Средства криптографической защиты информации

Средства криптографической защиты информации (СКЗИ) представляют собой средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее конфиденциальности и контроля целостности. Защита информации может осуществляться в процессе ее передачи по каналам связи или в процессе хранения и обработки информации на узлах АС. Для решения этих задач используются различные типы СКЗИ, описание которых приводится ниже.

Для обеспечения конфиденциальности и контроля целостности информации, передаваемой по каналам связи между узлами АС, используются СКЗИ, предназначенные для построения виртуальных частных сетей (Virtual Private Networks). Виртуальная частная сеть представляет собой совокупность сетевых соединений между несколькими СКЗИ, по которым информация передается в защищенном виде. Как правило, виртуальные частные сети создаются на основе каналов связи открытых сетей передачи данных, таких как сеть Интернет.

В рамках виртуальной частной сети данные могут передаваться между СКЗИ в транспортном режиме или в режиме туннелирования. В транспортном режиме работы СКЗИ сначала вычисляет контрольную сумму для поля данных пакета, после чего зашифровывает это поле вместе с контрольной суммой (рис. 5). В этом режиме заголовок пакета данных передается в незашифрованном виде.

Рис.5. Передача пакета данных в транспортном режиме

Рис. 6. Передача пакета данных в туннельном режиме

Для шифрования не только поля данных, но и заголовка пакета используется туннельный режим передачи данных. При передаче пакетов данных в туннельном режиме СКЗИ вычисляет контрольную сумму для всего пакета и затем выполняет его шифрование. Зашифрованный блок данных инкапсулируется (переупаковывается) в новое сообщение, которое передается следующему СКЗИ. При этом в поле заголовка «Адрес получателя» сформированного пакета вместо адреса АС указывается адрес СКЗИ, которому предназначается сообщение. После передачи сообщений на другом конце туннеля СКЗИ расшифровывает полученные данные, проверяет их целостность, после чего данные передаются адресату. Схема передачи пакета данных в туннельном режиме отображена на рис. 6.

Взаимодействие между СКЗИ реализуется при помощи специальных криптопротоколов, которые позволяют выполнять следующие функции:

• идентификация и аутентификация узлов, устанавливающих сетевое соединение;

• согласование значений параметров алгоритмов, на основе которых обеспечивается конфиденциальность информации, передаваемой между СКЗИ;

• согласование значений параметров алгоритмов, на основе которых обеспечивается контроль целостности информации, передаваемой между СКЗИ.

Криптопротоколы могут быть реализованы на различных уровнях модели ВОС (табл. 1).

Для создания виртуальных частных сетей могут использоваться следующие типы программного и аппаратного обеспечения:

• ОС со встроенными функциями организации виртуальных частных сетей; примерами таких ОС являются Windows 2000/2003 и Linux;

• маршрутизаторы/коммутаторы, ПО которых имеет функции СКЗИ, такое оборудование производят компании Cisco, 3COM и Nortel;

• межсетевые экраны, в ПО которых интегрированы функции по построению виртуальных частных сетей; в качестве примеров таких экранов можно привести системы «Checkpoint FW-1» (компании Checkpoint Software Technologies);

• специализированное программно-аппаратное обеспечение, предназначенное для криптографической защиты информации; примерами таких специализированных комплексов являются «Континент» (компании «Информзащита», «Застава» (компании «Элвис+»), «ViPNet» (компании «Инфотекс»).

Табл. 1.Криптопротоколы различных уровней модели ВОС

СКЗИ могут быть выполнены в виде программных или программно-аппаратных блоков и устанавливаться в каналы связи, а также на серверы или рабочие станции пользователей.

Для шифрования информации могут использоваться симметричные и асимметричные криптографические алгоритмы. Симметричные алгоритмы предполагают использование для шифрования и дешифровки данных единого криптографического ключа. Асимметричные же алгоритмы предполагают наличие двух различных криптографических ключей — открытого и закрытого. Такая пара ключей должна обладать следующими основными свойствами:

• ключи могут существовать только в парах «открытый ключ — закрытый ключ». При этом одному открытому ключу может соответствовать только один закрытый ключ;

• знание открытого ключа не позволяет вычислить значение закрытого ключа;

• открытый ключ может свободно распространяться по общедоступным каналам связи, в то время как закрытый должен храниться в секрете.

Схематично процесс шифрования информации на основе асимметричных алгоритмов показан на рис. 7.

Асимметричные алгоритмы шифрования позволяют также обеспечить контроль целостности и авторство информации, циркулирующей в АС на основе электронной цифровой подписи (ЭЦП). ЭЦП представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения содержащейся в документе информации, а также однозначно определить обладателя ЭЦП. Схематично алгоритмы формирования и проверки ЭЦП показаны на рис. 8.

Как уже отмечалось выше, кроме СКЗИ, обеспечивающих защиту информации в процессе ее передачи по каналам связи, могут также использоваться средства защиты данных, которые хранятся и обрабатываются на узлах АС. СКЗИ этого типа устанавливаются на рабочие станции и серверы АС, функционируют в фоновом режиме и выполняют криптографические преобразования над информацией, которая хранится и обрабатывается на узлах АС.

Рис. 7. Схема шифрования информации на основе асимметричных алгоритмов

Рис. 8. Схема формирования и проверки электронной цифровой подписи

Приведенные характеристики СКЗИ позволяют классифицировать это средство как пассивное, поскольку даже в случае нарушения целостности пакета данных СКЗИ могут только зафиксировать факт нарушения и лишь в некоторых случаях восстановить искаженную информацию. В то же самое время СКЗИ позволяют предотвратить возможные атаки, направленные на нарушение конфиденциальности передаваемых данных.