В настоящее время
наблюдается резкий рост объемов информации (в
том числе и конфиденциальной), передаваемой по
открытым каналам связи. По обычным телефонным
каналам осуществляется взаимодействие между
банками, брокерскими конторами и биржами,
удаленными филиалами организаций, проводятся
торги ценными бумагами. Поэтому все более
актуальной становится проблема защиты
передаваемой информации. Несмотря на то, что
конкретные реализации систем защиты информации
могут существенно отличаться друг от друга из-за
различия процессов и алгоритмов передачи данных,
все они должны обеспечивать решение триединой
задачи:
- конфиденциальность информации (доступность ее
только для того, кому она предназначена);
- целостность информации (ее достоверность и
точность, а также защищенность ее преднамеренных
и непреднамеренных искажений);
- готовность информации (в любой момент, когда в
ней возникает необходимость).
Основными направлениями решения этих
задач являются некриптографическая и
криптографическая защита. Некриптографическая
защита включает в себя
организационно-технические меры по охране
объектов, снижению уровня опасных излучений и
созданию искусственных помех. Ввиду сложности и
объемности данной темы некриптографическая
защита в рамках данной статьи рассматриваться не
будет.
Криптографическая защита в
большинстве случаев является более эффективной
и дешевой. Конфиденциальность информации при
этом обеспечивается шифрованием передаваемых
документов или всего трафика работы.
Первый вариант более прост в
реализации и может использоваться для работы
практически с любыми системами передачи
электронной почты. Наиболее часто применяются
алгоритмы шифрования DES, RSA, ГОСТ 28147-89,
"Веста-2".
Второй вариант можно использовать
только в специально разработанных системах, и в
этом случае требуется алгоритм высокого
быстродействия, так как необходима обработка
потоков информации в режиме реального времени.
Данный вариант можно считать более безопасным по
сравнению с первым, так как шифруются не только
передаваемые данные, но и сопроводительная
информация, которая включает в себя обычно типы
данных, адреса отправителя и получателя,
маршруты прохождения и многое другое. Такой
подход существенно усложняет задачу введения в
систему ложной информации, а также дублирование
перехваченной ранее подлинной информации.
Целостность передаваемой по открытым
каналам связи информации обеспечивается
использованием специальной электронной подписи,
которая позволяет установить авторство и
подлиность информации. Электронная подпись в
настоящее время широко применяется для
подтверждения юридической значимости
электронных документов в таких системах обмена
информации, как Банк — Банк, Банк — Филиал, Банк —
Клиент, Биржа — Брокерская контора и т. п. Из
наиболее распространенных алгоритмов
электронной подписи можно назвать такие, как RSA,
PGP, ElGamal.
Готовность информации в большинстве
случаев обеспечивается
организационно-техническими мерами и установкой
специального отказоустойчивого оборудования.
Выбор того или иного алгоритма
криптографического преобразования обычно
сопряжен с большими трудностями. Приведем
несколько характерных примеров.
Положим, разработчик системы защиты
утверждает, что полностью реализовал в ней
требования ГОСТ 28147-89. Этот ГОСТ был опубликован,
но не полностью. Не были опубликованы некоторые
специальные криптографические подстановки, от
которых существенно зависит ее криптостойкость.
Таким образом, в правильности реализации ГОСТ
можно быть уверенным только при наличии
сертификата ФАПСИ, которого у большинства
разработчиков нет.
Разработчик системы защиты сообщает,
что у реализовал алгоритм RSA. При этом он
умолчивает о том, что реализация должна
лицензироваться фирмой RSA Data Security Inc. (патент США #
4 405 829). Более того, вывоз из США реализаций RSA с
длиной ключа более 40 бит запрещен
(криптостойкость такого ключа оценивается
специалистами примерно в несколько дней работы
обычного компьютера с процессором Pentium).
Разработчик системы защиты сообщает,
что в ней реализован алгоритм PGP, который широко
применяется у нас в стране благодаря бесплатно
распространявшимся до 1995 г. его исходным текстам
через BBS США. Здесь две проблемы. Первая —
электронная подпись сделана на базе алгоритма RSA
и, с точки зрения охраны авторских прав, также
должна лицензироваться фирмой RSA Data Security Inc.
Вторая — распространяемые программы
нечувствительны к вмешательству в их работу,
поэтому с помощью специального криптовируса
можно легко получить секретный ключ для
формирования электронной подписи.
В заключение хочется с сожалением
отметить, что в нашей стране практически
отсутствует нормативно-методическая база, с
помощью которой можно было бы обоснованно
сопоставлять предлагаемые системы защиты
информации и выбирать наиболее оптимальные
решения. |