Способы защиты информации

Для защиты информации в компьютерных системах применяются следующие методы.

1. Шифрование с использованием ключа. Криптографический ключ известен только людям, отправляющим и получающим информацию.

Известны следующие виды ключей:

а) секретные ключи. Шифрование с использованием секретного ключа также известно как шифрование с использованием симметричного ключа. При таком методе шифрования для зашифровки и расшифровки данных используется один и тот же ключ. Применяется для систем шифрования, не обеспечивающих надежного уровня шифрования, так как при развитой системе шифрования ключ должен быть известен многим сторонам;

б) открытые ключи. Шифрование с использование открытого ключа подразумевает использование двух ключей: один открытый, другой – секретный. Открытый ключ используется для шифрования данных, а для их дешифровки применяется только секретный ключ. Для получения обоих ключей используется сложный математический процесс, поэтому они неразрывно связаны между собой. Механизм шифрования следующий: несколько передающих станций, обладая открытым ключом, шифруют информацию и передают ее. Ни один из отправителей не может расшифровать то, что передает другой. Когда получатель примет сообщение, он сможет расшифровать его только с помощью закрытого ключа, математически связанного с открытым ключом;

в) сеансовые ключи. Это ключи, которые выделяются на определенный промежуток времени. Основная проблема, связанная с распространением открытых ключей, состоит в том, что алгоритмы вычислений, используемые для получения ключей, слишком медленны для современных коммуникаций. Поэтому используется сеансовый ключ, с помощью которого создается ключ расшифровывания зашифрованных данных.

Алгоритм использования сеансовых ключей следующий.

Сеансовые ключи создаются при каждом соединении, требующем шифрования.

Данные зашифровываются с помощью сеансового ключа.

Сеансовый ключ зашифровывается с помощью открытого ключа получателя. Шифрование данных с помощью сеансового ключа происходит быстрее, чем с помощью открытого ключа.

Зашифрованные данные и зашифрованный сеансовый ключ отправляются получателю, который сначала расшифровывает сеансовый ключ с помощью секретного ключа, а затем расшифровывает данные с помощью сеансового ключа;

г) Сертификаты ключей – это контейнеры открытых ключей. В них обычно содержатся открытый ключ для получателя, такой же ключ для создания сообщений, сведения о времени создания ключа, список цифровых подписей.

2. Цифровые подписи. Не всегда обязательно зашифровывать сообщения, так как это отнимает много ресурсов компьютера. Иногда информация, содержащаяся в данных, большой ценности не представляет. Однако следует проконтролировать, чтобы передаваемые сведения не были умышленно искажены. Цифровые подписи используются для проверки подлинности отправителя, связывания двух сторон при обмене данными, проверки подлинности содержания, подтверждения того, что данные не были изменены при передаче.

Протокол Kerberos. Данный протокол значительно упрощает использование всех перечисленных механизмов шифрования. Он был создан в рамках среды Windows 2000, но благодаря ему проверка подлинности и защиты данных становится возможной и во всех других операционных системах. Протокол базируется на системе билетов – пакетов зашифрованных данных, выдаваемых центром распределения ключей KDC (Key Distribution Center). Билет выступает в роли “паспорта”, вместе с которым передается масса секретной информации.

Протокол Kerberos работает следующим образом. При входе в систему локальный сервер защиты производит проверку подлинности атрибутов клиента, предоставляя ему билет TGT (Ticket Granting Ticket - билет для получения билета), выступающий в качестве пропуска. Если клиенту требуется доступ к ресурсу сети, он предоставляет свой билет TGT контроллеру домена и запрашивает билет для получения доступа к ресурсу. Билет для доступа к определенному ресурсу известен как билет службы ST (Service Ticket). Когда необходимо получить доступ к ресурсу, данный билет ST предоставляется серверу ресурса. Права по работе с ресурсом определяются списком контроля доступа к ресурсу.