Криптография. Лекція Захист інформації, його складові і рівні формування режиму інформаційної безпеки

Лекція 1. Захист інформації, його складові і рівні формування режиму інформаційної безпеки
1.1.Основні поняття і визначення
Світ є сукупністю взаємопов’язаних систем. Система характеризується такими ознаками:
a)
Організація – внутрішня упорядкованість і узгодженість елементів.
b)
Структура – наявність стійких зв’язків.
c)
Цілісність – неможливість представлення системи як суми властивостей елементів.
З погляду окремої системи результатом її взаємодії з іншими системами є
зовнішній вплив. Цей вплив може виявитись настільки сильним, що приведе до втрати системою цілісності, тобто до її руйнування. Такий вплив називається небезпечним. Вплив, який не приводить до руйнування системи називається безпечним. Безпека системи визначається мірою впливу, який можна вважати безпечним. Захист системи передбачає здійснення комплексу заходів, спрямованих на забезпечення достатнього рівня безпеки системи
(Рис.1.1).
Рис.1.1. Структура понять захисту системи і інформації
Розглянемо замість абстрактної системи інформаційну систему, предметом якої є інформація.
Захист системи
Безпека системи
Загрози
Система
Захист
інформації
Інформаційна безпека
Інформаційні
загрози
Інформаційна система
1

Метою функціонування інформаційної системи є забезпечення обробки
інформації у відповідності з визначеними правилами (які називають
політикою безпеки інформації або політикою інформаційної безпеки).
Інформаційна безпека означає стійкість функціонування інформаційної
системи по відношенню до випадкових або навмисних впливів на неї, що можуть нанести збиток власникам або користувачам системи.
Захист інформації передбачає комплекс заходів, спрямованих на забезпечення інформаційної безпеки.
1.2.Правові аспекти захисту інформації
В сучасному інформаційному суспільстві інформація виступає не тільки як предмет, і як продукт праці. Інформація як продукт має певну цінність. Її
втрата наносить збитки власнику інформації. Запобігання і відшкодування таких збитків в суспільстві здійснюється у відповідності до встановлених юридичних норм. Тому базові поняття дисципліни формулюються в технічних термінах, що мають точні юридичні визначення.
Рис.1.2. Місцезнаходження поняття «захист інформації»
Основи регулювання правових відносин щодо захисту інформації в автоматизованих системах регулює Закон України “Про захист інформації в
Інформація
Предмет праці
Продукт праці
Технічні
науки
Юридичні
науки
Захист
інформації
2

автоматизованих системах”. Дія Закону поширюється на будь-яку
інформацію, що обробляється в автоматизованих системах.
Закон визначає:
«захист інформації – сукупність організаційно-технічних заходів і
правових норм для запобігання заподіянню шкоди інтересам власника
інформації чи АС та осіб, які користуються інформацією».
Тут під автоматизованою системою (АС) розуміється «система, що здійснює автоматизовану обробку даних і до складу якої входять технічні
засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і
процедури, програмне забезпечення».
Таким чином, об'єктами захисту є:
• інформація, що обробляється в АС,
• права власників цієї інформації та власників АС,
• права користувача.
Інформація, яка є власністю держави, або інформація, захист якої
гарантується державою, повинна оброблятись в АС, що має відповідний сертифікат (атестат) захищеності, в порядку, який визначається уповноваженим Кабінетом Міністрів України органом. У процесі сертифікації
(атестації) цих АС здійснюються також перевірка, сертифікація (атестація)
розроблених засобів захисту інформації. Інформація, яка є власністю інших суб'єктів, може оброблятися у зазначених АС за розсудом власника
інформації.
Фінансування робіт, пов'язаних із захистом інформації, яка обробляється в
АС, здійснюється власником АС.
Особи, винні в порушенні порядку і правил захисту оброблюваної в АС
інформації, несуть дисциплінарну, адміністративну, кримінальну чи матеріальну відповідальність згідно з чинним законодавством України.
1.3.Властивості інформації з точки зору її захисту
Захист інформації полягає не лише в захисті засобів обробки інформації, а в організації засобів захисту для підтримки певних властивостей інформації.
Виявилося, що такими основними (фундаментальнимиі) властивостями є
3

конфіденційність, цілісність та доступність (Рис.1.3), адже захист інформації
в більшості випадків пов'язаний з комплексним рішенням трьох завдань:
1) забезпеченням конфіденційності інформації.
2) забезпеченням цілісності інформації;
3) забезпеченням доступності інформації.
Рис.1.3. Види властивостей інформації
Визначення понять конфіденційність, цілісність та доступність дається в
Положенні про технічний захист інформації в Україні:
•
«конфіденційність» - властивість інформації бути захищеною від несанкціонованого ознайомлення»;
•
«цілісність» - властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення»;
•
«доступність» - властивість інформації бути захищеною від несанкціонованого блокування».
Порушення кожної з трьох складових призводить до порушення
інформаційної безпеки в цілому. Так, порушення доступності призводить до відмови в доступі до інформації, порушення цілісності призводить до фальсифікації інформації і, нарешті, порушення конфіденційності призводить до розкриття інформації.
Властивості інформації
Основні
Спостереженість,_неспростовність,_автентичність,_достовірність,_адекватність'>Конфіденційність,
цілісність, доступність
Інші
Спостереженість,
неспростовність, автентичність,
достовірність, адекватність
4

На додаток до перерахованих вище основних характеристик безпеки можуть розглядатися також і інші характеристики безпеки. Зокрема, до таких характеристик відносяться:
•
Спостереженість (accountability) –- забезпечення ідентифікації суб'єкта доступу та реєстрації його дій.
•
Неспростовність (non-repudiation) - неможливість відмови від авторства.
•
Автентичність (authenticity) - гарантує, що суб'єкт або ресурс ідентичні
заявленим.
•
Достовірність (reliability) - властивість відповідності передбаченому поводженню чи результату.
•
Адекватність – відповідність створюваного з допомогою отриманої
інформації образу реальному об'єкту, процесу, явища тощо
1.4.Рівні формування режиму інформаційної безпеки
Правильний з методологічної точки зору підхід до проблем інформаційної
безпеки починається з виявлення суб'єктів інформаційних відносин та
інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем. Це обумовлено тим, що для різних категорій суб'єктів характер вирішуваних завдань може істотно розрізнятися. Наприклад, завдання, які вирішуються адміністратором локальної мережі щодо забезпечення інформаційної безпеки,
значною мірою відрізняються від завдань, розв'язуваних користувачем на домашньому комп'ютері, не пов'язаному мережею.
Розрізняють три рівні формування режиму інформаційної безпеки (Рис.1.4):
1. законодавчо-правовий;
2. адміністративний (організаційний);
3. програмно-технічний.
5

Рис.1.4. Рівні формування режиму інформаційної безпеки
Законодавчо-правовий рівень включає комплекс законодавчих та інших правових актів, які установлюють правовий статус суб'єктів інформаційних відносин, суб'єктів і об'єктів захисту, методи, форми і способи захисту, їх правовий статус. До цього рівня відносяться стандарти і специфікації в галузі
інформаційної безпеки.
До цього рівня можна віднести і морально-етичні норми поведінки, які
склалися традиційно або складаються в міру поширення обчислювальних засобів в суспільстві. Морально-етичні норми можуть бути регламентованими в законодавчому порядку, тобто у вигляді зведення правил і приписів.
Найбільш характерним прикладом таких норм є Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США. Тим не менше, ці норми не є
обов'язковими як законодавчі заходи.
Адміністративний
рівень включає комплекс скоординованих організаційних і технічних заходів, що реалізують практичні механізми захисту в процесі створення і експлуатації систем захисту інформації.
Організаційний рівень повинен охоплювати всі структурні елементи систем обробки даних на всіх етапах їх життєвого циклу: будівництво приміщень,
проектування системи, монтаж і налагодження обладнання, випробування і
перевірки, експлуатації.
законодавчо
- правовий адміністративний
(
організаційний)
програмно
- технічний
• фізичний
•
технічний (апаратний)
• програмний
6

Програмно-технічний рівень включає три підрівня:
• фізичний;
• технічний (апаратний);
• програмний.
Фізичний підрівень вирішує завдання з обмеженням фізичного доступу до
інформації та інформаційних систем. До нього відносяться технічні засоби, що реалізуються у вигляді автономних пристроїв і систем, не пов'язаних з обробкою, зберіганням і передачею інформації: система охоронної
сигналізації, система спостереження, засоби фізичного перешкоджання доступу (замки, огородження, грати і т. д.).
Засоби захисту апаратного та програмного підрівня безпосередньо пов'язані
з системою обробки інформації. Ці засоби або вбудовані в апаратуру, або поєднані з нею по стандартним інтерфейсам. До апаратних засобів відносяться схеми контролю інформації по парності, схеми доступу по ключу і т. д.
До програмних засобів захисту, що створює програмний підрівень,
відносяться спеціальне програмне забезпечення, що використовується для захисту інформації, наприклад, антивірусний пакет і т. д. Програми захисту можуть бути як окремі, так і вбудовані. Так, шифрування даних можна виконати вбудованою в операційну систему файлової шифрувальної системи
EFS (Windows 2000, ХР) або спеціальною програмою шифрування.
Формування режиму інформаційної безпеки є складною системною задачею, рішення якої в різних країнах відрізняється за змістом і залежить від таких факторів, як науковий потенціал країни, ступінь впровадження засобів
інформатизації в житті суспільства та економіку, розвиток виробничої бази,
загальної культури суспільства і, нарешті, традицій і норм поведінки.
7

Лекція 2-3. Традиційні криптографічні системи
2.1.Криптографія і її основні поняття
В перекладі з грецької мови слово криптографія означає тайнопис. Основне призначення криптографії – утаємничити необхідну інформацію.
Криптографія надає засоби для захисту інформації і тому є складовою діяльності з забезпечення безпеки інформації.
Існують різні засоби втаємничення інформації:
• Приховування каналу передачі повідомлення.
• Маскування змісту повідомлення з використанням стеганографічних методів.
• Ускладнення можливості перехоплення самого повідомлення противником.
• Інші.
На відміну від перерахованих методів криптографія не «приховує»
повідомлення, а перетворює їх у формы, недоступну для розуміння противником.
Таке перетворення забезпечується використанням криптографічних систем.
2.2.Модель криптографічної системи
Криптографічна система (криптосистема) – система секретного зв’язку, в якій зміст інформації, що передається, утаємничується за допомогою криптографічних перетворень; при цьому сам факт передачі інформації не приховується.
Криптографічні перетворення визначаються певним параметром, який називається ключ. Зазвичай ключ є буквеною або числовою послідовністю.
Кожне криптографічне перетворення однозначно визначається ключем і
описується певним криптографічним алгоритмом.
Криптографічними перетвореннями є:
8

Шифрування– процес перетворення вихідного тексту (P) в зашифрований текст (C) за допомогою шифруючої функції (E) з секретним ключем шифрування (Ke) у відповідності з обраним алгоритмом шифрування:
C=E
Ke
(P).
Розшифрування – обернений шифруванню процес перетворення зашифрованого тексту (C) в вихідний текст (P) за допомогою функції
розшифрування (D) з секретним ключем розшифрування (Kd) у відповідності
з обраним алгоритмом шифрування: P=D
Kd
(C).
Сімейство обернених перетворень защифрування і розшифрування називають шифром.
Алгоритми шифрування і розшифрування можуть відрізнятись, відповідно можуть розрізнятись і ключі шифрування і розшифрування.
В загальному випадку криптосистема має наступну структуру (Рис.2.1):
Рис.2.1. Структура криптосистеми
Робота криптосистеми може бути описана наступним чином:
1. З джерела ключів вибирається ключі (шифрування K
e
і
розшифрування K
d
) і відправляються по надійним каналам передаючій і приймаючій стороні.
2. До вихідного (або відкритого) повідомлення p, що призначене для передачі, застосовується алгоритм шифрування E
Ke
, внаслідок чого отримується зашифроване повідомлення C=E
Ke
(p).
9

3. Зашифроване повідомлення пересилається по каналу для обміну повідомленнями, який не вважається надійним (тобто зашифроване повідомлення може бути перехоплене порушником), приймаючій стороні.
4. На приймаючій стороні до зашифрованого повідомлення C
застосовується обернене перетворення для отримання вихідного повідомлення p=D
Kd
(C).
В класичній криптографії для шифрування і розшифрування використовувався один і той самий ключ: K
e
=K
d
=K. Такі криптосистеми отримали назву криптосистем з секретним ключом (secret key cryptosystems);
сьогодні їх також називають симетричним криптосистемами (symmetric cryptosystems).
Зауважимо, що алгоритми шифрування і розшифрування Е і D відкриті, і
секретність вихідного тексту p в даному шифротекста C залежить від таємності
ключа К.
Для сучасної криптографії революційним стало усвідомлення того факту,
що ключі шифрування і розшифрування можуть не співпадати. Такі
криптосистеми отримали назву асиметричних криптосистем (asymmetric cryptosystems).
Оскільки зашифроване повідомлення передається через канал, доступний противнику, можливе його перехоплення і «прочитання» особою, яка не має
ключа. В цьому випадку говорять про дешифрування повідомлення.
Таким чином, терміши «розшифрування» і «дешифрування» слід розрізняти: при розшифровуванні ключ вважається відомим, тоді як при дешифруванні ключ невідомий.
Розшифрування здійснюється так само просто, як і шифрування.
Дешифрування є значно складнішою задачею. Рівень складності цієї задачі і
визначає здатність протистояти спробам противника заволодіти інформацією,
10

яка захищається. В зв’язку з цим говорять про криптографічну стійкість шифру, розрізняючи більш і менш стійкі.
Наука, що вивчає методи дешифрування, називається криптоаналізом.
Галузь знань, що об’єднує криптографію і крипто аналіз, називають
криптологією.
2.3.Принцип Керкхоффса
Основне правило криптографії - використовувати відкриті й опубліковані
алгоритми та протоколи.
Вперше цей головний принцип був сформульований у 1883 році Агустом
Керкхгоффсом (A.Kerckhoffs): в криптографічній системі єдиним секретом має залишатися ключ, сам же алгоритм не повинен бути засекречений.
Сучасні криптологи повністю прийняли цей принцип, називаючи все, що йому не відповідає, "безпекою через неясність". Будь-яка система, що тримає
в цілях безпеки свої алгоритми в секреті, просто ігнорується співтовариством
і обзивається "ханаанським бальзамом".
Висновок з принципу Кірхгофа полягає в тому, що чим менше секретів містить система, тим вище її безпека. Якщо втрата будь-якого із секретів призводить до руйнування системи, то система з меншим числом секретів безумовно буде надійнішою. Чим більше секретів містить система, тим вона більш крихка. Менше секретів - вище міцність.
Обґрунтування принципу Кірхгофа полягає у такому: якщо для забезпечення безпеки системи криптоалгоритм повинен залишатися в таємниці, то система буде більш крихкою просто тому, що в ній виявиться більше секретів, які для забезпечення її безпеки потрібно зберігати.
2.4.Етапи розвитку криптографічних систем
В ході розвитку криптосистем виділяють такі етапи (Таблиця 2.1).
11

Таблиця 2.1. Етапи розвитку криптосистем
Етап Час
Особливості
І
V-IV тт. до н.е. Виникнення перших шифрувальних пристроїв
(Сцитала, табличка Енея і т.п.)
ІІ
І ст. до н.е.
Початок застосування шифрованого зв’язку в системі органів влади
(шифр Цезаря і т.п.)
ІІІ
XV-XVІ ст.
(Відродження)
Розвиток наукових методів криптографії і крипто аналізу (метод частотного аналізу, винайдення поліалфавітних шифрів, поворотної решітки)
ІV
XVII-XVIII ст.
(ера
«чорних кабінетів»)
Використання номенклаторів як основного засобу шифрування
V
XIX ст.
Винайдення гаміювання
VI
XX ст.
Винайдення колісних шифраторів (Енігма)
VII кінець XX ст.
Народження «нової криптографії»
Перші системи шифрування з’явились одночасно з письменністю у V-IV тт.
до н.е. Відомо, що вже в той час в Спарті використовувався один з перших шифрувальних пристроїв – Сцитала. Це був жезл циліндричної форми, на який намотувалась стрічка пергаменту. Вздовж осі циліндру записувався текст, призначений для передачі. Після запису стрічка знімалась з жезлу і
передавалась адресату, який мав таку саму Сциталу.
Цікаво, що був відомий і метод дешифрації такого шифру, винайдення якого приписується Арістотелю. Пропонувалось заточити на конус довгий брус і,
обернувши його стрічкою, починати зсувати її по конусу від малого діаметру до найбільшого. Там, де діаметр конусу співпадав з діаметром Сцитали, букви текту утворювали слова. Далі залишалось тільки виготовити циліндр потрібного діаметру.
12

Іншим шифрувальним засобом часів Спарти була табличка Енея. На невеличкій горизонтальній табличці розташовувався алфавіт, а по її боковим сторонам розташовувались виїмки для намотування нитки. При шифруванні
нитка закріплювалась з однієї із сторін таблички і намотувалась на неї. На нитці робились відмітки (наприклад, вузлики) в місцях, що знаходились напроти букв даного тексту. Після шифрування нитка змотувалась і
доставлялась адресату. Цей шифр був досить надійним: історії не відомі факти його дешифрування.
Подібні шифрові пристосування з невеличкими змінами проіснували до епохи розквіту Риму. Для управління імперією шифрований зв’язок в системі
органів влади був життєво необхідним. Особливу роль відіграв шифр,
запропонований Юлієм Цезарем: кожна буква повідомлення замінялась буквою алфавіту, зсунутою на три позиції (замість A – D, B – E, … , Z –A).
З часів Цезаря до XIV-XV століть криптографія розвивалась, але практика шифрування зберігалась у глибокій таємниці. Так, в часи хрестових походів шифрувальники Папи Римського після року роботи підлягали фізичному знищенню. Тому про цей період майже нічого невідомо.
В епоху Відродження почали розвиватись наукові методи криптографії і
крипто аналізу. Зокрема для дешифрування шифрів став використовуватись

  1   2   3