Разработка приложения защиты электронного документооборота на основе криптопровайдера "КриптоПро" - Дипломная работа

Но в современном обществе появилась информация, которая должна быть доступна неопределенному кругу лиц, такая информация называется общедоступной, одним из способов определения подлинности агента представляющего ее это подпись. Поскольку процесс подписи документа - это процесс, следовательно, он занимает определенное время на установку оборудования или программного обеспечения, обучение персонала, получение и использование сертификата, поэтому появляются все больше организаций занимающимися оптимизаций данного процесса при помощи: разработки программного обеспечения, технических средств, поддержки клиентов, беря на себя процесс получения сертификата. Средства и методы защиты электронного документооборота схожи со средствами защиты информации в целом, поэтому их можно рассматривать почти равнозначными с оговоркой, что конкретно к ЭД системе предприятия. Система защиты информации в электронном документообороте - это рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных).Состав дистрибутива программы показан в таблице 3.1. Таблица 3.1 - Состав дистрибутива приложенияПоскольку файлы с расширением docx, pptx, начиная с версии Microsoft Office 2007, представляют из себя не только текст, но и XML файлы в своем составе, а подпись документа это набор значений в структуре XML файла, то такие файлы представляются в виде архива, к содержимому которого можно получить доступ при помощи архиватора, разархивируя необходимые файлы. Составлены руководства для пользователя, программиста, изложены все возможные инструкции для шифрования, подписи ЭЦП, и проверке сертификатов. При работе с ПЭВМ на человека в наибольшей степени воздействуют физические и психофизиологические опасные и вредные производственные факторы. Максимальная эффективность человека-оператора возможна при обеспечении нормальных условий труда, которые позволили бы человеку выполнять работу без ущерба своему здоровью с высокой производительностью труда. Вредные факторы, возникающие при работе ПЭВМ, можно разделить на три группы: - параметры рабочего места и рабочей зоны.В дипломном проекте были даны основные понятия и определения, классифицированы основные угрозы и способы из реализации на предприятии обрабатывающему электронный документы. Исследованы общие методы защиты информации, на основании проведенного анализа был выбран программный метод защиты электронного документооборота, основанный на: легкой масштабируемости приложений, гибкости реализации и экономической эффективности. Проанализировав полученные данные была построена типовая модель защищенной информационно-телекоммуникационной системы предприятия, с применением программных средств криптографической защиты. В проекте обоснован выбор криптопровайдера «КРИПТОПРО CSP», проведен его анализ, определено его основное назначение, используемые алгоритмы, которые поддерживают основные ГОСТЫ криптографических алгоритмов шифрования, электронно-цифровой подписи, вычисления хэш значения.

В сложившемся информационном обществе все большее внимание уделяется процессу передачи информации по открытым каналам связи, связанное с достоверностью источников передающих и принимающих. Поскольку все больше случаев происходит кражи информации или подмены сообщений, что оказывает негативное воздействие на предприятие. Вследствие этого разрабатываются программно-технические средства, которые позволяют обеспечить защищенное соединение между одним или несколькими участниками обмена. Защищенное соединение подразумевает, что информация в процессе обмена будет доступна строго определенному кругу лиц без возможности ее подмены или искажения в процессе передачи.

Для реализации защищенного документооборота применяются разнообразные технологии, но все они в своей основе используют криптозащиту. Данный вид защиты использует минимум ресурсов и приносит максимум эффективности. Он применяется с древнейших времен. Были разработаны разнообразные алгоритмы шифрования для сокрытия информации от посторонних.

Но в современном обществе появилась информация, которая должна быть доступна неопределенному кругу лиц, такая информация называется общедоступной, одним из способов определения подлинности агента представляющего ее это подпись. В цифровом информационном пространстве используют электронно-цифровую подпись, которая является основным доказательством ее достоверности.

В своей основе ЭЦП несет все туже криптографию. Информация, которая скрывается, может быть раскрыта только определенному кругу имеющему сертификат, который получен с доверенного источника, чаще сайта, и имеет все туже цифровую подпись, подтверждающие его легитимность. Таким способом информация может быть проверена на достоверность.

В связи с широким применением ЭЦП появились и специальные алгоритмы на основе, которых и происходит цифровая подпись. Российским стандартом алгоритма ЭЦП является ГОСТ Р 34.10-2001, который был выдвинут на рассмотрение как международного, вследствие своей высокой надежности.

Поскольку процесс подписи документа - это процесс, следовательно, он занимает определенное время на установку оборудования или программного обеспечения, обучение персонала, получение и использование сертификата, поэтому появляются все больше организаций занимающимися оптимизаций данного процесса при помощи: разработки программного обеспечения, технических средств, поддержки клиентов, беря на себя процесс получения сертификата.

Изза возросшего рынка предложения появились определенные стандарты для обработки определенной информации в определенных организациях. Так персональные данные должны обрабатываться сертифицированными средствами криптографии определенных продуктов. Одним из таких продуктов является криптопровайдер «КРИПТОПРО», прошедший сертификацию в ФСБ на выполнение работ в данной области. Данный провайдер позволяет, средствами приложений, внедрить в процесс криптографического преобразования информации государственные стандарты алгоритмов криптографии. Что значительно повышает надежность обрабатываемой информации.

Одним из способов оптимизации защищенного документооборота на предприятии, для обработки коммерческой тайны является внедрение программного продукта, который сократил бы процесс участия оператора при подписании документа ЭЦП или полному шифрованию его для сокрытия информации от посторонних лиц с использованием надежных алгоритмов криптографии.

1. Построение защищенного электронного документооборота на предприятии

Документооборот - это непрерывный процесс движения документов, объективно отражающий деятельность предприятия и позволяющий оперативно управлять им, поэтому автоматизация документооборота становится одной из приоритетных задач любого предприятия.

Во многом от организации документооборота и работы с информационными ресурсами зависит эффективность работы предприятия. Горы макулатуры, длительный поиск нужного документа, потери, дублирующие документы, задержки с отправкой и получением, ошибки персонала составляют не полный перечень проблем, возникающих при плохой организации документооборота. Все это может сильно затормозить, а в исключительных случаях полностью парализовать работу предприятия.

Необходимость внедрения системы электронного документооборота (СЭД) предприятия возникает, когда становится очевидным, что движение документов объективно отражает деятельность предприятия и позволяет оперативно управлять им.

Внедрение Системы электронного документооборота призвано решить определенный ряд проблем, который в той или иной степени характерен для предприятий с технологией «бумажного документооборота». Автоматизация документооборота позволит осуществить: - формализацию, оптимизацию, автоматизацию бизнес-процессов организации;

- повышение эффективности управления за счет увеличения прозрачности деятельности в организации, контроля исполнения документов;

- исключение отклонения от утвержденного бизнес-процесса по прохождению различных типов документов;

- структурированное хранение и быстрый удобный доступ к информации;

- автоматизированное получение отчетов, аналитической информации для принятия оперативных решений;

- сокращение непроизводительных затрат времени и материальных ресурсов;

- повышение исполнительской дисциплины;

- существенное сокращение доли бумажных документов (экономия материалов и ресурсов при хранении и\или утилизации).

Но эта технология имеет и недостатки, например, возможность влияния из вне на информацию передаваемую по каналам связи. Этим активно пользуются конкуренты, пытаясь внедрится в процесс обработки информации для затруднения работы предприятия с ней.

1.1 Построение модели угроз электронного документооборота предприятия электронный документооборот криптопровайдер защита

Для нормальной работы электронного документооборота, необходим надежный процесс обработки информации, для этого необходимо четко определить актуальные риски и способы уменьшения их возникновения.

Основные угрозы электронному документообороту (ЭД) можно представить в таблице 1.1.

Таблица 1.1 - Основные угрозы ЭД

Угроза ЭД предприятия Способы реализации угроз

1 2

I. Угроза целостности а) повреждение б) уничтожение информации

II. Искажение информации а) сбои и ошибки б) повреждение в) подмена

III. Угроза работоспособности системы а) ошибки пользователя б) компьютерные атаки в) вредоносное ПО

IV. Угроза конфиденциальности а) кража информации б) подмена маршрутов следования в) НСД

На основании угроз электронного документооборота можно схематично представить модель не защищенного ЭД предприятия (рисунок 1.1).

Рисунок 1.1 - Модель не защищенного документооборота предприятия

1.2 Классификация средств и методов защиты электронного документооборота предприятия на основе угроз

Средства и методы защиты электронного документооборота схожи со средствами защиты информации в целом, поэтому их можно рассматривать почти равнозначными с оговоркой, что конкретно к ЭД системе предприятия.

Система защиты информации в электронном документообороте - это рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке.

Собственники информационных ресурсов самостоятельно определяют (за исключением информации, отнесенной к государственной тайне) необходимую степень защищенности ресурсов и тип системы, способы и средства защиты, исходя из ценности информации. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости. Важно, что структура системы защиты должна охватывать не только электронные информационные системы, а весь управленческий комплекс объекта в единстве его реальных функциональных и производственных подразделений, традиционных документационных процессов.

Основной характеристикой системы является ее комплексность, то есть наличие в ней обязательных элементов, охватывающих все направления защиты информации. Систему защиты можно разбить на пять элементов.

Правовая защита информации.

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а так же ответственности персонала за нарушение порядка защиты информации. Этот элемент включает: - наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;

- формулирование и доведение до всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;

- разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Инженерно-техническая защита информации.

Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и другие), которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью ее маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя: - сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения;

- средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов;

- средств защиты помещений от визуальных способов технической разведки;

- средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации);

- средства противопожарной охраны;

- средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры);

- технические средства контроля, предотвращающие вынос персоналом из помещений специально маркированных предметов, документов, дискет, книг.

Организационная защита информации

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки - высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает: - организацию охраны, режима, работу с кадрами, с документами;

- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести: - организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

- организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

- организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

- организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

- организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

- организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Программно-аппаратная защита информации.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя: - автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;

- программы защиты информации, работающие в комплексе с программами обработки информации;

- программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных).

Криптографическая защита информации.

Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.

Современная криптография включает в себя четыре крупных раздела: 1) симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. (Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом, дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный);

2) криптосистемы с открытым ключом. В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения;

3) электронная подпись. Системой электронной подписи. называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения;

4) управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии. Элемент включает: - регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;

- определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;

- регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радио связи;

- регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;

- регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

На основании анализа угроз электронного документооборота предприятия, можно сформировать основные средства защиты информации и методы обеспечения информационной безопасности (ИБ) электронного документооборота (таблица 1.2).

Таблица 1.2 - Основные средства обеспечения ИБ ЭД и их методы

Средства обеспечивающие ИБ ЭД Методы обеспечения ИБ ЭД

1 2

I.Технические а) использование аппаратных фаерволов и маршрутизаторов б) физическое разграничение сетевого оборудования в) автоматическое создание резервных копий

1 2

II.Программные а) использование антивирусное ПО б) логическое разграничение сети в) использование программных средств идентификации и аутентификации пользователей

III.Организационно-правовые а) введения учета ознакомления сотрудников с информацией ограниченного распространения б) организация учета ключей шифрования и подписи, их хранения, эксплуатации и уничтожения в) предоставление прав доступа в соответствии с должностью

IV.Криптографические а) использования криптографических средств шифрования конфиденциальной информации б) использования технологии открытых ключей для обеспечения подлинности и целостности информации

Описанные средства и методы являются общими для любой информационной системы электронного документооборота предприятия, и их применение может значительно уменьшить риск реализации угроз ЭД.

На основе средств и методов защиты электронного документооборота можно построить защиту от угроз ЭД.

1.3 Постановка цели защиты электронного документооборота предприятия

Целью защиты электронного документооборота предприятия является уменьшение рисков реализации его угроз. Поскольку сведение до нуля рисков реализации угроз возможно только в информационной системе черного ящика, где нет входных и выходных данных, то невозможно построить документооборот без угроз, а вот уменьшение вероятности их появления возможно средствами защиты и методами защиты ЭД. Исходя из существующей модели угроз, можно поставить цели защиты: - разграничение уровня доступа пользователей к ресурсам ЭД;

- логическое и физическое разграничение сегментов сети ЭД;

- разграничение ресурсов ЭД;

- защита программного обеспечения от несанкционированной модификации, копирования, удаления;

- применение организационно-правовых способов управления персоналом для уменьшения ошибок допускаемых в работе;

- организация защиты от несанкционированного копирования, модификации, удаления информации на ресурсах информационной системы;

- обеспечить защищенное создание резервных копий информации, обрабатываемой в ЭД предприятия;

- обеспечить достоверность, целостность, конфиденциальность информации, передаваемой по каналам связи. На основании целей защиты информации, обрабатываемой в ЭД предприятия, можно определить их решение средствами защиты информации электронного документооборота (таблица 1.3).

Таблица 1.3 - Средства ИБ ЭД и решаемые ими задачи

Средства обеспечивающие ИБ ЭД Решаемые задачи

1 2

I.Технические Создание резервных копий на случай выхода оборудования из строя

Разграничение локального и сетевого трафика предприятия

1 2

Средства аутентификации и авторизации пользователей к ресурсам сети

II.Программные Защиту ПО и информации от вирусов Защиту от НСД Аутентификация и авторизация пользователей

III.Организационно-правовые Уменьшение количества допускаемых ошибок в процессе обработки информации

IV.Криптографические Разграничение прав пользователей к конфиденциальной информации Контроль целостности информации Подлинность информации Защита информации в случаи кражи или утечки по каналам связи

Как видно из таблицы 1.3 обеспечение защищенного электронного документооборота предприятия - это комплексный подход и использование только некоторых средств ИБ ЭД не сможет значительно снизить вероятность реализации его угроз. Только использование основных четырех средств, вместе даст значительное уменьшение вероятности реализации угроз предприятия.

1.4 Построение защищенной модели предприятия от угроз электронного документооборота

Защищенной моделью электронного документооборота предприятия можно назвать систему обмена классифицированной информацией между строго регламентированными пользователями.

Проанализировав основные средства и методы защиты ЭД, сопоставив с целями защиты, можно построить защищенную модель электронного документооборота предприятия (рисунок 1.2) всеми средствами, кроме криптографических.

Рисунок 1.2 - Защищенная модель ЭД предприятия, без криптографических средств защиты

Полученная модель демонстрирует физическое и логическое разграничение двух сегментов сети, которое не дает удаленным пользователям доступ к локальной сети (ЛС) предприятия. Такая схема возможна в случае, если у предприятия нет удаленных работников, которым необходимы ресурсы локальной сети, а удаленные пользователи используют только общедоступную информацию.

В случае если у предприятия есть удаленные пользователи, которым необходим для работы не общедоступный ресурс, то понадобится выделить отдельный ресурс, хранящий конфиденциальную информацию, и разграничить доступ, среди пользователей ЛС на использование ее ресурсов, применив политики безопасности (рисунок 1.3). Но проблема удаленного использования конфиденциальной информации не решена, поскольку она все еще передается по каналам в открытом виде, то доступ к ней из неконтролируемой зоны ограничен.

Рисунок 1.3 - Модель предприятия после применения политик безопасности

Поскольку информация передается в открытом виде по сети, то выход ее из пределов контролируемой зоны может нанести ущерб предприятию, вследствие возможности ее перехвата неопределенного круга лиц. Чтобы обеспечить безопасность и доступ к конфиденциальной информации предприятия определенному кругу пользователей, необходимо использовать средства криптографической защиты информации, которые позволят: - обеспечить целостность данных;

- подлинность источника;

- сокрытия информации для строго определенного круга лиц;

- защиту от НСД к информации;

- идентификацию пользователей;

- надежное архивирование информации.

Тем самым, будут значительно снижены основные риски реализации угроз электронного документооборота предприятия (рисунок 1.4).

Рисунок 1.4 - Модель защищенного электронного документооборота предприятия

1.5 Выбор криптопровайдера

В дипломном проекте будет использоваться криптопровайдер «КРИПТОПРО CSP». Считается, что на предприятии уже установлено средство криптографической защиты информации «КРИПТОПРО CSP» для сдачи электронной отчетности в государственные органы или предприятие принимает участие на электронных торговых площадках.

Целесообразно использовать уже имеющееся программное средство криптографической защиты информации, которое уже установлено на предприятии, чем устанавливать новое, изза возможных несовместимостей в работе двух криптопровайдеров.

Криптопровайдер «КРИПТОПРО CSP» получил широкое распространение, вследствие этого вероятность его использования на предприятии значительно выше его аналогов.

На сайте представлена подробная помощь пользователям и программистам в виде документации и общественных обсуждений решения сложившихся проблем при эксплуатации.

Построение защищенного документооборота является комплексным подходом и требует всестороннего рассмотрения его угроз, средств и целей защиты. Поэтому применение только технических и программных средств защиты не даст достаточного снижения вероятности реализации угрозы электронного документооборота, как в комплексе с криптографическими средствами, которые значительно увеличивают показатели защищенности системы ЭД предприятия.

Использование криптографии дает возможность надежной передачи информации по незащищенным каналам, обеспечивая: целостность, достоверность и сокрытие информации от неопределенного круга лиц. Это значительно упрощает обработку документов на удаленном рабочем месте.

2. Анализ криптопровайдера «КРИПТОПРО»

2.1 Функциональное назначение криптопровайдера «КРИПТОПРО»

Криптопровайдер (Cryptography Service Provider, CSP) - это независимый модуль, позволяющий осуществлять криптографические операции в операционных системах Microsoft , управление которым происходит с помощью функций CRYPTOAPI . Проще говоря, это посредник между операционной системой, которая может управлять им с помощью стандартных функций CRYPTOAPI , и исполнителем криптографических операций (это может быть как программа, так и аппаратный комплекс).

В состав КРИПТОПРО CSP 3.0, 3.6 входит модуль уровня ядра операционной системы (криптодрайвер), что позволяет использовать основные криптографические функции (шифрование/расшифрование, проверка подписи, хеширование) на уровне ядра операционной системы.

Криптопровайдер КРИПТОПРО CSP предназначен для: - авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001;

- обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89; обеспечение аутентичности, конфиденциальности и имитозащиты соединений TLS;

- контроля целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;

- управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Криптодрайвер предназначен для использования в специальных приложениях (шифраторы IP протокола, файловой системы и т.д.). Поддержка ЭЦП XML документов XMLDSIG для Windows (MSXML5, MSXML6) Поддержка XML позволяет использовать российские криптоалгоритмы в Microsoft Office 2007 - 2010.

Для всех платформ реализован протокол TLS (SSL) - модуль сетевой аутентификации КРИПТОПРО TLS . Начиная с версии 3.0 модуль сетевой аутентификации включен в общий дистрибутив КРИПТОПРО CSP.

Реализована поддержка аутентификации пользователей в домене Windows с использованием КРИПТОПРО CSP и сертификатов открытых ключей КРИПТОПРО Winlogon. Есть возможность использования КРИПТОПРО CSP не только в электронной почте, а также в продуктах MS Word, Excel. Критические компоненты КРИПТОПРО CSP 3.0 протестированы на совместимость с ОС Windows по методикам WHQL test lab и подписаны Microsoft.

2.2 Поддерживаемые алгоритмы криптопровайдера «КРИПТОПРО»

Одним из преимуществ криптопровайдера «КРИПТОПРО CSP» является его сертификация в ФСБ и соответственно подтверждение использования ГОСТ алгоритмов криптозащиты информации.

Реализуемые алгоритмы: - алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11 94 «Информационная технология. Криптографическая защита информации. Функция хэширования».

- алгоритмы формирования и проверки ЭЦП реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

- алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147 89 «Системы обработки информации. Защита криптографическая». При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии с ГОСТ Р 34.10-2001. При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ 28147-89.

2.2.1 Алгоритм шифрования данных ГОСТ 28147-89

ГОСТ 28147-89 - советский и российский стандарт симметричного шифрования, введенный в 1990 году, также является стандартом СНГ. Полное название - «ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования». Блочный шифроалгоритм. При использовании метода шифрования с гаммированием, может выполнять функции поточного шифроалгоритма.

По некоторым сведениям, история этого шифра гораздо более давняя. Алгоритм, положенный впоследствии в основу стандарта, родился, предположительно, в недрах Восьмого Главного управления КГБ СССР (ныне в структуре ФСБ), скорее всего, в одном из подведомственных ему закрытых НИИ, вероятно, еще в 1970-х годах в рамках проектов создания программных и аппаратных реализаций шифра для различных компьютерных платформ.

С момента опубликования ГОСТА на нем стоял ограничительный гриф «Для служебного пользования», и формально шифр был объявлен «полностью открытым» только в мае 1994 года. История создания шифра и критерии разработчиков по состоянию на 2010 год не опубликованы.

Достоинствами ГОСТА являются: - бесперспективность силовой атаки (XSL-атаки в учет не берутся, так как их эффективность на данный момент полностью не доказана);

- эффективность реализации и соответственно высокое быстродействие на современных компьютерах;

- наличие защиты от навязывания ложных данных (выработка имитовставки) и одинаковый цикл шифрования во всех четырех алгоритмах ГОСТА.

В мае 2011 года известный криптоаналитик Николя Куртуа заявил об обнаружении серьезных уязвимостей в данном шифре.Основные проблемы ГОСТА связаны с неполнотой стандарта в части генерации ключей и таблиц замен. Тривиально доказывается, что у ГОСТА существуют «слабые» ключи и таблицы замен, но в стандарте не описываются критерии выбора и отсева «слабых». Также стандарт не специфицирует алгоритм генерации таблицы замен (S-блоков). С одной стороны, это может являться дополнительной секретной информацией (помимо ключа), а с другой, поднимает ряд проблем: - нельзя определить криптостойкость алгоритма, не зная заранее таблицы замен;

- реализации алгоритма от различных производителей могут использовать разные таблицы замен и могут быть несовместимы между собой;

- возможность преднамеренного предоставления слабых таблиц замен лицензирующими органами РФ;

- потенциальная возможность (отсутствие запрета в стандарте) использования таблиц замены, в которых узлы не являются перестановками, что может привести к чрезвычайному снижению стойкости шифра.

Возможные применения: - использование в S/MIME (PKCS#7, Cryptographic Message Syntax);

- использование для защиты соединений в TLS (SSL, HTTPS, WEB);

- использование для защиты сообщений в XML Encryption.

2.2.2 Алгоритм формирования хэш-функции ГОСТ Р 34.11-94

Хэш-функция - математический расчет, результатом которого является последовательность битов (цифровой код). Имея этот результат, невозможно восстановить исходные данные, использованные для расчета.

Хэш - последовательность битов, полученная в результате расчета хэш-функции.

ГОСТ Р34.11-94 - российский криптографический стандарт вычисления хэш-функции. Был введен 23 мая 1994 года. Размер хэша 256 бит. Размер блока входных данных 256 бит. Алгоритм был разработан ГУБС ФАПСИ и ВНИИС.

Стандарт определяет алгоритм и процедуру вычисления хэш-функции для последовательности символов. Этот стандарт является обязательным для применения в качестве алгоритма хэширования в государственных организациях РФ и ряде коммерческих организаций.

ЦБ РФ требует использовать ГОСТ Р 34.11-94 для электронной подписи предоставляемых ему документов.

Особенностями ГОСТ Р 34.11-94 являются: - при обработке блоков используются преобразования по алгоритму ГОСТ 28147-89;

- обрабатывается блок длиной 256 бит, и выходное значение тоже имеет длину 256 бит;

- применены меры борьбы против поиска коллизий, основанном на неполноте последнего блока;

- обработка блоков происходит по алгоритму шифрования ГОСТ 28147-89, который содержит преобразования на S-блоках, что существенно осложняет применение метода дифференциального криптоанализа к поиску коллизий.

Функция используется при реализации систем цифровой подписи на базе асимметричного криптоалгоритма по стандарту ГОСТ Р 34.10-2001. Сообщество российских разработчиков СКЗИ согласовало используемые в Интернет параметры ГОСТ Р 34.11-94: - использование в сертификатах открытых ключей;

- использование для защиты сообщений в S/MIME (Cryptographic Message Syntax, PKCS#7);

- использование для защиты соединений в TLS (SSL, HTTPS, WEB);

- использование для защиты сообщений в XML Signature (XML Encryption);

- защита целостности Интернет адресов и имен (DNSSEC).

В 2008 году командой экспертов из Австрии и Польши была обнаружена техническая уязвимость, сокращающая поиск коллизий в 223 раз. Количество операций, необходимое для нахождения коллизии, таким образом, составляет 2105, что, однако, на данный момент практически не реализуемо. Проведение коллизионной атаки на практике имеет смысл только в случае цифровой подписи документов, причем если взломщик может изменять неподписанный оригинал.

2.2.3Алгоритм формирования ЭЦП ГОСТ Р 34.10-2001

Электронно-цифровая подпись (ЭЦП) - аналог собственноручной подписи - для придания электронному документу юридической силы, равной бумажному документу, подписанному собственноручной подписью правомочного лица и/или скрепленного печатью.

Электронная цифровая подпись, или ЭЦП, становится все более распространенным способом удостоверить документ. В некоторых случаях цифровая отметка не имеет альтернатив. К примеру, при проведении электронных торгов или участии в аукционах, проводимых в Интернете. В таком случае, наличие ЭЦП регламентируется законодательством. В соответствии с Федеральным законом 1-ФЗ от 10.01.2002 года «Об электронной цифровой подписи», ЭЦП в электронном документе является аналогом собственноручной подписи в бумажном документе. Благодаря наличию таковой, электронный документ приобретает юридическую значимость. Наличие ЭЦП гарантирует его подлинность и защищает от подделки, а также помогает идентифицировать владельца сертификата цифровой подписи и предотвратить искажения в документе.

Электронная по

В дипломном проекте были даны основные понятия и определения, классифицированы основные угрозы и способы из реализации на предприятии обрабатывающему электронный документы.

Исследованы общие методы защиты информации, на основании проведенного анализа был выбран программный метод защиты электронного документооборота, основанный на: легкой масштабируемости приложений, гибкости реализации и экономической эффективности. Проанализировав полученные данные была построена типовая модель защищенной информационно-телекоммуникационной системы предприятия, с применением программных средств криптографической защиты.

В проекте обоснован выбор криптопровайдера «КРИПТОПРО CSP», проведен его анализ, определено его основное назначение, используемые алгоритмы, которые поддерживают основные ГОСТЫ криптографических алгоритмов шифрования, электронно-цифровой подписи, вычисления хэш значения. Описан основной принцип работы ЭЦП.

Было разработано техническое описание приложения криптографической защиты информации. В описание вошли основные технические и программные требования для запуска и работы программы.

Экономическое обоснование проекта показало, что экономически эффективнее разрабатывать данное приложение в высшем учебном заведение, экономя почти в половину средства на себестоимость продукта.

Данное приложение можно использовать для обеспечение криптографической защиты информации относящейся к коммерческой тайне и в не государственных предприятиях, обрабатывающих персональные данные в соответствии с законодательством РФ Федерального закона № 152-ФЗ.

При создании системы защиты персональных данных необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть средства защиты информации от несанкционированного доступа, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу). Данная программа позволяет обрабатывать информацию содержащую персональные данные, поскольку пользуется сертифицированными средствами криптографической защиты.

Разработанное приложение позволяет оптимизировать работу пользователя со средствами криптографической защиты информации, установленном на предприятии, сокращая процесс обработки документов, проверки их авторства и достоверности.

Данная программа может быть со временем улучшена, для оптимизации проверки содержимого перед подписанием, или же внесения изменений в сосав документов (дату, ФИО или другие строки). Возможно внесение практически любого функционала, что делает ее гибким инструментом обработки электронных документов.

1. Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации [Текст] : федер. закон : [принят Гос. Думой 8 июля 2006 г. : одобр. Советом Федерации 14 июля 2006 г.].

2. Российская Федерация. Законы. Об электронной цифровой подписи. [Текст] : федер. закон : [принят Гос. Думой 10 января 2002г. : одобрен Советом Федерации 26 декабря 2001 г.].

3. Российская Федерация. Законы. О персональных данных [Текст] : федер. закон : [принят Гос. Думой 27 июля 2006 г. : одобр. Советом Федерации 14 июля 2006 г.].

4. РД 34.21.122-87. Инструкции по устройству молниезащиты зданий и сооружений». Утверждена главтехуправлением минэнерго СССР 12 октября 1987г.

5. РД. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информаци. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.

6. Нормативно-методический документ. Специальные требования и рекомендации по технической защите конфиденциальной информации. Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282

7. ГОСТ 12.1.005-88. Система стандартов безопасности труда. Общие санитарно-гигиенические требования к воздуху рабочей зоны [Текст]. Введ.-М. : Изд-во стандартов, 1988. - 49с.

8. ГОСТ 12.1.044 -89. Пожаровзрывоопасность веществ и материалов номенклатура показателей и методы их определения [Текст]. Введ.-М. : Изд-во стандартов, 1989. - 51с.

9. ГОСТ 12.1010-76. Система стандартов безопасности труда. Взрывоопасность. Общие требования [Текст]. Введ.-М. : Изд-во стандартов, 1977. - 35с.

10. САНПИН 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы [Текст].

11. САНПИН 2.2.2.542-03. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы [Текст].

12. СНИП 23-05-95. Естественное и искусственное освещение [Текст].

13. Домарев, В. В. Безопасность информационных технологий. Методология создания систем защиты. [Текст] / В.В. Домарев - ООО «ТИД ДС», 2001. - 688 с..

14. Хорошко, В. А. Методы и средства защиты информации [Текст] / В. А. Хорошко, А. А Чекатков. - К.: Издательство Юниор, 2003. - 504 с..

15. Чипига, А.Ф., Пелешенко В.С. Оценка эффективности защищенности автоматизированных системот несанкционированного доступа.

16. Золотарев, В.В Анализ защищенности автоматизированных систем Учебное пособие [Текст] / В. В. Золатарев - Красноярск: Сибирский государственный аэрокосмический университет, 2007. - 93 с..

17. Саати, Т.Л. Математические модели конфликтных ситуаций [Текст] / Т. Л. Саати - М.: 1977. - 300 с..

18. Вишняков, Я.Д Радаев Н.Н Общая теория рисков [Текст] / Я. Д. Вишняков, Н. Н. Радаев - М.: 2004,-368 с ISBN 978-5-7695-5396-7.

19. Малюк, А. А. Информационная безопасность: концептуальные и методологические основы защиты информации [Текст] / А.А Малюк - М.: «Телеком», 2004. - 280 с..

20. Степанов, Е.А., Корнеев И.К. Информационная безопасность и защита информации. Учебное пособие [Текст] / Е. А Степанов, И. К. Корнеев - Москва: ИНФРА-М, 2001 - 304 с..

21. Мухин, Н. Н. Информационная безопасность [Текст] / Н. Н. Мухин, А. Ф. Чипига.- Ставрополь: Издательство СЕВКАВГТУ, 2004. - 104 с..

22. Ярочкин, В. И. Информационная безопасность [Текст] / В. И. Ярочкин. - М.: Летописец, 2000. - 205 с..

23. Рихтер, Д. CLR via C#. Программирование на платформе Microsoft .NET Framework 2.0 на языке C# [Текст] / Пер. с англ. - М.: «Русская Редакция»; СПБ. : Питер, 2007. - 656 с..

24. Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну, срок действия сертификатов соответствия на которые истек (по состоянию на 1 февраля 2009 года). http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm.

25. Информационно-справочная система по документам в области технической защиты информации. http://www.fstec.ru/_spravs/_spec.htm.

26. Государственный реестр сертифицированных средств защиты информации. http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls .

27. Руководство разработчикам, описаны основные Crypto API функции. http://www.cryptopro.ru/docs/cpdn/default.asp.

28. Описание продукта «КРИПТОПРО CSP», его основные характеристики. http://www.cryptopro.ru/products/csp/overview.

29. Помощь разработчикам программ для настольного ПК. http://msdn.microsoft.com/ru-ru/ff380143.

Размещено на