Криптография и шифрование, алгоритмы шифрования. 1 Криптография и шифрование, алгоритмы шифрования 4 1 Понятие шифрование 4
Скачать 478.11 Kb.
|
2.5 Шифраторы для защиты сетейДля защиты передаваемой в Сеть информации можно использовать как обычный шифратор, так и проходной (ПШ), который, помимо всего вышеперечисленного, является также полноценным сетевым адаптером Ethernet (т.е. шифратор и сетевой адаптер выполнены в качестве одной РCI-платы). Его достоинства в том, что он полностью контролирует весь обмен данными в по сети, а обойти его (как изнутри, так и снаружи) просто невозможно. ПШ являются достаточно сложными устройствами, так как они вместо центрального процессора компьютера вынуждены выполнять дополнительные функции по обработке информации. Обычно в ПШ ставят два шифропроцессора: один из них отвечает за шифрование отправляемых данных, а другой расшифровывает принимаемые. Такое устройство может хранить в себе несколько сотен ключей, чтобы каждый блок информации был зашифрован на своем, отличном от других. Это делает все ключи абсолютно недоступными злоумышленникам, но несколько затрудняет процесс управления ими. Технические трудности в течение определенного времени не позволяли разрабатывать надежные и быстродействующие ПШ. Однако с появлением на рынке дорогих, но очень качественных микросхем РLD решились многие проблемы создания сложных многофункциональных устройств, что стимулировало выпуск первых отечественных проходных шифраторов. Кстати, ПШ допускает и другое применение: он может стоять в разрыве между жестким диском компьютера и его контроллером. В этом случае все, что пишется на HDD, будет автоматически шифроваться. Разработчики аппаратных шифраторов и программного обеспечения для них, полагают, что уже скоро будут созданы УКЗД, осуществляющие управление не только работой дисководов, CD-ROM и портов ввода-вывода, но и всеми ресурсами ПК, т.е. компьютеру останется только передавать данные между процессором и оперативной памятью и обрабатывать их, все остальное сделает само УКЗД. Ясно, что абсолютному большинству пользователей это не потребуется. Но там, где ведется работа с важными и конфиденциальными документами, информация должна быть серьезна защищена. Загрузка ключей шифрования Есть еще одна особенность, касающаяся безопасности: чтобы у злоумышленника не было совсем никаких шансов, необходимо ключи загружать в шифратор, минуя оперативную память компьютера, где их теоретически можно перехватить и даже подменить. Для этого УКЗД дополнительно содержит порты ввода-вывода, например COM или USB, к которым напрямую подключаются разные устройства чтения ключевых носителей. Это могут быть любые смарт-карты, специальные USB-ключи или электронные таблетки Touch Memory (их очень часто используют, например, для домофонов). Помимо прямого ввода ключей в УКЗД, многие из таких носителей обеспечивают и их надежное хранение – даже украв USB-ключ, без специального кода доступа к его содержимому не подобраться. Как программы используют шифратор Установленный на компьютер шифратор может использоваться сразу несколькими программами, например программой прозрачного шифрования, «прогоняющей» данные сквозь шифратор, и программой электронной подписи, использующей для вычисления подписи получаемые от шифратора случайные числа. Для того чтобы не возникало коллизий при одновременном обращении к шифратору разных программ (представим, что одна из них шифрует логический диск, а вторая на другом ключе расшифровывает файл: если не управлять очередью выполнения шифратором их требований, получится абракадабра ), ставят специальное программное обеспечение управления ими(рис № ). Такое ПО выдает команды через драйвер шифратора и передает последнему данные, следя за тем, чтобы потоки информации от разных источников не пересекались, а также за тем, чтобы в шифраторе всегда находились нужные ключи. Таким образом УКЗД выполняет два принципиально разных вида команд: перед загрузкой операционной системы — команды, зашитые в память шифратора. Они осуществляют все необходимые проверки и устанавливают требуемый уровень безопасности — допустим, отключают внешние устройства. после загрузки, например, Windows — команды, поступающие через модуль управления шифраторами: шифровать данные, перезагружать ключи, вычислять случайные числа и т.д. Такое разделение необходимо из соображений безопасности — после выполнения команд первого блока, которые нельзя обойти, злоумышленник уже не сможет сделать что-либо запрещенное. Еще одно назначение ПО управления шифраторами — обеспечить возможность замены одного шифратора на другой (скажем на более «продвинутый» или быстрый), не меняя программного обеспечения. Это происходит аналогично, например, смене сетевой карты: шифратор поставляется вместе с драйвером, который позволяет программам выполнять стандартный набор функций. Те же программы шифрования и не заметят такой подмены, но будут работать в несколько раз быстрее. Таким же образом можно заменить аппаратный шифратор на программный. Для этого программный шифратор выполняют обычно в виде драйвера, предоставляющего тот же набор функций. Впрочем такое ПО нужно не всем шифраторам — в частности, ПШ, стоящий по дороге к HDD, достаточно настроить один раз, после чего о нем можно просто забыть. |