Cryptosystems hufanya kazi kwa kutumia taratibu zifuatazo. Njia za Cryptographic za ulinzi wa habari

Kwa mtazamo wa usalama wa habari, funguo za kriptografia ni data muhimu. Ikiwa hapo awali, ili kuiba kampuni, washambuliaji walipaswa kuingia katika eneo lake, kufungua majengo na salama, sasa inatosha kuiba ishara na ufunguo wa cryptographic na kufanya uhamisho kupitia mfumo wa Mteja-Benki ya Mtandao. Msingi wa kuhakikisha usalama kwa kutumia mifumo ya ulinzi wa taarifa za siri (CIPS) ni kudumisha usiri wa funguo za kriptografia.

Unawezaje kuhakikisha usiri wa kitu ambacho hujui upo? Kuweka ishara na ufunguo ndani ya salama, unahitaji kujua kuhusu kuwepo kwa ishara na salama. Ingawa inaweza kuonekana kuwa ya kushangaza, kampuni chache sana zina wazo la idadi kamili ya hati muhimu wanazotumia. Hii inaweza kutokea kwa sababu kadhaa, kwa mfano, kudharau vitisho vya usalama wa habari, ukosefu wa michakato ya biashara iliyoanzishwa, sifa za kutosha za wafanyikazi katika maswala ya usalama, nk. Kawaida wanakumbuka kazi hii baada ya matukio, kama hii.

Makala hii itaelezea hatua ya kwanza kuelekea kuboresha usalama wa habari kwa kutumia zana za crypto, au kwa usahihi zaidi, tutazingatia mojawapo ya mbinu za kufanya ukaguzi wa funguo za CIPF na crypto. Masimulizi yatafanywa kwa niaba ya mtaalamu wa usalama wa habari, na tutafikiri kwamba kazi inafanywa kutoka mwanzo.

Masharti na Ufafanuzi

Mwanzoni mwa kifungu, ili tusiogope msomaji ambaye hajajiandaa kwa ufafanuzi changamano, tulitumia sana maneno ufunguo wa kriptografia au ufunguo wa siri; sasa ni wakati wa kuboresha zana zetu za dhana na kuifanya ifuate sheria ya sasa. Hii ni hatua muhimu sana, kwani itawawezesha kuunda kwa ufanisi taarifa zilizopatikana kutokana na matokeo ya ukaguzi.

Kitufe cha Cryptographic (cryptokey)- seti ya data ambayo hutoa chaguo la mageuzi moja mahususi ya kriptografia kutoka kati ya yote yanayowezekana katika mfumo fulani wa kriptografia (ufafanuzi kutoka kwa "maagizo ya pink - Agizo la FAPSI Na. 152 la Juni 13, 2001, ambalo linajulikana baadaye kama FAPSI 152).
Taarifa muhimu- seti iliyopangwa maalum ya funguo za siri iliyoundwa ili kutoa ulinzi wa habari kwa muda fulani [FAPSI 152].
Unaweza kuelewa tofauti ya kimsingi kati ya cryptokey na habari muhimu kwa kutumia mfano ufuatao. Wakati wa kupanga HTTPS, jozi ya ufunguo wa umma na wa kibinafsi hutolewa, na cheti kinapatikana kutoka kwa ufunguo wa umma na maelezo ya ziada. Kwa hivyo, katika mpango huu, mchanganyiko wa cheti na ufunguo wa kibinafsi huunda habari muhimu, na kila mmoja wao ni cryptokey. Hapa unaweza kuongozwa na kanuni rahisi ifuatayo - watumiaji wa mwisho hutumia taarifa muhimu wanapofanya kazi na CIPF, na funguo za siri kwa kawaida hutumia CIPF ndani. Wakati huo huo, ni muhimu kuelewa kwamba habari muhimu inaweza kuwa na ufunguo mmoja wa crypto.
Nyaraka muhimu- hati za elektroniki kwenye media yoyote, pamoja na hati za karatasi zilizo na habari muhimu ya ufikiaji mdogo kwa ubadilishaji wa habari wa kriptografia kwa kutumia algorithms kwa ubadilishaji wa habari wa habari (ufunguo wa cryptographic) katika njia za usimbuaji (cryptographic). (ufafanuzi kutoka kwa Amri ya Serikali Na. 313 ya tarehe 16 Aprili, 2012, ambayo inajulikana baadaye kama PP-313)
Kwa maneno rahisi, hati muhimu ni habari muhimu iliyorekodiwa kwenye kati. Wakati wa kuchambua habari muhimu na hati muhimu, inapaswa kusisitizwa kuwa habari muhimu hutumiwa (yaani, kutumika kwa mabadiliko ya kriptografia - usimbaji fiche, saini ya elektroniki, nk), na hati muhimu zilizo nayo huhamishiwa kwa wafanyikazi.
Njia za ulinzi wa habari za kriptografia (CIPF)- njia za usimbaji, njia za ulinzi wa kuiga, njia za saini za kielektroniki, njia za usimbaji, njia za kutoa hati muhimu, hati muhimu, njia za usimbuaji wa maunzi (cryptographic), njia za programu na usimbaji maunzi (cryptographic). [PP-313]
Wakati wa kuchambua ufafanuzi huu, unaweza kupata ndani yake uwepo wa neno hati muhimu. Muda huo umetolewa katika Amri ya Serikali na hatuna haki ya kuibadilisha. Wakati huo huo, maelezo zaidi yatafanyika kwa msingi kwamba CIPF itajumuisha tu njia za kutekeleza mabadiliko ya kriptografia). Njia hii itarahisisha ukaguzi, lakini wakati huo huo haitaathiri ubora wake, kwani bado tutazingatia nyaraka muhimu, lakini katika sehemu yetu wenyewe na kutumia njia zetu wenyewe.

Mbinu ya ukaguzi na matokeo yanayotarajiwa

Sifa kuu za mbinu ya ukaguzi iliyopendekezwa katika kifungu hiki ni machapisho ambayo:

hakuna mfanyakazi wa kampuni anayeweza kujibu kwa usahihi maswali yaliyoulizwa wakati wa ukaguzi;
vyanzo vya data vilivyopo (orodha, rejista, n.k.) si sahihi au vina muundo duni.

Kwa hivyo, mbinu iliyopendekezwa katika kifungu ni aina ya uchimbaji wa data, wakati ambapo data sawa itatolewa kutoka kwa vyanzo tofauti, na kisha kulinganishwa, kupangwa na kusafishwa.

Hapa kuna tegemezi kuu ambazo zitatusaidia na hii:

Ikiwa kuna CIPF, basi kuna habari muhimu.
Ikiwa kuna mtiririko wa hati ya elektroniki (ikiwa ni pamoja na wenzao na wasimamizi), basi uwezekano mkubwa hutumia saini ya elektroniki na, kwa sababu hiyo, CIPF na habari muhimu.
Usimamizi wa hati za kielektroniki katika muktadha huu unapaswa kueleweka kwa upana, yaani, utajumuisha ubadilishanaji wa moja kwa moja wa hati muhimu za kielektroniki za kisheria, na uwasilishaji wa ripoti, na kufanya kazi katika mifumo ya malipo au biashara, na kadhalika. Orodha na aina za usimamizi wa hati za elektroniki zimedhamiriwa na michakato ya biashara ya kampuni, pamoja na sheria ya sasa.
Ikiwa mfanyakazi anahusika katika usimamizi wa hati za elektroniki, basi uwezekano mkubwa ana hati muhimu.
Wakati wa kuandaa usimamizi wa hati za elektroniki na wenzao, hati za shirika na utawala (maagizo) kawaida hutolewa kwa uteuzi wa watu wanaowajibika.
Ikiwa habari itatumwa kupitia Mtandao (au mitandao mingine ya umma), kuna uwezekano mkubwa kuwa imesimbwa. Hii inatumika kimsingi kwa VPN na mifumo mbali mbali ya ufikiaji wa mbali.
Itifaki zikigunduliwa katika trafiki ya mtandao inayosambaza trafiki kwa njia iliyosimbwa, basi CIPF na taarifa muhimu hutumiwa.
Ikiwa makazi yalifanywa na wenzao wanaohusika katika: usambazaji wa vifaa vya usalama wa habari, vifaa vya mawasiliano ya simu, utoaji wa huduma za uhamisho wa habari, huduma za vituo vya vyeti, basi wakati wa mwingiliano huu CIPF au nyaraka muhimu zinaweza kununuliwa.
Nyaraka muhimu zinaweza kuwa kwenye vyombo vya habari vinavyoweza kuhamishwa (floppy disks, flash drives, tokens, ...) au kurekodiwa ndani ya kompyuta na mifumo ya ulinzi wa taarifa za maunzi.
Wakati wa kutumia zana za uboreshaji, hati muhimu zinaweza kuhifadhiwa ndani ya mashine pepe na kuwekwa kwenye mashine pepe kwa kutumia hypervisor.
CIPF ya maunzi inaweza kusakinishwa katika vyumba vya seva na isipatikane kwa uchambuzi kwenye mtandao.
Baadhi ya mifumo ya kielektroniki ya usimamizi wa hati inaweza kuwa katika hali isiyotumika au isiyotumika, lakini wakati huo huo ina taarifa muhimu amilifu na CIPF.
Nyaraka za ndani za udhibiti na shirika zinaweza kuwa na taarifa kuhusu mifumo ya kielektroniki ya usimamizi wa hati, CIPF na hati muhimu.

Ili kupata habari ya msingi tutafanya:

mahojiano na wafanyikazi;
kuchambua nyaraka za kampuni, ikiwa ni pamoja na hati za ndani za udhibiti na utawala, pamoja na maagizo ya malipo yanayotoka;
kufanya uchambuzi wa kuona wa vyumba vya seva na makabati ya mawasiliano;
kufanya uchambuzi wa kiufundi wa yaliyomo kwenye vituo vya kazi vya kiotomatiki (AWS), seva na zana za utambuzi.

Tutaunda shughuli mahususi baadaye, lakini kwa sasa hebu tuangalie data ya mwisho ambayo tunapaswa kupokea kutokana na ukaguzi:

Orodha ya CIPF:

Mfano wa CIPF. Kwa mfano, CIPF Crypto CSP 3.9, au OpenSSL 1.0.1
Kitambulisho cha mfano cha CIPF. Kwa mfano, serial, leseni (au usajili kulingana na PKZ-2005) nambari ya CIPF
Habari juu ya cheti cha FSB ya Urusi kwa ulinzi wa habari ya kriptografia, ikijumuisha nambari na tarehe za kuanza na mwisho za uhalali.
Taarifa kuhusu mahali pa uendeshaji wa CIPF. Kwa mfano, jina la kompyuta ambayo CIPF ya programu imewekwa, au jina la njia za kiufundi au majengo ambapo CIPF ya maunzi imewekwa.

Habari hii itakuruhusu:

Dhibiti udhaifu katika CIPF, yaani, ugundue haraka na uurekebishe.
Fuatilia muda wa uhalali wa vyeti vya CIPF, na pia uangalie ikiwa CIPF iliyoidhinishwa inatumika kwa mujibu wa sheria zilizowekwa na hati au la.
Panga gharama za CIPF, kujua ni kiasi gani tayari kinatumika na ni kiasi gani cha fedha zilizounganishwa bado zinapatikana.
Tengeneza taarifa za udhibiti.

Orodha ya habari muhimu:

Kwa kila kipengele cha orodha tunarekodi data ifuatayo:

Jina au kitambulisho cha habari muhimu. Kwa mfano, "Ufunguo wa sahihi ya kielektroniki iliyohitimu. Nambari ya mfululizo ya cheti 31:2D:AF", na kitambulisho kinapaswa kuchaguliwa kwa njia ambayo ufunguo unaweza kupatikana kwa hiyo. Kwa mfano, wakati wa kutuma arifa, mamlaka ya uthibitishaji kwa kawaida hutambua funguo kwa nambari za cheti.
Kituo kikuu cha udhibiti wa mfumo (KSUC), ambaye alitoa habari hii muhimu. Hili linaweza kuwa shirika ambalo lilitoa ufunguo, kwa mfano, mamlaka ya uthibitishaji.
Mtu binafsi, ambaye taarifa muhimu zilitolewa kwa jina lake. Maelezo haya yanaweza kutolewa kutoka sehemu za CN za vyeti vya X.509
Muundo wa Taarifa Muhimu. Kwa mfano, CIPF CryptoPRO, CIPF Verba-OW, X.509, n.k. (au kwa maneno mengine kwa matumizi ambayo CIPF habari hii muhimu inakusudiwa).
Kukabidhi Taarifa Muhimu. Kwa mfano, "Kushiriki katika biashara kwenye tovuti ya Sberbank AST", "Sahihi ya elektroniki iliyohitimu kwa kuripoti", nk. Kwa mtazamo wa kiufundi, katika uga huu unaweza kurekodi vikwazo vilivyorekodiwa katika sehemu kuu za matumizi zilizopanuliwa na vyeti vingine vya X.509.
Kuanza na mwisho wa vipindi muhimu vya uhalali wa habari.
Utaratibu wa kutolewa tena kwa habari muhimu. Hiyo ni, ujuzi wa kile kinachohitajika kufanywa na jinsi wakati wa kutoa tena habari muhimu. Kwa uchache, inashauriwa kurekodi mawasiliano ya maafisa wa kituo cha udhibiti cha kati ambacho kilitoa habari muhimu.
Orodha ya mifumo ya habari, huduma au michakato ya biashara ambayo habari muhimu hutumiwa. Kwa mfano, "Mfumo wa huduma za benki za mbali za Mtandao wa Mteja-Benki".

Habari hii itakuruhusu:

Fuatilia tarehe za mwisho wa matumizi ya taarifa muhimu.
Toa tena habari muhimu kwa haraka inapohitajika. Hii inaweza kuhitajika kwa uchapishaji upya uliopangwa na ambao haujaratibiwa.
Zuia utumiaji wa habari muhimu wakati wa kufukuzwa kwa mfanyakazi ambaye ilitolewa kwake.
Chunguza matukio ya usalama wa habari kwa kujibu maswali: "Nani alikuwa na funguo za kufanya malipo?" na nk.

Orodha ya hati kuu:

Kwa kila kipengele cha orodha tunarekodi data ifuatayo:

Taarifa muhimu zilizomo katika hati muhimu.
Mtoa huduma wa habari muhimu, ambayo habari muhimu imerekodiwa.
Uso, kuwajibika kwa usalama wa hati muhimu na usiri wa taarifa muhimu zilizomo ndani yake.

Habari hii itakuruhusu:

Toa tena habari muhimu katika kesi za: kufukuzwa kwa wafanyikazi walio na hati muhimu, na pia katika kesi ya maelewano ya media.
Hakikisha usiri wa taarifa muhimu kwa kuorodhesha vyombo vya habari vilivyomo.

Mpango wa Ukaguzi

Wakati umefika wa kuzingatia vipengele vya vitendo vya kufanya ukaguzi. Hebu tufanye hivyo kwa kutumia mfano wa taasisi ya fedha au, kwa maneno mengine, kwa kutumia mfano wa benki. Mfano huu haukuchaguliwa kwa bahati. Benki hutumia idadi kubwa ya mifumo tofauti ya ulinzi wa kriptografia, ambayo inahusika katika idadi kubwa ya michakato ya biashara, na zaidi ya hayo, karibu benki zote ni Leseni za FSB ya Urusi kwa cryptography. Zaidi katika makala, mpango wa ukaguzi wa CIPF na cryptokeys utawasilishwa kuhusiana na Benki. Wakati huo huo, mpango huu unaweza kuchukuliwa kama msingi wakati wa kufanya ukaguzi wa karibu kampuni yoyote. Kwa urahisi wa mtazamo, mpango huo umegawanywa katika hatua, ambazo kwa upande wake zimeanguka katika waharibifu.

Hatua ya 1. Ukusanyaji wa data kutoka kwa idara za miundombinu ya kampuni

№	Kitendo
Chanzo - wafanyikazi wote wa kampuni
1	Tunatuma barua pepe ya shirika kwa wafanyikazi wote wa kampuni tukiwauliza wajulishe huduma ya usalama wa habari kuhusu funguo zote za siri wanazotumia.	Tunapokea barua pepe, kwa misingi ambayo tunaunda orodha ya habari muhimu na orodha ya nyaraka muhimu
Chanzo - Mkuu wa Huduma ya Teknolojia ya Habari
1	Tunaomba orodha ya habari muhimu na nyaraka muhimu	Kwa uwezekano fulani, Huduma ya TEHAMA hudumisha hati zinazofanana; tutazitumia kutengeneza na kufafanua orodha za taarifa muhimu, hati muhimu na CIPF.
2	Tunaomba orodha ya CIPF
3	Tunaomba rejista ya programu iliyosakinishwa kwenye seva na vituo vya kazi	Katika sajili hii tunatafuta CIPF za programu na vipengele vyake. Kwa mfano, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Saini, PGP, ruToken, eToken, KritoARM, nk Kulingana na data hizi, tunaunda orodha ya CIPF.
4	Tunaomba orodha ya wafanyakazi (pengine usaidizi wa kiufundi) ambao husaidia watumiaji kutumia CIPF na kutoa upya taarifa muhimu.	Tunaomba kutoka kwa watu hawa taarifa sawa na kutoka kwa wasimamizi wa mfumo
Chanzo - wasimamizi wa mfumo wa Huduma ya Teknolojia ya Habari
1	Tunaomba orodha ya lango la ndani la crypto (VIPNET, Bara, S-terra, nk.)	Katika hali ambapo kampuni haitekelezi michakato ya kawaida ya biashara kwa IT na usimamizi wa usalama wa habari, maswali kama haya yanaweza kusaidia kuwakumbusha wasimamizi wa mfumo juu ya uwepo wa kifaa au programu fulani. Tunatumia maelezo haya kupata orodha ya CIPF.
2	Tunaomba orodha ya programu za nyumbani za CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Tunaomba orodha ya ruta zinazotumia VPN kwa: a) mawasiliano kati ya ofisi za kampuni; b) mwingiliano na wakandarasi na washirika.
4	Tunaomba orodha ya huduma za habari zilizochapishwa kwenye mtandao (zinazopatikana kutoka kwenye mtandao). Hizi zinaweza kujumuisha: a) barua pepe ya shirika; b) mifumo ya ujumbe wa papo hapo; c) tovuti za ushirika; d) huduma za kubadilishana habari na washirika na wakandarasi (extranet); e) mifumo ya benki ya mbali (ikiwa kampuni ni Benki); f) mifumo ya ufikiaji wa mbali kwa mtandao wa kampuni. Kuangalia ukamilifu wa habari iliyotolewa, tunailinganisha na orodha ya sheria za Usafirishaji wa ngome za moto.	Kuchanganua taarifa iliyopokelewa, kuna uwezekano mkubwa kwamba utakutana na matumizi ya CIPF na cryptokeys. Tunatumia data iliyopatikana kutengeneza orodha ya CIPF na taarifa muhimu.
5	Tunaomba orodha ya mifumo ya taarifa inayotumika kuripoti (Taxcom, Kontur, n.k.)	Mifumo hii hutumia funguo za saini za kielektroniki zilizohitimu na CIPF. Kupitia orodha hii, tunaunda orodha ya CIPF, orodha ya taarifa muhimu, na pia kujua wafanyakazi wanaotumia mifumo hii ili kuunda orodha ya nyaraka muhimu.
6	Tunaomba orodha ya mifumo ya ndani ya usimamizi wa hati za kielektroniki (Lotus, DIRECTUM, 1C: Usimamizi wa Hati, n.k.), pamoja na orodha ya watumiaji wake.	Vifunguo vya sahihi vya kielektroniki vinaweza kupatikana ndani ya mifumo ya ndani ya usimamizi wa hati za kielektroniki. Kulingana na habari iliyopokelewa, tunaunda orodha ya habari muhimu na orodha ya hati muhimu.
7	Tunaomba orodha ya vituo vya uthibitisho wa ndani.	Njia zinazotumika kuandaa vituo vya uthibitisho zimerekodiwa katika orodha ya CIPF. Katika siku zijazo, tutachanganua yaliyomo kwenye hifadhidata za mamlaka ya uthibitishaji ili kutambua taarifa muhimu.
8	Tunaomba maelezo kuhusu matumizi ya teknolojia: IEEE 802.1x, WiFiWPA2 Enterprise na mifumo ya ufuatiliaji wa video ya IP	Ikiwa teknolojia hizi zitatumika, tunaweza kupata hati muhimu kwenye vifaa vinavyohusika.
Chanzo - Mkuu wa Rasilimali Watu
1	Tafadhali eleza mchakato wa kuajiri na kufukuza wafanyikazi. Tunazingatia swali la nani anachukua nyaraka muhimu kutoka kwa wafanyakazi wanaojiuzulu	Tunachambua hati (karatasi za kupita) kwa uwepo wa mifumo ya habari ndani yao ambayo CIPF inaweza kutumika.

Hatua ya 2. Ukusanyaji wa data kutoka kwa vitengo vya biashara vya kampuni (kwa kutumia mfano wa Benki)

№	Kitendo	Matokeo yanayotarajiwa na matumizi yake
Chanzo - Mkuu wa huduma ya makazi (mahusiano ya mwandishi)
1	Tafadhali toa mpango wa kupanga mwingiliano na mfumo wa malipo wa Benki ya Urusi. Hasa, hii itakuwa muhimu kwa Benki ambazo zina mtandao wa matawi ulioendelezwa, ambapo matawi yanaweza kuunganishwa moja kwa moja na mfumo wa malipo wa Benki Kuu.	Kulingana na data iliyopokelewa, tunabainisha eneo la lango la malipo (AWC KBR, UTA) na orodha ya watumiaji wanaohusika. Tunatumia taarifa iliyopokelewa kuunda orodha ya CIPF, taarifa muhimu na hati muhimu.
2	Tunaomba orodha ya Benki ambazo mahusiano ya mwandishi wa moja kwa moja yameanzishwa, na pia tunauliza kutuambia ni nani anayehusika katika kufanya uhamisho na ni njia gani za kiufundi zinazotumiwa.
3	Tunaomba orodha ya mifumo ya malipo ambayo Benki inashiriki (SWIFT, VISA, MasterCard, NSPK, nk), pamoja na eneo la vituo vya mawasiliano.	Sawa na mfumo wa malipo wa Benki ya Urusi
Chanzo - Mkuu wa idara inayohusika na kutoa huduma za benki za mbali
1	Tunaomba orodha ya mifumo ya benki ya mbali.	Katika mifumo hii, tunachanganua matumizi ya CIPF na taarifa muhimu. Kulingana na data iliyopokelewa, tunaunda orodha ya CIPF na habari muhimu na hati muhimu.
Chanzo - Mkuu wa idara inayohusika na utendakazi wa usindikaji wa kadi ya malipo
1	Inaomba usajili wa HSM	Kulingana na taarifa iliyopokelewa, tunaunda orodha ya CIPF, taarifa muhimu na nyaraka muhimu.
2	Tunaomba rejista ya maafisa wa usalama
4	Tunaomba taarifa kuhusu vipengele vya LMK HSM
5	Tunaomba maelezo kuhusu shirika la mifumo kama vile 3D-Secure na shirika la kuweka mapendeleo ya kadi za malipo
Chanzo - Wakuu wa idara zinazofanya kazi za hazina na hazina
1	Orodha ya benki ambazo mahusiano ya mwandishi yameanzishwa na ambayo yanashiriki katika utoaji wa mikopo baina ya benki.	Tunatumia taarifa iliyopokelewa ili kufafanua data iliyopokelewa hapo awali kutoka kwa huduma ya malipo, na pia kurekodi habari kuhusu mwingiliano na ubadilishanaji na hazina. Kulingana na taarifa iliyopokelewa, tunaunda orodha ya CIPF na taarifa muhimu.
2	Orodha ya mabadilishano na amana maalum ambayo Benki inafanya kazi nayo
Chanzo - Wakuu wa huduma za ufuatiliaji wa kifedha na idara zinazohusika na kuwasilisha ripoti kwa Benki ya Urusi
1	Tunaomba taarifa kuhusu jinsi wanavyotuma taarifa na kupokea taarifa kutoka Benki Kuu. Orodha ya watu na njia za kiufundi zinazohusika.	Uingiliano wa habari na Benki ya Urusi umewekwa madhubuti na hati husika, kwa mfano, 2332-U, 321-I na wengine wengi, tunaangalia kufuata hati hizi na kuunda orodha za CIPF, habari muhimu na nyaraka muhimu.
Chanzo - Mhasibu mkuu na wafanyikazi wa uhasibu wanaohusika katika kulipa bili kwa mahitaji ya intrabank
1	Tunaomba taarifa kuhusu jinsi ripoti zinavyotayarishwa na kuwasilishwa kwa wakaguzi wa kodi na Benki Kuu ya Urusi	Tunafafanua habari iliyopokelewa hapo awali
2	Tunaomba rejista ya hati za malipo ili kulipia mahitaji ya intrabank	Katika rejista hii tutatafuta hati ambapo: 1) vituo vya uidhinishaji, waendeshaji maalum wa mawasiliano ya simu, watengenezaji wa CIPF, na wasambazaji wa vifaa vya mawasiliano huonyeshwa kama wapokeaji malipo. Majina ya makampuni haya yanaweza kupatikana kutoka kwa Daftari la CIPF iliyoidhinishwa ya FSB ya Urusi, orodha ya vituo vya vyeti vya vibali vya Wizara ya Telecom na Mawasiliano ya Misa na vyanzo vingine. 2) kama usimbuaji wa malipo kuna maneno: "CIPF", "saini", "ishara", "ufunguo", "BKI", nk.
Chanzo - Wakuu wa madeni yaliyochelewa na huduma za usimamizi wa hatari
1	Tunaomba orodha ya ofisi za historia ya mikopo na mashirika ya kukusanya ambayo Benki inafanya kazi nayo.	Pamoja na huduma ya IT, tunachambua data iliyopokelewa ili kufafanua shirika la usimamizi wa hati za elektroniki, kwa msingi ambao tunafafanua orodha za CIPF, habari muhimu na hati muhimu.
Chanzo - Wakuu wa usimamizi wa hati, udhibiti wa ndani na huduma za ukaguzi wa ndani
1	Tunaomba rejista ya hati za ndani za shirika na utawala (maagizo).	Katika hati hizi tunatafuta hati zinazohusiana na CIPF. Ili kufanya hivyo, tunachambua uwepo wa maneno "usalama", "mtu anayewajibika", "msimamizi", "saini ya kielektroniki", "saini ya dijiti", "saini ya dijiti", "saini ya dijiti", "saini ya dijiti", "ASP", "CIPF" na viambajengo vyake. Kisha tunatambua orodha ya wafanyakazi wa Benki iliyorekodiwa katika hati hizi. Tunafanya mahojiano na wafanyikazi kuhusu matumizi yao ya sarafu za siri. Taarifa iliyopokelewa inaonekana katika orodha za CIPF, taarifa muhimu na nyaraka muhimu.
2	Tunaomba orodha ya mikataba na wenzao	Tunajaribu kutambua mikataba juu ya usimamizi wa hati za elektroniki, pamoja na makubaliano na makampuni ambayo hutoa bidhaa za usalama wa habari au kutoa huduma katika eneo hili, pamoja na makampuni ambayo hutoa huduma za kituo cha vyeti na huduma za kuripoti kupitia mtandao.
3	Tunachambua teknolojia ya kuhifadhi hati za kila siku katika fomu ya kielektroniki	Wakati wa kutekeleza uhifadhi wa hati za siku kwa fomu ya elektroniki, ulinzi wa habari wa cryptographic lazima utumike

Hatua ya 3. Ukaguzi wa kiufundi

№	Kitendo	Matokeo yanayotarajiwa na matumizi yake
1	Tunafanya hesabu ya kiufundi ya programu iliyowekwa kwenye kompyuta. Ili kufanya hivyo, tunatumia: · uwezo wa uchanganuzi wa mifumo ya ushirika ya ulinzi dhidi ya virusi (kwa mfano, Kaspersky Anti-Virus inaweza kuunda sajili sawa). · Hati za WMI za kompyuta za kupigia kura zinazotumia Windows OS; · uwezo wa wasimamizi wa vifurushi vya upigaji kura *nix mifumo; · programu maalum kwa hesabu.	Miongoni mwa programu zilizosakinishwa, tunatafuta programu CIPF, viendeshi vya CIPF ya maunzi na vyombo vya habari muhimu. Kulingana na taarifa iliyopokelewa, tunasasisha orodha ya CIPF.
2	Tunatafuta hati muhimu kwenye seva na vituo vya kazi. Kwa hii; kwa hili · Kwa kutumia maandishi ya Logon, tunauliza kwenye vituo vya kazi katika kikoa kwa uwepo wa vyeti vilivyo na funguo za kibinafsi katika wasifu wa mtumiaji na wasifu wa kompyuta. · Kwenye kompyuta zote, seva za faili, hypervisor, tunatafuta faili zilizo na viendelezi: crt, cer, key, pfx, p12, pem, pse, jks, nk. · Kwenye vivinjari vya mifumo ya uboreshaji, tunatafuta viendeshi vya diski vilivyopachikwa na picha za diski za floppy.	Mara nyingi, hati muhimu zinawasilishwa kwa namna ya vyombo vya ufunguo wa faili, pamoja na vyombo vilivyohifadhiwa kwenye usajili wa kompyuta zinazoendesha Windows OS. Nyaraka muhimu zilizopatikana zimeandikwa katika orodha ya nyaraka muhimu, na taarifa muhimu zilizomo ndani yake zimeandikwa katika orodha ya habari muhimu.
3	Tunachanganua maudhui ya hifadhidata za mamlaka ya uthibitishaji	Hifadhidata za mamlaka ya uthibitishaji huwa na data kuhusu vyeti vinavyotolewa na mamlaka hizi. Tunaingiza habari iliyopokelewa kwenye orodha ya habari muhimu na orodha ya hati muhimu.
4	Tunafanya ukaguzi wa kuona wa vyumba vya seva na vyumba vya waya, tukitafuta CIPF na vyombo vya habari muhimu vya vifaa (ishara, anatoa za diski)	Katika baadhi ya matukio, haiwezekani kufanya hesabu ya CIPF na nyaraka muhimu kwenye mtandao. Mifumo inaweza kuwa katika sehemu za mtandao zilizotengwa au haina miunganisho ya mtandao kabisa. Ili kufanya hivyo, tunafanya ukaguzi wa kuona, matokeo ambayo yanapaswa kuanzisha majina na madhumuni ya vifaa vyote vilivyowasilishwa kwenye vyumba vya seva. Tunaingiza habari iliyopokelewa kwenye orodha ya CIPF na hati muhimu.
5	Tunachanganua trafiki ya mtandao ili kutambua mtiririko wa habari kwa kutumia ubadilishanaji uliosimbwa kwa njia fiche	Itifaki zilizosimbwa kwa njia fiche - HTTPS, SSH, n.k. zitaturuhusu kutambua nodi za mtandao ambazo ubadilishaji wa kriptografia hufanywa, na matokeo yake kuwa na CIPF na hati muhimu.

Hitimisho

Katika nakala hii, tulichunguza nadharia na mazoezi ya kukagua CIPF na funguo za siri. Kama umeona, utaratibu huu ni ngumu sana na unatumia wakati, lakini ikiwa unakaribia kwa usahihi inawezekana kabisa. Tunatumahi kuwa nakala hii itakusaidia katika maisha halisi. Asante kwa umakini wako, tunatarajia maoni yako

Lebo:

skzi
kriptografia
sahihi ya elektroniki
ukaguzi
usimamizi

Ongeza vitambulisho

Sikiliza... unaweza, kwa manufaa yetu ya kawaida, kuchapisha kila barua inayofika kwenye ofisi yako ya posta, inayoingia na kutoka, unajua, kidogo na kuisoma: je, ina aina fulani ya ripoti au barua tu... .

N.V. Gogol "Mkaguzi Mkuu"

Kwa hakika, ni watu wawili tu wanaopaswa kusoma barua ya siri: mtumaji na mtu ambaye inatumwa kwake.Uundaji wa jambo kama hilo lililoonekana kuwa rahisi sana lilikuwa mwanzo wa mifumo ya ulinzi wa siri. Ukuzaji wa hisabati ulitoa msukumo kwa ukuzaji wa mifumo kama hii.

Tayari katika karne ya 17-18, ciphers nchini Urusi walikuwa wa kisasa kabisa na sugu kwa ngozi. Wataalamu wengi wa hisabati wa Kirusi walifanya kazi katika kuunda au kuboresha mifumo ya usimbuaji na wakati huo huo walijaribu kupata funguo za maandishi ya mifumo mingine. Hivi sasa, mifumo kadhaa ya usimbuaji wa Kirusi inaweza kuzingatiwa, kama vile Lexicon Verba, Wavu wa Siri, DALLAS LOCK, Diski ya Siri, familia ya bidhaa za Accord, n.k. Tutazungumza juu yao. Pia utafahamiana na programu kuu na vifaa vya maandishi. ulinzi tata, jifunze juu ya uwezo wao, nguvu na udhaifu wao. Tunatarajia kwamba makala hii itakusaidia kufanya uchaguzi wa mfumo wa cryptoprotection.

Utangulizi

Je, una wasiwasi kwamba taarifa muhimu kwenye kompyuta yako inaweza kuanguka katika mikono isiyo sahihi? Habari hii inaweza kutumika na washindani, mamlaka ya udhibiti, na watu wasio na akili tu. Kwa wazi, vitendo vile vinaweza kusababisha uharibifu mkubwa. Nini cha kufanya? Ili kulinda maelezo yako kutoka kwa wageni, unahitaji kusakinisha moja ya programu za usimbuaji data. Ukaguzi wetu umejikita katika uchanganuzi wa mifumo ya usimbaji fiche ya mifumo ya kompyuta ya mezani. Ikumbukwe kwamba matumizi ya mifumo ya encryption ya kigeni nchini Urusi ni mdogo sana kwa sababu kadhaa, hivyo mashirika ya serikali na makampuni makubwa ya ndani wanalazimika kutumia maendeleo ya Kirusi. Hata hivyo, makampuni ya kati na madogo, pamoja na watu binafsi, wakati mwingine wanapendelea mifumo ya kigeni.

Kwa wasiojua, habari ya usimbaji fiche inaonekana kama uchawi mdogo. Hakika, kusimba jumbe ili kuficha yaliyomo kutoka kwa watu wa nje ni tatizo changamano la hisabati. Kwa kuongeza, cipher lazima ichaguliwe kwa namna ambayo karibu haiwezekani kuifungua bila ufunguo, lakini kwa ufunguo - haraka na kwa urahisi. Makampuni na mashirika mengi wanaona vigumu sana kufanya chaguo bora wakati wa kusakinisha programu za usimbuaji. Jambo hilo ni ngumu zaidi na ukweli kwamba hakuna kompyuta salama kabisa na mifumo ya usimbuaji ya kuaminika kabisa. Walakini, bado kuna njia za kutosha za kurudisha karibu majaribio yote ya kufichua habari iliyosimbwa.

Je, ndani ya programu za usimbaji fiche kuna nini?

Programu za usimbuaji hutofautiana kutoka kwa kila mmoja katika algorithm ya usimbaji fiche. Mara tu unaposimba faili kwa njia fiche, unaweza kuiandikia kwa diski kuu, kuituma kwa barua pepe, au kuiweka kwenye seva kwenye mtandao wako wa karibu. Mpokeaji wa usimbaji wako lazima awe na programu sawa ya usimbaji ili kusoma yaliyomo kwenye faili.

Ikiwa unataka kutuma ujumbe uliosimbwa kwa watumiaji kadhaa kwa wakati mmoja, basi maelezo yako kwa kila mpokeaji yanaweza kusimbwa kwa kutumia ufunguo wake mwenyewe au kutumia ufunguo ulioshirikiwa kwa watumiaji wote (ikiwa ni pamoja na mwandishi wa ujumbe).

Mfumo wa usalama wa kriptografia hutumia msimbo wa siri kugeuza maelezo yako kuwa mfuatano usio na maana, wa kubahatisha wa wahusika. Ukiwa na algoriti nzuri ya usimbaji fiche, karibu haiwezekani kusimbua ujumbe bila kujua nambari ya siri inayotumiwa kwa usimbaji fiche. Algoriti kama hizo huitwa algoriti za ufunguo linganifu kwa sababu ufunguo huo hutumiwa kusimba na kusimbua habari.

Ili kulinda data yako, programu ya usimbaji fiche huunda ufunguo wa siri kwa kutumia nenosiri lako. Unahitaji tu kuweka nenosiri refu ambalo hakuna mtu anayeweza kukisia. Hata hivyo, ikiwa unataka mtu mwingine aweze kusoma faili, utahitaji kumwambia mtu huyo ufunguo wa siri (au nenosiri ambalo liliundwa kutoka). Unaweza kuwa na uhakika kwamba hata algorithm rahisi ya usimbuaji italinda data yako kutoka kwa mtumiaji wastani, sema, kutoka kwa mfanyakazi mwenzako. Walakini, wataalamu wana njia kadhaa za kusimbua ujumbe bila kujua nambari ya siri.

Bila ujuzi maalum, hutaweza kuangalia kwa kujitegemea jinsi algorithm yako ya usimbaji inavyoaminika. Lakini unaweza kutegemea maoni ya wataalamu. Baadhi ya algoriti za usimbaji fiche, kama vile Triple DES (Kiwango cha Usimbaji Data), zimejaribiwa kwa miaka mingi. Kulingana na matokeo ya mtihani, algorithm hii imejidhihirisha vizuri, na waandishi wa maandishi wanaamini kuwa inaweza kuaminiwa. Algorithms nyingi mpya pia husomwa kwa uangalifu, na matokeo huchapishwa katika fasihi maalum.

Ikiwa algorithm ya programu haijapitiwa kwa uwazi na kujadiliwa na wataalamu, ikiwa haina vyeti na karatasi nyingine rasmi, hii ndiyo sababu ya shaka ya kuaminika kwake na kukataa kutumia programu hiyo.

Aina nyingine ya mfumo wa usimbaji fiche ni mifumo ya ufunguo wa umma. Ili mfumo huo ufanye kazi, hakuna haja ya kumpa mpokeaji ufunguo wa siri (au nenosiri kwa misingi ambayo iliundwa). Mifumo hii ya usimbaji fiche huzalisha funguo mbili za kidijitali kwa kila mtumiaji: moja hutumika kusimba data, nyingine hutumika kusimbua. Ufunguo wa kwanza (unaoitwa ufunguo wa umma) unaweza kuchapishwa, lakini ufunguo wa pili unaweza kuwekwa siri. Baada ya hayo, mtu yeyote anaweza kusimba habari hiyo kwa kutumia ufunguo wa umma, na ni wale tu ambao wana ufunguo wa siri unaoendana nao wanaweza kuifuta.

Baadhi ya programu za usimbaji fiche zina kipengele kingine muhimu cha usalama - sahihi ya dijiti. Sahihi ya dijitali huthibitisha kuwa faili haijarekebishwa tangu ilipotiwa saini na humpa mpokeaji maelezo kuhusu ni nani aliyetia saini faili. Kanuni ya kuunda sahihi ya dijiti inategemea kukokotoa cheki - kinachojulikana kama jumla ya hashi, au muhtasari wa ujumbe. Algoriti zinazotumiwa huhakikisha kuwa haiwezekani kupata faili mbili tofauti ambazo jumla ya heshi zinaweza kuendana.

Mpokeaji anapopokea faili iliyotiwa saini kidijitali, programu yake ya usimbaji fiche hukokotoa upya heshi ya faili hiyo. Kisha mpokeaji hutumia ufunguo wa umma uliochapishwa na mtumaji kuunda upya sahihi ya dijiti. Ikiwa matokeo yanalingana na thamani iliyohesabiwa kwa faili, basi mpokeaji anaweza kuwa na uhakika kwamba maandishi ya ujumbe hayajabadilishwa (kama yangebadilishwa, heshi ingekuwa tofauti) na sahihi ni ya mtu ambaye ana uwezo wa kufikia ufunguo wa faragha wa mtumaji. .

Kulinda taarifa muhimu au za siri kunahitaji zaidi ya programu nzuri ya usimbaji fiche. Unahitaji kuchukua hatua kadhaa ili kuhakikisha usalama wa habari. Ikiwa nenosiri lako ni dhaifu (wataalam wanapendekeza kutumia herufi nane au zaidi) au ikiwa nakala isiyofichwa ya habari nyeti imehifadhiwa kwenye kompyuta yako, basi hata mfumo bora zaidi wa usimbuaji hautakuwa na nguvu.

Mfumo "Lexicon-Verba"

Mfumo wa Lexikon-Verba ni njia ya kupanga mtiririko salama wa hati za kielektroniki ndani ya mtandao wa shirika na kati ya mashirika tofauti. Lexikon-Verba hutumia marekebisho mawili ya mfumo wa siri: mfumo wa Verba-W umekusudiwa kwa mashirika ya serikali (ulinzi wa habari za siri, haswa chipboard; funguo za saini ni za umma, funguo za usimbaji fiche ni za kibinafsi), mfumo wa Verba-OW ni wa kibiashara. mashirika (ulinzi wa siri za biashara; saini na funguo za usimbuaji ni za umma).

Kuna viwango vichache vya usimbaji fiche vya kimataifa, lakini ni sehemu ndogo tu kati yao ambayo ina vyeti kutoka kwa Shirika la Shirikisho la Mawasiliano na Taarifa za Serikali (FAGSI), ambayo inafanya kuwa vigumu kutumia ufumbuzi ambao haujaidhinishwa nchini Urusi. Mfumo wa Verba-W una cheti cha FAPSI No. SF/114-0176. Mfumo "Verba-OW" - cheti cha FAPSI No. SF/114-0174.

Lexikon-Verba hutoa usimbaji fiche na saini ya kielektroniki ya dijiti kulingana na mahitaji ya GOST 28147-89 "Mifumo ya usindikaji wa habari. Ulinzi wa Cryptographic" na GOST R34.10-94 "Teknolojia ya habari. Ulinzi wa habari wa kriptografia. Taratibu za kuunda na kuthibitisha saini ya kielektroniki ya dijiti kulingana na algoriti ya kriptografia isiyolinganishwa.

Mpango huo umethibitishwa na Tume ya Kiufundi ya Serikali chini ya Rais wa Shirikisho la Urusi. Inatarajiwa kupokea cheti kutoka kwa Wizara ya Ulinzi ya Urusi mnamo Julai.

Ulinzi wa kriptografia wa mfumo unatokana na mbinu ya usimbaji ufunguo wa umma. Kila ufunguo unaomtambulisha mtumiaji una sehemu mbili: ufunguo wa umma na ufunguo wa faragha. Ufunguo wa umma unaweza kusambazwa bila malipo na hutumiwa kusimba maelezo ya mtumiaji fulani. Ili kusimbua hati, mtumiaji aliyeisimba anahitaji kuwa na ufunguo wako wa umma na, wakati wa kuisimba, akuonyeshe kama una idhini ya kufikia hati.

Ili kusimbua hati, unahitaji kutumia ufunguo wa faragha. Ufunguo wa kibinafsi una sehemu mbili, moja ambayo imehifadhiwa kwenye kadi mahiri au kumbukumbu ya mguso, na nyingine kwenye diski kuu ya kompyuta yako. Kwa hivyo, upotezaji wa kadi ya smart au ufikiaji usioidhinishwa kwa kompyuta hutoa, kibinafsi, uwezo wa kuchambua hati.

Seti ya ufunguo wa awali, ambayo inajumuisha taarifa kamili kuhusu funguo za umma na za kibinafsi za mtumiaji, huundwa kwenye kituo cha kazi cha usalama kilicho na vifaa maalum. Diski ya floppy yenye habari muhimu hutumiwa tu katika hatua ya kuandaa kituo cha kazi cha mtumiaji.

Mfumo wa Lexikon-Verba unaweza kutumika ndani ya mifumo miwili mikuu ya kupanga mtiririko salama wa hati:

kama suluhisho la kujitegemea. Ikiwa shirika lako lina mtandao wa ndani, mfumo unaweza kusanikishwa sio kwenye kompyuta zote, lakini tu kwa zile zinazohitaji kufanya kazi na hati za siri. Hii ina maana kwamba mtandao mdogo wa ubadilishanaji wa taarifa zilizoainishwa hutokea ndani ya mtandao wa shirika. Wakati huo huo, washiriki katika sehemu iliyofungwa ya mfumo wanaweza kubadilishana nyaraka wazi na wafanyakazi wengine;
kama sehemu muhimu ya mtiririko wa hati. Lexikon-Verba ina miingiliano ya kawaida ya kuunganisha vitendaji vya nje ili kufanya shughuli za kufungua, kuhifadhi, kufunga na kutuma hati, ambayo inafanya iwe rahisi kuunganisha mfumo huu katika mifumo iliyopo na mpya ya usimamizi wa hati.

Ikumbukwe kwamba sifa za mfumo wa Lexicon-Verba hufanya sio tu njia ya kutoa ulinzi wa habari kutoka kwa kupenya kwa nje, lakini pia njia ya kuongeza usiri wa ndani wa ushirika na upatikanaji wa kushiriki.

Moja ya rasilimali muhimu za ziada za kuongeza kiwango cha udhibiti wa usalama wa habari ni uwezo wa kudumisha "logi ya tukio" kwa hati yoyote. Kazi ya kurekodi historia ya hati inaweza kuwezeshwa au kuzimwa tu wakati wa ufungaji wa mfumo; inapowashwa, kumbukumbu hii itadumishwa bila kujali matakwa ya mtumiaji.

Faida kuu na kipengele tofauti cha mfumo ni utekelezaji rahisi na angavu wa kazi za usalama wa habari huku ukidumisha mazingira ya kitamaduni ya kazi ya mtumiaji kwa wasindikaji wa maneno.

Kitengo cha cryptography hufanya usimbaji fiche, pamoja na usakinishaji na uondoaji wa saini za kielektroniki za dijiti (EDS) za hati.

Kazi za msaidizi wa block ni pamoja na kupakia ufunguo wa siri, kusafirisha na kuagiza funguo za umma, kuanzisha na kudumisha saraka ya funguo za mteja wa mfumo.

Kwa hivyo, kila mtu ambaye anapata hati anaweza tu kuweka saini yake mwenyewe, lakini aondoe yoyote ya wale waliosainiwa hapo awali.

Hii inaonyesha utaratibu unaokubalika wa kazi ya ofisi, wakati, hati inapopitishwa, inaweza kuwa chini ya marekebisho katika hatua tofauti, lakini baada ya hapo hati lazima ipitishwe tena.

Unapojaribu kufanya mabadiliko kwa hati kwa njia nyingine isipokuwa Lexikon-Verba, saini ya dijiti inaharibiwa, na kwa sababu hiyo, ujumbe "Umeharibiwa" utaonekana kwenye sehemu ya "Hali ya Sahihi".

Ofisi

Kadiri idadi ya watumiaji wa mfumo inavyoongezeka, kuingiza kila ufunguo wa umma kwenye kila kompyuta inakuwa vigumu. Kwa hivyo, kuandaa kazi ya ofisi, usimamizi wa kati wa saraka ya funguo za umma hupangwa. Hii inafanywa kama ifuatavyo:

1) "Lexicon-Verba" imewekwa kwenye kompyuta ya msimamizi katika hali ya ndani. Hii inaunda saraka ya funguo za umma, ambayo msimamizi anaongeza kila ufunguo unaotumiwa katika ofisi;

2) kwenye kompyuta nyingine zote mfumo umewekwa katika hali ya mtandao. Katika hali hii, saraka ya funguo za umma ziko kwenye kompyuta ya msimamizi hutumiwa;

3) kila mtumiaji mpya aliyeongezwa na msimamizi kwenye saraka inakuwa "inayoonekana" kwa watumiaji wote waliounganishwa kwenye saraka. Kuanzia wakati huu na kuendelea, wanaweza kuhamisha hati zilizosimbwa kwake.

Utawala wa saraka unakuwa wa kati, lakini hii haiathiri kiwango cha usalama wa mfumo, kwani kutoa ufikiaji wa funguo za umma ni aina ya "utangulizi" kwa watumiaji, lakini haitoi ufikiaji wa hati yoyote. Ili mtumiaji aweze kusimbua hati, ni muhimu kwamba ufunguo wake wa umma usiwe tu kwenye saraka, lakini pia uonyeshwe wazi kuwa ana ufikiaji wa hati.

Masharti na Ufafanuzi

Kitufe cha Cryptographic (cryptokey)- seti ya data ambayo hutoa chaguo la mageuzi moja mahususi ya kriptografia kutoka kati ya yote yanayowezekana katika mfumo fulani wa kriptografia (ufafanuzi kutoka kwa "maagizo ya pink - Agizo la FAPSI Na. 152 la Juni 13, 2001, ambalo linajulikana baadaye kama FAPSI 152).
Taarifa muhimu- seti iliyopangwa maalum ya funguo za siri iliyoundwa ili kutoa ulinzi wa habari kwa muda fulani [FAPSI 152].
Unaweza kuelewa tofauti ya kimsingi kati ya cryptokey na habari muhimu kwa kutumia mfano ufuatao. Wakati wa kupanga HTTPS, jozi ya ufunguo wa umma na wa kibinafsi hutolewa, na cheti kinapatikana kutoka kwa ufunguo wa umma na maelezo ya ziada. Kwa hivyo, katika mpango huu, mchanganyiko wa cheti na ufunguo wa kibinafsi huunda habari muhimu, na kila mmoja wao ni cryptokey. Hapa unaweza kuongozwa na kanuni rahisi ifuatayo - watumiaji wa mwisho hutumia taarifa muhimu wanapofanya kazi na CIPF, na funguo za siri kwa kawaida hutumia CIPF ndani. Wakati huo huo, ni muhimu kuelewa kwamba habari muhimu inaweza kuwa na ufunguo mmoja wa crypto.
Nyaraka muhimu- hati za elektroniki kwenye media yoyote, pamoja na hati za karatasi zilizo na habari muhimu ya ufikiaji mdogo kwa ubadilishaji wa habari wa kriptografia kwa kutumia algorithms kwa ubadilishaji wa habari wa habari (ufunguo wa cryptographic) katika njia za usimbuaji (cryptographic). (ufafanuzi kutoka kwa Amri ya Serikali Na. 313 ya tarehe 16 Aprili, 2012, ambayo inajulikana baadaye kama PP-313)
Kwa maneno rahisi, hati muhimu ni habari muhimu iliyorekodiwa kwenye kati. Wakati wa kuchambua habari muhimu na hati muhimu, inapaswa kusisitizwa kuwa habari muhimu hutumiwa (yaani, kutumika kwa mabadiliko ya kriptografia - usimbaji fiche, saini ya elektroniki, nk), na hati muhimu zilizo nayo huhamishiwa kwa wafanyikazi.
Njia za ulinzi wa habari za kriptografia (CIPF)- njia za usimbaji, njia za ulinzi wa kuiga, njia za saini za kielektroniki, njia za usimbaji, njia za kutoa hati muhimu, hati muhimu, njia za usimbuaji wa maunzi (cryptographic), njia za programu na usimbaji maunzi (cryptographic). [PP-313]
Wakati wa kuchambua ufafanuzi huu, unaweza kupata ndani yake uwepo wa neno hati muhimu. Muda huo umetolewa katika Amri ya Serikali na hatuna haki ya kuibadilisha. Wakati huo huo, maelezo zaidi yatafanyika kwa msingi kwamba CIPF itajumuisha tu njia za kutekeleza mabadiliko ya kriptografia). Njia hii itarahisisha ukaguzi, lakini wakati huo huo haitaathiri ubora wake, kwani bado tutazingatia nyaraka muhimu, lakini katika sehemu yetu wenyewe na kutumia njia zetu wenyewe.

Mbinu ya ukaguzi na matokeo yanayotarajiwa

Sifa kuu za mbinu ya ukaguzi iliyopendekezwa katika kifungu hiki ni machapisho ambayo:

hakuna mfanyakazi wa kampuni anayeweza kujibu kwa usahihi maswali yaliyoulizwa wakati wa ukaguzi;
vyanzo vya data vilivyopo (orodha, rejista, n.k.) si sahihi au vina muundo duni.

Kwa hivyo, mbinu iliyopendekezwa katika kifungu ni aina ya uchimbaji wa data, wakati ambapo data sawa itatolewa kutoka kwa vyanzo tofauti, na kisha kulinganishwa, kupangwa na kusafishwa.

Hapa kuna tegemezi kuu ambazo zitatusaidia na hii:

Ikiwa kuna CIPF, basi kuna habari muhimu.
Ikiwa kuna mtiririko wa hati ya elektroniki (ikiwa ni pamoja na wenzao na wasimamizi), basi uwezekano mkubwa hutumia saini ya elektroniki na, kwa sababu hiyo, CIPF na habari muhimu.
Usimamizi wa hati za kielektroniki katika muktadha huu unapaswa kueleweka kwa upana, yaani, utajumuisha ubadilishanaji wa moja kwa moja wa hati muhimu za kielektroniki za kisheria, na uwasilishaji wa ripoti, na kufanya kazi katika mifumo ya malipo au biashara, na kadhalika. Orodha na aina za usimamizi wa hati za elektroniki zimedhamiriwa na michakato ya biashara ya kampuni, pamoja na sheria ya sasa.
Ikiwa mfanyakazi anahusika katika usimamizi wa hati za elektroniki, basi uwezekano mkubwa ana hati muhimu.
Wakati wa kuandaa usimamizi wa hati za elektroniki na wenzao, hati za shirika na utawala (maagizo) kawaida hutolewa kwa uteuzi wa watu wanaowajibika.
Ikiwa habari itatumwa kupitia Mtandao (au mitandao mingine ya umma), kuna uwezekano mkubwa kuwa imesimbwa. Hii inatumika kimsingi kwa VPN na mifumo mbali mbali ya ufikiaji wa mbali.
Itifaki zikigunduliwa katika trafiki ya mtandao inayosambaza trafiki kwa njia iliyosimbwa, basi CIPF na taarifa muhimu hutumiwa.
Ikiwa makazi yalifanywa na wenzao wanaohusika katika: usambazaji wa vifaa vya usalama wa habari, vifaa vya mawasiliano ya simu, utoaji wa huduma za uhamisho wa habari, huduma za vituo vya vyeti, basi wakati wa mwingiliano huu CIPF au nyaraka muhimu zinaweza kununuliwa.
Nyaraka muhimu zinaweza kuwa kwenye vyombo vya habari vinavyoweza kuhamishwa (floppy disks, flash drives, tokens, ...) au kurekodiwa ndani ya kompyuta na mifumo ya ulinzi wa taarifa za maunzi.
Wakati wa kutumia zana za uboreshaji, hati muhimu zinaweza kuhifadhiwa ndani ya mashine pepe na kuwekwa kwenye mashine pepe kwa kutumia hypervisor.
CIPF ya maunzi inaweza kusakinishwa katika vyumba vya seva na isipatikane kwa uchambuzi kwenye mtandao.
Baadhi ya mifumo ya kielektroniki ya usimamizi wa hati inaweza kuwa katika hali isiyotumika au isiyotumika, lakini wakati huo huo ina taarifa muhimu amilifu na CIPF.
Nyaraka za ndani za udhibiti na shirika zinaweza kuwa na taarifa kuhusu mifumo ya kielektroniki ya usimamizi wa hati, CIPF na hati muhimu.

Ili kupata habari ya msingi tutafanya:

mahojiano na wafanyikazi;
kuchambua nyaraka za kampuni, ikiwa ni pamoja na hati za ndani za udhibiti na utawala, pamoja na maagizo ya malipo yanayotoka;
kufanya uchambuzi wa kuona wa vyumba vya seva na makabati ya mawasiliano;
kufanya uchambuzi wa kiufundi wa yaliyomo kwenye vituo vya kazi vya kiotomatiki (AWS), seva na zana za utambuzi.

Tutaunda shughuli mahususi baadaye, lakini kwa sasa hebu tuangalie data ya mwisho ambayo tunapaswa kupokea kutokana na ukaguzi:

Orodha ya CIPF:

Mfano wa CIPF. Kwa mfano, CIPF Crypto CSP 3.9, au OpenSSL 1.0.1
Kitambulisho cha mfano cha CIPF. Kwa mfano, serial, leseni (au usajili kulingana na PKZ-2005) nambari ya CIPF
Habari juu ya cheti cha FSB ya Urusi kwa ulinzi wa habari ya kriptografia, ikijumuisha nambari na tarehe za kuanza na mwisho za uhalali.
Taarifa kuhusu mahali pa uendeshaji wa CIPF. Kwa mfano, jina la kompyuta ambayo CIPF ya programu imewekwa, au jina la njia za kiufundi au majengo ambapo CIPF ya maunzi imewekwa.

Habari hii itakuruhusu:

Dhibiti udhaifu katika CIPF, yaani, ugundue haraka na uurekebishe.
Fuatilia muda wa uhalali wa vyeti vya CIPF, na pia uangalie ikiwa CIPF iliyoidhinishwa inatumika kwa mujibu wa sheria zilizowekwa na hati au la.
Panga gharama za CIPF, kujua ni kiasi gani tayari kinatumika na ni kiasi gani cha fedha zilizounganishwa bado zinapatikana.
Tengeneza taarifa za udhibiti.

Orodha ya habari muhimu:

Kwa kila kipengele cha orodha tunarekodi data ifuatayo:

Jina au kitambulisho cha habari muhimu. Kwa mfano, "Ufunguo wa sahihi ya kielektroniki iliyohitimu. Nambari ya mfululizo ya cheti 31:2D:AF", na kitambulisho kinapaswa kuchaguliwa kwa njia ambayo ufunguo unaweza kupatikana kwa hiyo. Kwa mfano, wakati wa kutuma arifa, mamlaka ya uthibitishaji kwa kawaida hutambua funguo kwa nambari za cheti.
Kituo kikuu cha udhibiti wa mfumo (KSUC), ambaye alitoa habari hii muhimu. Hili linaweza kuwa shirika ambalo lilitoa ufunguo, kwa mfano, mamlaka ya uthibitishaji.
Mtu binafsi, ambaye taarifa muhimu zilitolewa kwa jina lake. Maelezo haya yanaweza kutolewa kutoka sehemu za CN za vyeti vya X.509
Muundo wa Taarifa Muhimu. Kwa mfano, CIPF CryptoPRO, CIPF Verba-OW, X.509, n.k. (au kwa maneno mengine kwa matumizi ambayo CIPF habari hii muhimu inakusudiwa).
Kukabidhi Taarifa Muhimu. Kwa mfano, "Kushiriki katika biashara kwenye tovuti ya Sberbank AST", "Sahihi ya elektroniki iliyohitimu kwa kuripoti", nk. Kwa mtazamo wa kiufundi, katika uga huu unaweza kurekodi vikwazo vilivyorekodiwa katika sehemu kuu za matumizi zilizopanuliwa na vyeti vingine vya X.509.
Kuanza na mwisho wa vipindi muhimu vya uhalali wa habari.
Utaratibu wa kutolewa tena kwa habari muhimu. Hiyo ni, ujuzi wa kile kinachohitajika kufanywa na jinsi wakati wa kutoa tena habari muhimu. Kwa uchache, inashauriwa kurekodi mawasiliano ya maafisa wa kituo cha udhibiti cha kati ambacho kilitoa habari muhimu.
Orodha ya mifumo ya habari, huduma au michakato ya biashara ambayo habari muhimu hutumiwa. Kwa mfano, "Mfumo wa huduma za benki za mbali za Mtandao wa Mteja-Benki".

Habari hii itakuruhusu:

Fuatilia tarehe za mwisho wa matumizi ya taarifa muhimu.
Toa tena habari muhimu kwa haraka inapohitajika. Hii inaweza kuhitajika kwa uchapishaji upya uliopangwa na ambao haujaratibiwa.
Zuia utumiaji wa habari muhimu wakati wa kufukuzwa kwa mfanyakazi ambaye ilitolewa kwake.
Chunguza matukio ya usalama wa habari kwa kujibu maswali: "Nani alikuwa na funguo za kufanya malipo?" na nk.

Orodha ya hati kuu:

Kwa kila kipengele cha orodha tunarekodi data ifuatayo:

Taarifa muhimu zilizomo katika hati muhimu.
Mtoa huduma wa habari muhimu, ambayo habari muhimu imerekodiwa.
Uso, kuwajibika kwa usalama wa hati muhimu na usiri wa taarifa muhimu zilizomo ndani yake.

Habari hii itakuruhusu:

Toa tena habari muhimu katika kesi za: kufukuzwa kwa wafanyikazi walio na hati muhimu, na pia katika kesi ya maelewano ya media.
Hakikisha usiri wa taarifa muhimu kwa kuorodhesha vyombo vya habari vilivyomo.

Mpango wa Ukaguzi

Hatua ya 1. Ukusanyaji wa data kutoka kwa idara za miundombinu ya kampuni

№	Kitendo
Chanzo - wafanyikazi wote wa kampuni
1	Tunatuma barua pepe ya shirika kwa wafanyikazi wote wa kampuni tukiwauliza wajulishe huduma ya usalama wa habari kuhusu funguo zote za siri wanazotumia.	Tunapokea barua pepe, kwa misingi ambayo tunaunda orodha ya habari muhimu na orodha ya nyaraka muhimu
Chanzo - Mkuu wa Huduma ya Teknolojia ya Habari
1	Tunaomba orodha ya habari muhimu na nyaraka muhimu	Kwa uwezekano fulani, Huduma ya TEHAMA hudumisha hati zinazofanana; tutazitumia kutengeneza na kufafanua orodha za taarifa muhimu, hati muhimu na CIPF.
2	Tunaomba orodha ya CIPF
3	Tunaomba rejista ya programu iliyosakinishwa kwenye seva na vituo vya kazi	Katika sajili hii tunatafuta CIPF za programu na vipengele vyake. Kwa mfano, CryptoPRO CSP, Verba-OW, Signal-COM CSP, Saini, PGP, ruToken, eToken, KritoARM, nk Kulingana na data hizi, tunaunda orodha ya CIPF.
4	Tunaomba orodha ya wafanyakazi (pengine usaidizi wa kiufundi) ambao husaidia watumiaji kutumia CIPF na kutoa upya taarifa muhimu.	Tunaomba kutoka kwa watu hawa taarifa sawa na kutoka kwa wasimamizi wa mfumo
Chanzo - wasimamizi wa mfumo wa Huduma ya Teknolojia ya Habari
1	Tunaomba orodha ya lango la ndani la crypto (VIPNET, Bara, S-terra, nk.)	Katika hali ambapo kampuni haitekelezi michakato ya kawaida ya biashara kwa IT na usimamizi wa usalama wa habari, maswali kama haya yanaweza kusaidia kuwakumbusha wasimamizi wa mfumo juu ya uwepo wa kifaa au programu fulani. Tunatumia maelezo haya kupata orodha ya CIPF.
2	Tunaomba orodha ya programu za nyumbani za CIPF (CIPF MagPro CryptoPacket, VIPNET CSP, CryptonDisk, SecretDisk, ...)
3	Tunaomba orodha ya ruta zinazotumia VPN kwa: a) mawasiliano kati ya ofisi za kampuni; b) mwingiliano na wakandarasi na washirika.
4	Tunaomba orodha ya huduma za habari zilizochapishwa kwenye mtandao (zinazopatikana kutoka kwenye mtandao). Hizi zinaweza kujumuisha: a) barua pepe ya shirika; b) mifumo ya ujumbe wa papo hapo; c) tovuti za ushirika; d) huduma za kubadilishana habari na washirika na wakandarasi (extranet); e) mifumo ya benki ya mbali (ikiwa kampuni ni Benki); f) mifumo ya ufikiaji wa mbali kwa mtandao wa kampuni. Kuangalia ukamilifu wa habari iliyotolewa, tunailinganisha na orodha ya sheria za Usafirishaji wa ngome za moto.	Kuchanganua taarifa iliyopokelewa, kuna uwezekano mkubwa kwamba utakutana na matumizi ya CIPF na cryptokeys. Tunatumia data iliyopatikana kutengeneza orodha ya CIPF na taarifa muhimu.
5	Tunaomba orodha ya mifumo ya taarifa inayotumika kuripoti (Taxcom, Kontur, n.k.)	Mifumo hii hutumia funguo za saini za kielektroniki zilizohitimu na CIPF. Kupitia orodha hii, tunaunda orodha ya CIPF, orodha ya taarifa muhimu, na pia kujua wafanyakazi wanaotumia mifumo hii ili kuunda orodha ya nyaraka muhimu.
6	Tunaomba orodha ya mifumo ya ndani ya usimamizi wa hati za kielektroniki (Lotus, DIRECTUM, 1C: Usimamizi wa Hati, n.k.), pamoja na orodha ya watumiaji wake.	Vifunguo vya sahihi vya kielektroniki vinaweza kupatikana ndani ya mifumo ya ndani ya usimamizi wa hati za kielektroniki. Kulingana na habari iliyopokelewa, tunaunda orodha ya habari muhimu na orodha ya hati muhimu.
7	Tunaomba orodha ya vituo vya uthibitisho wa ndani.	Njia zinazotumika kuandaa vituo vya uthibitisho zimerekodiwa katika orodha ya CIPF. Katika siku zijazo, tutachanganua yaliyomo kwenye hifadhidata za mamlaka ya uthibitishaji ili kutambua taarifa muhimu.
8	Tunaomba maelezo kuhusu matumizi ya teknolojia: IEEE 802.1x, WiFiWPA2 Enterprise na mifumo ya ufuatiliaji wa video ya IP	Ikiwa teknolojia hizi zitatumika, tunaweza kupata hati muhimu kwenye vifaa vinavyohusika.
Chanzo - Mkuu wa Rasilimali Watu
1	Tafadhali eleza mchakato wa kuajiri na kufukuza wafanyikazi. Tunazingatia swali la nani anachukua nyaraka muhimu kutoka kwa wafanyakazi wanaojiuzulu	Tunachambua hati (karatasi za kupita) kwa uwepo wa mifumo ya habari ndani yao ambayo CIPF inaweza kutumika.

Hatua ya 2. Ukusanyaji wa data kutoka kwa vitengo vya biashara vya kampuni (kwa kutumia mfano wa Benki)

№	Kitendo	Matokeo yanayotarajiwa na matumizi yake
Chanzo - Mkuu wa huduma ya makazi (mahusiano ya mwandishi)
1	Tafadhali toa mpango wa kupanga mwingiliano na mfumo wa malipo wa Benki ya Urusi. Hasa, hii itakuwa muhimu kwa Benki ambazo zina mtandao wa matawi ulioendelezwa, ambapo matawi yanaweza kuunganishwa moja kwa moja na mfumo wa malipo wa Benki Kuu.	Kulingana na data iliyopokelewa, tunabainisha eneo la lango la malipo (AWC KBR, UTA) na orodha ya watumiaji wanaohusika. Tunatumia taarifa iliyopokelewa kuunda orodha ya CIPF, taarifa muhimu na hati muhimu.
2	Tunaomba orodha ya Benki ambazo mahusiano ya mwandishi wa moja kwa moja yameanzishwa, na pia tunauliza kutuambia ni nani anayehusika katika kufanya uhamisho na ni njia gani za kiufundi zinazotumiwa.
3	Tunaomba orodha ya mifumo ya malipo ambayo Benki inashiriki (SWIFT, VISA, MasterCard, NSPK, nk), pamoja na eneo la vituo vya mawasiliano.	Sawa na mfumo wa malipo wa Benki ya Urusi
Chanzo - Mkuu wa idara inayohusika na kutoa huduma za benki za mbali
1	Tunaomba orodha ya mifumo ya benki ya mbali.	Katika mifumo hii, tunachanganua matumizi ya CIPF na taarifa muhimu. Kulingana na data iliyopokelewa, tunaunda orodha ya CIPF na habari muhimu na hati muhimu.
Chanzo - Mkuu wa idara inayohusika na utendakazi wa usindikaji wa kadi ya malipo
1	Inaomba usajili wa HSM	Kulingana na taarifa iliyopokelewa, tunaunda orodha ya CIPF, taarifa muhimu na nyaraka muhimu.
2	Tunaomba rejista ya maafisa wa usalama
4	Tunaomba taarifa kuhusu vipengele vya LMK HSM
5	Tunaomba maelezo kuhusu shirika la mifumo kama vile 3D-Secure na shirika la kuweka mapendeleo ya kadi za malipo
Chanzo - Wakuu wa idara zinazofanya kazi za hazina na hazina
1	Orodha ya benki ambazo mahusiano ya mwandishi yameanzishwa na ambayo yanashiriki katika utoaji wa mikopo baina ya benki.	Tunatumia taarifa iliyopokelewa ili kufafanua data iliyopokelewa hapo awali kutoka kwa huduma ya malipo, na pia kurekodi habari kuhusu mwingiliano na ubadilishanaji na hazina. Kulingana na taarifa iliyopokelewa, tunaunda orodha ya CIPF na taarifa muhimu.
2	Orodha ya mabadilishano na amana maalum ambayo Benki inafanya kazi nayo
Chanzo - Wakuu wa huduma za ufuatiliaji wa kifedha na idara zinazohusika na kuwasilisha ripoti kwa Benki ya Urusi
1	Tunaomba taarifa kuhusu jinsi wanavyotuma taarifa na kupokea taarifa kutoka Benki Kuu. Orodha ya watu na njia za kiufundi zinazohusika.	Uingiliano wa habari na Benki ya Urusi umewekwa madhubuti na hati husika, kwa mfano, 2332-U, 321-I na wengine wengi, tunaangalia kufuata hati hizi na kuunda orodha za CIPF, habari muhimu na nyaraka muhimu.
Chanzo - Mhasibu mkuu na wafanyikazi wa uhasibu wanaohusika katika kulipa bili kwa mahitaji ya intrabank
1	Tunaomba taarifa kuhusu jinsi ripoti zinavyotayarishwa na kuwasilishwa kwa wakaguzi wa kodi na Benki Kuu ya Urusi	Tunafafanua habari iliyopokelewa hapo awali
2	Tunaomba rejista ya hati za malipo ili kulipia mahitaji ya intrabank	Katika rejista hii tutatafuta hati ambapo: 1) vituo vya uidhinishaji, waendeshaji maalum wa mawasiliano ya simu, watengenezaji wa CIPF, na wasambazaji wa vifaa vya mawasiliano huonyeshwa kama wapokeaji malipo. Majina ya makampuni haya yanaweza kupatikana kutoka kwa Daftari la CIPF iliyoidhinishwa ya FSB ya Urusi, orodha ya vituo vya vyeti vya vibali vya Wizara ya Telecom na Mawasiliano ya Misa na vyanzo vingine. 2) kama usimbuaji wa malipo kuna maneno: "CIPF", "saini", "ishara", "ufunguo", "BKI", nk.
Chanzo - Wakuu wa madeni yaliyochelewa na huduma za usimamizi wa hatari
1	Tunaomba orodha ya ofisi za historia ya mikopo na mashirika ya kukusanya ambayo Benki inafanya kazi nayo.	Pamoja na huduma ya IT, tunachambua data iliyopokelewa ili kufafanua shirika la usimamizi wa hati za elektroniki, kwa msingi ambao tunafafanua orodha za CIPF, habari muhimu na hati muhimu.
Chanzo - Wakuu wa usimamizi wa hati, udhibiti wa ndani na huduma za ukaguzi wa ndani
1	Tunaomba rejista ya hati za ndani za shirika na utawala (maagizo).	Katika hati hizi tunatafuta hati zinazohusiana na CIPF. Ili kufanya hivyo, tunachambua uwepo wa maneno "usalama", "mtu anayewajibika", "msimamizi", "saini ya kielektroniki", "saini ya dijiti", "saini ya dijiti", "saini ya dijiti", "saini ya dijiti", "ASP", "CIPF" na viambajengo vyake. Kisha tunatambua orodha ya wafanyakazi wa Benki iliyorekodiwa katika hati hizi. Tunafanya mahojiano na wafanyikazi kuhusu matumizi yao ya sarafu za siri. Taarifa iliyopokelewa inaonekana katika orodha za CIPF, taarifa muhimu na nyaraka muhimu.
2	Tunaomba orodha ya mikataba na wenzao	Tunajaribu kutambua mikataba juu ya usimamizi wa hati za elektroniki, pamoja na makubaliano na makampuni ambayo hutoa bidhaa za usalama wa habari au kutoa huduma katika eneo hili, pamoja na makampuni ambayo hutoa huduma za kituo cha vyeti na huduma za kuripoti kupitia mtandao.
3	Tunachambua teknolojia ya kuhifadhi hati za kila siku katika fomu ya kielektroniki	Wakati wa kutekeleza uhifadhi wa hati za siku kwa fomu ya elektroniki, ulinzi wa habari wa cryptographic lazima utumike

Hatua ya 3. Ukaguzi wa kiufundi

№	Kitendo	Matokeo yanayotarajiwa na matumizi yake
1	Tunafanya hesabu ya kiufundi ya programu iliyowekwa kwenye kompyuta. Ili kufanya hivyo, tunatumia: · uwezo wa uchanganuzi wa mifumo ya ushirika ya ulinzi dhidi ya virusi (kwa mfano, Kaspersky Anti-Virus inaweza kuunda sajili sawa). · Hati za WMI za kompyuta za kupigia kura zinazotumia Windows OS; · uwezo wa wasimamizi wa vifurushi vya upigaji kura *nix mifumo; · programu maalum kwa hesabu.	Miongoni mwa programu zilizosakinishwa, tunatafuta programu CIPF, viendeshi vya CIPF ya maunzi na vyombo vya habari muhimu. Kulingana na taarifa iliyopokelewa, tunasasisha orodha ya CIPF.
2	Tunatafuta hati muhimu kwenye seva na vituo vya kazi. Kwa hii; kwa hili · Kwa kutumia maandishi ya Logon, tunauliza kwenye vituo vya kazi katika kikoa kwa uwepo wa vyeti vilivyo na funguo za kibinafsi katika wasifu wa mtumiaji na wasifu wa kompyuta. · Kwenye kompyuta zote, seva za faili, hypervisor, tunatafuta faili zilizo na viendelezi: crt, cer, key, pfx, p12, pem, pse, jks, nk. · Kwenye vivinjari vya mifumo ya uboreshaji, tunatafuta viendeshi vya diski vilivyopachikwa na picha za diski za floppy.	Mara nyingi, hati muhimu zinawasilishwa kwa namna ya vyombo vya ufunguo wa faili, pamoja na vyombo vilivyohifadhiwa kwenye usajili wa kompyuta zinazoendesha Windows OS. Nyaraka muhimu zilizopatikana zimeandikwa katika orodha ya nyaraka muhimu, na taarifa muhimu zilizomo ndani yake zimeandikwa katika orodha ya habari muhimu.
3	Tunachanganua maudhui ya hifadhidata za mamlaka ya uthibitishaji	Hifadhidata za mamlaka ya uthibitishaji huwa na data kuhusu vyeti vinavyotolewa na mamlaka hizi. Tunaingiza habari iliyopokelewa kwenye orodha ya habari muhimu na orodha ya hati muhimu.
4	Tunafanya ukaguzi wa kuona wa vyumba vya seva na vyumba vya waya, tukitafuta CIPF na vyombo vya habari muhimu vya vifaa (ishara, anatoa za diski)	Katika baadhi ya matukio, haiwezekani kufanya hesabu ya CIPF na nyaraka muhimu kwenye mtandao. Mifumo inaweza kuwa katika sehemu za mtandao zilizotengwa au haina miunganisho ya mtandao kabisa. Ili kufanya hivyo, tunafanya ukaguzi wa kuona, matokeo ambayo yanapaswa kuanzisha majina na madhumuni ya vifaa vyote vilivyowasilishwa kwenye vyumba vya seva. Tunaingiza habari iliyopokelewa kwenye orodha ya CIPF na hati muhimu.
5	Tunachanganua trafiki ya mtandao ili kutambua mtiririko wa habari kwa kutumia ubadilishanaji uliosimbwa kwa njia fiche	Itifaki zilizosimbwa kwa njia fiche - HTTPS, SSH, n.k. zitaturuhusu kutambua nodi za mtandao ambazo ubadilishaji wa kriptografia hufanywa, na matokeo yake kuwa na CIPF na hati muhimu.

Hitimisho

Lebo: Ongeza vitambulisho

Katika makala hii utajifunza CIPF ni nini na kwa nini inahitajika. Ufafanuzi huu unahusu cryptography - ulinzi na uhifadhi wa data. Kulinda habari katika fomu ya elektroniki inaweza kufanywa kwa njia yoyote - hata kwa kukata kompyuta kutoka kwa mtandao na kufunga walinzi wenye silaha na mbwa karibu nayo. Lakini ni rahisi zaidi kufanya hivyo kwa kutumia zana za ulinzi wa kriptografia. Wacha tujue ni nini na jinsi inatekelezwa katika mazoezi.

Malengo makuu ya Crystalgraphy

Usimbuaji wa CIPF unasikika kama "mfumo wa ulinzi wa habari wa kriptografia." Katika cryptography, chaneli ya upitishaji habari inaweza kufikiwa kabisa na washambuliaji. Lakini data zote ni za siri na zimesimbwa vizuri sana. Kwa hiyo, licha ya uwazi wa njia, washambuliaji hawawezi kupata taarifa.

Njia za kisasa za CIPF zinajumuisha programu na kompyuta tata. Kwa msaada wake, habari inalindwa kulingana na vigezo muhimu zaidi, ambavyo tutazingatia zaidi.

Usiri

Haiwezekani kusoma habari ikiwa huna haki za kufikia kufanya hivyo. CIPF ni nini na inasimbaje data kwa njia fiche? Sehemu kuu ya mfumo ni ufunguo wa elektroniki. Ni mchanganyiko wa herufi na nambari. Tu kwa kuingia ufunguo huu unaweza kupata sehemu inayotakiwa ambayo ulinzi umewekwa.

Uadilifu na Uthibitishaji

Hii ni parameter muhimu ambayo huamua uwezekano wa mabadiliko yasiyoidhinishwa kwa data. Ikiwa hakuna ufunguo, basi huwezi kuhariri au kufuta habari.

Uthibitishaji ni utaratibu wa kuthibitisha uhalisi wa maelezo ambayo yanarekodiwa kwenye njia kuu. Ufunguo lazima ulingane na mashine ambayo maelezo yamesimbwa.

Uandishi

Huu ni uthibitisho wa vitendo vya mtumiaji na kutowezekana kwa kukataa. Aina ya kawaida ya uthibitisho ni EDS (saini ya kielektroniki ya dijiti). Ina algorithms mbili - moja inaunda saini, ya pili inaithibitisha.

Tafadhali kumbuka kuwa shughuli zote zinazofanywa na saini za elektroniki zinachakatwa na vituo vilivyoidhinishwa (vya kujitegemea). Kwa sababu hii, haiwezekani kughushi uandishi.

Kanuni za msingi za usimbaji fiche wa data

Leo, vyeti vingi vya CIPF vimeenea; funguo tofauti hutumiwa kwa usimbaji fiche - zote mbili linganifu na zisizolingana. Na funguo ni za kutosha kutoa utata wa kriptografia unaohitajika.

Algorithms maarufu zaidi inayotumika katika ulinzi wa kriptografia:

Kitufe cha ulinganifu - DES, AES, RC4, Kirusi R-28147.89.
Kwa kazi za hashi - kwa mfano, SHA-1/2, MD4/5/6, R-34.11.94.
Kitufe cha asymmetric - RSA.

Nchi nyingi zina viwango vyao vya usimbaji fiche. Kwa mfano, nchini Marekani wanatumia usimbaji fiche uliorekebishwa wa AES; ufunguo unaweza kuwa na urefu wa biti 128 hadi 256.

Shirikisho la Urusi lina algorithm yake - R-34.10.2001 na R-28147.89, ambayo inatumia ufunguo wa 256-bit. Tafadhali kumbuka kuwa kuna vipengee katika mifumo ya kriptografia ya kitaifa ambavyo vimepigwa marufuku kusafirishwa hadi nchi zingine. Shughuli zote zinazohusiana na maendeleo ya CIPF zinahitaji leseni ya lazima.

Ulinzi wa crypto ya maunzi

Wakati wa kufunga tachographs za CIPF, unaweza kuhakikisha ulinzi wa juu wa habari iliyohifadhiwa kwenye kifaa. Yote hii inatekelezwa katika viwango vya programu na vifaa.

Aina ya maunzi CIPF ni vifaa ambavyo vina programu maalum zinazotoa usimbaji fiche wa data wa kuaminika. Pia husaidia kuhifadhi habari, kurekodi na kuisambaza.

Kifaa cha usimbaji hutengenezwa kwa njia ya kisimbaji kilichounganishwa kwenye milango ya USB. Pia kuna vifaa ambavyo vimewekwa kwenye bodi za mama za PC. Hata swichi maalum na kadi za mtandao zilizo na ulinzi wa crypto zinaweza kutumika kufanya kazi na data.

Aina za vifaa vya CIPF zimewekwa haraka sana na zina uwezo wa kubadilishana habari kwa kasi ya juu. Lakini hasara ni gharama kubwa zaidi, pamoja na uwezekano mdogo wa kisasa.

Ulinzi wa kriptografia ya programu

Hii ni seti ya programu zinazokuwezesha kusimba habari zilizohifadhiwa kwenye vyombo vya habari mbalimbali (anatoa flash, anatoa ngumu na za macho, nk). Pia, ikiwa una leseni ya CIPF ya aina hii, unaweza kusimba data kwa njia fiche unapoisambaza kwenye Mtandao (kwa mfano, kupitia barua pepe au gumzo).

Kuna idadi kubwa ya mipango ya ulinzi, na kuna hata bure - DiskCryptor ni mmoja wao. Aina ya programu ya CIPF pia ni mtandao pepe unaoruhusu ubadilishanaji wa habari "katika Mtandao". Hizi ni mitandao ya VPN inayojulikana na wengi. Aina hii ya ulinzi pia inajumuisha itifaki ya HTTP, ambayo inasaidia usimbaji fiche wa SSL na HTTPS.

Programu ya CIPF hutumiwa zaidi wakati wa kufanya kazi kwenye Mtandao, na vile vile kwenye Kompyuta za nyumbani. Kwa maneno mengine, pekee katika maeneo hayo ambapo hakuna mahitaji makubwa ya kudumu na utendaji wa mfumo.

Programu na aina ya maunzi ya ulinzi wa kriptografia

Sasa unajua CIPF ni nini, jinsi inavyofanya kazi na inatumika wapi. Pia ni muhimu kuonyesha aina moja - vifaa na programu, ambayo inachanganya mali zote bora za aina zote mbili za mifumo. Njia hii ya usindikaji habari ni ya kuaminika zaidi na salama. Zaidi ya hayo, mtumiaji anaweza kutambuliwa kwa njia mbalimbali - vifaa vyote (kwa kufunga gari la flash au diski ya floppy) na kiwango (kwa kuingiza jozi ya kuingia / nenosiri).

Mifumo ya maunzi na programu inasaidia algoriti zote za usimbaji fiche zilizopo leo. Tafadhali kumbuka kuwa usakinishaji wa CIPF unapaswa kufanywa tu na wafanyikazi waliohitimu wa msanidi tata. Ni wazi kwamba CIPF kama hiyo haipaswi kusakinishwa kwenye kompyuta ambazo hazichakata taarifa za siri.

Usiri wa habari unaonyeshwa na viashirio vinavyoonekana kinyume kama ufikivu na usiri. Mbinu za kuhakikisha kwamba taarifa zinapatikana kwa watumiaji zimejadiliwa katika Sehemu ya 9.4.1. Katika sehemu hii, tutazingatia njia za kuhakikisha usiri wa habari. Sifa hii ya habari inaonyeshwa na kiwango cha ufichaji wa habari na inaonyesha uwezo wake wa kupinga kufunua maana ya safu za habari, kuamua muundo wa safu ya habari iliyohifadhiwa au mtoaji (ishara ya mtoaji) wa safu ya habari iliyopitishwa na kuanzisha ukweli. usambazaji wa safu ya habari kupitia njia za mawasiliano. Vigezo vya ukamilifu katika kesi hii, kama sheria, ni:

kupunguza uwezekano wa kushinda ("kuvunja") ulinzi;

kuongeza muda wa usalama unaotarajiwa kabla ya mfumo mdogo wa usalama "kudukuliwa";

kupunguza hasara ya jumla kutokana na "kudukua" ulinzi na gharama za kuendeleza na kuendesha vipengele vinavyolingana vya mfumo mdogo wa udhibiti na ulinzi wa habari, nk.

Kwa ujumla, unaweza kuhakikisha usiri wa habari kati ya waliojiandikisha katika moja ya njia tatu:

tengeneza chaneli ya mawasiliano ya kuaminika kabisa kati ya waliojiandikisha, isiyoweza kufikiwa na wengine;

tumia njia ya mawasiliano ya umma, lakini ficha ukweli wa kusambaza habari;

tumia njia ya mawasiliano ya umma, lakini upitishe habari kupitia hiyo kwa fomu iliyobadilishwa, na lazima ibadilishwe kwa njia ambayo mpokeaji tu anaweza kuirejesha.

Chaguo la kwanza haliwezekani kutekelezwa kwa sababu ya gharama kubwa za nyenzo za kuunda chaneli kama hiyo kati ya wasajili wa mbali.

Mojawapo ya njia za kuhakikisha usiri wa uhamishaji habari ni steganografia. Hivi sasa, inawakilisha mojawapo ya maeneo ya kuahidi ya kuhakikisha usiri wa taarifa zilizohifadhiwa au zinazopitishwa katika mifumo ya kompyuta kwa kuficha taarifa zilizoainishwa katika faili zilizo wazi, hasa zile za media titika.

Inashiriki katika ukuzaji wa njia za kubadilisha (usimbuaji) habari ili kuilinda kutoka kwa watumiaji haramu kriptografia.

Crystalgraphy (wakati mwingine neno cryptology hutumiwa) ni uwanja wa maarifa ambao husoma maandishi ya siri (cryptography) na njia za ufichuzi wake (cryptanalysis). Cryptography inachukuliwa kuwa tawi la hisabati.

Hadi hivi karibuni, utafiti wote katika eneo hili ulifungwa tu, lakini katika miaka michache iliyopita machapisho zaidi na zaidi yameanza kuonekana kwenye vyombo vya habari vya wazi. Sehemu ya sababu ya kupunguza usiri ni kwamba imekuwa haiwezekani kuficha kiasi cha habari kilichokusanywa. Kwa upande mwingine, cryptography inazidi kutumika katika sekta ya kiraia, ambayo inahitaji ufichuzi.

9.6.1. Kanuni za cryptography. Kusudi la mfumo wa kriptografia ni kusimba maandishi wazi yenye maana (pia huitwa maandishi wazi) hadi maandishi yasiyo na maana (ciphertext). Mpokeaji ambaye inakusudiwa lazima aweze kufafanua (pia huitwa "decipher") maandishi haya ya siri, na hivyo kurejesha maandishi sambamba yanayolingana. Katika kesi hii, adui (pia anaitwa cryptanalyst) lazima asiweze kufichua maandishi asilia. Kuna tofauti muhimu kati ya kufafanua (kuchambua) na kufunua maandishi ya siri.

Njia za Cryptographic na njia za kubadilisha habari zinaitwa sifa. Ufichuaji wa mfumo wa siri (cipher) ni matokeo ya kazi ya cryptanalyst, na kusababisha uwezekano wa kufichua vyema maandishi yoyote yaliyosimbwa kwa kutumia mfumo fulani wa siri. Kiwango ambacho mfumo wa kificho hauwezi kugunduliwa huitwa nguvu zake.

Suala la kuegemea kwa mifumo ya usalama wa habari ni ngumu sana. Ukweli ni kwamba hakuna vipimo vya kuaminika ili kuhakikisha kuwa habari inalindwa kwa uhakika vya kutosha. Kwanza, cryptography ina upekee kwamba "kuvunja" cipher mara nyingi kunahitaji kutumia maagizo kadhaa ya ukubwa wa pesa zaidi kuliko kuunda. Kwa hivyo, kujaribu mfumo wa ulinzi wa kriptografia sio rahisi kila wakati. Pili, majaribio yasiyofanikiwa ya kushinda utetezi haimaanishi kuwa jaribio linalofuata halitafanikiwa. Inawezekana kwamba wataalamu walijitahidi na cipher kwa muda mrefu, lakini bila mafanikio, na mwanzilishi fulani alichukua njia isiyo ya kawaida - na cipher ilikuja kwa urahisi kwake.

Kama matokeo ya uwezekano duni wa kuegemea kwa zana za usalama wa habari, kuna bidhaa nyingi kwenye soko ambazo kuegemea kwake hakuwezi kuhukumiwa kwa uhakika. Kwa kawaida, watengenezaji wao wanasifu kazi zao kwa kila njia iwezekanavyo, lakini hawawezi kuthibitisha ubora wake, na mara nyingi hii haiwezekani kwa kanuni. Kama sheria, kutokuwa na uthibitisho wa kuegemea pia kunaambatana na ukweli kwamba algorithm ya usimbuaji huhifadhiwa kwa siri.

Kwa mtazamo wa kwanza, usiri wa algorithm hutumika kama dhamana ya ziada ya kuaminika kwa cipher. Hii ni hoja inayowalenga wasiojiweza. Kwa hakika, ikiwa kanuni inajulikana kwa wasanidi programu, haiwezi tena kuchukuliwa kuwa siri, isipokuwa mtumiaji na msanidi si mtu yule yule. Kwa kuongeza, ikiwa, kwa sababu ya kutokuwa na uwezo au makosa ya msanidi programu, algorithm inageuka kuwa imara, usiri wake hautaruhusu wataalam wa kujitegemea kuthibitisha. Kukosekana kwa utulivu wa algorithm itafunuliwa tu wakati tayari imedukuliwa, au hata sio kabisa, kwa sababu adui hana haraka ya kujivunia mafanikio yake.

Kwa hiyo, mwandishi wa maandishi lazima aongozwe na utawala ulioundwa kwanza na Mholanzi O. Kerkhoffs: nguvu ya cipher inapaswa kuamua tu kwa usiri wa ufunguo. Kwa maneno mengine, sheria ya O. Kerkhoffs ni kwamba utaratibu mzima wa usimbaji fiche, isipokuwa kwa thamani ya ufunguo wa siri, ni kipaumbele kinachozingatiwa kujulikana kwa adui.

Jambo lingine ni kwamba njia ya kulinda habari inawezekana (kwa uwazi, haihusiani na cryptography), wakati sio algorithm ya usimbuaji ambayo imefichwa, lakini ukweli kwamba ujumbe una habari iliyofichwa (iliyofichwa ndani yake). Itakuwa sahihi zaidi kuita mbinu hii ya ufichaji habari. Itazingatiwa tofauti.

Historia ya cryptography inarudi miaka elfu kadhaa. Haja ya kuficha yaliyoandikwa ilionekana ndani ya mtu mara tu alipojifunza kuandika. Mfano wa kihistoria unaojulikana wa mfumo wa siri ni ile inayoitwa cipher ya Kaisari, ambayo inachukua nafasi ya kila herufi ya maandishi wazi na herufi ya tatu ya alfabeti inayoifuata (kwa kuifunga inapohitajika). Kwa mfano, A ilibadilishwa na D,B juu E,Z juu C.

Licha ya maendeleo makubwa katika hisabati kwa karne nyingi tangu wakati wa Kaisari, uandishi wa siri haukupiga hatua kubwa mbele hadi katikati ya karne ya 20. Ilikuwa na mbinu ya kizamani, ya kubahatisha, isiyo ya kisayansi.

Kwa mfano, katika karne ya 20, maandishi ya “kitabu” yalitumiwa sana na wataalamu, ambamo uchapishaji fulani uliochapishwa kwa wingi ulitumiwa kama ufunguo. Bila shaka, jinsi maneno kama hayo yalivyofunuliwa kwa urahisi! Kwa kweli, kutoka kwa mtazamo wa kinadharia, cipher ya "kitabu" inaonekana ya kuaminika kabisa, kwani haiwezekani kupanga kupitia seti yake kwa mikono. Walakini, habari ndogo ya priori inapunguza sana chaguo hili.

Kwa njia, kuhusu habari ya priori. Wakati wa Vita Kuu ya Uzalendo, kama inavyojulikana, Umoja wa Kisovieti ulizingatia sana kuandaa harakati za washiriki. Karibu kila kikosi nyuma ya mistari ya adui kilikuwa na kituo cha redio, pamoja na aina fulani ya mawasiliano na "bara". Nakala ambazo washiriki walikuwa nazo hazikuwa thabiti sana - wavunja kanuni wa Kijerumani walizifafanua haraka sana. Na hii, kama tunavyojua, ilisababisha kushindwa na hasara za kijeshi. Washiriki waligeuka kuwa wajanja na wabunifu katika eneo hili pia. Mapokezi yalikuwa rahisi sana. Maandishi ya asili ya ujumbe huo yalikuwa na idadi kubwa ya makosa ya kisarufi, kwa mfano, waliandika: "echelons tatu zilipitishwa na mizinga." Ikiwa imefafanuliwa kwa usahihi, kila kitu kilikuwa wazi kwa mtu wa Kirusi. Lakini wachunguzi wa cryptanalysts wa adui hawakuwa na nguvu dhidi ya mbinu kama hiyo: wakati wa kupitia chaguzi zinazowezekana, walikutana na mchanganyiko "tnk", ambao haukuwezekana kwa lugha ya Kirusi, na wakatupilia mbali chaguo hili kama sio sahihi.

Mbinu hii inayoonekana kuwa ya nyumbani ni, kwa kweli, yenye ufanisi sana na hutumiwa mara nyingi hata sasa. Mfuatano wa nasibu wa alama huwekwa kwenye maandishi asilia ya ujumbe ili kuchanganya programu za cryptanalytic zinazofanya kazi kwa kutumia mbinu ya nguvu ya kinyama au kubadilisha mifumo ya takwimu ya ciphergram, ambayo inaweza pia kutoa taarifa muhimu kwa adui. Lakini kwa ujumla, bado tunaweza kusema kwamba maandishi ya kabla ya vita yalikuwa dhaifu sana na hayangeweza kudai jina la sayansi kubwa.

Walakini, hitaji kali la kijeshi hivi karibuni lililazimisha wanasayansi kushughulikia shida za maandishi na uchambuzi wa siri. Mojawapo ya mafanikio muhimu ya kwanza katika uwanja huu ilikuwa taipureta ya Kijerumani ya Enigma, ambayo kwa kweli ilikuwa ni encoder ya mitambo na dekoda yenye upinzani wa hali ya juu.

Wakati huo huo, wakati wa Vita vya Kidunia vya pili, huduma za kwanza za utaftaji wa kitaalam zilionekana. Maarufu zaidi kati yao ni Bletchley Park, kitengo cha huduma ya ujasusi ya Uingereza MI5.

9.6.2. Aina za ciphers Njia zote za usimbaji fiche zinaweza kugawanywa katika vikundi viwili: misimbo ya ufunguo wa siri na misimbo ya ufunguo wa umma. Ya kwanza ni sifa ya uwepo wa habari fulani (ufunguo wa siri), milki yake ambayo inafanya uwezekano wa kusimba na kusimbua ujumbe. Kwa hiyo, pia huitwa ufunguo mmoja. Sifa za vitufe vya umma zinahitaji funguo mbili ili kusimbua ujumbe. Sifa hizi pia huitwa misimbo-funguo mbili.

Sheria ya usimbaji fiche haiwezi kuwa ya kiholela. Ni lazima iwe hivyo kwamba kutoka kwa maandishi kwa kutumia sheria ya usimbuaji inawezekana kuunda tena ujumbe wazi. Sheria za usimbaji fiche za aina moja zinaweza kuunganishwa katika madarasa. Ndani ya darasa, sheria hutofautiana kutoka kwa kila mmoja kwa maadili ya paramu fulani, ambayo inaweza kuwa nambari, meza, nk. Katika cryptography, thamani maalum ya parameter vile kawaida huitwa ufunguo.

Kimsingi, ufunguo huchagua sheria maalum ya usimbuaji kutoka kwa darasa fulani la sheria. Hii inaruhusu, kwanza, wakati wa kutumia vifaa maalum kwa usimbuaji, kubadilisha thamani ya vigezo vya kifaa ili ujumbe uliosimbwa hauwezi kufutwa hata na watu ambao wana kifaa sawa, lakini hawajui thamani ya parameta iliyochaguliwa, na pili, inakuruhusu kubadilisha sheria ya usimbaji kwa wakati ufaao, kwa kuwa matumizi ya mara kwa mara ya sheria hiyo hiyo ya usimbaji kwa maandishi ya wazi hutengeneza sharti za kupata ujumbe wa maandishi kutoka kwa zile zilizosimbwa.

Kwa kutumia dhana ya ufunguo, mchakato wa usimbuaji unaweza kuelezewa kama uhusiano:

Wapi A- ujumbe wazi; B- ujumbe uliosimbwa; f- kanuni ya usimbuaji; α – ufunguo uliochaguliwa, unaojulikana kwa mtumaji na mpokeaji.

Kwa kila ufunguo α ubadilishaji wa cipher lazima iwe isiyobadilika, yaani, lazima kuwe na mabadiliko ya kinyume , ambayo kwa ufunguo uliochaguliwa α hutambulisha ujumbe wazi kwa njia ya kipekee A kupitia ujumbe uliosimbwa B:

(9.0)

Seti ya mabadiliko na seti ya funguo ambayo yanahusiana inaitwa kanuni. Kati ya misimbo yote, madarasa mawili makubwa yanaweza kutofautishwa: virai mbadala na vibali vya vibali. Hivi sasa, vifaa vya usimbaji fiche vya elektroniki vinatumiwa sana kulinda habari katika mifumo ya kiotomatiki. Tabia muhimu ya vifaa vile sio tu nguvu ya cipher iliyotekelezwa, lakini pia kasi ya juu ya mchakato wa encryption na decryption.

Wakati mwingine dhana mbili huchanganyikiwa: usimbaji fiche Na kusimba. Tofauti na usimbuaji, ambao unahitaji kujua cipher na ufunguo wa siri, na usimbuaji hakuna siri, kuna uingizwaji fulani wa herufi au maneno na alama zilizotanguliwa. Njia za usimbuaji sio lengo la kuficha ujumbe wazi, lakini kuuwasilisha kwa njia rahisi zaidi ya uwasilishaji kupitia njia za kiufundi za mawasiliano, kupunguza urefu wa ujumbe, kulinda upotovu, nk.

Siri muhimu ciphers. Aina hii ya cipher inamaanisha uwepo wa habari fulani (ufunguo), umiliki wake ambao hukuruhusu kusimba na kusimbua ujumbe.

Kwa upande mmoja, mpango kama huo una shida kwamba, pamoja na chaneli wazi ya kupitisha ciphergram, lazima kuwe na njia ya siri ya kupitisha ufunguo; kwa kuongeza, ikiwa habari kuhusu ufunguo imevuja, haiwezekani. ili kuthibitisha ni nani kati ya waandishi hao wawili uvujaji ulitokea.

Kwa upande mwingine, kati ya maandishi ya kikundi hiki kuna mpango pekee wa usimbuaji ulimwenguni ambao una nguvu kamili ya kinadharia. Nyingine zote zinaweza kuelezewa angalau kwa kanuni. Mpango kama huo ni usimbaji fiche wa kawaida (kwa mfano, operesheni ya XOR) na ufunguo ambao urefu wake ni sawa na urefu wa ujumbe. Katika kesi hii, ufunguo unapaswa kutumika mara moja tu. Majaribio yoyote ya kufafanua ujumbe kama huo hayana maana, hata ikiwa kuna habari ya kipaumbele juu ya maandishi ya ujumbe huo. Kwa kuchagua ufunguo, unaweza kupata ujumbe wowote kama matokeo.

Sifa muhimu za umma. Aina hii ya cipher inamaanisha uwepo wa funguo mbili - za umma na za kibinafsi; moja inatumika kwa usimbaji fiche, nyingine kwa ajili ya kusimbua ujumbe. Ufunguo wa umma unachapishwa - huletwa kwa tahadhari ya kila mtu, wakati ufunguo wa siri unawekwa na mmiliki wake na ni ufunguo wa usiri wa ujumbe. Kiini cha njia hiyo ni kwamba kile kilichosimbwa kwa kutumia ufunguo wa siri kinaweza tu kusimbwa kwa kutumia ufunguo wa umma na kinyume chake. Funguo hizi zinazalishwa kwa jozi na zina mawasiliano ya moja kwa moja na kila mmoja. Aidha, haiwezekani kuhesabu mwingine kutoka kwa ufunguo mmoja.

Kipengele cha tabia ya ciphers ya aina hii, ambayo inawafautisha vyema kutoka kwa ciphers na ufunguo wa siri, ni kwamba ufunguo wa siri hapa unajulikana tu kwa mtu mmoja, wakati katika mpango wa kwanza lazima ujulikane kwa angalau wawili. Hii inatoa faida zifuatazo:

hakuna kituo salama kinachohitajika kutuma ufunguo wa siri;

mawasiliano yote yanafanywa kwa njia ya wazi;

Kuwa na nakala moja ya ufunguo hupunguza uwezekano wa kupoteza kwake na inakuwezesha kuanzisha wajibu wa kibinafsi wa kutunza siri;

uwepo wa funguo mbili hukuruhusu kutumia mfumo huu wa usimbuaji kwa njia mbili - mawasiliano ya siri na saini ya dijiti.

Mfano rahisi zaidi wa algoriti za usimbaji fiche zinazozingatiwa ni algoriti ya RSA. Algorithms zingine zote za darasa hili sio tofauti kabisa nayo. Inaweza kusemwa kuwa, kwa kiasi kikubwa, RSA ndiyo kanuni pekee ya ufunguo wa umma.

9.6.3. Algorithm RSA. RSA (iliyopewa jina la waandishi wake, Rivest, Shamir, na Alderman) ni algoriti ya ufunguo wa umma iliyoundwa kwa usimbaji fiche na uthibitishaji (saini ya dijiti). Algorithm hii ilitengenezwa mnamo 1977 na inategemea kuoza nambari kubwa katika mambo rahisi (factorization).

RSA ni algorithm polepole sana. Kwa kulinganisha, katika kiwango cha programu, DES ni angalau mara 100 kwa kasi zaidi kuliko RSA; kwenye vifaa - mara 1,000-10,000, kulingana na utekelezaji.

Algorithm ya RSA ni kama ifuatavyo. Chukua nambari mbili kubwa sana uk Na q. Imedhamiriwa n kama matokeo ya kuzidisha uk juu q(n=uk q) Nambari kamili ya nasibu imechaguliwa d, coprime na m, Wapi
. Nambari hii imedhamiriwa e, Nini
. Wacha tuite ufunguo wa umma e Na n, na ufunguo wa siri ni nambari d Na n.

Sasa, kusimba data kwa kutumia kitufe kinachojulikana ( e,n), unahitaji kufanya yafuatayo:

gawanya maandishi ya siri katika vizuizi, ambayo kila moja inaweza kuwakilishwa kama nambari M(i)=0,1,…,n-1;

maandishi kwa njia fiche yanayochukuliwa kama mfuatano wa nambari M(i) kulingana na fomula C(i)=(M(i)) mod n;

kusimbua data hii kwa kutumia ufunguo wa siri ( d,n), unahitaji kufanya mahesabu yafuatayo M(i)=(C(i)) mod n.

Matokeo yake yatakuwa nambari nyingi M(i), ambayo inawakilisha matini chanzi.

Mfano. Wacha tufikirie kutumia njia ya RSA kusimba ujumbe: "Kompyuta". Kwa unyenyekevu, tutatumia nambari ndogo sana (kwa mazoezi, nambari kubwa zaidi hutumiwa - kutoka 200 na hapo juu).

Hebu tuchague uk=3 na q=11. Hebu tufafanue n=3×11=33.

Hebu tupate ( uk-1)×( q-1)=20. Kwa hivyo, kama d chagua nambari yoyote ambayo ni coprime hadi 20, kwa mfano d=3.

Wacha tuchague nambari e. Nambari kama hiyo inaweza kuwa nambari yoyote ambayo uhusiano wake ( e×3) mod 20=1, kwa mfano, 7.

Hebu tuwazie ujumbe uliosimbwa kwa njia fiche kama mlolongo wa nambari kamili katika safu 1...32. Wacha herufi "E" iwakilishwe na nambari 30, herufi "B" na nambari 3, na herufi "M" na nambari 13. Kisha ujumbe wa asili unaweza kuwakilishwa kama mlolongo wa nambari (30 03 13). )

Wacha tusimba ujumbe kwa njia fiche kwa kutumia kitufe (7.33).

С1=(307) mod 33=21870000000 mod 33=24,

С2=(37) mod 33=2187 mod 33=9,

C3=(137) mod 33=62748517 mod 33=7.

Kwa hivyo, ujumbe uliosimbwa unaonekana kama (24 09 07).

Wacha tusuluhishe shida ya kinyume. Wacha tupunguze ujumbe (24 09 07), uliopatikana kama matokeo ya usimbuaji kwa kutumia kitufe kinachojulikana, kwa msingi wa ufunguo wa siri (3.33):

M1=(24 3) mod 33=13824 mod 33=30,

M2=(9 3) mod 33=739 mod 33=9,

M3=(7 3)mod33=343mod33=13 .

Kwa hivyo, kama matokeo ya kusimbua ujumbe, ujumbe wa asili "kompyuta" ulipokelewa.

Nguvu ya kriptografia ya algorithm ya RSA inategemea kudhani kuwa ni ngumu sana kuamua ufunguo wa siri kutoka kwa inayojulikana, kwani hii inahitaji kutatua shida ya uwepo wa vigawanyiko kamili. Tatizo hili ni NP-kamili na, kama matokeo ya ukweli huu, hairuhusu sasa suluhisho la ufanisi (polynomial). Zaidi ya hayo, swali la kuwepo kwa algorithms yenye ufanisi ya kutatua matatizo kamili ya NP bado iko wazi. Katika suala hili, kwa nambari zinazojumuisha tarakimu 200 (na hizi ni nambari zinazopendekezwa kutumika), mbinu za jadi zinahitaji kufanya idadi kubwa ya shughuli (kuhusu 1023).

Algorithm ya RSA (Mchoro 9.2) ina hati miliki nchini Marekani. Matumizi yake na wengine hairuhusiwi (na urefu wa ufunguo unaozidi bits 56). Kweli, haki ya uanzishwaji kama huo inaweza kuhojiwa: ni vipi maelezo ya kawaida yanaweza kuwa na hati miliki? Hata hivyo, RSA inalindwa na sheria za hakimiliki.

Mchele. 9.2. Mpango wa usimbaji fiche

Ujumbe uliosimbwa kwa njia fiche kwa kutumia ufunguo wa umma wa aliyejisajili unaweza tu kusimbwa na yeye, kwani yeye pekee ndiye ana ufunguo wa siri. Kwa hivyo, ili kutuma ujumbe wa faragha, lazima uchukue ufunguo wa umma wa mpokeaji na usimbe ujumbe huo kwa njia fiche. Baada ya hayo, hata wewe mwenyewe hautaweza kuifafanua.

9.6.4. Sahihi ya elektroniki. Tunapofanya kinyume, yaani, tunasimba ujumbe kwa njia fiche kwa kutumia ufunguo wa siri, basi mtu yeyote anaweza kusimbua (kwa kuchukua ufunguo wako wa umma). Lakini ukweli kwamba ujumbe huo ulisimbwa kwa njia fiche kwa ufunguo wako wa siri hutumika kama uthibitisho kwamba ulitoka kwako, mmiliki pekee wa ufunguo wa siri duniani. Njia hii ya kutumia algorithm inaitwa saini ya dijiti.

Kutoka kwa mtazamo wa teknolojia, saini ya dijiti ya elektroniki ni zana ya programu-cryptographic (yaani, iliyosimbwa ipasavyo) ambayo hukuruhusu kudhibitisha kuwa saini kwenye hati fulani ya elektroniki iliwekwa na mwandishi wake na sio na mtu mwingine yeyote. Saini ya elektroniki ya dijiti ni seti ya herufi zinazozalishwa kulingana na algorithm iliyofafanuliwa na GOST R 34.0-94 na GOST R 34.-94. Wakati huo huo, saini ya dijiti ya kielektroniki hukuruhusu kuthibitisha kuwa habari iliyotiwa saini kwa kutumia njia ya saini ya dijiti ya kielektroniki haikubadilishwa wakati wa mchakato wa kuhamisha na ilitiwa saini na mtumaji haswa katika fomu uliyoipokea.

Mchakato wa kusaini hati kwa njia ya kielektroniki (Mchoro 9.3) ni rahisi sana: safu ya habari inayohitaji kusainiwa inashughulikiwa na programu maalum kwa kutumia kinachojulikana ufunguo wa kibinafsi. Ifuatayo, safu iliyosimbwa hutumwa kwa barua pepe na, baada ya kupokelewa, inathibitishwa na ufunguo wa umma unaolingana. Ufunguo wa umma hukuruhusu kuangalia uadilifu wa safu na kuthibitisha uhalisi wa sahihi ya kielektroniki ya kielektroniki ya mtumaji. Inaaminika kuwa teknolojia hii ina ulinzi wa 100% dhidi ya utapeli.

Mchele. 9.3. Mpango wa mchakato wa kusaini hati ya kielektroniki

Kila somo ambaye ana haki ya kutia sahihi ana ufunguo wa siri (msimbo) na anaweza kuhifadhiwa kwenye floppy disk au smart card. Ufunguo wa umma hutumiwa na wapokeaji wa hati ili kuthibitisha uhalisi wa sahihi ya kielektroniki ya dijiti. Kwa kutumia saini ya kielektroniki ya dijiti, unaweza kusaini faili binafsi au vipande vya hifadhidata.

Katika hali ya mwisho, programu inayotumia sahihi ya kielektroniki ya kielektroniki lazima iunganishwe katika mifumo ya kiotomatiki inayotumika.

Kwa mujibu wa sheria mpya, utaratibu wa uidhinishaji wa zana za saini za dijiti za kielektroniki na uthibitishaji wa saini yenyewe umewekwa wazi.

Hii ina maana kwamba shirika linalofaa la serikali lazima lithibitishe kwamba programu mahususi ya kutengeneza sahihi ya kielektroniki ya kidijitali inazalisha (au inathibitisha) saini ya kielektroniki tu ya dijiti na si chochote kingine; kwamba programu zinazolingana hazina virusi, hazipakua habari kutoka kwa wakandarasi, hazina "mende" na zimehakikishwa dhidi ya utapeli. Uthibitisho wa saini yenyewe unamaanisha kuwa shirika husika - mamlaka ya uthibitishaji - inathibitisha kuwa ufunguo huu ni wa mtu huyu.

Unaweza kusaini hati bila cheti maalum, lakini katika kesi ya madai, itakuwa vigumu kuthibitisha chochote. Katika kesi hii, cheti hakiwezi kubadilishwa, kwani saini yenyewe haina data kuhusu mmiliki wake.

Kwa mfano, raia A na mwananchi KATIKA waliingia makubaliano kwa kiasi cha rubles 10,000 na kuthibitishwa makubaliano na saini yao ya digital. Mwananchi A hakutimiza wajibu wake. Raia aliyechukizwa KATIKA, wamezoea kutenda ndani ya mfumo wa kisheria, huenda mahakamani, ambapo uhalali wa saini unathibitishwa (mawasiliano ya ufunguo wa umma kwa moja ya kibinafsi). Hata hivyo, mwananchi A inasema kwamba ufunguo wa faragha sio wake hata kidogo. Wakati mfano kama huo unatokea, uchunguzi wa graphological unafanywa na saini ya kawaida, lakini katika kesi ya saini ya dijiti ya elektroniki, mtu wa tatu au hati inahitajika ili kudhibitisha kuwa saini kweli ni ya mtu huyu. Hivi ndivyo cheti cha ufunguo wa umma kinatumika.

Leo, mojawapo ya zana maarufu zaidi za programu zinazotekeleza kazi za msingi za saini ya digital ya elektroniki ni mifumo ya Verba na CryptoPRO CSP.

9.6.5. Utendakazi wa HASH. Kama inavyoonyeshwa hapo juu, cipher ya ufunguo wa umma inaweza kutumika kwa njia mbili: usimbaji fiche na sahihi ya dijiti. Katika kesi ya pili, haina maana kusimba maandishi yote (data) kwa kutumia ufunguo wa siri. Maandishi yameachwa wazi, na "checksum" fulani ya maandishi haya imesimbwa, na kusababisha kizuizi cha data ambacho ni saini ya dijiti ambayo huongezwa hadi mwisho wa maandishi au kushikamana nayo katika faili tofauti.

"Checksum" iliyotajwa ya data, ambayo "imesainiwa" badala ya maandishi yote, lazima ihesabiwe kutoka kwa maandishi yote ili mabadiliko katika barua yoyote yanaonekana juu yake. Pili, kitendakazi kilichoainishwa lazima kiwe cha njia moja, ambayo ni, inayoweza kuunganishwa tu "katika mwelekeo mmoja." Hii ni muhimu ili adui asiweze kubadilisha kimakusudi maandishi ili yalingane na sahihi ya dijiti iliyopo.

Kazi hii inaitwa Utendaji wa hashi, ambayo, kama algoriti za kriptografia, iko chini ya kusanifishwa na kuthibitishwa. Katika nchi yetu inadhibitiwa na GOST R-3411. Utendaji wa hashi- chaguo la kukokotoa ambalo hutekeleza hashing ya safu ya data kwa kupanga thamani kutoka (sana) seti kubwa ya thamani hadi (kwa kiasi kikubwa) seti ndogo zaidi ya thamani. Mbali na saini za dijiti, vitendaji vya hashi pia hutumiwa katika programu zingine. Kwa mfano, wakati wa kubadilishana ujumbe kati ya kompyuta za mbali ambapo uthibitishaji wa mtumiaji unahitajika, njia kulingana na kazi ya heshi inaweza kutumika.

Hebu Msimbo wa hashi iliyoundwa na kipengele cha kukokotoa N:

Wapi M ni ujumbe wa urefu wa kiholela na h ni msimbo wa urefu usiobadilika.

Hebu tuangalie mahitaji ambayo kipengele cha kukokotoa cha heshi lazima kifikie ili kitumike kama kithibitishaji cha ujumbe. Hebu tuangalie mfano rahisi sana wa kazi ya hashi. Kisha tutachambua mbinu kadhaa za kuunda kazi ya hashi.

Utendaji wa hashi N, ambayo hutumika kwa uthibitishaji wa ujumbe, lazima iwe na sifa zifuatazo:

N(M) itatumika kwa kizuizi cha data cha urefu wowote;

N(M) kuunda pato la urefu uliowekwa;

N(M) ni rahisi kiasi (katika wakati wa polynomial) kukokotoa kwa thamani yoyote M;

kwa thamani yoyote ya nambari ya hashi h haiwezekani kupatikana M vile vile N(M) =h;

kwa yoyote aliyopewa X computationally haiwezekani kupata y≠x, Nini H(y) =H(x);

Haiwezekani kupata jozi ya kiholela ( X,y) vile H(y) =H(x).

Sifa tatu za kwanza zinahitaji kazi ya heshi ili kutoa msimbo wa hashi kwa ujumbe wowote.

Sifa ya nne inafafanua hitaji la kuwa kazi ya hashi ni ya upande mmoja: ni rahisi kuunda msimbo wa hashi kutoka kwa ujumbe fulani, lakini haiwezekani kuunda upya ujumbe kutoka kwa msimbo fulani wa hashi. Sifa hii ni muhimu ikiwa uthibitishaji wa heshi unahusisha thamani ya siri. Thamani ya siri yenyewe haiwezi kutumwa, hata hivyo, ikiwa kitendakazi cha hashi si cha njia moja, adui anaweza kufichua thamani ya siri kwa urahisi kama ifuatavyo.

Sifa ya tano inahakikisha kwamba haiwezekani kupata ujumbe mwingine ambao thamani ya heshi inalingana na thamani ya ujumbe huu. Hii huzuia upotoshaji wa kithibitishaji wakati wa kutumia msimbo wa heshi uliosimbwa kwa njia fiche. Katika kesi hii, adui anaweza kusoma ujumbe na kwa hiyo kuunda msimbo wake wa hashi. Lakini kwa kuwa adui hana ufunguo wa siri, hana njia ya kubadilisha ujumbe bila mpokeaji kuugundua. Ikiwa mali hii haijaridhika, mshambuliaji ana nafasi ya kufanya mlolongo wa vitendo vifuatavyo: kukatiza ujumbe na msimbo wake wa heshi uliosimbwa, kuhesabu msimbo wa hashi wa ujumbe, kuunda ujumbe mbadala na msimbo sawa wa hashi, badala ya asili. ujumbe na uwongo. Kwa kuwa heshi za barua pepe hizi ni sawa, mpokeaji hatagundua udukuzi.

Kitendaji cha heshi ambacho kinakidhi sifa tano za kwanza kinaitwa rahisi au dhaifu kazi ya hashi. Ikiwa, kwa kuongeza, mali ya sita imeridhika, basi kazi hiyo inaitwa nguvu kazi ya hashi. Mali ya sita hulinda dhidi ya aina ya mashambulizi yanayojulikana kama shambulio la siku ya kuzaliwa.

Kazi zote za hashi zinafanywa kama ifuatavyo. Thamani ya ingizo (ujumbe, faili, n.k.) inazingatiwa kama mfuatano n-vizuizi kidogo. Thamani ya ingizo inachakatwa kwa mpangilio wa kuzuia kwa kuzuia, na a m- thamani kidogo ya msimbo wa hashi.

Mojawapo ya mifano rahisi zaidi ya kazi ya hashi ni kuweka kidogo XOR kila kizuizi:

NA i = b i 1 XOR b i2 XOR. . . XOR b ik ,

Wapi NA i – i kidogo ya msimbo wa hashi, i = 1, …, n;

k- nambari n-vizuizi vya pembejeo kidogo;

b ij –i th kidogo ndani j th block.

Matokeo yake ni msimbo wa hashi wa urefu n, inayojulikana kama udhibiti wa ziada wa longitudinal. Hii ni nzuri kwa kushindwa mara kwa mara kuthibitisha uadilifu wa data.

9.6.6. DES NA GOST-28147. DES (Kiwango cha Usimbaji Data) ni algorithm yenye funguo za ulinganifu, i.e. ufunguo mmoja hutumiwa kwa usimbaji fiche na usimbuaji wa ujumbe. Iliyoundwa na IBM na kuidhinishwa na serikali ya Marekani mwaka wa 1977 kama kiwango rasmi cha kulinda habari ambayo si siri ya serikali.

DES ina vizuizi vya biti 64, inategemea uidhinishaji wa data mara 16, na hutumia kitufe cha 56-bit kwa usimbaji fiche. Kuna aina kadhaa za DES, kama vile Electronic Code Book (ECB) na Cipher Block Chaining (CBC). Biti 56 ni herufi 8 za ASCII-bit saba, i.e. Nenosiri haliwezi kuwa zaidi ya herufi 8. Ikiwa, kwa kuongeza, unatumia herufi na nambari tu, basi idadi ya chaguzi zinazowezekana itakuwa chini sana kuliko kiwango cha juu kinachowezekana 256.

Moja ya hatua za algorithm ya DES. Kizuizi cha data ya pembejeo kimegawanywa kwa nusu na kushoto ( L") na kulia ( R") sehemu. Baada ya hayo, safu ya pato huundwa ili upande wake wa kushoto L"" kuwakilishwa na upande wa kulia R" pembejeo, na kulia R"" imeundwa kama jumla L" Na R" Operesheni za XOR. Ifuatayo, safu ya pato imesimbwa kwa njia fiche na uingizwaji. Unaweza kuhakikisha kuwa shughuli zote zilizofanywa zinaweza kubadilishwa na usimbuaji unafanywa kwa idadi ya shughuli ambazo hutegemea saizi ya kizuizi. Algorithm inaonyeshwa kwa mpangilio kwenye Mtini. 9.4.

Mchele. 9.4. Mchoro wa Algorithm ya DES

Baada ya mabadiliko kadhaa kama haya, tunaweza kuzingatia kwamba kila sehemu ya usimbaji fiche wa pato inaweza kutegemea kila sehemu ya ujumbe.

Katika Urusi kuna analog ya algorithm ya DES, ambayo inafanya kazi kwa kanuni sawa ya ufunguo wa siri. GOST 28147 ilitengenezwa miaka 12 baadaye kuliko DES na ina kiwango cha juu cha ulinzi. Tabia zao za kulinganisha zinawasilishwa kwenye jedwali. 9.3.

Jedwali 9.3

9.6.7. Steganografia. Steganografia- Hii ni njia ya kupanga mawasiliano ambayo kwa kweli huficha uwepo wa mawasiliano. Tofauti na fiche, ambapo adui anaweza kuamua kwa usahihi ikiwa ujumbe unaotumwa ni maandishi yaliyosimbwa, mbinu za steganography huruhusu ujumbe wa siri kupachikwa katika ujumbe usio na madhara ili isiwezekane kushuku kuwepo kwa ujumbe wa siri uliopachikwa.

Neno "steganografia" lililotafsiriwa kutoka kwa Kiyunani linamaanisha "maandishi ya siri" (steganos - siri, siri; grafu - rekodi). Hii ni pamoja na anuwai kubwa ya njia za siri za mawasiliano, kama vile wino usioonekana, picha ndogo, mpangilio wa kawaida wa ishara, njia za siri na njia za mawasiliano kwenye masafa ya kuelea, nk.

Steganografia inachukua niche yake katika usalama: haibadilishi, lakini inakamilisha cryptography. Kuficha ujumbe kwa kutumia mbinu za steganografia hupunguza kwa kiasi kikubwa uwezekano wa kugundua ukweli halisi wa uwasilishaji wa ujumbe. Na ikiwa ujumbe huu pia umesimbwa, basi una kiwango kimoja zaidi cha ulinzi.

Hivi sasa, kutokana na maendeleo ya haraka ya teknolojia ya kompyuta na njia mpya za kusambaza habari, mbinu mpya za steganographic zimeonekana, ambazo zinatokana na upekee wa kuwasilisha habari katika faili za kompyuta, mitandao ya kompyuta, nk. Hii inatupa fursa ya kuzungumza juu ya malezi ya mwelekeo mpya - steganografia ya kompyuta.

Licha ya ukweli kwamba steganografia kama njia ya kuficha data ya siri imekuwa ikijulikana kwa maelfu ya miaka, steganography ya kompyuta ni eneo changa na linaloendelea.

Mfumo wa Steganographic au mfumo wa stego- seti ya njia na njia ambazo hutumiwa kuunda njia ya siri ya kusambaza habari.

Wakati wa kuunda mfumo wa stego, vifungu vifuatavyo lazima zizingatiwe:

Adui ana ufahamu kamili wa mfumo wa steganographic na maelezo ya utekelezaji wake. Habari pekee ambayo bado haijulikani kwa adui anayeweza kuwa ni ufunguo, kwa msaada ambao mmiliki wake tu ndiye anayeweza kuanzisha uwepo na yaliyomo kwenye ujumbe uliofichwa.

Ikiwa adui atajua kwa njia fulani uwepo wa ujumbe uliofichwa, hii haipaswi kumruhusu kutoa ujumbe sawa katika data nyingine mradi tu ufunguo umewekwa siri.

Mpinzani anayewezekana lazima anyimwe manufaa yoyote ya kiufundi au nyingine katika kutambua au kufichua maudhui ya jumbe za siri.

Mfano wa jumla wa mfumo wa stego umewasilishwa kwenye Mtini. 9.5.

Mchele. 9.5. Muundo wa mfumo wa mfumo wa jumla

Kama data Taarifa yoyote inaweza kutumika: maandishi, ujumbe, picha, nk.

Katika hali ya jumla, ni vyema kutumia neno "ujumbe", kwani ujumbe unaweza kuwa ama maandishi au picha, au, kwa mfano, data ya sauti. Katika kile kinachofuata, tutatumia neno ujumbe kuashiria habari iliyofichwa.

Chombo- habari yoyote iliyokusudiwa kuficha ujumbe wa siri.

Stegokey au ufunguo tu - ufunguo wa siri muhimu kuficha habari. Kulingana na idadi ya viwango vya usalama (kwa mfano, kupachika ujumbe uliosimbwa mapema), kunaweza kuwa na funguo moja au zaidi kwenye mfumo wa stego.

Kwa mlinganisho na cryptography, kulingana na aina ya stegokey, mifumo ya stego inaweza kugawanywa katika aina mbili:

na ufunguo wa siri;

na ufunguo wa umma.

Mfumo wa ufunguo wa siri hutumia ufunguo mmoja, ambao lazima ubainishwe kabla ya ujumbe wa siri kubadilishwa au kutumwa kwenye chaneli salama.

Katika mfumo wa ufunguo wa umma, funguo tofauti hutumiwa kupachika na kutoa ujumbe, ambao hutofautiana kwa njia ambayo haiwezekani kukadiria ufunguo mmoja kutoka kwa mwingine. Kwa hiyo, ufunguo mmoja (wa umma) unaweza kupitishwa kwa uhuru juu ya njia isiyo salama ya mawasiliano. Kwa kuongeza, mpango huu pia hufanya kazi vizuri wakati kuna kutoaminiana kati ya mtumaji na mpokeaji.

Hivi sasa inawezekana kutofautisha tatu Maelekezo ya matumizi ya steganografia ambayo yanahusiana kwa karibu na yana mizizi sawa: kuficha data(ujumbe), alama za digital Na vichwa.

Kuficha data iliyoingizwa, ambayo katika hali nyingi ni kubwa, inatia mahitaji makubwa kwenye chombo: ukubwa wa chombo lazima iwe mara kadhaa zaidi kuliko ukubwa wa data iliyoingia.

Alama za dijiti hutumika kulinda hakimiliki au haki za kumiliki mali katika picha za kidijitali, picha au kazi zingine za sanaa zilizowekwa kidijitali. Mahitaji makuu ya data hiyo iliyoingia ni kuegemea na upinzani wa kupotosha. Alama za kidijitali ni ndogo kwa ukubwa, lakini kutokana na mahitaji yaliyo hapo juu, kuzipachika kunahitaji mbinu za kisasa zaidi kuliko kupachika tu ujumbe au vichwa.

Vichwa hutumika hasa kwa kuweka tagi kwenye hazina kubwa za kielektroniki (maktaba) za picha za kidijitali, faili za sauti na video. Katika kesi hii, mbinu za steganographic hutumiwa sio tu kuanzisha kichwa cha kutambua, lakini pia sifa nyingine za kibinafsi za faili. Vichwa vilivyoingizwa ni vidogo kwa ukubwa, na mahitaji yao ni ndogo: vichwa vya habari vinapaswa kuanzisha uharibifu mdogo na kuwa sugu kwa mabadiliko ya msingi ya kijiometri.

Kriptografia ya kompyuta inategemea kanuni kadhaa:

Ujumbe unaweza kutumwa kwa kutumia msimbo wa kelele. Itakuwa vigumu kuchunguza dhidi ya historia ya kelele ya vifaa kwenye mstari wa simu au nyaya za mtandao.

Ujumbe unaweza kuwekwa kwenye nafasi za faili au diski bila kupoteza utendakazi. Faili zinazoweza kutekelezwa zina muundo wa sehemu nyingi wa msimbo unaoweza kutekelezwa; rundo la baiti linaweza kuingizwa kati ya sehemu tupu. Hivi ndivyo virusi vya WinCIH huficha mwili wake. Faili daima huchukua idadi kamili ya makundi kwenye diski, kwa hivyo urefu wa kimwili na wa kimantiki wa faili ni nadra sawa. Unaweza pia kuandika kitu katika kipindi hiki. Unaweza kuunda wimbo wa kati wa diski na uweke ujumbe juu yake. Kuna njia rahisi, ambayo inajumuisha kuongeza idadi fulani ya nafasi ambazo hubeba mzigo wa habari hadi mwisho wa mstari wa HTML au faili ya maandishi.

Hisia za kibinadamu haziwezi kutofautisha mabadiliko madogo katika rangi, picha au sauti. Hii inatumika kwa data ambayo hubeba maelezo yasiyo ya lazima. Kwa mfano, sauti ya 16-bit au picha ya 24-bit. Kubadilisha maadili ya biti zinazohusika na rangi ya saizi haitaongoza kwa mabadiliko dhahiri ya rangi. Hii pia inajumuisha njia ya fonti zilizofichwa. Upotoshaji wa hila hufanywa katika muhtasari wa herufi ambazo zitabeba mzigo wa semantic. Unaweza kuingiza alama zinazofanana kwenye hati ya Microsoft Word iliyo na ujumbe uliofichwa.

Ya kawaida na mojawapo ya bidhaa bora za programu kwa steganografia ni S-Tools (hali ya bureware). Inakuruhusu kuficha faili zozote katika umbizo la GIF, BMP na WAV. Hufanya ukandamizaji unaodhibitiwa (uhifadhi) wa data. Kwa kuongeza, hufanya usimbaji fiche kwa kutumia MCD, DES, triple-DES, IDEA algorithms (hiari). Faili ya mchoro inabaki bila mabadiliko yanayoonekana, vivuli tu vinabadilika. Sauti pia inabaki bila mabadiliko yanayoonekana. Hata kama tuhuma zitatokea, haiwezekani kuthibitisha ukweli kwamba S-Tools inatumiwa bila kujua nenosiri.

9.6.8. Uthibitisho na usanifu wa mifumo ya crypto. Majimbo yote yanazingatia sana masuala ya kriptografia. Kuna majaribio ya mara kwa mara ya kuweka mipaka fulani, marufuku na vikwazo vingine juu ya uzalishaji, matumizi na usafirishaji wa zana za cryptographic. Kwa mfano, nchini Urusi uagizaji na usafirishaji wa njia za usalama wa habari, haswa njia za siri, zimeidhinishwa kwa mujibu wa Amri ya Rais wa Shirikisho la Urusi la Aprili 3, 1995 Na. 334 na Amri ya Serikali ya Shirikisho la Urusi. Aprili 15, 1994 No. 331.

Kama ilivyoelezwa tayari, mfumo wa crypto hauwezi kuzingatiwa kuwa wa kuaminika ikiwa algorithm ya uendeshaji wake haijulikani kikamilifu. Kujua algoriti pekee unaweza kuangalia kama ulinzi ni thabiti. Walakini, mtaalamu pekee ndiye anayeweza kuangalia hii, na hata hivyo hundi kama hiyo mara nyingi ni ngumu sana kwamba haiwezekani kiuchumi. Mtumiaji wa kawaida ambaye hajui hisabati anawezaje kushawishika juu ya kuegemea kwa mfumo wa siri ambao amepewa kutumia?

Kwa mtu asiye mtaalamu, ushahidi wa kuaminika unaweza kuwa maoni ya wataalam wenye uwezo wa kujitegemea. Hapa ndipo mfumo wa uthibitisho ulipotokea. Mifumo yote ya usalama wa habari iko chini yake ili biashara na taasisi ziweze kuzitumia rasmi. Sio marufuku kutumia mifumo isiyoidhinishwa, lakini katika kesi hii unadhani hatari nzima ambayo haitakuwa ya kuaminika kwa kutosha au itakuwa na "backdoors". Lakini ili kuuza bidhaa za usalama wa habari, uthibitisho ni muhimu. Masharti kama haya yanatumika nchini Urusi na katika nchi nyingi.

Shirika letu pekee lililoidhinishwa kutekeleza uthibitishaji ni Wakala wa Shirikisho wa Mawasiliano na Taarifa za Serikali chini ya Rais wa Shirikisho la Urusi (FAPSI). Chombo hiki hushughulikia masuala ya uthibitishaji kwa uangalifu sana. Maendeleo machache sana kutoka kwa makampuni mengine yaliweza kupata cheti cha FAPSI.

Kwa kuongezea, FAPSI inatoa leseni kwa shughuli za biashara zinazohusiana na ukuzaji, utengenezaji, uuzaji na uendeshaji wa zana za usimbuaji, na pia njia salama za kiufundi za kuhifadhi, kusindika na kusambaza habari, kutoa huduma katika uwanja wa usimbuaji habari (Amri ya Rais). ya Shirikisho la Urusi ya tarehe 3 Aprili 1995 Na. 334 "Katika hatua za kufuata sheria katika maendeleo ya uzalishaji, uuzaji na uendeshaji wa zana za usimbaji fiche, pamoja na utoaji wa huduma katika uwanja wa usimbaji habari"; Sheria ya Shirikisho la Urusi "Katika Miili ya Shirikisho ya Mawasiliano ya Serikali na Habari").

Kwa uthibitisho, sharti ni kufuata viwango wakati wa kuunda mifumo ya usalama wa habari. Viwango hufanya kazi sawa. Wanaruhusu, bila kufanya utafiti mgumu, wa gharama kubwa na sio kila wakati iwezekanavyo, kupata ujasiri kwamba algorithm iliyotolewa hutoa ulinzi wa kiwango cha kutosha cha kuegemea.

9.6.9. Kumbukumbu zilizosimbwa kwa njia fiche. Programu nyingi za programu zinajumuisha kipengele cha usimbuaji. Hapa kuna mifano ya zana za programu ambazo zina uwezo wa usimbaji fiche.

Programu za kumbukumbu (kwa mfano, WinZip) zina chaguo la kusimba habari iliyohifadhiwa. Inaweza kutumika kwa habari ambayo sio muhimu sana. Kwanza, njia za usimbuaji zinazotumiwa huko sio za kuaminika sana (kulingana na vizuizi rasmi vya usafirishaji), na pili, hazijaelezewa kwa undani. Yote hii haituruhusu kutegemea sana ulinzi kama huo. Kumbukumbu zilizo na nenosiri zinaweza kutumika tu kwa watumiaji "wa kawaida" au taarifa zisizo muhimu.

Kwenye tovuti zingine za mtandao unaweza kupata programu za kufungua kumbukumbu zilizosimbwa. Kwa mfano, kumbukumbu ya ZIP inaweza kufunguliwa kwenye kompyuta nzuri kwa dakika chache, na hakuna sifa maalum zinazohitajika kutoka kwa mtumiaji.

Kumbuka. Mipango ya kubahatisha manenosiri: Ultra Zip Password Cracker 1.00 - Mpango wa haraka wa kubahatisha manenosiri kwa kumbukumbu zilizosimbwa. Kiolesura cha Kirusi/Kiingereza. Win"95/98/NT. (Msanidi programu - "m53group") Urejeshaji Nenosiri wa ZIP wa Hali ya Juu 2.2 - Mpango madhubuti wa kuchagua manenosiri ya kumbukumbu za ZIP. Kasi ya juu, kiolesura cha picha, vitendaji vya ziada. OS: Windows95/98/NT. Kampuni ya wasanidi - "Elcom Ltd.", vifaa vya hisa.

Usimbaji fiche katika MS Word na MS Excel. Microsoft imejumuisha baadhi ya mfano wa ulinzi wa siri katika bidhaa zake. Lakini ulinzi huu sio thabiti sana. Kwa kuongeza, algorithm ya usimbuaji haijaelezewa, ambayo ni kiashiria cha kutokuwa na uhakika. Kwa kuongeza, kuna ushahidi kwamba Microsoft inaacha "mlango wa nyuma" katika algorithms ya crypto inayotumia. Ikiwa unahitaji kusimbua faili ambayo umepoteza nenosiri, unaweza kuwasiliana na kampuni. Kwa ombi rasmi, kwa sababu zinazokubalika, wanasimbua faili za MS Word na MS Excel. Kwa njia, watengenezaji wengine wa programu hufanya vivyo hivyo.

Hifadhi zilizosimbwa (saraka). Usimbaji fiche ni njia ya kuaminika ya kulinda habari kwenye gari ngumu. Walakini, ikiwa idadi ya habari ya kufungwa sio tu kwa faili mbili au tatu, basi ni ngumu sana kufanya kazi nayo: kila wakati utahitaji kufuta faili, na baada ya kuhariri, usimbue tena. Katika kesi hii, nakala za usalama za faili ambazo wahariri wengi huunda zinaweza kubaki kwenye diski. Kwa hivyo, ni rahisi kutumia programu maalum (madereva) ambayo husimba kiotomatiki na kusimbua habari zote wakati wa kuiandika kwa diski na kuisoma kutoka kwa diski.

Kwa kumalizia, tunatambua kuwa sera ya usalama inafafanuliwa kama seti ya maamuzi ya usimamizi yaliyoandikwa yanayolenga kulinda taarifa na rasilimali zinazohusiana. Wakati wa kuitengeneza na kuitekeleza, inashauriwa kuongozwa na kanuni za msingi zifuatazo:

Kutokuwa na uwezo wa kupita vifaa vya kinga. Taarifa zote zinapita na kutoka kwa mtandao unaolindwa lazima zipitie hatua za usalama. Kusiwe na pembejeo za modemu za siri au mistari ya majaribio ambayo hukwepa usalama.

Kuimarisha kiungo dhaifu zaidi. Kuegemea kwa ulinzi wowote kumedhamiriwa na kiungo dhaifu zaidi, kwani washambuliaji hukihasi. Mara nyingi kiungo dhaifu sio kompyuta au programu, lakini mtu, na kisha shida ya kuhakikisha usalama wa habari inakuwa isiyo ya kiufundi kwa asili.

Kutokuwa na uwezo wa kuingia katika hali isiyo salama. Kanuni ya kutowezekana kwa mpito kwa hali isiyo salama ina maana kwamba chini ya hali yoyote, ikiwa ni pamoja na isiyo ya kawaida, kifaa cha kinga kinafanya kazi zake kikamilifu au kuzuia kabisa upatikanaji.

Kupunguza Upendeleo. Kanuni ya upendeleo mdogo inahitaji kwamba watumiaji na wasimamizi wapewe tu haki za ufikiaji ambazo wanahitaji kutekeleza majukumu yao ya kazi.

Mgawanyiko wa majukumu. Kanuni ya mgawanyo wa majukumu inapendekeza mgawanyo wa majukumu na majukumu ambayo mtu mmoja hawezi kuvuruga mchakato muhimu kwa shirika.

Kiwango cha ulinzi. Kanuni ya ulinzi wa echeloned inaeleza kutotegemea safu moja ya ulinzi. Ulinzi wa kina unaweza angalau kuchelewesha mshambuliaji na kuifanya iwe ngumu zaidi kutekeleza vitendo viovu bila kutambuliwa.

Aina ya vifaa vya kinga. Kanuni ya utofauti wa njia za ulinzi inapendekeza kupanga safu za ulinzi za asili tofauti, ili mshambulizi anayeweza kushambuliwa anahitajika kuwa na ujuzi mbalimbali, ikiwezekana, usiopatana.

Urahisi na udhibiti wa mfumo wa habari. Kanuni ya unyenyekevu na udhibiti inasema kwamba tu katika mfumo rahisi na unaoweza kudhibitiwa unaweza kuangaliwa uthabiti wa usanidi wa vipengele tofauti na utawala wa kati ufanyike.

Hakikisha msaada wa kila mtu kwa hatua za usalama. Kanuni ya usaidizi wa wote kwa hatua za usalama ni asili isiyo ya kiufundi. Ikiwa watumiaji na/au wasimamizi wa mfumo watazingatia usalama wa habari kuwa kitu kisichohitajika au chuki, basi hakika haitawezekana kuunda mfumo wa usalama. Inahitajika tangu mwanzo kutoa seti ya hatua zinazolenga kuhakikisha uaminifu wa wafanyikazi na mafunzo endelevu ya kinadharia na vitendo.