учебник хахаева. Хахаев_ИТТ. Информационные таможенные технологии
Скачать 1.27 Mb.
|
RSA (аббревиатура от фамилий Rivest, Shamir и Adleman) – длина ключа от 128 до 4096 бит. Используется как для шифрования, так и для подписи и обмена ключами сессий. • DSA (Digital Signature Algorithm) – рекомендуемая длина ключа 2048 или 3072 бита. Используется для создания цифровой подписи. Ключом используется для шифрования хэш-функции подписываемого текста (битовой послоедовательности) длиной 224 или 256 бит. • ECDSA (Elliptic Curve Digital Signature Algorithm) – используется для создания цифровой подписи. Обладает более высоким быстродействием, чем RSA и DSA за счёт использования более коротких ключей при той же криптостойкости • ГОСТ Р 34.10-2012 – используется для формирования и проверки электронной цифровой подписи. Как и ECDSA, основан на уравнениях эллиптических кривых. Все асимметричные алгоритмы являются полностью открытыми. Хэширование (иногда – хеширование», hashing) – преобразование по детерминированному алгоритму входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются хэш-функциями или функциями свёртки, а их результаты называют хэшем, хэш-кодом или сводкой сообщения (англ. message digest). К преобразованиям, которые могут использоваться в качестве хэш-функций, предъявляются следующие требования: 1. Хэш-функция H должна применяться к блоку данных любой длины 2. Хэш-функция H создаёт выход фиксированной длины 3. h=Н(М) относительно легко вычисляется для любого значения М 4. Для любого данного значения хэш-кода h вычислительно невозможно найти М такое, что Н(M) = h (свойство односторонней функции) 5. Для любого данного х вычислительно невозможно найти y ≠ x, что H (y) = H (x) 6. Вычислительно невозможно найти произвольную пару (х, y) такую, что H (y) = H (x) Не доказано существование необратимых хэш-функций, для которых вычисление какого-либо прообраза заданного значения хеш-функции теоретически невозможно. Обычно нахождение обратного значения является лишь вычислительно сложной задачей. 43 Хэширование чаще всего применяется в следующих случаях: • Вычисление контрольных сумм пакетов в транспортных протоколах (циклические алгоритмы, например CRC32) • Ускорение поиска данных (текстов) в текстовых базах данных. Для искомого текста вычисляется хэш, который сравнивается с хэшами текстов, хранящимися в БД. • Криптографические хеш-функции, используемые для контроля целостности файлов и проверки паролей • MD5 • SHA-1 • SHA-2 • ГОСТ 34.11 Цифровая (электронная) подпись. Основные определения. Отдельный вариант использования хеширования и асимметричного шифрования - цифровая подпись. Такая подпись должна обеспечивать возможность проверить автора, дату и время создания подписи, возможность аутентифицировать содержимое документа (файла) во время создания подписи и возможность проверки третьей стороной для разрешения споров. Таким образом, к цифровой подписи предъявляются следующие требования: • Подпись должна быть битовым образцом, который зависит от подписываемого сообщения • Подпись должна использовать некоторую уникальную информацию отправителя для предотвращения подделки или отказа • Создавать цифровую подпись должно быть относительно легко • Должно быть вычислительно невозможно подделать цифровую подпись как созданием нового сообщения для существующей цифровой подписи, так и созданием ложной цифровой подписи для некоторого сообщения • Цифровая подпись должна быть достаточно компактной и не занимать много памяти Этим требованиям отвечает использование хэш-функции, зашифрованной по асимметричному алгоритму (закрытым ключом). Цифровая подпись (электронная подпись) даёт возможность сделать электронный документ равным по юридической значимости бумажному документу. Правовая основа применения цифровой (электронной) подписи (ЭП) в Российской Федерации является Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи» 44 Правила формирования ЭП для использования в государственных информационных системах определяются ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Электронная подпись бывает неквалифицированная и квалифицированная. Квалифицированная ЭП обеспечивается при использовании сертифицированного ключа и сертифицированных средств создания и проверки, полученных в аккредитованном удостоверяющем центре. В соответствии с 63-ФЗ простая неквалифицированная ЭП создаётся с помощью кодов, паролей и других инструментов. Эти средства защиты позволяют идентифицировать автора подписанного документа. Важным свойством простой электронной подписи является отсутствие возможности проверить документ на предмет наличия изменений с момента подписания. Примером простой электронной подписи является комбинация логина и пароля. Усиленная неквалифицированная электронная подпись (НЭП) создаётся с использованием криптографических средств и позволяет определить не только автора документа, но проверить его на наличие изменений. Простые и усиленные неквалифицированные подписи заменяют подписанный бумажный документ в случаях, оговоренных законом или по согласию сторон. Например, простые подписи могут использовать граждане для отправки сообщений органам власти. Усиленная подпись также может рассматриваться как аналог документа с печатью. Усиленная квалифицированная электронная подпись (КЭП) должна обязательно иметь сертификат аккредитованного Удостоверяющего центра. Эта подпись заменяет бумажные документы во всех случаях, за исключением тех, когда закон требует наличия исключительно документа на бумаге. С помощью таких подписей вы сможете организовать юридически значимый электронный документооборот с партнёрскими компаниями, органами государственной власти и внебюджетными фондами. Центр сертификации или удостоверяющий центр (Certification authority, CA) – сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации – подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи. Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией, проводящей аккредитацию в своих интересах и в соответствии со своими правилами. Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации, выполняющей аккредитацию. 45 Центр сертификации ключей имеет право: • предоставлять услуги по удостоверению сертификатов электронной цифровой подписи • обслуживать сертификаты открытых ключей • получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами. Цифровой сертификат – зашифрованный текст, содержащий информацию об организации (название, адрес, фамилию ответственного лица). Текст шифруется секретным ключом. Такой сертификат передаётся пользователю и используется прикладными программами. Сертификат, выданный аккредитованным удостоверяющим центром используется для квалифицированной ЭП. Сертификаты и ключи можно создавать самостоятельно средствами ОС (например, используя комплект программ OpenSSL). Получаются самоподписанные сертификаты, используемые для неквалифицированной ЭП. Средства криптографической защиты КриптоПро – линейка криптографических программ (криптопровайдеров). Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами безопасности и пр. (Компания «КриптоКом») Средство криптографической защиты КриптоПро CSP разработано по согласованному с ФАПСИ техническому заданию в соответствии с криптографическим интерфейсом фирмы Microsoft – Cryptographic Service Provider (CSP). Может использоваться для защиты сведений, не составляющих государственную тайну. Средство криптографической защиты информации «МагПро КриптоПакет» – программный комплекс на базе библиотеки OpenSSL, позволяющий использовать российские стандарты на криптографические алгоритмы в программах, рассчитанных на использование криптобиблиотеки OpenSSL. Сертифицирован ФСБ. Аппаратный ключ RuToken – персональное устройство доступа к информационным ресурсам (идентификатор), полнофункциональный аналог смарт-карты, выполненный в виде usb-брелка. Идентификатор предназначен для безопасного хранения и использования паролей, цифровых сертификатов, ключей шифрования и ЭЦП. Содержит защищённый микропроцессор и память объёмом от 32 до 128 46 Кб. Главное отличие от зарубежных аналогов – аппаратная реализация российского алгоритма шифрования ГОСТ 28147-89. Аппаратный ключ e-Token применяется в основном для хранения ключей коммерческих программных средств. Продуктами под этой торговой маркой в России торгует ЗАО «Аладдин Р. Д.» (США). Компания заявляет наличие сертификатов Гостехкомиссии и ФСТЭК России на продукты eToken. Такие ключи используются, например, в сетевых версиях продуктов «1С» (аппаратные ключи HASP). Технологии криптографической защиты каналов связи (VPN) VPN (Virtual Private Network) – общее название для технологий, обеспечивающих работу в публичных сетях при сохранении конфиденциальности информационного обмена или работу через Интернет как в локальной сети. Виртуальные частные сети обеспечивают поддержку различных протоколов, в особенности на прикладном уровне. VPN соединяет два конкретных объекта, образуя таким образом уникальный канал связи между двумя абонентами. Каждая из конечных точек VPN может единовременно поддерживать несколько соединений VPN с другими конечными точками, однако каждая из точек является отдельной от других, и трафик разделяется посредством шифрования. Все варианты VPN можно поделить на пользовательские VPN и межузловые VPN. Сетевые соединения с использованием технологий VPN, обладают следующими основными свойствами: • Трафик шифруется для обеспечения защиты от прослушивания • Осуществляется аутентификация удалённого узла • Виртуальные частные сети обеспечивают поддержку множества протоколов • Соединение обеспечивает связь только между двумя конкретными абонентами. Пользовательские VPN создаются между отдельной пользовательской системой и узлом или сетью предприятия («мобильный сотрудник»). Сервер VPN может являться межсетевым экраном сети предприятия либо быть отдельным VPN-сервером. Пользователь подключается к интернету через своего провайдера и инициирует VPN-соединение с узлом внутренней предприятия через интернет (рис. 26). 47 Рис. 26. Пример организации пользовательского VPN-соединения. Узел предприятия запрашивает у пользователя аутентификационные данные и, в случае успешной аутентификации, позволяет пользователю осуществить доступ ко внутренней сети предприятия, как если бы пользователь находился внутри узла и физически располагался внутри сети. Скорость сетевого соединения ограничивается скоростью подключения пользователя к интернету. При этом пользователь работает с ресурсами интернета без изменений. Одновременный доступ по VPN во внутреннюю сеть предприятия и в Интернет может вызывать проблемы с безопасностью. Узловые VPN-соединения используются предприятиями и организациями для подключения к удалённым узлам без применения дорогостоящих выделенных каналов или для соединения двух различных предприятий (организаций), между которыми необходима связь для осуществления информационного обмена, связанного с деятельностью этих организаций. Как правило, VPN соединяет один межсетевой экран или пограничный маршрутизатор с другим аналогичным устройством На рис. 27 показан пример VPN-соединения между сетью предприятия-участника ВЭД и Центральным Информационно-техническим таможенным управлением (ЦИТТУ, ранее — Главный научно-исследовательский вычислительный центр — ГНИВЦ) ФТС Российской Федерации. При таком соединении обе сети должны соблюдать согласованную схему адресации (чтобы ip-адреса не повторялись или не применялись отличающиеся маски сетей). 48 Рис. 27. Пример использование VPN для связи подразделений ФТС и участников ВЭД. Ключевыми компонентами для реализации VPN-соединений являются • Сервер VPN • Алгоритмы шифрования • Система аутентификации • Протокол VPN VPN-сервер должен быть расположен во внутренней сети предприятия. Сервер может быть межсетевым экраном или пограничным маршрутизатором/шлюзом (играть роль «сервера доступа»). На этом сервере (межсетевом экране) устанавливаются правила, определяющие, какие протоколы прикладного уровня можно пропускать снаружи внутрь, а какие – нельзя. В качестве протокола VPN может использоваться IPSec или SSL. Эти протоколы являются «обёртками» для других протоколов прикладного уровня. Возможно несколько реализаций средств для организации VPN-серверов: • Аппаратный VPN-сервер: надёжное специализированное устройство (межсетевой экран,. оптимизированое для данной задачи. Проблема – обновления «прошивки». • Программный VPN-сервер: программное обеспечение (ПО) устанавливается на любые компьютеры. ПО может быть бесплатное. Проблема – настройки и ресурсы оборудования (шифрование больших объёмов данных требует много ресурсов). • Web-системы VPN: клиентом является браузер со специальными дополнениями (поддержка SSL) или с использованием Java-машин. Проблема – низкая надёжность и ограниченный набор возможных приложений (только специально предназначенные для такой конфигурации). 49 Нормативная база применения информационных технологий Государственная программа «Информационное общество» Государственная программа Российской Федерации "Информационное общество (2011 - 2020 годы)" утверждена Распоряжением Правительства РФ от 20 октября 2010 г. N 1815-р. Программа определяет направления создания информационного общества и основные показатели, которые должны быть достигнуты к 2020 году. Целью программы является увеличение количества услуг и общедоступной информации, существующих в электронном виде, повышение конурентоспособности страны за счёт ориентации на высокотехнологический сектор (ИТ-сектор). Координатором программы является Министерство связи и массовых коммуникаций Российской Федерации Государственными заказчиками являются • Министерство культуры Российской Федерации • Министерство здравоохранения и социального развития Российской Федерации • Министерство связи и массовых коммуникаций Российской Федерации • Министерство образования и науки Российской Федерации • Министерство экономического развития Российской Федерации • Федеральная служба безопасности Российской Федерации • Федеральная служба охраны Российской Федерации • Министерство регионального развития Российской Федерации • Следственный комитет Российской Федерации Основные параметры (индикаторы) программы «Информационное общество» Наименование индикатора 2011 2015 2020 Место по индексу готовности к сетевому обществу в числе 70 ведущих стран мира в числе 20 ведущих стран мира в числе 20 ведущих стран мира Место по индексу развития информационных технологий в числе 50 ведущих стран мира в числе 10 ведущих стран мира в числе 10 ведущих стран мира Место по индексу развития электронного правительства в числе 60 ведущих стран мира в числе 40 ведущих стран мира в числе 20 ведущих стран мира 50 Доля домашних хозяйств, имеющих широкополосный доступ в сеть Интернет, % 45 55 80 Доля сектора ИТ в ВВП, % 4.5 5.9 7.1 Доля отечественных товаров и услуг в объеме внутреннего рынка ИТ, % 5 более 50 50 Доля федеральных государственных услуг в электронном виде, % 39 100 100 Доля электронных каталогов в Музейном фонде 26 100 100 Доля электронного документооборота между ОГВ, % 10 70 70 Доля патентов в сфере ИТ, % 16.2 17.5 30 Доля библиотечных фондов в электронной форме, % 1 не менее 50 не менее 75 Основные нормативные документы в области создания и применения информационных технологий в Российской Федерации • Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ • Федеральный закон «Об электронной подписи» от 6 апреля 2011 года N 63-ФЗ • Федеральный закон «О персональных данных» от 27 июля 2006 года N 152-ФЗ • Закон о государственной тайне от 21 июля 1993 года N 5485-1 • Приказ Министерства связи и массовых коммуникаций Российской Федерации (Минкомсвязи России) от 2 сентября 2011 г. N 221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения» • Распоряжение Правительства Российской Федерации от 17 декабря 2010 г. N 2299-р о Плане перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование свободного программного обеспечения на 2011 - 2015 годы. Некоторые государственные стандарты в области информационных технологий • |