Смекни!
smekni.com
Информатика

Системы защиты информации (стр. 4 из 7)

Процедура проверки подписи состоит из вычисления хэш-значения документа и проверки некоторых соотношений, связывающих хэш-значение документа, подпись под этим документом и открытый ключ подписавшего пользователя. Документ считается подлинным, а подпись правильной, если эти соотношения выполняются. В противном случае подпись под документом считается недействительной.

АРМ Администратора безопасности

АРМ Администратора безопасности (АРМ АБ), функционирующий под управлением операционной системы MS DOS v5.0 и выше на персональных ЭВМ, совместимых с IBM PC/АТ (процессор 80386 и выше), предназначен для работы с ключевой информацией. Он позволяет:

  • на основе исходной ключевой информации, находящейся на лицензионной дискете вырабатывать рабочие ключи (секретные и открытые) шифрования пользователей;
  • на основе ключей шифрования формировать секретные и открытые ключи ЭЦП;
  • создавать рабочие копии ключевых дискет шифрования и ЭЦП;
  • подготавливать ключи шифрования и секретные ключи ЭЦП для хранения на жестком диске.

Ядром АРМ АБ является программа HOST_O.EXE, входящая в состав СКЗИ "Верба-ОW". При работе с ключевой информацией используется также программный датчик случайных чисел - резидентный драйвер CYPRASW.EXE. Правила работы с ключевой информацией и этими программами описаны в документах "ЯЦИТ.00007-01 90 01. Администратор безопасности.

Ключевая система.

Идентификация абонента в сети.

Каждая подсеть однозначно определяется внутри всей информационной сети номером SSSSSS, который может принимать значение от 000000 до 999999. Этот номер присваивается ключевому диску с исходной ключевой информацией и называется номером серии. Абоненты внутри всей сети различаются по номерам вида XXXXSSSSSSYY, а внутри отдельной подсети- по номерам вида XXXXYY. Номера внутри отдельной подсети распределяются пользователем при создании носителей ключевой информации. Составляющая XXXX обозначает номер ключевого диска для шифрования и может принимать значение от 0000 до 9999. Ключевой диск для подписи создается с использованием ключевого диска для шифрования. На каждом ключевом диске для шифрования можно создавать от 0 до 99 ключевых дисков для подписи, которые идентифицируются по личному коду YY. Таким образом, абоненты, обладающие правом шифровать документы, идентифицируются внутри отдельной подсети по номерам вида XXXX, где XXXX - номер ключевой дискеты; абоненты, обладающие правом подписи - по номерам вида XXXXYY, где XXXX - номер ключевой дискеты, YY - личный код.

Носители ключевой информации

Типы ключевых дисков

В СКЗИ "Верба-ОW" используются следующие типы носителей ключевой информации:

  • ключевой диск для шифрования;
  • ключевой диск для подписи;
  • совмещенный ключевой диск (с ключами шифрования и подписи) и их рабочие копии.

При создании рабочих копий ключевых дисков необходимо использовать средства СКЗИ "Верба-ОW". Полученный с помощью СКЗИ "Верба-ОW" рабочий диск не является точной копией исходного, но полностью выполняет его функции. Нельзя создать рабочую копию исходного диска с ключевой информацией простым копированием файлов с исходного ключевого диска.

Создание носителей ключевой информации.

Исходные ключевые диски для шифрования изготавливаются ФАПСИ по заявке пользователя и содержат соответствующий данному абоненту вектор ключей шифрования, номер серии и другую служебную информацию. Ключевой диск для подписи формируется пользователем на основе диска для шифрования или его рабочей копии. После завершения выработки ключей сформируется файл, содержащий ключ подписи, его номер, а также индивидуальные ключи шифрования секретных ключей подписи и шифрования для хранения их на ЖМД. Секретные ключи пользователя должны храниться в тайне.

Временное хранение секретных ключей на жестком диске.

ПО "Верба-ОW" предусматривает возможность хранения секретных ключей на жестком диске, что удобно при частом обращении к ключевой информации.

Секретные и открытые ключи шифрования и подписи хранятся в защищенном виде. При хранении на ключевом ГМД ключи перешифровываются на так называемом главном ключе, при временном хранении на ЖМД- на главном ключе и на индивидуальных ключах шифрования секретных ключей.

Типы ключей.

Определены следующие типы открытых ключей:

  • действующий;
  • скомпрометированный;
  • резервный.

Смена ключей.

Смена ключей возможна в следующих ситуациях:

  • плановая смена ключей;
  • компрометация ключа;
  • ввод в действие нового ключа;
  • удаление ключа.

Плановую смену ключей рекомендуется производить не реже одного раза в год. При плановой смене ключей, при их компрометации и удалении абонента из сети конфиденциальной связи, все секретные ключи (шифрования и подписи) должны быть уничтожены, а выведенные из действия открытые ключи должны храниться в течение определенного "центром" времени для разбора конфликтных ситуаций. После уничтожения ключевой информации (при компрометации ключа) вводятся в действие резервные ключи. Все изменения должны немедленно отражаться в справочниках ключей и немедленно рассылаться всем абонентам сети.

Уничтожение ключевой информации.

Для уничтожения ключевой информации предусмотрена специальная процедура форматирования ключевой дискеты, которая прописывает несекретную информацию для того, чтобы содержащиеся на ней данные исчезли физически.

Технические характеристики

В 2000 г. длина открытых ключей шифрования и подписи увеличена до 1024 бит.

При обработке информации на ПЭВМ СКЗИ “Верба-ОW” обеспечивает следующие показатели (без учета времени обращения к устройствам ввода-вывода):

Операции Intel Celeron 266 МГц

Шифрование/расшифрование 2,0 МБайт/с

Вычисление хэш-функции 1,9 МБайт/с

Формирование ЭЦП 0,01 с

Проверка ЭЦП 0,04 с

6. Устройства криптографической защиты данных (УКЗД) серии КРИПТОН

Устройства криптографической защиты данных (УКЗД) серии КРИПТОН — это аппаратные шифраторы для IBM PC-совместимых компьютеров. Устройства применяются в составе средств и систем криптографической защиты данных для обеспечения информационной безопасности (в том числе защиты с высоким уровнем секретности) в государственных и коммерческих структурах.
Устройства КРИПТОН гарантируют защиту информации, обрабатываемой на персональном компьютере и/или передаваемой по открытым каналам связи.
Устройства КРИПТОН выполнены в виде плат расширения ISA и PCI персонального компьютера с процессором i386 и выше.

Преимущества устройств серии КРИПТОН

  • аппаратная реализация алгоритма криптографического преобразования гарантирует целостность алгоритма;
  • шифрование производится и ключи шифрования хранятся в самой плате, а не в оперативной памяти компьютера;
  • аппаратный датчик случайных чисел;
  • загрузка ключей шифрования в устройство КРИПТОН со смарт-карт и идентификаторов Touch Memory (i-Button) производится напрямую, минуя ОЗУ и системную шину компьютера, что исключает возможность перехвата ключей;
  • на базе устройств КРИПТОН можно создавать системы защиты информации от несанкционированного доступа и разграничения доступа к компьютеру;
  • применение специализированного шифрпроцессора для выполнения криптографических преобразований разгружает центральный процессор компьютера; возможна также установка на одном компьютере нескольких устройств КРИПТОН, что еще более повысит скорость шифрования (для устройств с шиной PCI);
  • использование парафазных шин в архитектуре шифрпроцессора исключает угрозу снятия ключевой информации по возникающим в ходе криптографических преобразований колебаниям электромагнитного излучения в
    цепях “земля - питание” микросхемы.

Устройства КРИПТОН разработаны, производятся и реализуются Фирмой АНКАД. Они построены на разработанных Фирмой АНКАД специализированных 32-разрядных шифрпроцессорах серии БЛЮМИНГ.
За 10 лет работы Фирма АНКАД поставила более 15 тысяч устройств КРИПТОН заказчикам в Центральном Банке, Федеральном агентстве правительственной связи и информации при Президенте РФ, министерствах обороны и внутренних дел, Министерстве по налогам и сборам, Федеральном казначействе, коммерческих банках, финансовых и страховых компаниях, многим корпоративным клиентам.
Сеть кооперационного производства устройств КРИПТОН охватывает наиболее известные предприятия российской электроники (ОАО “Ангстрем” и др.). Устройства серии КРИПТОН имеют сертификаты соответствия требованиям ФАПСИ (в том числе в составе абонентских пунктов и автоматизированных рабочих мест для защиты информации, содержащей сведения, составляющие государственную тайну).
Программное обеспечение устройств КРИПТОН позволяет:

  • шифровать компьютерную информацию (файлы, группы файлов и разделы дисков), обеспечивая их конфиденциальность;
  • осуществлять электронную цифровую подпись файлов, проверяя их целостность и авторство;
  • создавать прозрачно шифруемые логические диски, максимально облегчая и упрощая работу пользователя с конфиденциальной информацией;
  • формировать криптографически защищенные виртуальные сети, шифровать IP-трафик и обеспечивать защищенный доступ к ресурсам сети мобильных и удаленных пользователей;
  • создавать системы защиты информации от несанкционированного доступа и разграничения доступа к компьютеру.

Основные технические данные и характеристики

 
назад
читать дальше
1
2
3
4
5
6
7
НАПИШИТЕ НАМ
Copyright © Smekni.com. All rigths reserved.