена именно из этого документа-файла
конкретной программой подписывания.
В качестве подписываемого электронного документа в программе может использоваться
любой файл. При необходимости несколько владельцев могут подтвердить достоверность документа,
т.е. один документ-файл может содержать несколько подписей. При этом не изменяются ни имя
файла, ни его расширение. Подписанный файл имеет следующий вид (рис. 11.2).

Исходный Файл Подпись 1 Подпись 2 … Подпись n


Рис.11.2. Схема подписанного файла.

В подпись записывается следующая информация:
• дата формирования подписи;
• срок окончания действия открытого и секретного ключей;
• информация о лице, сформировавшем подпись (Ф.И.О., должность, краткое наименование
фирмы);
• идентификатор подписавшего (имя файла открытого ключа);
• собственно код ЭЦП.
ЭЦП может быть записана также в отдельный файл. Это файл, имеющий имя,
соответствующее подписанному файлу, и расширение sg*. В данном файле хранится вся
вышеуказанная информация, а также имя файла, который был подписан. При таком способе
простановки ЭЦП исходный файл не изменяется, что может быть полезно в случаях, когда
документы-файлы обрабатываются программами пользователя, не допускающими посторонней
информации в конце документов.
Схема создания и проверки электронной цифровой подписи с помощью программы Crypton
Sign показана на рис. 11.3.
Для формирования и последующей проверки подписи необходимо создать два ключа:
секретный и открытый ключи подписи. Ключи представляют собой обычные файлы на дискете или
последовательность байт на электронной карточке.

УКЗД серии Программа Датчик
или или
КРИПТОН Crypton LITE случайных чисел


Случайный код Случайный код

Сформировать
пароль
ключи


Секретный Открытый
ключ ключ
Подписанный
документ
Поставить ЭЦП Проверить ЭЦП

Удалить ЭЦП


Рис. 11.3. Схема создания и проверки электронной цифровой подписи.

Генерация случайного кода для создания ключей выполняется аппаратно с помощью одного
из УКЗД серии КРИПТОН. Если УКЗД в компьютере нет, случайный код можно получить программно с
помощью программы Crypton LITE или генератора случайных чисел.
Для управления программой Crypton Sign пользователю предоставляется интерфейс, похожий
на интерфейс Norton Commander. Основное меню программы Crypton Sign разделено на две части
(панели). В левой части меню расположены наименования команд, выполняемых программой, в
правой части меню расположены перечень файлов и раздел, в котором находятся эти файлы. Для
выбора команд и файлов используется маркер.
Для генерации ключей достаточно выполнить команду «Создать ключи».
Для подписи файла необходимо выбрать сам подписываемый файл и секретный ключ, а
затем выполнить команду «Поставить подпись».
Две команды «Показать подпись» и «Проверить подпись» используются для проверки наличия
и подлинности подписей у файла, а также получения дополнительной информации о подписи. Для
выполнения данных команд необходимо выбрать проверяемые файлы и указать каталог с открытыми
ключами.
При необходимости можно удалить последнюю подпись, группу последних подписей или все
подписи у файла. Для этого в программе используется команда «Удалить подпись». Для ее
выполнения необходимо указать документы-файлы, у которых удаляются подписи.

Программа Crypton Soft.
Интегрированная программная оболочка Crypton Soft представляет собой систему защиты
файлов-документов на персональном компьютере. Программа Crypton Soft предназначена для
выполнения операций шифрования, электронной цифровой подписи файлов и работы с ключами. Эта
программа совместима «сверху-вниз» с программой шифрования и генерации ключей Crypton Tools
3.X и программами электронной подписи CR SIGN 1.X – CR SIGN 2.X.
Программа CryptonSoft v 1.2 обеспечивает:
• шифрование файлов по ГОСТ 28147-89 (симметричные архивный и сетевой методы);
• электронную цифровую подпись файлов. Есть возможность формировать подпись как внутри
подписываемого файла, так и в отдельном файле;
• управление ключами: шифрования, подписи, главными ключами. Управление включает создание
ключей, их перешифрование, смену паролей;
• копирование, перенос, переименование, удаление файлов непосредственно из оболочки
программы. Удаление файлов включает полное их затирание с невозможностью дальнейшего
восстановления;
• работу с устройствами чтения пластиковых карт типа SA-101, SCAT-200. Эти устройства
представляются в виде логического устройства SC:, с которым можно производить необходимые
операции: создание/чтение ключей, копирование файлов.
Программа имеет оконный пользовательский интерфейс и развернутую контекстную помощь.
Управление может вестись как с клавиатуры, так и манипулятором "мышь". Реализован также режим
командной строки, что позволяет использовать программу в пакетном режиме и в других системах.
Программа имеет широкий набор настраиваемых параметров: цвета интерфейса, язык
сообщений, подключенные устройства, используемые внешние программы и правила отображения
файлов, параметры шифрования/подписи. Кроме того, возможен запрет на использование ряда
команд программы. Все настройки сохраняются в конфигурационном файле, который шифруется для
предотвращения несанкционированной модификации.

Программа Crypton ArcMail.
Предназначается для защиты файлов-документов, передаваемых в сети. Позволяет закрыть
обмен информацией между:
• отдельными абонентами (кабинетами, пользователями и т.д.);
• различными подразделениями (отделами и т.д.);
• различными управлениями (департаментами) и т.д.
Программа работает на ПК с процессором 386 и выше под управлением DOS 5.0 и выше.
Интерфейс пользователя подобен интерфейсу Norton Commander. Стандартная
конфигурация системы включает:
• программу центрального пункта, обеспечивающую регистрацию абонентов и создание и
сопровождение списков зарегистрированных абонентов;
• программу абонентского пункта;
• при необходимости систему защиты ПК от несанкционированного доступа КРИПТОН-ВЕТО;
• при необходимости устройство считывания информации со смарт-карт и Touch-Memory.
Программа обеспечивает сжатие документов, аутентификацию автора, целостность
документов, конфиденциальность передаваемой информации. В минимальной конфигурации
представляет собой программу обработки документов перед передачей и после приема. Передача и
прием осуществляются стандартными программами электронной почты.
Для работы с системой каждый абонент снабжается секретным и открытым ключами.
Секретный ключ абонента хранится на дискете или смарт-карте и запрашивается при запуске
программы абонентского или центрального пунктов. Открытый ключ абонента направляется на
регистрацию (сертификацию) на центральный пункт сети. В регистрационном центре открытые ключи
всех абонентов с сертификатами помещаются в базу данных зарегистрированных абонентов. В
процессе обработки полученного по почте документа автоматически проверяется наличие абонента в
базе зарегистрированных абонентов. Целостность документов подтверждается электронной
подписью, помещаемой в конец передаваемых документов. При формировании подписи
используется текст документа и секретный ключ абонента.
При подготовке документов к передаче автоматически осуществляются:
• запрос из базы данных открытых ключей зарегистрированных абонентов, которым направляются
документы;
• электронная подпись передаваемых документов;
• сжатие документов в один файл;
• генерация сеансового ключа;
• шифрование файла с документами на сеансовом ключе;
• вычисление парно связных ключей (на основе секретного ключа отправителя и открытых ключей
получателей) и шифрование на них сеансового ключа.
Таким образом, прочитать данный документ может только абонент, обладающий
соответствующим секретным ключом. После приема автоматически выполняются обратные действия:
• вычисление парно связного ключа (на основе секретного ключа получателя и открытого ключа
отправителя с автоматической проверкой сертификата) и расшифрование сеансового ключа;
• расшифрование файла с помощью полученного сеансового ключа;
• разархивирование документов;
• проверка электронной подписи полученных документов.
Все действия программы-архиватора и результаты протоколируются в специальном журнале
в зашифрованном виде.
Программа легко и надежно настраивается на любую комбинацию своих команд для
различных абонентов. В системе можно реализовать уровень защиты, исключающий
несанкционированное ознакомление с передаваемой информацией даже при получении
злоумышленником секретных ключей и паролей. В этом случае приведенная выше схема защиты
несколько изменяется.

Пакеты программ АШ и ЭЦП для Windows 95/98/NT.
К программным средствам абонентского шифрования и электронной цифровой подписи серии
КРИПТОН/Crypton для Windows 95/98/NT можно отнести следующие пакеты программ:
- пакет «КРИПТОН®Шифрование»;
- пакет «КРИПТОН®Подпись»;
- пакет программ Crypton ArcMail для Windows'95(98)/NT 4.0.
Для успешного функционирования этих пакетов программ компьютер должен удовлетворять
следующим требованиям:
- наличие операционной системы Windows 95/98 или Windows NT 4.0;
- наличие УКЗД серии КРИПТОН с соответствующим драйвером для Windows 95/98/NT или его
программного драйвера-эмулятора для Windows – Crypton Emulator версии 1.3 или выше;
- наличие Crypton API для Windows 95/NT версии 2.2 или выше;
- наличие манипулятора мышь.
Для осуществления более надежной защиты рекомендуется вместо программы Crypton
Emulator использовать УКЗД серии «КРИПТОН».

Пакет «КРИПТОН®Шифование».
Пакет «КРИПТОН®Шифрование» предназначен для защиты электронных документов
(файлов) от несанкционированного доступа при хранении их на персональном компьютере или
передаче по открытым каналам связи. Защита документов осуществляется путем их шифрования по
ГОСТ 28147-89.
Для считывания ключевой информации могут применяться устройства чтения смарт-карт типа
SA-101i и другие.
В данной системе в качестве ключей шифрования могут использоваться: Главный Ключ;
Пароль; Ключ Пользователя; Сетевой Ключ.
Как и в программах Crypton Tools и Crypton Soft, в данной системе шифрование файлов может
протекать по двум схемам:
- архивное шифрование файлов (обмен которыми не предполагается);
- шифрование файлов для передачи в криптографической сети.
Перешифрование информации, контроль целостности информации и ввод пароля
осуществляются в данной системе аналогично программам Crypton Tools и Crypton Soft.
Пакет «КРИПТОН®Шифрование» состоит из 3 компонентов:
1. Программа управления ключами шифрования «Мастер ключей шифрования». Данная
программа позволяет создавать все виды используемых ключей, менять их характеристики, а также
изменять настройки всего комплекса.
2. Расширение Windows Explorer (Проводника Windows) для шифрования файлов. Эта программа
обеспечивает добавление дополнительных команд в контекстное меню (а также в меню «Файл»)
программы Windows Explorer. Эти команды обеспечивают основные криптографические операции над
файлами.
3. Утилита командной строки для пакетной обработки файлов. Эта программа позволяет
автоматизировать процесс шифрования файлов, а также легко встраивать функции шифрования в
клиентские системы путем вызова данной утилиты с параметрами, передаваемыми в командной
строке.
Пользовательские программы содержат интерактивную справку с подробной информацией о
всех выполняемых командах и выдаваемых диалоговых окнах.
Все программы пакета могут использовать смарт-карты в качестве носителей ключей.
Поскольку они работают через SCApi (универсальный интерфейс смарт-карт), ограничения на тип
устройств чтения смарт-карт и на тип используемых карт накладываются только текущим
установленным набором драйверов карточных устройств.
Все программы данного пакета имеют ряд общих параметров, влияющих на их поведение и
работоспособность. Эти параметры сохраняются в реестре Windows и являются персональными для
каждого локального пользователя Windows. Эти параметры могут быть изменены при помощи
программы «Мастер ключей шифрования».
Программы данного пакета многоязычны. Это значит, что пользователь может выбрать язык
пользовательского интерфейса по своему предпочтению. На данный момент существуют два
языковых варианта: русский и английский.
Для управления ключевой информацией используется программа «Мастер ключей
шифрования». Программа предлагает пользователю диалоговое окно с двумя панелями. Левая
панель содержит список доступных команд, иерархически оформленный в виде дерева. Правая

<< Предыдущая

стр. 39
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>