<< Предыдущая

стр. 40
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

панель отображает параметры выбранной команды и содержит элементы управления для ее
выполнения. Для любой команды доступна интерактивная справка, вызываемая по нажатию кнопки
«Справка». Программа «Мастер ключей шифрования» позволяет выполнить следующие операции:
• генерация Узла Замены;
• генерация Главного Ключа;
• генерация Ключа Пользователя;
• смена Пароля ключа;
• генерация Сетевой Таблицы;
• генерация Сетевых Наборов;
• перешифрование Главного Ключа;
• перешифрование Ключа Пользователя на новом Главном Ключе;
• перешифрование Ключей Пользователя.
Обработка файлов в интерактивном режиме ведется при помощи программы-расширения
Windows Explorer (Проводника Windows). Эта программа позволяет выполнить следующие операции:
• шифрование файлов;
• расшифрование файлов;
• перешифрование файлов;
• уничтожение файлов;
• получение информации о файлах.
Обработка файлов в пакетном режиме производится путем вызова утилиты командной
строки. Обработка файлов в пакетном режиме необходима для автоматизации процесса шифрования
файлов, а также для встраивания функций шифрования в другие системы. Данной программой
выполняются следующие команды:
• зашифровать файлы;
• расшифровать файлы;
• перешифровать файлы;
• уничтожить файлы.

Пакет «КРИПТОН®Подпись».
Пакет программ «КРИПТОН®Подпись» предназначен для формирования и использования
электронной цифровой подписи (ЭЦП) электронных документов. ЭЦП обеспечивает установление
авторства электронных документов и проверку целостности электронных документов.
В пакете программ «КРИПТОН®Подпись» реализованы стандартные алгоритмы цифровой
подписи ГОСТ Р 34.10-94 и функции хэширования ГОСТ Р 34.11-94.
Авторство и целостность электронных документов подтверждаются цифровой подписью,
помещаемой в конец подписываемых документов-файлов. При формировании цифровой подписи
используется текст документа и секретный ключ. Пакет «КРИПТОН®Подпись», как и программа
Crypton Sign, допускает два способа объединения ЭЦП с подписываемым документом-файлом:
1. размещение ЭЦП вместе с подписываемым файлом;
2. размещение ЭЦП на отдельном файле, с указанием имени подписанного файла.
Пакет «КРИПТОН®Подпись» и программа Crypton Sign имеют одинаковую структуру
цифровой подписи.
Для штатной работы с программами пакета «КРИПТОН®Подпись» каждый пользователь,
предполагающий использовать ЭЦП в электронном документообороте, должен иметь пару ключей –
секретный и открытый.
Секретный ключ пользователя является именно тем ключевым элементом, с помощью
которого формируется ЭЦП данного пользователя, поэтому ключевой носитель (дискета, смарт-карта
и т.д.), содержащий данный ключ, должен храниться пользователем особо тщательно, предотвращая
тем самым подделку своей подписи.
Секретный ключ запрашивается программами пакета перед выполнением каких-либо
действий, поэтому, не имея секретного ключа ЭЦП, войти в программы пакета невозможно.
Открытые ключи подписи используются для проверки ЭЦП получаемых документов-файлов.
Владелец пары ключей подписи должен обеспечить наличие своего открытого ключа у всех, с кем он
собирается обмениваться подписанными документами. При этом следует исключить возможность
подмены открытых ключей как на этапе передачи, так и на этапе их использования.
При работе с пакетом «КРИПТОН®Подпись» каждый пользователь должен иметь, как
минимум, один собственный секретный ключ для формирования своей подписи и множество
открытых ключей для проверки чужих подписей.
Понятно, что собственный секретный ключ должен быть недоступен для других. Открытые
ключи должны быть сертифицированы для предотвращения опасности их подмены.
Рассмотрим совокупность действий по защите ключей. Схема работы с ключами
представлена на рис. 11.4.

УКЗД серии Crypton LITE,
КРИПТОН Crypton Emulator


Драйвер



Сформировать
пароль
ключи

Секретный ключ Открытый ключ


Новый абонент
Персональная дискета
сети
Абонент сети

Ключ-сертификат
Каталог
Открытый ключ
с открытыми ключами



Копия открытого Сертификационный
ключа центр
Сертифицировать
открытый ключ


Рис. 11.4. Схема работы с ключами.

В общем случае необходимо выполнить следующую последовательность шагов:
(1). Создание собственных ключей на персональной дискете. Генерация случайного кода для
создания секретного ключа выполняется аппаратно устройством криптографической защиты данных
УКЗД серии «КРИПТОН» или программно драйвером-эмулятором УКЗД (Crypton Emulator). Секретный
ключ необходимо закрыть паролем, который не позволит злоумышленнику воспользоваться им при
похищении или копировании его.
(2). Создание отдельного раздела (каталога) для размещения открытых ключей (например, PK
DIR).
(3). Создание резервных копий открытых ключей, полученных путем прямого обмена с другими
пользователями. Эти ключи могут понадобиться при решении спорных вопросов, поэтому
необходимо обеспечить их сохранность. С этой целью осуществляют запись открытых ключей в
раздел PK DIR, удаляя у них подпись и формируя новую подпись собственным секретным ключом
(для обеспечения целостности открытых ключей в процессе работы).
(3’). Создание резервной копии открытых ключей, сертифицированных на ключе-сертификате. Эти
открытые ключи записываются в соответствующий раздел PK DIR. Ключи-сертификаты записываются
на персональную дискету. Предпочтительнее этот вариант, чем предыдущий. В результате, на
персональной дискете будут располагаться:
• собственный секретный ключ (обязательно);
• собственный открытый ключ (обязательно, если он используется в качестве открытого ключа
для проверки факта сертификации);
• ключи-сертификаты (их число определяется числом сертификационных центров, в которых
пользователь сертифицирован).
Такая организация работы с ключами обеспечивает их относительную безопасность.
Пакет программ «КРИПТОН®Подпись» состоит из следующих программных модулей:
1. Расширение Windows Explorer «КРИПТОН®Подпись». Данный программный модуль выполняет
основные действия пакета «КРИПТОН®Подпись».
2. Программа «КРИПТОН®Подпись-Конфигурация». Программа «КРИПТОН®Подпись-
Конфигурация» служит для указания параметров работы программ, входящих в пакет программ
«КРИПТОН®Подпись».
3. Программа «Мастер ключей подписи». Программа «Мастер ключей подписи» служит для
работы с ключами и базами данных открытых ключей.
4. Программа «Менеджер журналов операций». Программа «Менеджер журналов операций»
служит для просмотра и редактирования файлов журналов операций.
Кроме того, пакет «КРИПТОН®Подпись» предоставляет возможность автоматической
обработки файлов-документов с помощью входящей в состав пакета утилиты командной строки Sgn
Cmd.
Схема создания и проверки ЭЦП с помощью пакета «КРИПТОН®Подпись» аналогична схеме,
используемой в Crypton Sign.
Как отмечалось, основные действия пакета «КРИПТОН®Подпись» выполняются
программным модулем Расширение Windows Explorer «КРИПТОН®Подпись». Это Расширение
встраивается в контекстное меню Windows Explorer в виде дополнительного пункта меню с названием
«КРИПТОН®Подпись». При активизации данного пункта меню появляется подменю, содержащее
основные команды Расширения:
• Подписать;
• Проверить;
• Удалить подпись;
• Информация.
Все команды меню «КРИПТОН®Подпись» выполняются над всеми выбранными файлами, а
если выбран один или несколько каталогов – то над всеми файлами всех выбранных каталогов и их
подкаталогов.
Непосредственно перед выполнением для выбранных файлов команды «Подписать»
производится загрузка требуемого секретного ключа. Если загружаемый секретный ключ закрыт на
пароле, происходит запрос пароля. При трехкратном вводе неверного пароля операция будет
отменена. Аналогичным образом производится загрузка секретного ключа при выполнении других
команд меню «КРИПТОН®Подпись».
Соответствующие команды меню «КРИПТОН®Подпись» позволяют проверить или удалить
ЭЦП. Пункт меню «Информация» позволяет просматривать информацию о выбранных файлах.

Пакет программ защиты электронных документов Crypton ArcMail.
Пакет программ Crypton ArcMail для Windows 95/98/NT 4.0 предназначен для защиты
электронных документов от несанкционированного доступа и контроля их целостности при хранении в
организации или передаче по открытым каналам связи.
Пакет программ Crypton ArcMail обеспечивает сжатие документов, проверку целостности
документов, конфиденциальность документов, установление автора документа.
Передаваемые в электронном виде документы имеют различную степень
конфиденциальности и могут содержать сведения от полностью открытых до составляющих
коммерческую тайну самого предприятия или его партнеров. Кроме того, при введении электронного
документооборота возникает вопрос обеспечения достоверности передаваемых документов.
Наиболее остро вопрос защиты документооборота стоит для предприятий, имеющих
территориально-распределенную структуру. Такие предприятия могут иметь несколько локальных
вычислительных сетей (ЛВС), расположенных в разных местах, в том числе в различных регионах
России, и вынуждены использовать для передачи информации различные глобальные
вычислительные сети (ГВС) общего пользования, например, сеть Internet.
При электронном документообороте возникают различные угрозы со стороны пользователей
ГВС, которые можно разделить на две основные категории:
• Угрозы конфиденциальности информации;
• Угрозы целостности информации.
Наиболее надежным средством для обеспечения конфиденциальности информации является
шифрование. Авторство и целостность электронного документа позволяет установить электронная
цифровая подпись (ЭЦП).
Схема использования ЭЦП в пакете программ Crypton ArcMail такая же, как и в предыдущем
пакете (рис.11.3).
Секретный ключ СК генерируется абонентом сети. ЭЦП формируется на основе СК и
вычисленного с помощью хэш-функции значения хэша документа. Ключ СК может быть зашифрован
на пароле абонента. Открытый ключ ОК вычисляется как значение некоторой функции из СК и
используется для проверки ЭЦП. Ключ ОК должен быть передан всем абонентам сети, с которыми
планируется обмен защищенной информацией.
При проверке ЭЦП принятого по сети подписанного документа вычисляется значение хэша
этого документа. Любые изменения документа приведут к другому значению хэша, что явится
сигналом нарушения целостности принятого документа.
Для защиты и конфиденциальности, и целостности информации необходимо использовать в
комплексе шифрование и ЭЦП, что можно совместить с таким дополнительным сервисом, как сжатие
(архивация) информации. Такие возможности обеспечивает специализированный архиватор
электронных документов Crypton ArcMail.
Схема алгоритма создания архива для передачи по сети приведена на рис. 11.5.

Документ - Документ -
... Секретный
файл 1 файл N
ключ




Документ - Документ -
...
файл 1 файл N

ЭЦП ЭЦП Открытый
Парно-
ключ
связной
абонента 1
ключ 1
... ...
Сжатие

Открытый
Парно-
ключ
связной
Временный абонента М
ключ М
архив


Датчик
Шифрование случайных
чисел
Файловый
ключ
Подготовленный к передаче
файл-архив

Файловый ключ,
зашифрованный на парно-связном
ключе 1
...

Файловый ключ,
зашифрованный на парно-связном
ключе М

Зашифрованный архив




Рис. 11.5. Алгоритм создания архива.
При создании архива исходные документы-файлы подписываются на секретном ключе СК
абонента сети, после чего подписанные файлы сжимаются. Получаемый в результате сжатия
временный архив шифруется на случайном (файловом) ключе.
Абоненты, которым предназначается архив, могут расшифровать его с помощью записанного
в архив зашифрованного файлового ключа. Файловый ключ зашифровывается на парно-связном
ключе, вычисляемом по алгоритму Диффи-Хеллмана из секретного ключа СК отправителя и
открытого ключа ОК абонента-адресата. Парно-связной ключ может также выбираться из
симметричных ключей сетевого набора (КСН), структурно оформленных в виде базы данных
открытых ключей. В этом случае КСН зашифрованы на главном ключе.
Таким образом, достигаются следующие цели:
• Передаваемые электронные документы снабжаются кодом подтверждения достоверности – ЭЦП,
который защищает их от нарушения целостности или подмены.
• Документы передаются в защищенном виде, что обеспечивает их конфиденциальность.
• Абоненты-адресаты могут расшифровывать документы, используя свой секретный ключ и
открытый ключ отправителя (или КСН).
• Абоненты сети, которым не предназначается данный архив не могут прочитать его содержимое,
поскольку не имеют файлового ключа и не могут его вычислить.
• Дополнительный сервис – уменьшение объема передаваемой информации, обусловленное
архивацией.
Согласно описанной выше схеме, ключи должны распределяться следующим образом:
секретный ключ СК должен находиться у его владельца, парный ему открытый ключ ОК должен быть
передан владельцем всем абонентам сети, с которыми он хочет обмениваться защищенной
информацией.

<< Предыдущая

стр. 40
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>