Программы криптографической защиты – Теория и практика использования средства криптографической защиты информации «КриптоПро CSP» —  Эксперт — интернет-магазин электроники и бытовой техники

Защищённый почтовый клиент dipostca

Программа DiPostCA содержит криптографическую систему, обеспечивающую:

• шифрование/расшифрование почтовой корреспонденции с использованием
  асимметричных ключей при симметричном алгоритме шифрования;
• формирование и проверку электронной цифровой подписи (ЭЦП).

Для участия в обмене конфиденциальной информацией каждый участник обмена
должен иметь, во-первых, свой закрытый ключ и свой сертификат ключа и,
во-вторых, — сертификаты ключей всех остальных участников обмена. Кроме
того, каждый из участников обмена должен иметь сертификаты и списки
отозванных сертификатов всех необходимых удостоверяющих центров.

Закрытый ключ (и необходимая для его использования информация) размещается
на ключевом носителе в т.н. «контейнере» («контейнере закрытого ключа») –
файл с расширением .pvt.

Для генерации закрытых ключей требуется программа Модуль генерации ключей,
разработанная ООО «ФАКТОР-ТС», которая также создаёт запрос на сертификат
ключа проверки подписи – файл с расширением .p10.

Запрос на сертификат отправляется в УЦ, который выдаёт сертификат.

Сертификат ключа имеет следующую структуру:

• открытый ключ,
• электронная подпись удостоверяющего центра, выдавшего этот сертификат,
• сопроводительная информация.

Сертификаты и списки отозванных сертификатов:

1. Сертификаты пользователей — как правило, находятся в файлах с
   расширением cer. Файл с расширением cer может содержать только один
   сертификат.
2. Сертификаты удостоверяющих центров — как правило, находятся в файлах,
   имена которых имеют расширение p7b. В этот же файл УЦ, как правило,
   помещает списки отозванных сертификатов. Файл с расширением p7b может
   содержать как один, так и несколько сертификатов.
3. Кроме того, списки отозванных сертификатов могут находиться в файлах с
   расширением crl.

Настройка криптосистемы DiPostCA заключается в следующем:

1. Генерация контейнера закрытого ключа на носитель и запроса на сертификат открытого ключа.
2. Отправка запроса на сертификат в УЦ.
3. Выдача из УЦ сертификата открытого ключа.
4. Настройка криптосистемы DiPostCA: инициализация контейнера закрытого ключа с носителя.
5. Настройка криптосистемы DiPostCA: установка сертификата открытого ключа.

Защита корпоративной информации

Если в п.1 использование крпитогарфических средств обусловлено, прежде всего, требованиями законодательства РФ, то в данном случае в применении СКЗИ заинтересовано руководство самой компании. С помощью средства шифрования компания получает возможность защитить свою корпоративную информацию – сведения, представляющие коммерческую тайну, интеллектуальную собственность, оперативную и техническую информацию и др.

На сегодняшний день для эффективного применения в корпоративной среде, программа для шифрования должна обеспечивать:

• шифрование данных на удаленном сервере;
• поддержку асимметричной криптографии;
• прозрачное шифрование;
• шифрование сетевых папок;
• возможность разграничения прав доступа к конфиденциальной информации между сотрудниками компании;
• возможность хранения сотрудниками закрытых ключей на внешних носителях информации (токенах).

Итак, второе применение СКЗИ – это защита конфиденциальной информации компании. Средство шифрования, поддерживающее вышеперечисленные возможности, способно обеспечить достаточно надежную защиту, однако непременно должно использоваться как составляющая

комплексного подхода

к защите информации. Такой подход дополнительно подразумевает использование межсетевых экранов, антивирусов и файерволлов, а также включает разработку модели угроз информационной безопасности, выработку необходимых политик ИБ, назначение ответственных за информационную безопасность, контроль электронного документооборота, контроль и мониторинг деятельности сотрудников и др.

Cредство криптозащиты информации криптопро csp

Рассмотрим средство криптозащиты информации КриптоПро CSP.
Криптопровайдер КриптоПро CSP предназначен для:

• авторизации и обеспечения юридической значимости электронных документов
  при обмене ими между пользователями, посредством использования процедур
  формирования и проверки электронной подписи (ЭП) в соответствии с
  отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2022 (с
  использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2022);
• обеспечения конфиденциальности и контроля целостности информации
  посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
• обеспечения аутентичности, конфиденциальности и имитозащиты соединений по
  протоколу TLS;
• контроля целостности системного и прикладного программного обеспечения
  для его защиты от несанкционированных изменений и нарушений правильности
  функционирования;
• управления ключевыми элементами системы в соответствии с регламентом
  средств защиты.

Функции защиты информации КриптоПро CSP:

• авторизация и обеспечение юридической значимости электронных документов
  при обмене ими между пользователями;
• обеспечение конфиденциальности и контроля целостности информации
  посредством её шифрования и имитозащиты в соответствии с ГОСТ 34.10-2022,
  ГОСТ 34.11 и ГОСТ 28147-89
• контроль целостности системного и прикладного программного обеспечения
  для его защиты от несанкционированного изменения;
• управления ключевыми элементами системы в соответствии с регламентом;
• обеспечение аутентификации связывающихся сторон, конфиденциальности и
  целостности пересылаемой информации с использованием сертификатов стандарта
  Х.509;
• установление аутентичного защищенного соединения с использованием протокола КриптоПро TLS;
• защита IP-соединений с использованием протоколов КриптоПро IKE, КриптоПро ESP, КриптоПро AH;
• обеспечение конфиденциальности и контроля целостности и авторизация файлов и информационных сообщений;
• обеспечение аутентификации, аутентификация пользователя в домене Windows.

Термины, принятые в Криптопро CSP:

• контейнер закрытого ключа;
• сертификат открытого ключа;
• самоподписываемый сертификат.

Аутентификация с использованием электронной подписи

Виды электронных подписей (статья 5 ФЗ
№63 «Об электронной подписи»):

1. Простая электронная подпись — посредством использования кодов, паролей или иных средств подтверждает
   факт формирования электронной подписи определенным лицом.
2. Неквалифицированная электронная подпись:

2.1. Получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2.2. Позволяет определить лицо, подписавшее электронный документ;

2.3. Позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

2.4. Создается с использованием средств электронной подписи.

3. Квалифицированная электронная подпись кроме того должна иметь дополнительные признаки:

3.1. Ключ проверки электронной подписи указан в квалифицированном сертификате;

3.2. Для создания и проверки электронной подписи используются средства
электронной подписи, получившие подтверждение соответствия требованиям,
установленным в соответствии с настоящим Федеральным законом.

При использовании неквалифицированной электронной подписи сертификат ключа
проверки электронной подписи может не создаваться.

Схема использования усиленной электронной подписи:

Здесь также есть пара из открытого и секретного ключа. От документа
подсчитывается хеш-функция, посредством криптографических преобразований
вычисляется сама электронная подпись. В отличие от асимметричного
шифрования, подпись основана на закрытом ключе, а проверяется с помощью
открытого ключа.

Процедура формирования и проверки усиленной электронной подписи:

Для формирования цифровой подписи отправитель, прежде всего, вычисляет
значение хэш-функции подписываемого документа. Хэш-функция служит для
сжатия исходного подписываемого текста в дайджест — относительно короткое
число, состоящее из фиксированного небольшого числа битов и характеризующее
весь текст в целом.

При проверке ЭЦП абонент — получатель сообщения — расшифровывает принятый
дайджест открытым ключом отправителя. Кроме того, получатель сам вычисляет
с помощью хэш-функции дайджест принятого сообщения и сравнивает его с
расшифрованным. Если эти два дайджеста совпадают, то цифровая подпись
является подлинной. В противном случае либо подпись подделана, либо
изменено содержание сообщения.

Принципиальным моментом в системе ЭЦП является невозможность подделки ЭЦП
пользователя без знания его секретного ключа подписывания. Поэтому
необходимо защитить секретный ключ подписывания от несанкционированного
доступа. Секретный ключ ЭЦП, аналогично ключу симметричного шифрования,
рекомендуется хранить на персональном ключевом носителе в защищенном виде.

Электронная цифровая подпись представляет собой уникальное число, зависящее
от подписываемого документа и секретного ключа абонента. Подписанный файл
создается из неподписанного путем добавления в него одной или более
электронных подписей.

Помещаемая в подписываемый файл (или в отдельный файл электронной подписи)
структура ЭЦП обычно содержит дополнительную информацию, однозначно
идентифицирующую автора подписанного документа. Эта информация добавляется
к документу до вычисления ЭЦП, что обеспечивает и ее целостность.

Криптографические программы — «хакер»

Pretty Good Privacy

Что такое криптография?Скажу просто, но понятно – это защитаинформации. Когда ты, например,переписываешься с кем-то по email, ты уверен,что твоя переписка на 100% конфиденциальна?Это не так. Абсолютную конфиденциальностьможет обеспечить лишь наземная почта.

Очень сильноесредство криптографической защиты –программа PGP (Pretty Good Privacy). Существует немалоалгоритмов шифровки подобных тем, чтоиспользует PGP, но бесплатность этойпрограммы привела к ее популярности, апопулярность привела к тому, что PGPиспользуют во всем мире, и не только длязащиты данных, но и для абсолютноконфиденциальной переписке по email.

Обычныесредства криптографии предполагали, чтодля конфиденциальной переписки с кем-то,необходимо обменяться друг с другомсекретным ключом. Имхо, это неудобно посравнению с тем, что придумал разработчик PGP— Филлип Циммерман. Теперь стало возможным

сообщить о своем публичном ключе PGP любому

человеку, всему миру! Этот ключ (обычный

небольшой текст) можно без проблем

разместить у себя на веб-странице. И никто,

кроме тебя не сможет расшифровать письмо,

которое было послано с использованием

твоего публичного ключа. Для расшифровки же

у тебя имеется другой, приватный ключ.

Расшифровать сообщение без твоего ведома

не сможет никто, разве только Бог 😉

С помощью PGP можно такжесоздать невидимый диск любого размера ихранить там все, что ты хранишь на обычных,“видимых” дисках. Фишка в том, что в любоймомент можно отключить этот самый диск (точнотак же, как и смонтировать), а вся информациябудет храниться в зашифрованном виде вспециальном файле.

Кстати, PGP очень удобна илегка в обращении и самое главное – этоодна из лучших на сегодня программ защитыинформации.

Best Crypt

Это целая защитнаясистема, имеющая такие функции какшифрование/дешифрование дискет, созданиешифрованных логических дисков, невосcтановимоестирание информации и многое другое…

При созданиивиртуального диска можно указать алгоритмшифрования: Blowfish, DES, GOST (наш ГОСТ 🙂 и TWOFISH.Наиболее надежным является Blowfish. Послеустановки названия диска, размера, егоописания, алгоритма и mount drive (например, X: )программа (если вы используете алгоритмBlowFish) попросит некоторое время потыкать наклавиши для создания супер-пупершифрования.

в PGP, после unmount’а виртуального диска, файл,

содержащий этот самый диск удалить можно.

Хотя версия PGP у меня тогда была не

последняя :]

Винда не удаляет файлы на100% и с помощью специальной утилиты эти “удаленные”файлы можно возродить. Кстати всемиизвестный и многоуважаемый Виндоусовскийswap тоже хранит некоторую удаленнуюинформацию :] На помощь приходит такая фичакак невосстановимое стирание информации.

Best Crypt весит меньше раз в 10по сравнению с PGP (примерно 500 кб против 10 мб).

WinZip.

Немного скажу и опопулярном WinZip’е. Этот архиватор позволяетсоздавать защищенные паролем архивы :] Еслиты собрался взламывать запароленный архив,с помощью “перебиралки” паролей, то будь

готов подождать 😉 Ждать придется в

зависимости от длинны и количества

использования цифр/букв пароля. Приведу

пример. Если у тебя P100 (200 000 комбинаций в

секунду), то для того, чтобы узнать пароль

архива тебе потребуется ждать:

Набор символов:

Только цифры – ~ 5 секунд.Только строчные буквы– ~ 26 минут.Только символы — ~ 2 часа.Строчные и заглавныебуквы — ~28 часовСтрочные, заглавные и цифры — ~3,3 дняСтрочные, заглавные, символы и цифры — ~ 43 дня

Учти, что мы взяли парольдлинной 6 символов. А если он будет не 6, а 10или больше символов? 😉 Будь готов не игратьв кваку о-очень долго :]

Итак, какую программу тыбудешь использовать для шифрования своейинформации, решай сам. Я же отдаюпредпочтение PGP :] Но ты можешь использоватьWinZip ;). А вообще у каждой из этих программесть свой шарм. PGP даст возможностьконфиденциально переписываться с Белым

Гатёсом ;), Best Crypt – программа небольшая и

удобная для создания виртуальных дисков и

невосстановимого стирания информации, ну а

WinZip хорош в паролировании архивов :] Это

лишь некоторые основные функции этих

программ. Последнее слово за тобой! :]

Храни свою секретную инфуподальше от чужих! 😉

Межсетевое экранирование

Межсетевой экран (МЭ) – это программное или программно-аппаратное средство,
которое разграничивает информационные потоки на границе защищаемой системы,
осуществляет управление доступом, фильтрацию сетевых пакетов и трансляцию
сетевых адресов для скрытия структуры информационной системы.

Требования к межсетевым экранам определены приказом ФСТЭК России от 9
февраля 2022 г. №9
(зарегистрирован Минюстом России 25 марта 2022 г.,
регистрационный №41564 для
служебного пользования).

В целях разъяснения
позиции ФСТЭК России в связи с утверждением Требований к межсетевым экранам
было выпущено Информационное сообщение по вопросам разработки,
производства, поставки и применения межсетевых экранов, сертифицированных
ФСТЭК России по требованиям безопасности информации от 24 марта 2022 г.
№240/24/1382.

В требованиях выделены пять типов межсетевых экранов:

• Типа А — уровня сети;
• Типа Б – уровня логических границ сети;
• Типа В – уровня узла;
• Типа Г – уровня веб-сервера;
• Типа Д – уровня промышленной сети (АСУ ТП).

Информационным сообщением от 12 сентября 2022 г.
№240/24/4278 доведены
спецификация профилей защиты межсетевых экранов для каждого типа
межсетевого экрана и класса защиты межсетевого экрана:

Классы межсетевых экранов по защищённости от НСД:

Идентификаторы профилей защиты приводятся в формате
ИТ.МЭ.«тип»«класс».ПЗ, где обозначение тип может принимать значение от
А до Г
(тип межсетевого экрана), а обозначение класс может принимать
значения от 1 до
6, соответствующие классу защиты межсетевого экрана.

Подробее о межсетевом экранировании изложено в материале

«Установка и настройка средств защиты информации в ЛВС при межсетевом взаимодействии».

Обзор bestcrypt volume encryption — программы для криптографической защиты данных

Сегодня руководители многих компаний начинают задумываться о безопасности коммерческой информации. И действительно, согласно различным исследованиям, количество утечек конфиденциальных данных, а также убытков, которые они наносят, постоянно растет. Вот только есть одно «но».

Полноценные корпоративные системы криптографической защиты стоят очень и очень недешево. Естественно, любой крупный или даже средний бизнес без проблем может позволить себе потратить одну-две тысячи долларов на собственную безопасность. Однако далеко не каждая небольшая компания пойдет на это.

Между тем сегодня существуют системы надежной криптографической защиты, которые прекрасно подходят для корпоративного использования, но стоят гораздо меньше. Да, они обладают не столь богатым функциональным набором. Да, они не способны интегрироваться в общую систему безопасности или реализовывать собственное, более надежное, нежели стандартное, разделение прав доступа к конфиденциальной информации.

Тем не менее основную функцию — защиту коммерческих данных — они выполняют хорошо. Ярким примером такого продукта является программа BestCrypt Volume Encryption. Ее создатель, компания Jetico — довольно известный разработчик небольших криптографических утилит.

Утилита BestCrypt Volume Encryption продолжает серию программ BestCrypt. Вот только у нее есть серьезное отличие от всех остальных продуктов. Дело в том, что она предназначена для шифрования не отдельных файлов и папок, а целых логических разделов. Сегодня большое распространение получили криптографические утилиты, работающие с так называемыми файлами-контейнерами, которые могут подключаться к системе в качестве виртуальных дисков и используются для хранения всей конфиденциальной информации.

Однако такой подход не очень подходит для корпоративного использования. Во-первых, когда размеры файла становятся велики (а это неизбежно, поскольку любая компания обрабатывает большой объем информации), скорость доступа к нему заметно снижается. Во-вторых, надежность хранения данных при использовании данного метода защиты относительно невелика.

Между тем продуктов, осуществляющих шифрование реальных разделов, на рынке совсем немного. Именно поэтому утилита BestCrypt Volume Encryption выгодно отличается от многих своих конкурентов. Особо стоит отметить, что зашифровывать она может не только отдельные разделы жестких дисков или мобильных накопителей наподобие флеш-дисков, но и различные распределенные тома: простые распределенные (spanned volumes), зеркальные (mirrored volumes), чередующиеся (striped volumes)

Главное окно программы BestCrypt Volume Encryption

Второй особенностью программы BestCrypt Volume Encryption является большое количество реализованных в ней криптографических технологий. На сегодняшний день пользователи этого продукта могут использовать для защиты своей информации следующие алгоритмы:

AES (длина ключа 256 бит), Blowfish (448 бит), CAST (128 бит), RC6 (256 бит), Serpent (256 бит), Twofish (256 бит) и ГОСТ 28147-89 (256 бит). Все они считаются надежными, всесторонне исследованными технологиями. А для генерации ключа шифрования применяются действия самого пользователя: хаотичные нажатия на кнопки клавиатуры и беспорядочные движения мышью.

Такой подход считается сегодня оптимальным, поскольку полностью устраняет зависимость надежности системы защиты от качества генератора случайных чисел. В мировой практике известны случаи, когда недостатки в разработке последних настолько сужали границы возможных ключей шифрования, что злоумышленники подбирали их за приемлемое время простым перебором.

Сам ключ шифрования по умолчанию хранится на жестком диске компьютера, а доступ к нему ограничивается с помощью парольной защиты. Естественно, это далеко не самый лучший вариант. И даже введенное разработчиками ограничение на минимальную длину ключевого слова (восемь символов) не оказывает существенного влияния на надежность.

К счастью, в программе предусмотрено решение этой проблемы. Дело в том, что в ней реализована поддержка аппаратных USB-ключей Aladdin eToken. При их использовании ключи шифрования сохраняются в защищенной памяти токена, извлечь данные откуда можно, только зная PIN-код. Аппаратный ключ хорошо защищен от взлома, а поэтому является гораздо более надежным, нежели обычная парольная защита.

Отдельного упоминания заслуживает тот факт, что в рассматриваемом продукте реализована поддержка режима шифрования LRW. Эта технология используется для криптографического преобразования целых разделов жестких дисков. Она обеспечивает большую устойчивость защиты перед некоторыми видами атак.

При работе в режиме LRW дополнительно к ключу шифрования, предусмотренному алгоритмом, используется еще один, длина которого равна размеру блоков данных, использующихся в этом алгоритме. Таким образом, можно сказать, что общая длина ключа шифрования увеличивается, что, естественно, сказывается на степени надежности защиты.

Шифрование раздела жесткого диска

Важной функцией программы BestCrypt Volume Encryption является возможность шифрования системного раздела жесткого диска. Она позволяет решить пользователям сразу же несколько серьезных проблем. Начать нужно с того, что загрузить операционную систему можно будет, только зная пароль зашифрованного диска.

То есть фактически речь идет о надежной защите от несанкционированного запуска компьютера. Причем, что весьма интересно, пользователь может выбрать так называемую тему, то есть надписи, которые будут выдаваться при включении ПК и неправильном вводе пароля.

Изначально в программе реализовано шесть тем. Причем две из них имитируют различные ошибки, возникающие при крушении операционной системы, а еще одна — остановившийся процесс загрузки Windows. При их использовании у человека, не знающего об установленной защите, возникает впечатление сбоя в работе компьютера, что является дополнительной защитой. Кроме того, владелец ПК может самостоятельно создать любую тему.

Второй немаловажной проблемой, решаемой с помощью шифрования системного диска, является кража конфиденциальной информации из временных файлов, файла подкачки и так далее. В них данные попадают во время работы различного программного обеспечения. И этим вполне могут воспользоваться злоумышленники.

Следующей возможностью программы BestCrypt Volume Encryption, которая будет весьма полезна корпоративным пользователям, является поддержка сетевой работы. Если на диске перед шифрованием были папки с общим доступом, то после их открытия все разрешения восстанавливаются.

Нельзя не упомянуть и о возможностях восстановления данных в случае возникновения каких-либо проблем с носителями. Такая ситуация вполне возможна — жесткие диски являются одним из наиболее часто выходящих из строя элементов компьютера. К счастью, разработчики рассматриваемой утилиты предусмотрели это и реализовали в своем детище функцию восстановления зашифрованных дисков.

Работает она так. Пользователь с помощью особого пункта меню создает файл, содержащий специальную информацию, и копирует его на любой другой носитель. В будущем при возникновении каких-то сбоев он может скопировать его обратно и попытаться восстановить поврежденную информацию.

Естественно, гарантии успеха нет, тем не менее шансы уменьшить последствия аварии есть. Кроме того, в программе BestCrypt Volume Encryption существует возможность восстановления информации с поврежденных системных разделов. Поскольку в этом случае загрузка операционной системы невозможна, для этого используется специальная загрузочная дискета, CD- или DVD-диск, которые можно заранее создать из меню утилиты.

Выбор темы

Ну и напоследок давайте поговорим об интерфейсе программы BestCrypt Volume Encryption. Главное окно этой утилиты состоит из двух частей. В первой все доступные в данный момент разделы отображаются в виде таблицы. Для каждого тома выводятся его буква, статус (зашифрован или нет), емкость, объем свободного пространства, файловая система и так далее.

Во второй части доступные разделы отображаются в виде наглядной схемы. Все операции над томами выполняются с помощью иконок на панели инструментов, главного или контекстного меню. То есть управление рассматриваемой программой очень просто и удобно, оно доступно всем, в том числе и начинающим пользователям.

Особо стоит отметить, что интерфейс программы многоязычный. На данный момент в BestCrypt Volume Encryption реализована поддержка восьми различных языков, в том числе и русского. Пользователь может самостоятельно выбирать наиболее подходящий для него язык.

В заключение можно сказать, что программа BestCrypt Volume Encryption действительно хорошо подходит для корпоративного использования. Не обладая всем набором функциональных возможностей дорогих продуктов, она тем не менее обеспечивает действительно надежную защиту конфиденциальной информации и стоит при этом относительно недорого.

Обзор zdisk — системы криптографической защиты информации

Согласно последним исследованиям в области информационной безопасности одной из самых серьезных компьютерных угроз является несанкционированный доступ к данным. Статистика показывает, что убытки, которые он наносит различным компаниям, занимают второе место сразу же после вирусов.

Между тем одной из основных причин несанкционированного доступа к компьютерной информации является недостаточно безопасное ее хранение. Ведь получить доступ к данным можно множеством самых разнообразных способов вплоть до физического воровства компьютеров, жестких дисков или мобильных накопителей.

Самым надежным способом защиты от этой угрозы является криптография. То есть владельцу необходимо зашифровать свою информацию, после чего он может быть спокойным за ее сохранность. В этом случае злоумышленники, даже если они заполучат данные, все равно не смогут их декодировать.

К выбору программы, обеспечивающей криптографическую защиту информации, следует подходить очень серьезно. Во-первых, в ней должен быть реализован действительно надежный алгоритм шифрования. Лучше всего, если это будет общепризнанная и хорошо изученная криптографическая технология, а не собственная, внутренняя разработка какой-нибудь компании.

Вторым очень важным моментом является аутентификация пользователя. Очень часто в криптографических программах для ее реализации используется парольная защита. То есть для того, чтобы получить доступ к информации, достаточно просто ввести правильное ключевое слово.

Откровенно говоря, такое решение практически полностью сводит на нет все преимущества шифрования. Здесь можно провести аналог с очень надежным сейфом, который заперт на обычный амбарный замок. С одной стороны, сейф обеспечивает прекрасную защиту практически от всех опасностей.

А с другой — его замок можно вскрыть буквально за пять минут. Так и с криптографией. С одной стороны, информация надежно зашифрована. А с другой — злоумышленнику достаточно просто подобрать пароль, к которому, надо честно признаться, большинство пользователей относятся более чем легкомысленно.

Два рассмотренных момента являются ключевыми при выборе системы криптографической защиты. Помимо них необходимо обращать внимание на дополнительные функции рассматриваемого программного обеспечения. Так, например, некоторым пользователям необходимо, чтобы у них была возможность работы с зашифрованными данными по сети.

Другим людям понравится функция «красной кнопки», режим входа под принуждением и т. д. Ну а в качестве примера продукта, удовлетворяющего всем перечисленным требованиям, может выступать утилита Zdisk, разработанная достаточно известной в области информационной безопасности компанией SecurIT.

Главное окно программы Zdisk

Программа Zdisk работает по принципу прозрачного шифрования. Это значит, что защищенная информация всегда находится на жестком диске только в закодированном виде. Но авторизованный пользователь этого не замечает, потому что процессы шифрования и расшифровывания осуществляются автоматически прямо в оперативной памяти по мере обращения к данным.

Реализуется эта концепция с помощью виртуальных съемных дисков. То есть сначала человек создает так называемый файл-контейнер. Он представляет собой файл особого формата, в котором данные хранятся в зашифрованном виде. Основной изюминкой данной технологии является то, что с помощью специального драйвера такой объект может превратиться в виртуальный съемный диск, который будет иметь собственное символьное обозначение в операционной системе. При этом любые приложения смогут работать с ним точно так же, как и с обычными логическими разделами жесткого диска.

Такой подход имеет три очень серьезных преимущества. Первое из них — универсальность. Дело в том, что на виртуальный диск можно записать абсолютно любую информацию. Можно даже установить на него какую-то программу, которая после этого будет доступна только авторизованным пользователям.

Второй плюс файлов-контейнеров заключается в исключительной надежности и удобстве их использования. Это очень важно. Ведь если пользователю пришлось бы самому вручную каждый раз расшифровывать и зашифровывать данные, то он мог бы однажды просто-напросто забыть об этом.

Или не успеть их скрыть в случае технических неполадок или возникновения экстренной ситуации. Ну и, наконец, третье важное преимущество рассмотренной технологии заключается в мобильности. Ведь файл-контейнер можно без проблем скопировать на любой носитель или на портативный ПК и при этом быть уверенным в его безопасности.

А сейчас давайте все-таки вернемся к программе Zdisk. Как мы уже выяснили, она работает по принципу прозрачного шифрования. Но действительно ли данный продукт надежен? Начать рассмотрение этого вопроса необходимо, как мы уже говорили, с реализованного в программе алгоритма шифрования.

Процесс создания ключа шифрования в программе Zdisk

Другим важным моментом в использовании криптографии является процесс создания ключа шифрования. Обычно он осуществляется с помощью встроенного в программу генератора случайных чисел. Однако стоит отметить, что известны случаи, когда недостатки в реализации именно этого модуля приводили к взлому защиты хакерами.

Поэтому разработчики Zdisk применили другой прием. Ключ шифрования в этой программе генерируется на основе действий пользователя (беспорядочные нажатия на кнопки клавиатуры и хаотичное движение мышью). Такой подход позволяет получить действительно случайные значения, восстановить которые злоумышленникам никак не удастся.

Теперь давайте перейдем к разбору аутентификации пользователя при подключении виртуального диска. Как мы уже говорили, продукты с парольной защитой потенциально уязвимы. К счастью, Zdisk к ним не относится. Дело в том, что этот продукт является своеобразным программно-аппаратным комплексом и поставляется вместе с одним из поддерживаемых USB-токенов.

То есть сам процесс аутентификации выглядит следующим образом. Сначала пользователь подключает свой USB-токен к компьютеру и вводит персональный PIN-код, который необходим для доступа к памяти устройства. Если первый этап прошел успешно, то программа просит ввести пароль для доступа к данному файлу-контейнеру.

Затем введенное ключевое слово комбинируется с личным ключом пользователя, хранящимся в памяти токена. Получившийся результат используется для декодирования ключа шифрования, который хранится вместе с файлом-контейнером. То есть если он декодируется правильно (а это возможно только в случае правильных значений личного ключа и пароля к файлу-контейнеру), то верно осуществляется расшифровка и основной информации.

Ну а теперь пришла пора поговорить о дополнительных функциях программы Zdisk. Сразу стоит отметить, что их немало. Первая возможность, увеличивающая безопасность системы, — автоматическая блокировка консоли при длительном простое компьютера или при извлечении токена.

Другая важная особенность программы Zdisk — так называемая «красная кнопка». Под этой функцией понимается специальная комбинация клавиш, которую пользователь может использовать в экстренных ситуациях. При этом программа моментально отключит все активированные в данный момент файлы-контейнеры и сотрет личный ключ пользователя из памяти USB-токена.

«Красная кнопка» может оказаться полезной, например, тогда, когда кто-то силой ворвался в офис с целью завладения важной информацией. Ведь после ее использования данные станут абсолютно недоступными. Правда, использование «красной кнопки» связано с одной опасностью.

Дело в том, что если доступ к файлу-контейнеру был возможен только с помощью одного токена, стирание ключа из него приведет к полной утере информации, даже законный владелец не сможет ее расшифровать. Во избежание подобной проблемы необходимо в начале работы с системой создать специальную аварийную дискету и оставить ее на хранение в недоступном месте, например в сейфе компании или в банковской ячейке.

Свойства виртуального съемного диска

Впрочем, сегодня налеты на офисы компаний очень редки. У злоумышленников есть и более простые способы воровства интересующих их данных. Например, можно найти человека, который имеет к ним доступ, и запугать его физической расправой. Кроме того, для получения персонального токена может использоваться и шантаж.

Для предотвращения этой опасности в программе Zdisk реализована интересная возможность. Суть ее заключается в следующем. Человек, которому угрожают или которого шантажируют, может спокойно отдать свой токен и сказать пароль, необходимый для доступа к файлу-контейнеру.

Но не настоящий пароль, а специальный, заданный заранее. Когда злоумышленник использует его, система поймет, что кто-то чужой пытается получить доступ к информации. В этом случае она подключит диск, но при любой попытке обращения к данным сымитирует сбой в операционной системе и сотрет личный ключ из памяти токена.

Ну и напоследок давайте хотя бы просто упомянем еще несколько функций, которые не влияют напрямую на надежность хранения информации, но делают использование системы защиты более удобным. Первая из них — это ведение системного журнала, в котором фиксируются все основные события (подключение и отключение дисков, вход под принуждением, добавление пользователя и т.п.).

Второй дополнительной возможностью является многопользовательский режим. Это значит, что к одному и тому же файлу-контейнеру могут иметь доступ несколько человек, каждый со своим USB-токеном. Ну и, наконец, последняя функция программы Zdisk — это работа по сети.

То есть владелец информации может сделать виртуальный диск доступным для работы по локальной сети. Таким образом, можно сказать, что рассмотренный сегодня продукт является действительно надежной криптографической системой, обладающей неплохим набором функциональных возможностей.

Требования к средствам антивирусной защиты

Требования к средствам антивирусной защиты утверждены приказом ФСТЭК России
от 20 марта 2022 г. N28
(зарегистрирован Минюстом России 3 мая 2022 г.,
рег. N24045) и вступают в действие с 1 августа 2022 г.

Требования включают общие требования к средствам антивирусной защиты и
требования к функциям безопасности средств антивирусной защиты.

Для дифференциации требований к функциям безопасности средств антивирусной
защиты установлено шесть классов защиты средств антивирусной защиты. Самый
низкий класс – шестой, самый высокий – первый.

Также выделяются следующие типы средств антивирусной защиты:

• тип «А» – средства антивирусной защиты (компоненты средств антивирусной
  защиты), предназначенные для централизованного администрирования средствами
  антивирусной защиты, установленными на компонентах информационных систем
  (серверах, автоматизированных рабочих местах);
• тип «Б» – средства антивирусной защиты (компоненты средств антивирусной
  защиты), предназначенные для применения на серверах информационных систем;
• тип «В» – средства антивирусной защиты (компоненты средств антивирусной
  защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем;
• тип «Г» – средства антивирусной защиты (компоненты средств антивирусной
  защиты), предназначенные для применения на автономных автоматизированных рабочих местах.

Средства антивирусной защиты, соответствующие 6 классу защиты, применяются
в информационных системах персональных данных (ИСПДн) 4 уровня защищенности
и государственных информационных системах (ГИС) 4 класса.

Средства антивирусной защиты, соответствующие 5 классу защиты, применяются
в ИСПДн 4 уровня защищенности и
ГИС 3 класса.

Средства антивирусной защиты, соответствующие 4 классу защиты, применяются
в ИСПДн 1 и 2
уровня защищенности и ГИС 1 и 2 класса.

Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты,
применяются в информационных системах, в которых обрабатывается информация,
содержащая сведения, составляющие государственную тайну.

Например, популярное антивирусное средство Kaspersky Security 10 имеет:

• Сертификат ФСБ России № СФ/СЗИ0100, который удостоверяет, что продукт
  «Kaspersky Endpoint Security 10 для Windows (Service Pack 1 Maintenance
  Release 2)» соответствует требованиям ФСБ России к антивирусным средствам
  классов Б2, В2, Г2 и может использоваться для защиты информации, содержащей
  сведения, составляющие государственную тайну.
• Сертификат ФСБ России № СФ/СЗИ0098, который удостоверяет, что продукт
  «Kaspersky Security Center 10 Service Pack 1» соответствует требованиям ФСБ
  России к антивирусным средствам класса А2 и может использоваться для защиты
  информации, содержащей сведения, составляющие государственную тайну.

Вредоносное воздействие на информационную систему (ИС)
— любые действия, которые могут привести к нарушению конфиденциальности,
целостности или доступности информации в информационной системе.

Согласно ГОСТ Р ИСО/МЭК27033-1-2022: «Информационная технология. Методы и
средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и
концепции» вредоносное программное средство (malware) – это вредоносное
программное средство, специально разработанное для повреждения или
разрушения системы посредством нарушения ее конфиденциальности, целостности
и (или) доступности.

К самым тяжелым последствиям приводят действия вирусов-шифровальщиков,
когда файлы на компьютере жертвы шифруются. Расшифровать их
невозможно! Чаще других шифрованию подвергаются файлы Microsoft
Office, документы PDF, файлы картинок и фото.

Схема заражения в обоих случаях одинакова:

Последствием работы вредоносного воздействия также является
непреднамеренная установка программного обеспечения: браузеров, агентов и
т.д.

К нарушениям безопасности информации в ИС приводят не только традиционные
вирусные угрозы, но и применение якобы безопасных программ: удалённое
администрирование, автоматическое переключение раскладки клавиатуры и
ведение дневника и т.д.

За создание, использование и распространение вредоносных программ
действующим законодательством предусмотрена уголовная ответственность:

Статья 273.
Создание, использование и распространение вредоносных компьютерных программ:

Создание, распространение или использование компьютерных программ либо
иной компьютерной информации, заведомо предназначенных для
несанкционированного уничтожения, блокирования, модификации,
копирования компьютерной информации или нейтрализации средств защиты
компьютерной информации.

Шифрование с помощью защищённых протоколов

Область криптографической защиты информации попадает под действие
регулирования ФСБ России. Нормативными документами ФСБ по криптозащите
являются:

• Приказ ФСБ России от 27 декабря 2022 г. № 796 «Об утверждении требований
  к средствам электронной подписи и требований к средствам УЦ»;

В соответствии с приказом устанавливается шесть классов – КС1, КС2, КС3,
КВ1, КВ2, КА1, определяющих иерархию уровней криптографической защиты
информации с помощью электронной подписи.

• Приказ ФСБ России от 27 декабря 2022 г. № 795 «Об утверждении Требований
  к форме квалифицированного сертификата ключа проверки электронной подписи»;
• методические рекомендации по обеспечению с помощью криптографических
  средств безопасности персональных данных при их обработке в информационных
  системах персональных данных с использованием средств автоматизации.
  Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/5-144.

В них определены шесть основных типов нарушителей: с Н1 по
Н6. В зависимости от типа нарушителя различают
шесть уровней КС1, КС2, КС3, КВ1,
КВ2, КА1 криптографической защиты персональных данных, определенных в
порядке возрастания количества и жесткости предъявляемых к
криптографическим средствам требований, и, соответственно, шесть классов
криптографических средств, также обозначаемых через КС1, КС2, КС3, КВ1,
КВ2, КА1. А также три уровня КС, КВ, КА специальной защиты от утечки по
каналам побочных излучений и наводок при защите персональных данных с использованием криптографических средств.

Согласно ГОСТ 28147-89,
шифрование — это процесс
зашифрования или расшифрования. Ключ шифрования —
секретная информация, используемая криптографическим алгоритмом при
шифровании/расшифровке сообщений, постановке и проверке цифровой подписи,
вычислении кодов аутентичности. Криптографические ключи различаются
согласно алгоритмам, в которых они используются.

1. Симметричное шифрование: для зашифрования и расшифрования используется
   один и тот же ключ. С одной стороны, это обеспечивает более высокую
   конфиденциальность сообщений, с другой стороны, создаёт проблемы
   распространения ключей в системах с большим количеством пользователей.

Считается, что к достоинствам симметричного шифрования относится простота
его реализации и более высокая скорость работы. К недостаткам относится
проблемы с обеспечением безопасности пароля, а также с безопасным методом
его распространения и оповещением на случай компрометации пароля.

2. Асимметричное шифрование: для зашифрования используется один ключ
   (открытый), а для расшифрования другой (закрытый, секретный). Данный вид
   шифрования также называют шифрованием с открытым ключом.

Закрытый ключ — ключ, известный только своему владельцу. Только сохранение
пользователем в тайне своего закрытого ключа гарантирует невозможность
подделки злоумышленником документа и цифровой подписи от имени заверяющего.

Открытый ключ — ключ, который может быть опубликован и используется для
проверки подлинности подписанного документа, а также для предупреждения
мошенничества со стороны заверяющего лица в виде отказа его от подписи
документа.

Асимметричное шифрование позволяет распространять ключ по сети, так как без
второго ключа невозможно получить исходное сообщение. На этом принципе
основан протокол SSL, который позволяет легко установить безопасное
соединение с пользователями в силу того, что закрытый ключ (пароль)
хранится только на стороне сервера.

Схема использования симметричного метода:

Асимметричный метод: