Аппаратные средства шифрования: Программно-аппаратные средства защиты информации: электронные ключи, смарт карты и платы шифрования

Обзор устройств аппаратного шифрования данных Текст научной статьи по специальности «Компьютерные и информационные науки»

ОБЗОР УСТРОЙСТВ АППАРАТНОГО ШИФРОВАНИЯ ДАННЫХ Попова А.А. Email: [email protected]

Попова Алёна Андреевна — студент, кафедра защиты информации, факультет информатики и управления, Калужский филиал

Московский государственный технический университет им. Н.Э. Баумана, г. Калуга

Аннотация: информация — это одна из самых ценных вещей в современной жизни. Появление глобальных компьютерных сетей сделало простым получение доступа к информации. Легкость и скорость доступа к данным с помощью компьютерных сетей, таких как интернет, сделали значительными следующие угрозы безопасности данных: неавторизованный доступ к информации, неавторизованное изменение информации, неавторизованный доступ к сетям и другим сервисам.

Шифрование — это метод, используемый для преобразования данных в шифрованный текст для того, чтобы они были прочитаны только пользователем, обладающим соответствующим ключом шифрования для расшифровки содержимого. Для защиты информации от несанкционированного доступа применяются программные, аппаратные и программно-аппаратные средства.

Ключевые слова: шифрование, аппаратное шифрование, безопасность, конфиденциальность, целостность, доступность, устройства шифрования.

OVERVIEW OF HARDWARE DATA ENCRYPTION DEVICES

Popova A.A.

Popova Alyona Andreevna — Student, DEPARTMENT OF INFORMATION PROTECTION, FACULTY OF INFORMATICS AND MANAGEMENT, KALUGA BRANCH OF MOSCOW STATE TECHNICAL UNIVERSITY NAMED AFTER N.

E. BAUMAN,

KALUGA

Abstract: information is one of the most valuable things in modern life. The advent of global computer networks has made it easy to access information. The ease and speed of accessing data through computer networks such as the Internet has made the following data security threats significant: unauthorized access to information, unauthorized modification of information, unauthorized access to networks and other services.

Encryption is a method used to convert data to ciphertext so that it can only be read by the user who has the appropriate encryption key to decrypt the content. To protect information from unauthorized access, software, hardware and software-hardware are used.

Keywords: encryption, hardware encryption, security, privacy, integrity, availability, encryption devices.

УДК 004.056.5

Шифрование — это метод, используемый для преобразования данных в шифрованный текст для того, чтобы они были прочитаны только пользователем, обладающим соответствующим ключом шифрования для расшифровки содержимого. Шифрование используется тогда, когда требуется повышенный уровень защиты данных при хранении данных в ненадежных источниках или передачи данных по незащищенным каналам связи [1].

Сегодня для шифрования данных наиболее широко применяют три вида шифраторов: аппаратные, программно-аппаратные и программные. Их основное различие заключается не только в способе реализации шифрования и степени надёжности защиты данных, но и в цене, что часто становится для пользователей определяющим фактором. Самые дешёвые устройства шифрования — программные, затем идут программно-аппаратные средства и, наконец, самые дорогостоящие — аппаратные.

Несмотря на то, что цена аппаратных

шифраторов существенно выше программных, разница в цене не сравнима с значительным повышением качества защиты информации [2, 143].

Устройства аппаратного шифрования данных:

USB-шифратор ruToken — российское средство аутентификации и защиты информации, использующее сертифицированные алгоритмы шифрования и аутентификации и объединяющее в себе российские и международные стандарты безопасности.

ruToken представляет собой небольшое электронное устройство, подключаемое к USB-порту компьютера (USB-брелок). Он является аналогом смарт-карты, но для работы с ним не требуется дополнительное оборудование (считыватель). ruToken обладает встроенной файловой системой, отвечающей стандарту ISO/IEC 7816. Обеспечивается прозрачное шифрование всей файловой системы по ГОСТ 28147-89 на основе данных, уникальных для каждого экземпляра ruToken.

Встроенный алгоритм шифрования ГОСТ 28147-89 позволяет шифровать данные в режимах простой замены, гаммирования и гаммирования с обратной связью. ruToken производит выработку 32-битовой имитовставки по ГОСТ 28147-89 и генерацию 256-битовых случайных чисел. Ключи шифрования хранятся в ruToken в защищённом виде, без возможности их экспорта из ruToken. Поддерживается импорт ключей шифрования ГОСТ 28147-89.

ПСКЗИ ШИПКА представляет собой специализированное мобильное устройство, позволяющее надежно выполнять криптографические преобразования и хранить ключи.

Семейство включает в себя серию USB-устройств: ШИПКА-1.5, ШИПКА-1.6 и ШИПКА-1.7, а также устройства в конструктиве CF Type II, PC CARD Type II, ExpressCard 34 и устройство ШИПКА-Модуль.

Криптографическая функциональность всех этих устройств одинакова — это шифрование, ЭЦП, хэш-функция, генерация ключей, долговременное хранение ключей и сертификатов. Реализация криптографических операций во всех случаях аппаратная (по отношению к ПК). Для хранения ключевой информации во всех устройствах есть энергонезависимая защищённая память объёмом 4 Кбайт, расположенная непосредственно в процессоре. Все устройства снабжены дополнительной энергонезависимой памятью типа DataFlash с файловой системой, подобной ISO/IEC 7816; имеют в своём составе аппаратные ДСЧ. Все модификации ПСКЗИ ШИПКА работают под ОС семейства Win32, имея для этого программные интерфейсы -Криптопровайдер Microsoft CryptoAPI, библиотека API PKCS#11.

Во всех устройствах семейства ШИПКА реализованы все российские криптографические алгоритмы. В них также реализована возможность поддержки зарубежных криптографических алгоритмов. Набор зарубежных алгоритмов для всех устройств одинаков: Шифрование: RC2, DES, DESX, TripleDES; Хеширование: MD5, SHA-1; ЭЦП: RSA (ШИПКА-1.5 — 512-бит, остальные — 2048-бит), DSA (ШИПКА-1.5 — 1024-бит, остальные — 2048-бит). Все устройства являются полностью перепрограммируемыми -firmware может обновляться непосредственно пользователем. Это даёт возможность расширения его функциональности и создания индивидуальных решений для тех или иных задач заказчика, поскольку в целом ряде случаев эксклюзивное решение существенно предпочтительнее стандартного.

УКЗД КРИПТОН — это аппаратные шифраторы для IBM PC-совместимых компьютеров. Устройства применяются в составе средств и систем криптографической защиты данных для обеспечения информационной безопасности (в том числе защиты с высоким уровнем секретности) в государственных и коммерческих структурах [3].

КРИПТОН — серия аппаратных шифраторов для IBM PC-совместимых компьютеров, выполнены в виде плат расширения ISA и PCI персонального компьютера с процессором i386 и выше.

Программное обеспечение устройств КРИПТОН позволяет: шифровать компьютерную информацию (файлы, группы файлов и разделы дисков), обеспечивая их конфиденциальность; осуществлять электронную цифровую подпись файлов, проверяя

32

их целостность и авторство; создавать прозрачно шифруемые логические диски, максимально облегчая и упрощая работу пользователя с конфиденциальной информацией; формировать криптографически защищённые виртуальные сети, шифровать IP-трафик и обеспечивать защищённый доступ к ресурсам сети мобильных и удаленных пользователей; создавать системы защиты информации от несанкционированного доступа и разграничения доступа к компьютеру.

eToken PRO (Java) представляет собой защищённое устройство, предназначенное для строгой аутентификации, безопасного хранения секретных данных, выполнения криптографических вычислений и работы с асимметричными ключами и цифровыми сертификатами.

IronKey — флеш-диск с прозрачным аппаратным шифрованием данных. Предназначен для безопасного хранения секретных данных [4, 235].

Большинство средств криптографической защиты данных реализовано в виде специализированных аппаратных устройств. Эти устройства встраиваются в линию связи и осуществляют шифрование всей передаваемой по ней информации. Преобладание аппаратного шифрования над программным обусловлено несколькими причинами.

Во-первых, аппаратное шифрование обладает большей скоростью. Во-вторых, аппаратуру легче физически защитить от проникновения извне. И в-третьих, аппаратура шифрования более проста в установке.

Список литературы /References

1. Баричев С.Г. Криптография без секретов [Электронный ресурс]: учебное пособие, Санкт-Петербург, 2004. 43 с. Режим доступа: http://bookre.org/reader?file=555610/ (дата обращения: 22.11.2019).

2. Панасенко С.П. Алгоритмы шифрования [Электронный ресурс]: учебное пособие, Санкт-Петербург: БХВ, 2009. 578 с. Режим доступа: http://bookre.org/reader?file=650600/ (дата обращения: 22.11.2019).

3. Панасенко С.П., Ракитин В.В. Аппаратные шифраторы. [Электронный ресурс]: журнал Мир ПК № 8. М.: Открытые системы, 2002. URL: https://www.osp.ru/pcworld/2002/08/163808/ (дата обращения: 22.11.2019).

4. Петров А.А. Компьютерная безопасность. Криптографические методы защиты. [Электронный ресурс]: учебное пособие, М.: ДМК Пресс, 2000. 446 с. Режим доступа: http://bookre.org/reader?file=629402 (дата обращения: 22.11.2019).

Модули аппаратного шифрования STARDOM для SATA-дисков

В качестве устройств шифрования широко используют три вида шифраторов: программные, аппаратные и программно-аппаратные. Чаще всего, наиболее дешевое решение — программное, далее — программно-аппаратные средства, а наиболее дорогостоящие — аппаратные. Но хотя стоимость аппаратных шифраторов существенно выше программных, она нередко окупается за счет более высокого качества защиты информации, и в определенных случаях пользователи выбирают именно аппаратную защиту. Из основных её преимуществ отметим, что аппаратный шифратор исключает какое-либо вмешательство в процесс шифрования, использование аппаратного датчика случайных чисел гарантирует абсолютную случайность генерации ключей шифрования, разгружается процессор ПК. Компания RAIDON Technologies под брендом STARDOM представила новую серию модулей аппаратного шифрования данных SE1000/1100, реализующих широко известный алгоритм DES. С виду новинки напоминают обычный «карман» для жестких дисков и выполнены из алюминия. Всего предлагается 6 моделей: 2 внутренние и 4 внешние. Внешние модули представлены четырьмя моделями, которые отличаются длиной ключа шифрования: SE1164-ES-WBS1 и SE1164-ES-SB2 с чипом шифрования Enova XO 64 – 64 бита, SE1128-ES-WBS1 и SE1128-ES-SB2 – 128 бит (Enova XO 128). Все модели поддерживают винчестеры с интерфейсами SATA I/SATA II. SE1164-ES-SB2 и SE1128-ES-SB2 подсоединяются к ПК через USB 2.0, а в SE1164-ES-WBS1 и SE1128-ES-WBS1 также реализован интерфейс FireWire. Также 2-килограммовые карманы оснащены 4-см вентилятором, потребляемая мощность всей этой системы – 30 Вт. Внутренние модули представлены SE1064-ES-S1 с чипом шифрования Enova XO 64 и SE1028-ES-S1 (Enova XO 128). Они также поддерживают SATA-диски, оснащены 4-см вентилятором, но весят меньше – 1 кг. По вопросам приобретения обращайтесь на сайт производителя. Материалы по теме: — BestCrypt 7.20.2: шифрование данных;
— Шифрование и флэш-память в 2,5″ жестких дисках Hitachi;
— Шифрование: секреты «под шумок».

Программно-аппаратные средства защиты информации

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

ФГБОУ ВПО «ПЯТИГОРСКИЙ ГОСУДАРСТВЕННЫЙ ЛИНГВИСТИЧЕСКИЙ УНИВЕРСИТЕТ»

ОТЧЕТ

ПО УЧЕБНОЙ ПРАКТИКЕ

в ФГБОУ ВПО «Пятигорский государственный

лингвистический университет»

наименование организации/предприятия

Выполнил студент(ка)

3 курса, группы 301-ЗИ

курс, группа

Дашко Артём Викторович

Руководитель от университета

ст. пр. каф. ИТМСДО

должность, уч. степень, звание

Павленко И.И.

Пятигорск 2012г.

ВВЕДЕНИЕ

Во все времена информация являлась важным ресурсом, и владение достоверной и актуальной информацией всегда давало преимущество одной из сторон. Проблема защиты информации возникла на заре зарождения человеческого общества, и актуальность этой проблемы с каждым днём всё возрастала. Уже сегодня человечество ступило на новый этап своего развития – переход к новому типу постиндустриального общества, где главную роль играет информация. Параллельно с прогрессом в области информационных технологий постоянно увеличивается и количество возможных угроз, начиная от технических неисправностей и заканчивая действиями злоумышленников. Постоянное увеличение объема конфиденциальной информации, широкое использование различных технических средств для ее обработки, хранения и передачи, появление новых методов и средств несанкционированного доступа к информации требуют подготовки высококвалифицированных специалистов по защите информации. Целью учебной практики является ознакомление с программно аппаратными комплексами в сфере криптографической защиты информации и написание эссе, посвящённого одной из актуальнейших на сегодняшний день специальностей.

Задачами учебной практики являются:

· ознакомление с программно-аппаратными средствами криптографической защиты информации;

· изучение отечественных и зарубежных стандартов шифрования;

· ознакомление с базовыми принципами стеганографии;

· ознакомление с методами защиты информации от несанкционированного доступа.

Отчёт состоит из введения, двух глав: «моя специальность» и «программно-аппаратные средства защиты информации», заключения и библиографического списка.

1. МОЯ СПЕЦИАЛЬНОСТЬ

Характерной чертой современного общества является тот факт, что информация представляет собой один из важнейших ресурсов, а средства её обработки и хранения используются практически во всех сферах нашей деятельности – от обеспечения национальной безопасности и здравоохранения до покупок через интернет и межличностного общения. Постоянно увеличивается количество людей, занятых производством и потреблением информации, всё больше возрастает значимость знаний и доля умственного труда. Самые последние достижения человечества в области IT активно используются в нашей повседневной жизни, и с каждым днём увеличивается доля информационных технологий в жизни общества. Данный социальный и технологический процесс, который является основной движущей силой современного общества, называется «информатизация», а тип общества – информационным.

Таким образом, человечество уже на данном этапе своего развития зависит от информации и информационных технологий, обеспечивающих её хранение, обработку и распространение. Поэтому проблема обеспечения защищённости информации и информационных систем является одной из важнейших проблем современности.

Есть ряд причин, которыми обусловлена возрастающая актуальность проблемы обеспечения информационной безопасности:

· постоянное возрастание мощности компьютеров при одновременном упрощении их эксплуатации;

· усложнение технических средств обработки и передачи информации;

· всё большая интеграция информационных технологий в самые различные сферы деятельности;

· расширение круга пользователей, имеющих доступ к вычислительным ресурсам и массивам данных;

· развитие глобальных сетей передачи данных.

Важные проблемы информационной безопасности напрямую зависят от развития информационных технологий и от степени их проникновения в различные сферы деятельности общества. Поэтому специалист по защите информации не должен отставать от темпа развития информационного общества и всегда быть в курсе последних событий и инноваций в IT-сфере.

Одной из главных проблем сегодня является увеличение числа компьютерных преступлений. Согласно данным компании Group-IB, за 2011 год только в России было заработано около 4.5 миллиардов долларов с помощью компьютерных преступлений. Финансовые показатели мирового рынка компьютерной преступности в 2011 году составили 12.5 миллиардов долларов. Получается, что на долю нашей страны приходится почти треть всех преступных доходов, что почти в два раза превосходит прошлогодние показатели. Причём большую часть преступного рынка составляет интернет-мошенничество и спам. Так, интернет-мошенники за 2011 год заработали около 942 миллионов долларов. Спамеры – около 830 миллионов. Причём большая часть киберпреступлений остаётся нераскрытой и не регистрируется правоохранительными органами, а около 19 процентов нарушений было обнаружено случайно. Проблема состоит в том, что законодательство отстаёт от потребностей практики, и это особенно сказывается на обеспечении защиты от преднамеренных действий преступников.

Важным элементом развития информационного общества является информационная культура в узком её смысле – набор знаний об информационной среде, законах её функционирования и умение ориентироваться в информационных потоках. Эти знания будут способствовать общему снижению уровня компьютерной преступности. Также необходимо своевременно информировать общество о способах противодействия компьютерным преступлениям, о новых видах мошенничества. Можно с уверенностью сказать, что теоретические исследования проблем современного общества в IT-среде, нахождение решений и реализация их на практике лежит в области деятельности специалистов в сфере защиты информации. Таким образом, это одна из важнейших и актуальнейших профессий на сегодняшний день.

К области деятельности специалиста по защите информации также относится корпоративный сектор в рамках государственных учреждений либо коммерческих организаций, где необходимо выполнять одни из следующих видов деятельности: экспериментально-исследовательскую, проектную, организационно-управленческую либо эксплуатационную. Специалист по защите информации выполняет сложные работы, связанные с обеспечением комплексной защиты информации, разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов. Он организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации, проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли для выработки мер и принятия решений. Так же он анализирует существующие методы и средства, применяемые для защиты информации, и разрабатывает предложения по их совершенствованию. Специалист по защите информации должен знать основные виды угроз, а также принимать комплексные меры по противодействию им.

Таким образом, специалист по защите информации на предприятии должен выполнять следующие задачи:

Во-первых, это анализ и исследование, построение модели безопасности. Для этого необходимо знать основные направления экономического и социального развития отрасли, специализацию и особенности предприятия, специфику работы конкурентов, кадровые проблемы и т.д. Во-вторых – разработка организационно-правовых документов. Здесь необходимы знания законодательства и права, основ организации, планирования и управления предприятием.

В-третьих, специалист по защите информации руководит приобретением, установкой и настройкой программных и технических средств защиты.

В-четвертых – поддержка, обновление и модернизация созданной системы безопасности, управление персоналом и предприятием в контексте информационной безопасности, слежение за тенденциями в области ИБ и своевременное внедрение новых технологий и решений.

Кроме этого, специалист должен постоянно развиваться и совершенствоваться, чтобы не отставать от темпа развития современных информационных технологий.

2. ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

2.1 Программно – аппаратные средства криптографической защиты информации с закрытым ключом

На сегодняшний день шифрование широко применяются в компьютерной технике для сокрытия конфиденциальной информации от несанкционированного использования и для защищенной передачи информации между различными элементами информационной системы. Наука, изучающая алгоритмы и способы шифрования, называется криптография. На сегодняшний день криптография включает в себя четыре раздела:

· симметричные криптосистемы;

· ассиметричные криптосистемы;

· электронная подпись;

· управление ключами.

Существует два основных типа алгоритмов, основанных на ключах.

Это алгоритмы симметричные и ассиметричные. Также они называются алгоритмами с закрытым и алгоритмами с открытым ключом. Рассмотрим алгоритмы с закрытым ключом.

Симметричные алгоритмы представляют собой криптографические алгоритмы, в которых ключ шифрования может быть рассчитан по ключу дешифрования и наоборот. В большинстве симметричных алгоритмов ключи шифрования и дешифрования одни и те же. Такие алгоритмы требуют, чтобы отправитель и получатель согласовали используемый ключ перед началом зашифрованной передачи сообщений. Безопасность симметричного алгоритма определяется ключом, раскрытие которого означает, что кто угодно сможет прочитать зашифрованные сообщения.

Симметричные алгоритмы делятся на две категории. Одни обрабатывают открытый текст побитно. Они называются потоковыми алгоритмами, или потоковыми шифрами. Другие работают с группами битов открытого текста. Группы битов называются блоками, а алгоритмы – блочными алгоритмами, или блочными шифрами.

Для современных систем криптографической защиты информации сформулированы следующие общепринятые требования:

· зашифрованное сообщение должно поддаваться чтению только при наличии ключа;

· число операций, необходимых для расшифровывания информации путём перебора всевозможных ключей, должно выходить за пределы возможностей современных компьютеров;

· знание алгоритма шифрования не должно влиять на надёжность защиты;

· незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения;

· структурные элементы алгоритма шифрования должны быть неизменными;

· длина шифрованного текста должна быть равной длине исходного текста;

· не должно быть простых и легко устанавливаемых зависимостей между ключом и открытым текстом;

· любой ключ из множества возможных ключей должен обеспечивать надёжное шифрование;

· алгоритм должен допускать как программную, так и аппаратную реализацию.

Ключи, используемые в криптосистемах, в идеале должны быть случайными. Недопустимо использовать словарные слова и другие легко запоминающиеся ключи. Часто криптографические средства включают в себя средства генерации случайных последовательностей, что также обеспечивает дополнительную защиту.

Достоинства симметричных криптосистем:

· скорость вычислений;

· простота реализации;

· меньшая требуемая длина ключа;

· изученность.

Недостатки симметричных криптосистем:

· сложность управления ключами в большой сети;

· сложность обмена ключами.

2.1.1 Требования к используемым криптографическим средствам за рубежом и в России

Симметричный алгоритм блочного шифрования AES (Advanced Encryption Standard) принят в качестве стандарта шифрования правительством США. Спецификации алгоритма были опубликованы Национальным институтом стандартов и технологий США 26 ноября 2001 года. AES является самым распространённым алгоритмом симметричного шифрования в настоящее время. Поддержка данного алгоритма введена фирмой Intel в семейство процессоров, начиная с микроархитектуры Sandy Bridge. Алгоритм принят в качестве государственного стандарта шифрования, так как он соответствует определённым требованиям:

· 128-битный размер блока шифруемых данных;

· поддержка алгоритмом размеров ключей шифрования в 128, 192 и 256 бит;

· стойкость против известных атак;

· ясная, простая и обоснованная структура алгоритма;

· отсутствие коллизий;

· высокая скорость шифрования данных на всех потенциальных шифровальных платформах – от 8 битных до 64-битных;

· возможность параллельного выполнения операций в многопроцессорных системах.

Стандарт шифрования в Российской Федерации ГОСТ 28147-89 также относится к симметричным криптографическим алгоритмам. Он введён в действие с июля 1990 года и устанавливает единый алгоритм криптографических преобразований для систем обмена информацией в вычислительных сетях, а также определяет правила шифрования и расшифровки данных. ГОСТ 28147-89 является 64-битовым алгоритмом шифрования с 256-битовым ключом. Алгоритм удовлетворяет современным криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации. При использовании метода гаммирования алгоритм может выполнять функции поточного шифрования.

Данный стандарт удобен как для аппаратной, так и для программной реализации. При размере блока данных 64 бита основная работа ведется с половинами этого блока, что позволяет эффективно реализовать указанный стандарт шифрования на большинстве современных компьютеров.

Достоинства ГОСТ 28147-89:

· бесперспективность силовой атаки;

· эффективность реализации;

· высокое быстродействие;

· наличие защиты от навязывания ложных данных.

Недостатки ГОСТ 28147-89:

· невозможность определения криптостойкости алгоритма, не зная таблицы замен;

· возможная несовместимость реализаций алгоритмов от различных производителей, так как могут использоваться разные таблицы замен;

· возможность преднамеренного предоставления слабых таблиц замены;

· отсутствие в стандарте запрета на использование таблиц замены, в которых узлы не являются перестановками, что может привести к снижению криптостойкости шифра.

2.1.2 Российские и зарубежные системы криптографической защиты информации с закрытым ключом

На сегодняшний день существует достаточно много различных программно – аппаратных систем криптографической защиты информации, которые разрабатываются и производятся как в России, так и за рубежом.

Среди зарубежных средств криптографической защиты информации наиболее распространёнными являются:

· Crypton CSP;

· SecretDisk;

· Trusted TLS;

· File PRO;

· TrueCrypt;

· Secret Net.

Одним из известнейших зарубежных продуктов является программный комплекс TrueCrypt. Разрабатывается группой True Crypt Foundation под собственной лицензией TrueCrypt Collective Licence. Программа является бесплатной и предоставляется «как есть». Существуют версии под Windows, Mac OS X и Linux. Последней стабильной версией программы на сегодня является версия 7.1а.

Назначение программы – создание виртуального зашифрованного логического диска, который хранится в виде файла. Смонтированный том TrueCrypt определяется системой как обычный логический диск.

Основные функции программы:

· создание виртуального зашифрованного диска в виде файла-контейнера, который монтируется в системе как обычный диск;

· шифрование разделов жесткого диска с возможностью шифровать системный раздел;

· шифрование содержимого flash-накопителей;

· шифрование «на лету» с возможностью предзагрузочной аутентификации.

Возможности программы:

· поддержка скрытых томов;

· создание неидентифицируемых томов;

· возможность создания динамического криптоконтейнера, размер которого увеличивается по мере накопления данных;

· поддержка трёх основных алгоритмов шифрования – AES, Serpent и Twofish;

· поддержка каскадного шифрования несколькими алгоритмами

· встроенная функция удаления данных;

· поддержка нескольких хэш-функций.

Из массы других программных комплексов TrueCrypt выделяется скоростью работы. Благодаря многопоточной архитектуре приложение хорошо работает с многоядерными системами. Также несомненным плюсом является открытость исходного кода, что практически исключает возможность встроенных бэкдоров и программных закладок.

Среди средств шифрования отечественного производства себя зарекомендовали такие системы, как:

· Беркут;

· Домен-К;

· КриптоАрм;

· КриптоПро CSP.

Подробней рассмотрим средство криптографической защиты информации отечественного производства под названием КриптоПро CSP.

Данный продукт разработан ООО «Крипто-Про». Последняя версия продукта – КриптоПро CSP 3.6 R2. Год выпуска – 2010. Имеется сертификат соответствия, выданный ФСБ России.

Данный продукт может использоваться для:

· авторизации и обеспечения юридической значимости электронных документов посредством формирования и проверки электронной цифровой подписи;

· обеспечения конфиденциальности и контроля целостности информации посредством её шифрования и имитозащиты;

· контроля системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или нарушения правильности функционирования.

Основные характеристики продукта:

· длина закрытого ключа электронной цифровой подписи – 256 бит;

· длина открытого ключа электронной цифровой подписи – 512 или 1024 бита;

· длина закрытого ключа, используемого при шифровании – 256 бит;

· длина открытого ключа – 512 или 1024 бит.

Типы ключевых носителей:

· дискета 3,5″;

· процессорные карты MPCOS-EMV и российские интеллектуальные карты Оскар, Рик;

· таблетки Touch-Memory DS1993 – DS1996 с использованием устройств Аккорд 4+;

· электронный ключ с интерфейсом USB;

· сменный носитель с интерфейсом USB;

· реестр ОС Windows;

· файлы ос Solaris/Linux/FreeBSD.

Таким образом, данный продукт соответствует всем стандартам и требованиям, предъявляемым к средствам криптографической защиты информации. Также он содержит все компоненты, необходимые для обеспечения комплексной криптографической защиты информации.

Преимуществом продукта является поддержка всех современных типов ключевых носителей, а также возможность работы как на Windows, так и на *nix платформах.

2.2 Программно-аппаратные средства криптографической защиты информации с открытым ключом

Криптографическая система с открытым ключом – система шифрования, при которой ключ, используемый для шифрования, отличается от ключа, используемого для дешифрования, причём ключ дешифрования не может быть рассчитан по ключу шифрования и наоборот. Также криптографическая система с открытым ключом называется ассиметричной криптосистемой, а алгоритмы шифрования – ассиметричными алгоритмами. Данная система называется системой с открытым ключом потому, что ключ шифрования может быть открыт для всех пользователей. Кто угодно может использовать этот ключ для шифрования сообщения, но только обладатель ключа дешифрования сможет расшифровать это сообщение. Ключ дешифрования также называют закрытым ключом. Поэтому при обмене информацией с помощью ассиметричных криптосистем каждый пользователь должен иметь в своём распоряжении пару взаимосвязанных ключей.

Криптографические системы с открытым ключом можно использовать:

· в качестве средства шифрования передаваемой и хранимой информации;

· в качестве средства распределения ключей;

· в качестве средства аутентификации пользователей.

Важным преимуществом ассиметричных алгоритмов перед симметричными является отсутствие необходимости предварительной передачи секретного ключа. Основным недостатком является вычислительная сложность, а следовательно, большие затраты ресурсов по сравнению с симметричными алгоритмами. Поэтому на практике ассиметричные криптосистемы используются для передачи секретного ключа, а дальнейший обмен информацией производится уже с помощью симметричных криптосистем.

Преимущества ассиметричных криптосистем:

· отсутствие необходимости предварительной передачи секретного ключа;

· закрытый ключ уникален для каждого пользователя, в то время как в симметричных криптосистемах один ключ известен множеству пользователей;

· в больших сетях число ключей при использовании ассиметричной криптосистемы значительно меньше, чем при использовании симметричной.

Недостатки ассиметричных криптосистем:

· необходимость использования более длинных ключей;

· сложность и ресурсоёмкость вычислений.

В настоящее время существует множество различных алгоритмов ассиметричного шифрования. Самыми распространёнными на сегодняшний день являются:

· RSA;

· DSA;

· Elgamal;

· Diffie-Hellman;

· ECDSA;

· Rabin;

· ГОСТ Р 34.10-2001;

· McEliece.

стеганография шифрование открытый ключ

2.2.1 Зарубежные системы шифрования с открытым ключом

В настоящее время наиболее развитым методом криптографической защиты информации с известным ключом является RSA, названный так по начальным буквам фамилий его изобретателей (Rivest, Shamir и Adleman). Криптостойкость данного алгоритма основывается на предположении, что исключительно трудно определить секретный ключ по известному, поскольку для этого необходимо решить задачу о существовании делителей целого числа. Данная задача является NP – полной. Известные точные алгоритмы для решения данной задачи имеют экспоненциальную оценку вычислительной сложности, следствием чего является невозможность получения точных решений для задач большой и даже средней размерности.

Таким образом, единственным способом атаки на данный алгоритм является метод грубой силы. Поэтому для обеспечения эквивалентного уровня защиты ключ асимметричной криптосистемы должен быть гораздо длиннее ключа симметричной криптосистемы. Это сразу же сказывается на вычислительных ресурсах, требуемых для шифрования. Для того чтобы избежать низкой скорости алгоритмов асимметричного шифрования, генерируется временный симметричный ключ для каждого сообщения и только он шифруется асимметричными алгоритмами.

Само сообщение шифруется с использованием этого временного сеансового ключа. Затем этот сеансовый ключ шифруется с помощью открытого асимметричного ключа получателя и асимметричного алгоритма шифрования.

После этого этот зашифрованный сеансовый ключ вместе с зашифрованным сообщением передается получателю. Получатель использует тот же самый асимметричный алгоритм шифрования и свой секретный ключ для расшифровки сеансового ключа, а полученный сеансовый ключ используется для расшифровки самого сообщения.

В асимметричных криптосистемах важно, чтобы сеансовые и асимметричные ключи были сопоставимы в отношении уровня безопасности, который они обеспечивают.

В 1991 году в США был опубликован проект федерального стандарта цифровой подписи DSS (Digital Signature Standard), описывающий систему цифровой подписи DSA. Одним из основных критериев при создании проекта была его патентная чистота. Предлагаемый алгоритм DSA, имеет, как и RSA, теоретико-числовой характер, и основан на криптографической системе Эль-Гамаля в варианте Шнорра. Его надежность основана на практической неразрешимости определенного частного случая задачи вычисления дискретного логарифма. Современные методы решения этой задачи имеют приблизительно ту же эффективность, что и методы решения задачи факторизации; в связи с этим предлагается использовать ключи длиной от 512 до 1024 бит с теми же характеристиками надежности, что и в системе RSA. Длина подписи в системе DSA меньше, чем в RSA, и составляет 320 бит. С момента опубликования проект получил много критических отзывов, многие из которых были учтены при его доработке. Одним из главных аргументов против DSA является то, что, в отличие от общей задачи вычисления дискретного логарифма, ее частный случай, использованный в данной схеме, мало изучен и, возможно, имеет существенно меньшую сложность вскрытия. Функции DSA ограничены только цифровой подписью, система принципиально не предназначена для шифрования данных.

Один из стандартов, позволяющих выполнять операции ассиметричного шифрования и цифровой подписи, называется OpenPGP. Основан данный стандарт на библиотеках функций PGP (Pretty Good Privacy). Ввиду проблем с лицензированием некоторых алгоритмов, использующихся в программе PGP, силами Free Software Foundation и был создан этот стандарт. Свободной реализацией нового стандарта стала программа GNU Privacy Guard. Существуют версии программы под Linux и Windows.

Особенности GNUPG:

· полная альтернатива PGP;

· не использует коммерческие алгоритмы;

· распространяется под лицензией GNU GPL;

· совместимость с PGP 5, 6, 7.

· поддержка электронной подписи с помощью алгоритмов ElGamal, DSA, RSA и хэш-функций MD5, SHA-1, SHA-2.

· поддержка ассиметричных алгоритмов ElGamal и RSA с длиной ключа от 1024 до 4096 бит;

· поддержка блочных алгоритмов симметричного шифрования AES, 3DES, Blowfish, Twofish.

· возможность расширения за счёт дополнительных модулей

Преимущества данной программы заключаются в совместимости с такими почтовыми клиентами, как Mozilla Thunderbird, The Bat!. Также функцию шифрования и цифровой подписи можно использовать с другими почтовыми клиентами при помощи программы GPGrelay.

2.2.2 Отечественные системы шифрования с открытым ключом

Программно-аппаратный комплекс «Удостоверяющий Центр «КриптоПро УЦ» является первым в Российской Федерации специализированным программно-аппаратным комплексом, успешно прошедшим сертификационные испытания и получившим сертификат соответствия ФСБ России. С момента получения первого сертификата соответствия данный комплекс неоднократно модернизировался, качество новых версий комплекса подтверждалось новыми сертификатами соответствия ФСБ России. Свидетельством отличных эксплуатационных характеристик является его широкое применение как органами государственной власти и местного самоуправления, так и субъектами малого, среднего и крупного бизнеса всех отраслей.

Программно-аппаратный комплекс «КриптоПро УЦ» предназначен для выполнения организационно-технических мероприятий по обеспечению участников автоматизированных информационных систем средствами применения электронной подписи в целях:

· контроля целостности и авторства электронных документов, передаваемых в АИС;

· проверки подлинности взаимодействующих программных компонентов и конфиденциальности передаваемых данных при информационном взаимодействии;

· создания системы юридически значимой электронной цифровой подписи в системах электронного документооборота;

· обеспечения безопасности и разграничения доступа при взаимодействии субъектов АИС.

Таким образом, мы выяснили, что в настоящее время средства криптографической защиты информации достаточно развиты как за рубежом, так и в нашей стране. Наиболее перспективным нам видится использование комплексных систем защиты информации, которые могут использовать преимущества различных алгоритмов шифрования и электронной подписи. Также важной составляющей программно-аппаратных средств криптографической защиты информации являются алгоритмы генерации ключевых последовательностей и надёжные способы хранения и передачи полученных ключей.

3. Стеганография

Стеганография – наука о скрытой передаче информации путём сохранения в тайне самого факта передачи сообщения.

Слово “стеганография” в переводе с греческого буквально означает “тайнопись” (steganos – секрет, тайна; graphy – запись). К ней относится огромное множество секретных средств связи, таких как невидимые чернила, микрофотоснимки, условное расположение знаков, тайные каналы и средства связи на плавающих частотах и т. д.

В отличие от криптографии, которая скрывает содержимое сообщения, стеганография скрывает сам факт его существования. Как правило, сообщение будет выглядеть как что-либо иное, например, как изображение, статья, список покупок или письмо. Стеганографию обычно используют совместно с криптографией.

Преимущество стеганографии над чистой криптографией состоит в том, что сообщения не привлекают к себе внимания. Сообщения, факт шифрования и передачи которых не скрыт, могут вызывать подозрения. Таким образом, криптография защищает содержание сообщения, а стеганография защищает сам факт наличия каких-либо скрытых посланий.

В наше время существует три типа стеганографии – классическая, компьютерная и цифровая.

3.1 Основные программы стеганографии

S-Tools 4.0 – Программа для скрытия данных от посторонних глаз. Работает без инсталляции. Использует метод стеганографии – данные прячутся в файлах графики (BMP или GIF) или музыкальном WAV-файле, которые внешне не отличаются от аналогичных файлов, не несущих спрятанной информации (картинку можно посмотреть, музыку можно послушать). Дело в том, что оцифрованные файлы (те же *.bmp или *.wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны). Кроме этого, программа позволяет не только спрятать информацию во внешне ничем не примечательном файле, но и зашифровать ее Softsearch. URL: http://softsearch.ru/programs/133-068-s-tools-download.shtml..

Steganos Privacy Suite – (раньше называлась Security Suite) – cамая известная из программ, использующих стеганографию – способ шифрования данных, который скрывает сам факт шифрования. Для этого зашифрованные данные “прячутся” в файлах графики, или музыкальном файле, которые внешне ничем не отличаются от аналогичных файлов, не несущих зашифрованной информации – картинку можно посмотреть, музыку можно послушать.

Дело в том, что оцифрованные файлы (те же *.bmp или *.wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны).

От аналогичных программ Steganos Security Suite выгодно отличается способностью скрывать данные не только в файлах форматов wav и bmp, но и в html и даже в обычных текстовых. Не будет лишней и имеющаяся функция удаления файлов без возможности их восстановить. Кроме этого, программа поддерживает 256-битное шифрование по стандарту AES, удаление всех следов нахождения в Интернете, имеет модуль шифрования почты, позволяющий вести шифрованную переписку, а также менеджер паролей. Имеется и такая полезная опция, как блокирование компьютера от посторонних Softodrom. URL: http://soft.softodrom.ru/ap/Steganos-Privacy-Suite-p901..

3.2 Компьютерная стеганография

Компьютерная стеганография – направление стеганографии, основанное на особенностях компьютерной платформы. Основные положения современной компьютерной стеганографии следующие:

· методы скрытия должны обеспечивать аутентичность и целостность файла;

· безопасность методов основывается на сохранении стеганографическим преобразованием основных свойств открыто передаваемого файла при внесении в него секретного сообщения;

· извлечение секретного сообщения представляет сложную вычислительную задачу для противника.

Примеры компьютерной стеганографии:

· использование зарезервированных полей компьютерных форматов файлов;

· скрытие информации в неиспользуемых местах носителей информации;

· использование особых свойств полей форматов, которые не отображаются на экране;

· использование особенностей файловых систем.

3.3 Цифровая стенография

Цифровая стеганография – направление стеганографии, основанное на сокрытии или внедрении дополнительной информации в цифровые объекты. Чаще всего данный метод основывается на избыточности аудиовизуальной информации. Как правило, внесение искажений, которые находятся ниже порога чувствительности человека, не приводит к заметным изменениям этой информации.

Все алгоритмы встраивания скрытой информации можно разделить на несколько подгрупп:

· алгоритмы, использующие особенности цифрового сигнала;

· алгоритмы, использующие встраивание скрытой информации;

· алгоритмы, использующие особенности форматов файлов.

Существует несколько основных методов стеганографии – метод суррогатной, метод селективной и метод конструирующей стеганографии.

В методах суррогатной стеганографии отсутствует возможность выбора контейнера и для сокрытия сообщения выбирается первый попавшийся контейнер, зачастую не совсем подходящий к встраиваемому сообщению. В этом случае, биты контейнера заменяются битами скрываемого сообщения таким образом, чтобы это изменение не было заметным. Основным недостатком метода является то, он позволяет скрывать лишь незначительное количество данных.

В методах селективной стеганографии предполагается, что спрятанное сообщение должно воспроизводить специальные статистические характеристики шума контейнера. Для этого генерируют большое число альтернативных контейнеров, чтобы затем выбрать наиболее подходящий из них для конкретного сообщения. Частным случаем такого подхода является вычисление некоторой хеш-функция для каждого контейнера. При этом для сокрытия сообщения выбирается тот контейнер, хеш-функции которого совпадает со значением хеш-функции сообщения.

В методах конструирующей стеганографии контейнер генерируется самой стегосистемой. Здесь может быть несколько вариантов реализации. Так, например, шум контейнера может моделироваться скрываемым сообщением. Это реализуется с помощью процедур, которые не только кодируют скрываемое сообщение под шум, но и сохраняют модель первоначального шума. В предельном случае по модели шума может строиться целое сообщение.

Основные задачи, для решения которых можно использовать компьютерную и цифровую стеганографию:

· защита конфиденциальной информации от несанкционированного доступа;

· преодоление систем мониторинга и управления сетевыми ресурсами;

· камуфлирование программного обеспечения;

· защита авторского права на некоторые виды интеллектуальной собственности.

Защита конфиденциальной информации от несанкционированного доступа – это область, в которой использование компьютерной стеганографии является наиболее эффективным. Например, одна секунда оцифрованного звука с частотой дискретизации 44100 Гц и разрядностью 8 бит позволяет скрыть за счет замены наименее значимых разрядов около 10 килобайт информации. При этом изменение звука практически не обнаруживается при прослушивании файла человеком.

Стеганографические методы, направленные на противодействие системам мониторинга и управления сетевыми ресурсами позволяют противостоять попыткам промышленного шпионажа.

Другой важной задачей стеганографии является камуфлирование программного обеспечения. При необходимости нужное ПО может быть закамуфлировано под стандартные программные продукты или скрыто в файлах мультимедиа. Довольно часто этот метод стеганографии используют создатели компьютерных вирусов и другого нежелательного ПО.

Ещё одной областью использования стеганографии является защита авторского права. На графические изображения может наноситься специальная метка, которая остаётся невидимой для глаз, но распознаётся специальным ПО и позволяет однозначно идентифицировать файл.

Таким образом, современная стеганография наряду с криптографией представляет множество средств защиты информации, и лучшим решением будет комбинирование как криптографических, так и стеганографических методов.

Основные программы стеганографии.

S-Tools 4.0 – Программа для скрытия данных от посторонних глаз. Работает без инсталляции. Использует метод стеганографии – данные прячутся в файлах графики (BMP или GIF) или музыкальном WAV-файле, которые внешне не отличаются от аналогичных файлов, не несущих спрятанной информации (картинку можно посмотреть, музыку можно послушать). Дело в том, что оцифрованные файлы (те же *.bmp или *.wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны). Кроме этого, программа позволяет не только спрятать информацию во внешне ничем не примечательном файле, но и зашифровать ее Softsearch. URL: http://softsearch.ru/programs/133-068-s-tools-download.shtml..

Steganos Privacy Suite – (раньше называлась Security Suite) – cамая известная из программ, использующих стеганографию – способ шифрования данных, который скрывает сам факт шифрования. Для этого зашифрованные данные “прячутся” в файлах графики, или музыкальном файле, которые внешне ничем не отличаются от аналогичных файлов, не несущих зашифрованной информации – картинку можно посмотреть, музыку можно послушать.

Дело в том, что оцифрованные файлы (те же *.bmp или *.wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны).

От аналогичных программ Steganos Security Suite выгодно отличается способностью скрывать данные не только в файлах форматов wav и bmp, но и в html и даже в обычных текстовых. Не будет лишней и имеющаяся функция удаления файлов без возможности их восстановить. Кроме этого, программа поддерживает 256-битное шифрование по стандарту AES, удаление всех следов нахождения в Интернете, имеет модуль шифрования почты, позволяющий вести шифрованную переписку, а также менеджер паролей. Имеется и такая полезная опция, как блокирование компьютера от посторонних.

3.4 Защита информации от несанкционированного доступа

Несанкционированный доступ – доступ к информации со стороны лиц, не имеющих разрешение на получение этой информации. Также несанкционированным доступом называется получение доступа к информации в объёме, превышающем необходимый для выполнения служебных обязанностей. Риски, которые несут современные предприятия в связи с НСД, сделали этот фактор одной из наиболее опасных угроз при работе с информацией. Таким образом, в системе защиты информации на первом месте находится защита от несанкционированного доступа.

Наиболее частыми причинами несанкционированного доступа к информации являются:

· ошибки конфигурации;

· слабая защищённость средств авторизации;

· физический доступ к плохо охраняемому оборудованию;

· ошибки в программном обеспечении;

· злоупотребление служебными полномочиями;

· прослушивание каналов связи при использовании незащищённых соединений;

· проникновение клавиатурных шпионов, вирусов и троянов на компьютеры сотрудников.

Средства защиты информации от несанкционированного доступа можно условно разделить на следующие категории:

· средства, затрудняющие физический доступ к объектам

· аппаратные и программные средства защиты информации

· организационные средства защиты информации

Программные и аппаратные средства в свою очередь можно разделить на:

· средства управления доступом;

· средства регистрации и учёта;

· криптографические средства;

· средства обеспечения целостности;

· средства антивирусной защиты;

· средства обнаружения вторжений.

Важным моментом является то, что о надёжной защите объекта можно говорить только при реализации системного подхода, то есть при комплексном применении программных и аппаратных средств вместе с организационными мерами.

ЗАКЛЮЧЕНИЕ

Во время прохождения учебной практики мы ознакомились с актуальными проблемами защиты информации в современном информационном обществе. Также мы ознакомились с отечественными и зарубежными разработками в области программно-аппаратных средств криптографической защиты информации, выяснили используемые алгоритмы шифрования, а также узнали различные способы стеганографической защиты информации.

После изучения материалов по теме мы сделали вывод, что наиболее перспективным направлением в сфере программно-аппаратной защиты информации является создание комплексных систем, решающих широкий круг задач. Примерами таких систем являются изученные нами два программно-аппаратных комплекса Российского производства: Крипто-Про УЦ и Крипто-Про CSP.

С другой стороны, существует набор узкоспециализированных инструментов, с помощью которых можно решать локальные задачи, не требующие комплексного подхода. Такими инструментами являются свободные программные продукты TrueCrypt и GNU Privacy Guard.

Можно сказать, что современные программно-аппаратные системы защиты информации находятся на достаточно высоком уровне, который практически всегда соответствует требованиям общества и государства. Однако, невозможно обойтись без своевременного внедрения и последующей грамотной эксплуатации данных систем. Также всегда стоит учитывать тот факт, что человечество постоянно развивается, и для решения новых задач потребуются все знания и умения специалиста по информационной безопасности, который должен всё время следить за изменяющимися потребностями общества в данной сфере.

Все задачи, поставленные в ходе учебной практики, успешно выполнены.

Библиографический список

1. Алексенцев А.И. История и современные системы защиты информации в России: учеб.-метод. комплекс / А.И. Алексенцев, В.И. Еремеева, И.А.Комочкова. – М.:РГГУ, 2002. -102 с.

2. Бузов Г.А. Практическое руководство по выявлению специальных технических средств несанкционированного получения информации / Г.А. Бузов. – М.: Горячая линия-Телеком, 2010. – 237 с.

3. Варакута С.А. Связи с общественностью: учеб. пособие / С.А. Варакута, Ю. Н. Егоров. – М.: ИНФРА-М, 2003. – 246 с.

4. Гашков С.Б. Криптографические методы защиты информации: учеб. пособие для студентов вузов / С.Б. Гашков, Э.А. Применко, М.А. Черепнев. – М.: Академия, 2010. – 297 с.

5. Грибунин В.Г. Комплексная система защиты информации на предприятии: учеб. пособие для студентов вузов / В.Г. Грибунин, В.В. Чудовский. – М.: Академия, 2009. – 411 с.

6. Гришина Н.В. Комплексная система защиты информации на предприятии: учеб. пособие для студентов вузов / Н.В. Гришина. – М.: ФОРУМ, 2011. – 238 с.

7. Грушо А.А. Теоретические основы компьютерной безопасности: учеб. пособие для студентов вузов / А.А. Грушо, Э.А. Применко, Е.Е. Тимонина. – М.: Академия, 2009. – 267 с.

8. Девянин П.Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками: учеб. пособие для студентов вузов / П.Н. Девянин. – М.: Горячая линия-Телеком, 2011. – 319 с.

9. Домарев В.К Безопасность информационных технологий. Методология создания систем защиты / Домарев В.К.: ООО “ТИД “ДС” 2002 – 666 c.

10. Дорошенко В.Б. Учебно-методический комплекс по дисциплине Безопасность распределенных систем”: для специальности 090103.65. – Организация и технология защиты информации” / В.Б. Дорошенко – Пятигорск: ПГЛУ, 2011. – 27 с.

11. Дорошенко В.Б. Учебно-методический комплекс по дисциплине Комплексная система защиты информации на предприятии”: для специальности 090103.65. – “Организация и технология защиты информации” В.Б. Дорошенко – Пятигорск: ПГЛУ, 2011. – 32 с.

12. Коноплева И.А. Информационные технологии: учеб. пособие / И.А. Коноплева, О.А. Хохлова, А.В. Денисов . – М.: Проспект, 2007. – 294 с.

13. Лисавол Л.А. Учебно-методический комплекс по дисциплине “Средства обепечения корпоративных информационных систем”: для специальности 090103.65 “Организация и технология защиты информации” / Л.А. Лисавол – Пятигорск: ПГЛУ, 2011. – 38 с.

14. Минаев. В.В. Организация и технология защиты информации государственный образовательный стандарт высшего профессионального образования и примерные программы дисциплин федерального компонента / отв. ред. В.В. Минаев. – М.: РГГУ, 2001. – 358 с.

15. Михайлов А.В. Компьютерные вирусы и борьба с ними / А.В. Михайлов . – М.: Диалог-МИФИ, 2011. – 103 с.

16. Очаков А.К. Учебно-методический комплекс по дисциплине “Инженерно-техническая защита информации”: для специальности 090103.65. – “Организация и технология защиты информации” / А. К. Очаков Пятигорск: ПГЛУ, 2011. – 44 с.

17. Петренко С.А. Политики информационной безопасности / С.А. Петренко, В. А. Курбатов. – М.: Академия АйТи, 2006. – 394 с.

18. Писаренко Е.А. Учебно-методический комплекс по дисциплине “Базы данных”: для специальности 090103.65 “Организация и технология защиты информации” / Е.А. Писаренко – Пятигорск: ПГЛУ, 2011. – 45 с.

19. Рындюк В.А. Учебно-методический комплекс по дисциплине “История и современная система защиты информации в России”: для специальности 090103.65 “Организация и технология защиты информации” / В. А. Рындюк ; Пятиг. гос. лингвист. ун-т. – Пятигорск: ПГЛУ, 2011. – 47 с.

20. Рындюк В.А. Учебно-методический комплекс по дисциплине “Основы информационной безопасности”: для направления подготовки 090900.62 “Информационная безопасность”. Профиль. – “Организация и технология защиты информации” / В.А. Рындюк – Пятигорск: ПГЛУ, 2011. – 66 с.

21. Рындюк В.А. Учебно-методический комплекс по дисциплине “Системы защиты информации в ведущих зарубежных странах”: для специальности 090103.65 “Организация и технология защиты информации” очная форма обучения / В.А. Рындюк – Пятигорск: ПГЛУ, 2011. – 35 с.

22. Соловьев Э.Я. Коммерческая тайна и ее защита / Э.Я. Соловьев. – М.: ИВФ Антал, 1996. – 57 с.

23. Трофимова В.В. Информационные технологии в экономике и управлении учебник / под ред. В.В. Трофимова. – М.: Юрайт, 2011. – 478 с.

24. Черников Б.В. Информационные технологии управления: учебник / Б.В. Черников. – М.: ФОРУМ, 2008. – 351 с.

25. Ярочкин В.И. Информационная безопасность: учебник для вузов / В.И. Ярочкин . – М.: Академический Проект, 2008. – 542 с.

Средства защиты информации [Справочно-правовая система по информационной безопасности]

К средствам защиты конфиденциальной информации относятся, в том числе:

К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

средства шифрования — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

средства имитозащиты — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

средства электронной подписи;

средства кодирования — средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

средства изготовления ключевых документов — аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

аппаратные шифровальные (криптографические) средства — устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

программные шифровальные (криптографические) средства — программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

программно-аппаратные шифровальные (криптографические) средства — устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.

Российские устройства шифрования на L2 для сетей Ethernet

Что такое шифрование на L2 и зачем оно нужно, какие бывают категории устройств для шифрования в сетях Ethernet и в чём состоят их особенности, какие модели специализированных шифраторов доступны отечественным заказчикам? Мы собрали ответы на эти вопросы, а также рассмотрели российский рынок такой техники.

 

 

 

 

1. Введение
2. Шифрование на L2
3. Российский рынок устройств шифрования для сетей L2
4. Dcrypt XG (ТСС)
5. ViPNet L2-10G («ИнфоТеКС»)
6. «Палиндром» («СИС крипто»)
7. Выводы

 

Введение

Облачные вычисления, объединённые коммуникации, виртуализация, синхронная репликация баз данных, сети хранения информации (Storage Area Network, SAN) — всё это требует, с одной стороны, максимальной пропускной способности сети, а с другой стороны — минимальных задержек. Когда эти задачи вышли за пределы одного ЦОДа или кампуса, традиционные технологии распределённых сетей, такие как маршрутизация IP на синхронных оптических каналах, перестали справляться. Вот почему растёт интерес к распределённым коммутируемым сетям Ethernet со связностью на L2 (уровне звена данных эталонной модели OSI) — как операторским (их ещё называют L2 VPN), так и частным.

Вместе с тем всё серьёзнее становятся угрозы перехвата данных в таких сетях: с одной стороны — из-за роста объёма передаваемых через них конфиденциальных данных, с другой стороны — из-за уязвимости каналов (в том числе оптических) этих сетей для перехвата. Ведь общепринятая защита от этой угрозы — шифрование каналов, но при этом нет единого, принятого всеми стандарта шифрования на L2 для распределённых сетей Ethernet.

Тем не менее уже давно на мировом и российском рынке есть устройства для межсайтового шифрования в сетях L2. Эти устройства разнообразны, но их можно отнести к нескольким категориям. Хотя криптошлюзы (о них на Anti-Malware.ru уже писали) шифруют трафик на уровне L3 или выше (и поэтому не попали в этот обзор), с их помощью можно объединять сегменты на L2 через зашифрованную IP-сеть. А в прошлом году на российском рынке появился новый класс устройств — шифраторы L2. Введение в шифрование на L2 и обзор высокоскоростных шифраторов Ethernet — в нашей статье.

 

Шифрование на L2

Хотя термин «шифрование на L2» используется повсеместно (и не только в жаргоне «сетевиков» и «безопасников», но и в официальных брошюрах, технических описаниях, руководствах производителей), почти никто не объясняет, что это такое. Фактически это — шифрование поля данных кадра Ethernet с сохранением (в зашифрованном или открытом виде) исходной адресной информации (EtherType и MAC-адресов отправителя и получателя). Иногда, вспоминая о том, что L2 ещё называют канальным уровнем, шифрование L2 тоже именуют канальным, но нужно помнить, что этот же термин используют и для обозначения разновидности межпортового (позвенного) шифрования, при которой кадр шифруется целиком.

Шифрование на L2 может быть реализовано в разных режимах передачи. В транспортном режиме защищается только поле данных, а заголовки остаются незашифрованными, поэтому кадры можно передавать через коммутируемую сеть (с некоторыми ухищрениями — и через сеть MPLS), а накладные расходы (избыточность) из-за шифрования остаются умеренными. В туннельном режиме кадр целиком шифруется и инкапсулируется в блок данных другого пакета, в том числе и более высокого уровня (например, UDP), благодаря чему можно маршрутизировать зашифрованный на L2 трафик через IP-сеть (правда, и накладные расходы из-за дублирования заголовков здесь велики, и особенно это заметно на коротких кадрах).

 

Рисунок 1. Транспортный и туннельный режимы шифрования на L2

 

 

У шифрования на L2 есть два основных преимущества. Во-первых, так как полностью шифруются не только собственно пользовательские данные, но и вся адресная и служебная информация протоколов L3 и выше (а иногда и самого L2), злоумышленникам сложнее вскрыть структуру сети и реализовать атаки типа спуфинга. Во-вторых, его можно применять там, где оконечным узлам (станциям) сети нужна связность на L2, по MAC-адресам и EtherType — например, для инфраструктуры виртуальных машин или для «растягивания» VLAN между площадками. Вот почему для всех основных сценариев межсайтового шифрования (защита каналов между ЦОДами, подключение к коммерческому ЦОДу, связь между филиалами) есть большая потребность в шифровании на L2, но до последнего времени предложение отставало от спроса.

 

Российский рынок устройств шифрования для сетей L2

Межсайтовое шифрование на L2 можно реализовать с помощью программных пакетов в среде одной из операционных систем общего назначения (обычно — Linux), установленной на универсальном (чаще — серверном) оборудовании; такой подход ещё называют «программным». Однако в обзоре речь пойдёт только о так называемых «аппаратных» решениях — специализированных устройствах, фактически программно-аппаратных комплексах (ПАК), состоящих из оборудования и встроенного ПО, которые функционируют только совместно и только для выполнения заранее определённых задач. У каждого из подходов есть свои «плюсы» и «минусы», но в среде крупных предприятий распространение получил второй.

Долгое время на российском рынке не было специализированных устройств для шифрования каналов сетей Ethernet на L2, поэтому приходилось выбирать из следующих вариантов.

Во-первых, доступны отечественные гибридные устройства. Они могут называться комплексами безопасности, шлюзами безопасности, криптошлюзами. Обычно они объединяют в себе возможности межсетевого экранирования, удалённого доступа VPN-клиентов и межсайтового шифрования. Как известно, в России для большинства сценариев сетевой криптозащиты требуются средства, удовлетворяющие требованиям технических регламентов (то есть имеющие сертификаты ФСБ России), и выбирать обычно приходится среди решений, допускающих применение российского набора алгоритмов шифрования семейства ГОСТ. Именно это обстоятельство и породило подобные устройства: зарубежной техники такого типа с сертификатами ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам нет, поэтому российские разработки образуют по факту отдельную рыночную категорию. Для межсайтового шифрования используются протоколы IPsec (это L3) или собственные, фирменные протоколы шифрования L3 или L4. Через зашифрованную с их помощью IP-сеть можно безопасно связать на L2 несколько сетевых сегментов (L2 over L3), получив таким образом защищенную виртуальную сеть L2. За шифрование отвечает криптомодуль с алгоритмами семейства ГОСТ в среде ОС Linux или FreeBSD. Обычно используется «программное» (средствами центрального процессора) шифрование с ограниченной пропускной способностью, существенными накладными расходами (десятки байт на пакет) и большой задержкой (порядка миллисекунд). В некоторых верхних моделях (10 Гбит/с и больше) применяются аппаратные криптоускорители на базе FPGA (программируемых логических интегральных схем, ПЛИС). Используются специализированные компактные (настольные) или 19-дюймовые корпуса, некоторые производители предлагают установку криптомодуля на стандартные серверы (при этом требуется отдельная платная сертификация).

Во-вторых, канал между коммутаторами или маршрутизаторами Ethernet можно защитить с помощью шифрования на L2 по стандарту MACsec. Модели с поддержкой этой технологии сейчас есть у большинства ведущих производителей сетевого оборудования. MACsec — это попытка стандартизировать шифрование в сетях Ethernet. MACsec шифрует весь трафик, проходящий между смежными устройствами, с помощью специализированной микросхемы (ASIC) сетевого интерфейса. Есть фирменные адаптации MACsec для использования в операторских сетях. Для активации шифрования чаще всего требуется дополнительная платная лицензия. Используется алгоритм шифрования AES с ограниченным набором криптографических протоколов. Так как шифрование ГОСТ не поддерживается, то использовать MACsec можно только там, где не нужна сертификация средств криптозащиты.

В-третьих, существуют гибридные устройства ведущих зарубежных производителей сетевого оборудования и межсетевых экранов, объединяющие в себе функции межсайтового шифрования L3 / L4, маршрутизатора, брандмауэра, балансировщика нагрузки, антивируса и VPN-шлюза. Такие универсальные устройства обычно называются маршрутизаторами или межсетевыми экранами следующего поколения. Они построены на базе сложного высокопроизводительного оборудования и фирменной ОС, предоставляют широкий набор функций и развитые средства управления. Многие из этих устройств также могут шифровать трафик Ethernet на L2 с помощью протокола MACsec. Ахиллесовой пятой таких устройств, которая ограничивает возможность их использования для сетевого шифрования в России только отдельными нишевыми сценариями, является отсутствие сертификатов ФСБ России.

Наконец, есть так называемые высокоскоростные шифраторы Ethernet (сейчас появились устройства с поддержкой набора алгоритмов ГОСТ, а ранее были доступны только зарубежные модели с алгоритмами AES). Они предназначены для шифрования трафика в распределённых сетях Ethernet. Отличительные особенности этих устройств — фирменные протоколы со сквозным шифрованием на L2 и специализированная аппаратная платформа со встроенным криптоускорителем на FPGA. Высокоскоростными они называются потому, что работают на полной скорости линии во всём диапазоне длин кадров (то есть не теряют их даже при полной загрузке канала) и, кроме того, отличаются низкими накладными расходами пропускной способности и очень малой вносимой задержкой (единицы микросекунд). Как правило, высокоскоростные шифраторы имеют централизованные средства управления ключами, являются специализированными устройствами и работают по принципу «узел на проводе», то есть после добавления их в сеть не нужно менять никаких сетевых настроек (политик, маршрутов и так далее), поэтому работу с ними можно полностью поручить службе ИБ.

 

Рисунок 2. Пропускная способность устройств шифрования разных классов

 

 

В 2019 году были объявлены три семейства отечественных специализированных устройств шифрования на L2 для сетей Ethernet. Их объединяет использование протоколов семейства ГОСТ в сочетании с высокой пропускной способностью и микросекундными задержками. Устройства существенно отличаются по своей архитектуре и находятся в разной степени готовности к массовому применению. Имеет смысл рассмотреть эти три семейства подробнее.

 

Dcrypt XG (ТСС)

Российский вендор, специализирующийся на разработке программных и аппаратных средств защиты информации, недавно представил новый продукт — Dcrypt XG. Устройство названо высокопроизводительным шифровальным средством, и основная его функция — защита информации в высокоскоростных каналах связи на канальном (L2) уровне Ethernet и Fibre Channel с помощью криптографии и имитозащиты. Основные сценарии применения — шифрование каналов между ЦОДами, магистральных каналов сервис-провайдеров и крупных предприятий, а также (в будущем) подключение филиалов на скоростях до 10 Гбит/с. Для устройства получены сертификаты на СКЗИ по классам КС1, КС2 и КС3.

Технически Dcrypt XG представляет собой программно-аппаратный комплекс на базе сервера стандартной архитектуры с криптоускорителями на ПЛИС (до 2-х в корпусе 1U и до 8-ми в шасси 3U) и ПО Dcrypt собственной разработки. В качестве блочного шифра используется ГОСТ 28147-89 в режиме гаммирования.

 

Рисунок 3. Высокопроизводительное шифровальное средство Dcrypt XG (одно из исполнений)

 

 

Устройство шифрует трафик Ethernet в туннельном режиме: кадр, который приходит из защищённого сегмента сети, зашифровывается со всеми полями и заголовками, а затем к нему добавляется новый заголовок L2, с которым он идёт через незащищённую сеть к другому шифратору. Выборочного шифрования нет, накладные расходы составляют около 25 байт на кадр. Пока реализован только линейный режим, но в будущем планируется реализовать и многоточечный (настраиваемый вручную через консоль управления).

Шифратор работает на скоростях канала до 100 Гбит/c, причём в одном устройстве можно использовать несколько двухпортовых модулей, и суммарная скорость зашифрованного канала может достигать 200, 400 или 800 Гбит/с (в зависимости от модели аппаратной платформы). Таким образом, для построения агрегированного канала есть два варианта: установить либо несколько модулей в одно устройство, либо несколько устройств параллельно. Однако для балансировки сетевого трафика на таких скоростях известные протоколы LACP и PAGP не подходят, поэтому целесообразно использовать либо технологию VxLAN, либо аппаратный балансировщик в виде внешнего программируемого коммутатора Ethernet, который позволяет объединять устройства в кластеры (фермы), перенаправлять трафик при отказе и так далее.

Судя по проведённым в тестовой лаборатории и на реальном канале замерам, при полнодуплексной передаче через одиночный 100-гигабитный порт устройство поддерживает шифрование на полной скорости линии во всём диапазоне длин кадров (до 9 000 байт) со средней вносимой задержкой 20 мкс.

Для генерации и распределения ключей (сгенерированных на АПМДЗ или из случайной последовательности) используется выделенная станция управления. Также для генерации ключей могут использоваться сторонние криптопровайдеры. В дополнение к локальному контролю устройств можно использовать фирменную среду централизованного управления.

Компания TСС опубликовала планы дальнейшего развития продукта в сторону повышения его универсальности: многоточечный режим шифрования и совместимость с криптошлюзами Diamond VPN/FW (через поддержку маршрутизации и шифрования на L3), функции межсетевого экрана нового поколения (глубокая инспекция пакетов, антивирус, система обнаружения вторжений).

 

ViPNet L2-10G («ИнфоТеКС»)

О разработке этого устройства стало известно в ноябре 2018 года, когда компания «ИнфоТеКС» объявила о планах запустить до конца 2019 года новый высокоскоростной шифратор L2 и рассказала о некоторых деталях на конференции «РусКрипто» в марте 2019 года. В декабре 2019 года были наконец опубликованы характеристики устройства. Как следует из них, ведутся работы по сертификации шифратора на класс КВ. Само устройство в продажу ещё не поступило.

L2-10G названо шлюзом безопасности, но по своим характеристикам относится скорее к высокоскоростным шифраторам Ethernet. Как следует из описания, назначением устройства является криптозащита трафика Ethernet в распределённых сетях, а основным сценарием применения — шифрование потоков данных между ЦОДами, чему благоприятствуют высокая производительность и низкие задержки.

Это — программно-аппаратный комплекс, в физической платформе которого угадывается одноюнитовый сервер компании Aquarius, технологического партнёра «ИнфоТеКС». Корпус снабжён защитой от вскрытия, ключи шифрования хранятся в энергонезависимой памяти, так что в случае неожиданной потери питания шифратор не придётся инициализировать заново. При вскрытии корпуса или по команде сброса ключевая информация обнуляется. В корпусе — один блок питания, но с двумя входами.

 

Рисунок 4. Шлюз безопасности ViPNet L2-10G

 

 

У шифратора L2-10G есть два гнезда для модулей SFP+, один из которых используется для подключения ко внешней незащищённой сети, а другой — ко внутренней защищённой.

Суммарная производительность в полнодуплексном режиме равна 20 Гбит/с (то есть 10 Гбит/с в одном направлении). Согласно опубликованным данным, устройство работает на скорости линии во всём диапазоне длин кадров со средней задержкой 3 мкс — очевидно, в шифраторе используется криптоускоритель на базе ПЛИС.

Подобно другим высокоскоростным шифраторам, L2-10G использует фирменный протокол криптографического преобразования с накладными расходами не более 12 байт на кадр, блочным шифром «Кузнечик» и защитой от воспроизведения кадров. Из этих данных можно сделать вывод, что шифратор работает на L2 в транспортном режиме с имитовставкой. Устройство действует только в линейном («точка-точка») режиме соединения с автоматическим обнаружением и настройкой шифраторов в паре.

Для управления используются выделенные «медные» порты Ethernet (по протоколу SSH) или локальная графическая консоль.

 

«Палиндром» («СИС крипто»)

Семейство высокоскоростных шифраторов Ethernet серии «Палиндром» с 2019 года выпускается российской компанией «СИС крипто». Оно состоит из двух серий: 4000-й в двух вариантах (с портами RJ45 или гнёздами SFP) и скоростью 1 Гбит/с, а также 6000-й с гнёздами SFP+ и скоростью 10 Гбит/с. Ожидается получение сертификатов ФСБ России на СКЗИ по классу КС3 для всего семейства.

По своим характеристикам это — типичный высокоскоростной шифратор, предназначенный исключительно для сетевой криптозащиты каналов на L2 в сетях Ethernet. Устройства построены на специализированной платформе шифрования c ПЛИС и криптомодулем, реализующим шифрование по ГОСТу. Модель 6140 имеет дублированные блоки питания и вентиляторы. Корпус шифраторов всех моделей защищён от зондирования (физического взлома без открывания корпуса), а также имеет датчик вскрытия. При срабатывании этого датчика устройство останавливается, вся ключевая информация стирается, и администратор получает уведомление о взломе.

 

Рисунок 5. Высокоскоростной шифратор «Палиндром-6140»

 

 

У шифратора есть только два сетевых порта (кроме выделенных для управления): один — для локального сегмента, другой — для внешнего канала. Используется фирменный протокол шифрования Ethernet в транспортном режиме с блочным шифром 34.12-2015 «Кузнечик» в режиме гаммирования с алгоритмом согласования ключей VKO.

Заголовок кадра Ethernet не шифруется, так что зашифрованные кадры могут быть скоммутированы через сеть L2. Устройство умеет работать как в линейном («точка-точка»), так и в многоточечном режиме (устанавливая отдельные туннели для разных VLAN и допуская неупорядоченную доставку кадров внутри защищённого канала), причём могут использоваться разные виды физического транспорта Ethernet («тёмное» оптоволокно, сети OTN, Ethernet c коммутацией на L2, псевдопровода через MPLS и IP). Это делает возможным сквозное групповое многоточечное шифрование, когда три шифратора и более образуют единое защищённое соединение, через которое кадры будут доставляться только в нужный сегмент.

«Палиндромы» обеспечивают работу на скорости линии и с отличной задержкой (10 мкс) во всём диапазоне длин кадров. Накладные расходы пропускной способности не превышают 8 байт на кадр, а в линейном режиме, если опорная сеть между ними гарантирует надёжность и порядок доставки кадров, можно вообще обойтись без них. Доступна установка шифраторов в агрегированном канале, что позволяет кратно масштабировать пропускную способность.

Устройства умеют работать с кадрами Q-in-Q и MAC-in-MAC, применяющимися в больших операторских сетях, и таким образом обеспечивают поддержку L2 VPN со своим пространством MAC-адресов и VLAN. В то же время организовать «своими силами» VPN L3 уже нельзя, это придётся делать другими средствами.

С точки зрения интеграции в сеть устройства полностью реализуют принцип «узел на проводе»: они совместимы с кадрами Ethernet любых форматов, не вмешиваются в работу протоколов слоя контроля L2 (тем более — верхних уровней). Полноценно реализованы мутация (временная подмена) EtherType, отступ шифрования перед заголовками и пропуск незашифрованных кадров с особыми MAC-адресами, EtherType и VLAN. При использовании по модели управляемого сервиса шифраторы поддерживают мультитенантность (взаимную криптографическую изоляцию трафика разных абонентов одного оператора).

Для администрирования используются интерфейс командной строки (через последовательный консольный порт) и фирменная система управления (станция с операционной системой Windows, работающая через сеть во внеполосном или внутриполосном режиме). Отдельного контрольного сервера нет, и после отключения станции управления защищённая сеть может работать автономно. Реализовано централизованное распоряжение ключами на базе PKI, причём поддерживаются как внутренние (встроенные в среду управления), так и сторонние удостоверяющие центры. Администрирование включает в основном настройки, связанные с криптографией, защищёнными соединениями и политиками обработки кадров в зависимости от содержимого их полей. Защищённые соединения (туннели) могут устанавливаться автоматически, в том числе и в многоточечном режиме — главное, чтобы шифраторы были в одном широковещательном домене.

Шифраторы могут обнаруживать отказ других устройств в группе шифрования, а также сигнализировать о потере сигнала оборудованию, которое установлено у них «за спиной». Их можно встраивать в отказоустойчивые конфигурации с агрегацией портов и резервированием каналов.

 

Выводы

До последнего времени выбор устройств шифрования трафика на L2 в сетях Ethernet был невелик. Приходилось выбирать: или отечественные криптошлюзы с поддержкой ГОСТ и шифрованием на L2 в туннельном режиме (с их ограниченной пропускной способностью, большими задержками, существенными накладными расходами), или зарубежные устройства на MACsec (позвенное шифрование и отсутствие криптозащиты по ГОСТу). Теперь на рынке появляются полноценные специализированные шифраторы L2 с поддержкой ГОСТ, и складывается по существу новая категория продуктов. Хотя большой истории внедрений таких устройств в России пока нет, они заслуживают того, чтобы присмотреться к ним внимательнее.

Средства шифрования информации | МКЦ «АСТА-информ»

Средства криптографической защиты информации и электронной цифровой подписи используются для защиты информации при возможном доступе к данным, при их пересылке по сети Интернет, размещении в открытом доступе и т.д.

Средства позволяют обеспечить конфиденциальность (невозможность прочтения информации посторонним), целостность данных (невозможность незаметного изменения информации), аутентификацию (проверки подлинности авторства).

Предлагаем криптографические средства сертифицированные ФСБ России:

Продукты КриптоПро — различные средства криптографической защиты информации и электронной цифровой подписи. В продуктах используются отечественные стандарты шифрования ГОСТ 28147-89, ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012, ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012.

Самый известный продукт КриптоПро CSP используется для:

• Электронной подписи (авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи).
• Обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты.
• Обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS.
• Контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования.
• Управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Комплект поставки: от 1 шт.

Ссылка на сайт продукта

Продукты ViPNet — ряд решений по защите информации: шифрование, защищенные каналы связи и обмена сообщениями, электронная подпись и т.д.

Торговая марка ViPNet объединяет целый ряд продуктов и сетевых решений:

• Программные и программно-аппаратные средства организации виртуальных частных сетей (VPN) и инфраструктуры открытых ключей (PKI).
• Средства шифрования данных, которые хранятся и обрабатываются на компьютерах и в сети.
• Средства межсетевого экранирования и персональные сетевые экраны.
• Средства криптографической защиты информации для встраивания в прикладные системы сторонних разработчиков (системы юридически значимого документооборота, порталы и т.п.).
• Программно-аппаратные комплексы (или самостоятельные сетевые устройства) обнаружения компьютерных атак ViPNet IDS.

Продукты ViPNet:

• На рабочих местах (клиентские компоненты): ViPNet Client, ViPNet CryptoFile, ViPNet CSP и т.д.
• Серверные компоненты: ViPNet Coordinator, ViPNet IDS, ViPNet TLS и т.д.
• Компоненты управления: ViPNet Administrator, ViPNet StateWatcher и т.д.

Ссылка на сайт продуктов

АПКШ «Континент» — централизованный комплекс для защиты сетевой инфраструктуры и создания защищенных каналов связи.

Предназначен для обеспечения информационной безопасности:

• Организация защищенного межсетевого взаимодействия между конфиденциальными сетями.
• Защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования.
• Защита сетевого трафика в мультисервисных сетях (VoIP, Video conference).
• Разделение сети на сегменты с различным уровнем доступа.
• Создание отказоустойчивой VPN-сети между территориально распределенными сетями и организация защищенного удаленного доступа.

Ссылка на сайт продукта

МагПро КриптоПакет – программный комплекс на базе библиотеки OpenSSL, позволяющий использовать российские стандарты на криптографические алгоритмы в программах, рассчитанных на использование криптобиблиотеки OpenSSL.

Два наиболее востребованных приложения, использующие эту библиотеку, сертифицированы в составе «МагПро КриптоПакет» как исполнения OpenVPN-ГОСТ и КриптоТуннель.

Может быть обеспечена криптографическая защита следующих приложений:

• www-сервер Apache;
• Почтовые сервера Postfix и Courier;
• Сервер каталогов OpenLDAP;
• lynx;
• tcltls;
• wget;
• Почтовая программа mutt;
• pine;
• jabberd;

Ссылка на сайт продукта

«КриптоАРМ» — универсальная программа для шифрования и электронной подписи файлов. Используется для защиты корпоративной и личной информации, передаваемой по Интернету, электронной почте и на съемных носителях (диске, флэш-карте).

Возможности:

• Шифрование электронных документов.
• Квалифицированная электронная подпись.
• Управление сертификатами подписи.
• Усовершенствованная электронная подпись.
• Удостоверение времени подписи электронных документов.
• Управление рабочими местами в Инфраструктуре PKI.
• Управление средствами криптографической защиты информации (СКЗИ).

Ссылка на сайт продукта

Средства шифрования и электронной подписи позволяют решать ряд основных задач по защите информации: защита файлов на компьютере, защита пересылаемых данных по сети, подтверждение подлинности подписи, формирование подписи и подписания электронного документа:

Решаемые задачи

Программы:

• КриптоПро CSP — формирование и проверка электронной подписи.
• КриптоПро Office Signature — создание и проверка электронной подписи в документах Word и Excel.
• ViPNet CSP — создание ключей электронной подписи, формирование и проверка электронной подписи.
• КриптоАРМ — программа для электронной подписи и шифрования файлов любого формата и размера.

Программы:

• ViPNet CryptoFile — защита и шифрование файлов для безопасной передачи данных.
• КриптоАРМ — программа для электронной подписи и шифрования файлов любого формата и размера.
• Secret Disk — шифрование данных на дисках рабочих станций и серверов с функциями контроля доступа.

Программы:

• Решения на продуктах «ViPNet» — защита каналов связи, защищенный обмен почтовыми сообщениями.
• Решения на продуктах «Континент» — защита каналов связи.

О защите каналов связи

Программы обеспечивающие защищенный документооборот:

• КриптоПро CSP — формирование и проверка электронной подписи, шифрование данных.
• КриптоПро ФКН CSP — формирования электронной подписи в системах юридически значимого электронного документооборота и других информационных системах. Использование функционального ключевого носителя JaCarta CryptoPro.
• Продукты ViPNet — создание ключей электронной подписи, формирование и проверка электронной подписи, шифрование данных.
• КриптоАРМ — программа для электронной подписи и шифрования файлов любого формата и размера.

КРАТКИЙ СПИСОК АППАРАТНЫХ И ПРОГРАММНЫХ СРЕДСТВ БЕЗОПАСНОСТИ

КРАТКИЙ СПИСОК АППАРАТНЫХ И ПРОГРАММНЫХ СРЕДСТВ БЕЗОПАСНОСТИ

СОЗДАНИЕ И ХРАНЕНИЕ ПАРОЛЕЙ

Название программы: Password Boss

Описание: Многофункциональный хранитель паролей с уникальными возможностями. Предназначен для безопасного хранения паролей и любой другой информации. Надёжное шифрование, мощный генератор паролей, приятный интерфейс, автоматическое резервное копирование, поддержка Drag&Drop, автоматическое упорядочивание содержимого, возможность создания до 255 дополнительных записей и прикрепления файла объёмом до 16 Мб для каждого аккаунта.

Автор: Ammosoft Software

Где взять: www.ammosoft.com

Название: «Хранитель паролей»

Описание: Программа «Хранитель паролей» является инструментом для шифрования и расшифровывания секретных данных, а также оболочкой для работы с этими данными. В качестве секретных данных могут выступать: пароли dial-up, почтовых аккаунтов, электронные и географические адреса, адреса веб­страниц, номера кредитных карточек, ссылки на любые секретные файлы и так далее. В программу также встроен генератор паролей с полностью настраиваемыми параметрами.

Автор: Арустамов Олег

Где взять: olegprojects.narod.ru

Название

: Password Storage

Описание: Это программа, позволяющая запомнить логины, пароли и другую информацию. Ведется список заголовков и скрытых паролей. Есть генератор паролей и встроенное шифрование файлов.

Автор: Vitolab software company

Где взять: www.vitolab.com

ИСТОЧНИКИ БЕСПЕРЕБОЙНОГО ПИТАНИЯ

ИБП АРС (American Poжеr Conversion) — www. apc.ru

ИБП PowеrCom — www.pcm.ru

ИБП

PowеrWare — www.ups.ru

ИБП N-Powеr — www.380v.ru

ИБП PowеrPro — www.ippon.ru

ИБП PowеrMan — www.powеrman.ru

ПЕРСОНАЛЬНЫЕ БРАНДМАУЭРЫ (ФАЙРВОЛЫ)

Название программы: Outpost Firewall Pro

Описание: Обнаруживает и блокирует все атаки хакеров. Предотвращает несанкционированный доступ к данным. Скрывает присутствие системы в сети, делая ее невидимой для взломщиков. Анализирует входящие почтовые сообщения и блокирует потенциально опасные. Отражает посягательства на конфиденциальность в сети Интернет. Сохраняет в тайне перемещения и навигацию по Интернету. Автоматически настраивается для оптимальной защиты данных во время инсталляции.

Автор: Agnitum

Где взять: www.agnitum.com

Название программы: ZoneAlarm Pro

Описание: Мощный персональный firewall: защита компьютера от непрошеных гостей извне. Контролирует программы, имеющие доступ в Интернет. Можно выбрать несколько уровней и зон безопасности. Специальная утилита MailSafe проверяет почтовые вложения и защищает от троянов и вирусов.

Aвтop: ZoneLabs.

Где взять: www.zonelabs.com

Название

программы: Nоrton Internet Security

Описание: Продукт обеспечивает необходимую степень защиты от вирусов, хакеров и угроз конфиденциальности информации. В этот пакет включены полные версии Поrton AntiVirus и Поrton Personal Firewall, которые надежно защитят компьютер от наиболее часто встречающихся в Интернете опасностей. Дополнительно вы сможете воспользоваться средством Поrton Spam Alert для блокирования нежелательной почты.

Автор: Symantec Corporation

Где взять: www.symantec.com

АНТИВИРУСЫ

Название программы: Антивирус Касперского

Описание: Мощный антивирус с гибкой системой настроек. Антивирусный монитор сканирует любое запускаемое приложение. Антивирусный сканер проверит весь жёсткий диск компьютера. Обновления выпускаются каждый день и могут быть в автоматическом режиме скачаны из Интернета. Также можно задать проверку компьютера по расписанию.

Автор: Лаборатория Касперского

Где взять: www.kaspersky.ru

Название

программы: Nоrton AntiVirus Professional

Описание: Один из наиболее известных антивирусов. Все возможные функции антивируса (монитор, сканер, автоматическое обновление, проверка по расписанию) плюс сочетание дополнительные функции, обеспечивающих защиту и возможность восстановления ключевых файлов.

Автор: Symantec Corporation

Где взять: www.symantec.com

Название

программы: Antivirus Panda Platinum 7

Описание: Передовое программное решение для обеспечения информационной безопасности предприятий малого бизнеса и ИТ-профессионалов. Благодаря таким встроенным функциям, как межсетевой экран и блокиратор скриптов, Panda Platinum гарантирует защиту от вирусов, хакеров и других опасностей, связанных с Интернетом, в рамках единого и простого в использовании продукта.

Автор: Panda Software

Где взять: www.viruslab.ru

АНТИСПАМ

Spamtest (www.spamtest.ru) — это интернет-сервис для проверки и разметки электронной почты. «Спамтест» получает электронное письмо от вас, проверяет его на спам, присваивает ему категорию спама (в виде специальной метки) и отправляет на указанный вами адрес.

Дальше вы можете отфильтровать размеченное «Спамтестом «письмо, пользуясь правилами вашей почтовой программы (например, Microsoft Outlook или The Bat!).

Spamtest Server (www.spamtest.ru) — устанавливается на почтовом сервере вашей организации, либо в офисе, либо на площадке у провайдера и обрабатывает входящую почту. Возможны следующие режимы работы: отражение (неприем) спам-корреспонденции, разметка входящей почты по категориям (спам, возможно спам, сообщения от почтовых роботов, ненормативная лексика) и доставка его получателю. Архивирование сомнительной переписки (перенаправление в другой почтовый ящик). Режимы работы могут быть настроены индивидуально для отдельных пользователей и их групп.

СРЕДСТВА ШИФРОВАНИЯ И СТЕГАНОГРАФИИ

Название программы: PGP (Pretty Good Privacy)

Описание: Целая группа мощнейших и наиболее популярных в мире средств шифрования многоцелевого назначения: защита частной переписки (электронной почты), файлов и документов, папок жёсткого диска и разделов жёсткого диска.

Автор: PGP Corporation

Где взять: www.pgp.com

Название

программы: GlobeSoft SecureExplore

Описание: Программа позволяет шифровать файлы с использованием 128­битных ключей шифрования непосредственно из Проводника Windows. Надежно защищает ваши документы от постороннего взгляда — даже если злоумышленник получит доступ к зашифрованным файлам, он не сможет ознакомиться с их содержанием при отсутствии нужного ключа шифрования.

Автор: GlobeSoft

Где взять: www.softkey.ru

Название

программы: Steganоgraphy

Описание: Хорошее средство для того, чтобы прятать скрытую информацию (текст, картинку) в совершенно невинном на первый взгляд файле. Может работать с изображениями и звуковыми файлами, оставляя их полностью функциональными.

Автор: SecureKit

Где взять: www.securekit.com

РЕЗЕРВНОЕ КОПИРОВАНИЕ ДАННЫХ

Название программы: Acronis True Image

Описание: Оптимальное решение для резервного копирования данных на рабочих станциях. Программа позволяет создавать точные образы жёсткого диска и/или отдельных разделов прямо в Windows без перезагрузки. Образ диска, включающий абсолютно все данные, приложения и операционные системы, может быть восстановлен на жёсткий диск в случае сбоя старого диска, вирусной атаки и любых других фатальных ошибок программного и аппаратного обеспечения, даже когда обычные средства резервного копирования файлов не помогают.

Автор: Acronis

Где взять: www.acronis.ru

Название

программы: Nоrton Ghost

Описание: Пакет Nоrton Ghost рассчитан на индивидуальных пользователей. Используется простой графический интерфейс, дающий возможность не выходя из операционной системы Windows, осуществлять резервное копирование и восстановление данных. Позволяет создавать образы дисков и записывать их на жёсткие диски и другие виды носителей. Новая версия может работать как с CD-­рекордерами, так и с DVD-рекордерами. Кроме того, возможна запись образов дисков на накопителях, подключаемых по интерфейсам USB 1.1, 2.0 и FireWire. Позволяет копировать как весь жёсткий диск, так и его отдельные разделы, а также автоматически создавать разделы необходимого объема. Есть возможность восстанавливать отдельные файлы и папки из образа диска.

Автор: Symantec Corporation

Где взять: www.symantec.com

Название программы: APBackUp

Описание: Система автоматического резервного копирования. Встроенный архиватор, подключение любых внешних архиваторов, возможность после архивации копировать архив в 3 дополнительные директории, в том числе и по сети, копирование архива по FTP, возможность запуска внешних приложений до (с возможным ожиданием завершения) и после архивации, ограничение нагрузки на процессор, построение очередей выполнения заданий, оповещение админи­стратора по e-mail о ходе выполнения задания, условное выполнение по существованию/отсутствию файла.

Автор: AVPSoft

Где взять: www.avpsoft.ru

ЗАЩИТА ДАННЫХ НА ЖЁСТКОМ ДИСКЕ

Название программы: BestCrypt

Описание: Пакет утилит для создания на жёстком диске компьютера виртуального зашифрованного диска (контейнера) — одного или нескольких. С зашифрованным контейнером можно работать как с обычным жёстким диском — размещать на нём файлы и производить с ними любые операции, инсталлировать программы и так далее. Шифрование/расшифровка идёт в фоновом режиме, так что пользователь не замечает разницы в работе с обычным и зашифрованным диском.

Автор: Jetico, Inc.

Где взять: www.jetico.com

Название

программы: Dekart Private Disk

Описание: Лёгкое в использовании, надёжное и мощное средство для защиты важной информации. Программа предназначена для пользователей, не имеющих никаких специальных знаний в области защиты информации. Обеспечивает надежную защиту, удобство использования, мобильность и всю необходимую функциональность. Удобный интерфейс позволяет эффективно и быстро работать с зашифрованными данными каждый день.

Автор: Dekart

Где взять: www.dekart.com

Название программы: Indis L

Описание: Система программной защиты данных на жёстком диске, реализующая фирменную технологию цифрового сейфа. Программа позволяет создавать на диске защищённые области — «сейфы», доступ к которым надежно закрыт от посторонних методом трехуровневой защиты: сейф подключается только по предъявлении секретного ключа, ключ защищен паролем, а все файлы в сейфе закодированы. Доступ к данным, хранящимся в сейфе, можно получить только по предъявлении секретного ключа создателя диска. Цифровой сейф является специальным контейнером, физически хранящемся в закодированном файле на диске и, как и любые другие файлы, его можно перемещать, копировать и уничтожать. Любой файл может быть помещён в сейф посредством обычного копирования. Даже в случае отключения питания или неожиданного снятия диска данные на нём остаются защищёнными!

Автор: ЛАН Крипто

Где взять: www.lancrypto.com

ЗАЩИТА ОТ ШПИОНОВ

Название программы: Anti-keylogger

Описание: Программа Anti-keylogger помогает системным админи­страторам и владельцам персональных компьютеров защищать компьютеры от шпионских программ-«кейлоггеров», содержащих функции перехвата клавиатуры. Блокирует кейлоггеры «на лету» без использования сигнатурных баз. Проста в использовании и не требует специальной подготовки пользователя. Её ядро основано на эвристических алгоритмах и не требует вмешательства пользователя для принятия решения о блокировании той или иной «подозрительной» программы или модуля. Мониторинrовые программы начинают блокироваться уже на ранней стадии загрузки операционной системы, даже перед тем как пользователь увидит приглашение для ввода логина/пароля на вход в систему.

Автор: «Центр информационной безопасности».

Где взять: www.bezpeka.com

Название

программы: Anti-cracker Shield

Описание: Для того чтобы получить доступ к удалённому компьютеру, взломщики (хакеры) используют различные методики атак, часть которых может бьть заблокирована с помощью антивирусов и сетевых экранов (Файрволов). Но подавляющее большинство подобных атак не могут быть остановлены средствами антивирусов и файрволов, поскольку они не предназначены для этой роли. Эти атаки называются «эксплойтами». Это основной инструмент взлома вашего компьютера Am хакера. От «эксплойтов» не защищают антивирусы и сетевые экраны. Только многоуровневая система защиты способна справиться со всеми известными и неизвестными видами «эксплойтов», поддерживая компьютер в максимально работоспособном состоянии и не уменьшая скорости его работы.

Автор: SoftSphere Techпоlogies

Где взять: www.softsphere.com

Название программы: HSLAB Logger

Описание: Законченное решение для фонового контроля и фиксации действий пользователей. Программа позволяет фиксировать действия пользователя (пользователей) компьютера, запуск приложений, открытие документов, доступ в Интернет и использование сменных носителей. Использование этой программы дает возможность получать информацию о действиях пользователей и позволяет предотвратить несанкционированный доступ к устройствам, приложениям и компьютерной системе в целом. Вы можете ограничить доступ к определенным программам (используя имя файла, программы или ключевые слова), к носителям информации на дисках CD/DVD/Zip и других сменных носителях. Это очень полезно для строгого контроля за использованием компьютерных систем в бизнесе.

Автор: наndy Software Lab

Где взять: www.hs-lab.com

Tales from the Crypt: Hardware vs Software

Шифрование всегда находится в центре внимания в этой отрасли, но методы, которые компании могут использовать для шифрования своих данных, разнообразны. Даниэль Брехт исследует плюсы и минусы различных предлагаемых решений

С ростом использования мобильных устройств и ростом числа атак на правительственные сети и бизнес-базы данных безопасность данных стала горячей темой как для менеджеров ИТ-систем, так и для пользователей. Современные технологические достижения стимулировали появление ряда решений, отвечающих требованиям и карманам каждого, кто нуждается в защите машины, от простого домашнего компьютера до самых сложных сетей.Однако сортировка такого множества различных решений может быть сложной задачей.

Выбор программных или аппаратных решений — это первое решение, с которым сталкиваются пользователи, и это непростой выбор. Хотя обе технологии борются с несанкционированным доступом к данным, у них есть разные функции, и перед внедрением их необходимо тщательно оценить.

Программное шифрование

Программы программного шифрования сегодня более распространены, чем аппаратные решения.Поскольку их можно использовать для защиты всех устройств в организации, эти решения могут быть экономичными, а также простыми в использовании, обновлении и обновлении. Программное шифрование доступно для всех основных операционных систем и может защитить данные в состоянии покоя, при передаче и хранении на различных устройствах. Программное шифрование часто включает в себя дополнительные функции безопасности, дополняющие шифрование, которые не могут исходить непосредственно от оборудования.

Уровень защиты, обеспечиваемый этими решениями, не уступает уровню безопасности операционной системы устройства.Недостаток безопасности в ОС может легко поставить под угрозу безопасность, обеспечиваемую кодом шифрования. Программное обеспечение для шифрования также может быть сложно настроить для расширенного использования и, возможно, оно может быть отключено пользователями. Снижение производительности — заметная проблема с этим типом шифрования.

Аппаратное шифрование

Аппаратное шифрование использует встроенную защиту устройства для шифрования и дешифрования. Он самодостаточен и не требует помощи какого-либо дополнительного программного обеспечения.Таким образом, он практически лишен возможности заражения, заражения вредоносным кодом или уязвимости.

Когда устройство используется на главном компьютере, хорошее аппаратное решение не требует загрузки драйверов, поэтому не требуется никакого взаимодействия с процессами хост-системы. Это также требует минимальной настройки и взаимодействия с пользователем и не приводит к снижению производительности.

Аппаратное решение наиболее целесообразно при защите конфиденциальных данных на портативном устройстве, таком как портативный компьютер или флэш-накопитель USB; он также эффективен при защите данных в состоянии покоя.Диски, содержащие конфиденциальные данные, например, относящиеся к финансовой, медицинской или правительственной сфере, лучше защищены с помощью аппаратных ключей, которые могут быть эффективны, даже если диски украдены и установлены на других компьютерах.

Накопители с самошифрованием (SED)

— отличный вариант для сред с высоким уровнем безопасности. При использовании SED шифрование осуществляется на носителе, на котором надежно хранится ключ шифрования диска (DEK), используемый для шифрования и дешифрования. DEK полагается на контроллер диска, который автоматически шифрует все данные на диске и расшифровывает их, когда они покидают диск.Ничего, от ключей шифрования до аутентификации пользователя, не отображается в памяти или процессоре главного компьютера, что делает систему менее уязвимой для атак, направленных на ключ шифрования.

Аппаратное шифрование обеспечивает более высокую устойчивость к некоторым распространенным, не очень изощренным атакам. Как правило, злонамеренные хакеры не смогут применить грубую силу к системе с аппаратным шифрованием, поскольку модуль шифрования отключит систему и, возможно, поставит под угрозу данные после определенного количества попыток взлома пароля.Однако с помощью программных решений хакеры могут найти и, возможно, сбросить счетчики, а также скопировать зашифрованный файл в разные системы для параллельных попыток взлома.

Однако аппаратные решения

могут оказаться непрактичными из-за стоимости. Аппаратное шифрование также привязано к конкретному устройству, и одно решение не может быть применено ко всей системе и ко всем ее частям. Обновления также возможны только через замену устройства.

Дебаты

Нет однозначного ответа на потребности компаний в шифровании, подчеркивает Брюс Шнайер, технический директор Resilient Systems и создатель блога Шнайера о безопасности.

«Программное обеспечение проще, потому что оно более гибкое, — говорит он, — а оборудование работает быстрее, когда это необходимо. Я предпочитаю программное обеспечение, потому что обычно использую оборудование общего назначения и специальное программное обеспечение. Итак, мое шифрование электронной почты, веб-шифрование, шифрование IM — это все программное обеспечение. Но программное обеспечение может использовать аппаратные инструкции в микросхеме Intel для шифрования ».

Нико де Корато, инженер по телекоммуникациям и основатель DubaiBlog, придерживается аналогичного подхода к выбору решений для шифрования: «Для работы каждого устройства требуется программное обеспечение, а устройство — это не что иное, как аппаратное обеспечение.Вы не могли выбирать между аппаратным и программным обеспечением; существует полная взаимозависимость ».

Используемые решения зависят от потребностей человека, добавляет он: «В некоторых случаях вы можете выбирать, и часто я предпочитаю программные решения. Например, если вам нужно купить новый GPS, лучшим решением будет, вероятно, загрузить приложение на свои существующие устройства (например, смартфон). Таким образом, вы всегда будете иметь с собой GPS; Вы собираетесь заплатить гораздо меньше, чем при покупке нового GPS-устройства.То же самое и с программными решениями для шифрования ».

Компаниям необходимо учитывать такие факторы, как влияние на производительность, резервное копирование, безопасность и доступные ресурсы, чтобы принять решение о правильной реализации шифрования. Компании должны учитывать риски, связанные с потерей данных, с которыми они работают, а также то, как долго им нужно хранить данные в зашифрованном виде и насколько хорошо они смогут управлять ключами шифрования с каждым решением.

Также важно, в свете строгих правил, установленных для защиты данных (таких как HIPAA и PCI), чтобы предприятия выбирали решение, которое позволяет им полностью соответствовать требованиям.

Выбор определяется разными соображениями. По словам Тома Бреннана, управляющего партнера консалтинговой компании ProactiveRISK по кибербезопасности, «в коммерческой сфере в основном речь идет о цене. С клиентами .GOV это больше касается правильной классификации данных ».

Когда речь идет о бюджете, часто выбирают отказ от аппаратных решений в пользу программных решений, которые могут быть реализованы повсеместно. Кроме того, «вместо того, чтобы иметь дело с расходами и неудобствами, связанными с необходимостью обновлять одну проприетарную аппаратную платформу каждые несколько лет, некоторые предпочитают использовать программное обеспечение», — добавляет Бреннан.

Промышленные модели

«Недавние нарушения безопасности в различных отраслях, включая развлечения, розничную торговлю и здравоохранение, — говорят нам о том, что крупные предприятия не уделяют должного внимания передовым методам обеспечения безопасности», — говорит Дэн Тимпсон, технический директор центра сертификации DigiCert.

«Кроме того, многие из этих компаний не имеют элементарных мер безопасности. По данным Online Trust Alliance, 90% утечек данных в 2014 году можно было предотвратить ».

Потенциальные последствия нарушения безопасности данных, конфиденциальности или сети очень значительны.Согласно исследованию «Стоимость утечки данных » Института Ponemon за 2014 год, утечка данных в настоящее время обходится в среднем в 3,5 миллиона долларов, а стоимость потерянной или украденной записи составляет 145 долларов. В предыдущем отчете Ponemon Institute сообщил, что средняя стоимость потерянного ноутбука составляет 49 246 долларов США, при этом только 2% составляют затраты на замену оборудования. Шифрование может уменьшить эту сумму на 20 000 долларов, поскольку оно предотвращает доступ злоумышленников к данным, содержащимся в них, и их использование.

Иногда размер компании требует другого подхода.Более крупные компании с огромными отделами безопасности и большими бюджетами, вероятно, уже имеют действующую позицию по обеспечению безопасности, но малые предприятия могут не относиться к этой проблеме с той важностью, которой она заслуживает. Многие менеджеры малого и среднего бизнеса считают, что только более крупные компании являются целью злонамеренных хакеров. Это далеко не так.

Отчет Symantec Internet Security Threat Report за 2014 год показал, что компании с менее чем 250 сотрудниками составили более половины всех целевых атак (61%) в 2013 году, что на 11% больше, чем в предыдущем году.Исследование Национального альянса кибербезопасности показало, что 20% малых предприятий ежегодно становятся жертвами киберпреступлений.

Timpson комментирует, что «использование программного шифрования несложно и может быть более доступным для малого бизнеса, у которого нет ИТ-администратора, занимающегося мерами безопасности данных».

Однако это действенное решение только в том случае, если компании осознают, что «необходимость передачи этой работы на аутсорсинг влечет за собой ответственность по поиску компаний, заслуживающих доверия, и проверке их продуктов и услуг, чтобы гарантировать соответствие требованиям», — добавляет он.

Timpson считает, что «привлечение третьей стороны увеличивает вероятность уязвимости». Хотя аппаратное шифрование считается более дорогостоящим из-за предварительных вложений, необходимых для снабжения всей организации, Тимпсон считает, что «в долгосрочной перспективе оборудование может снизить затраты за счет ИТ-персонала, производительности пользователей и лицензионных сборов».

Итак, как лучше всего защитить данные? Это зависит от того, где вы пытаетесь его защитить.

Когда данные хранятся, особенно на съемных устройствах, лучше всего использовать аппаратное шифрование.Шифрование целых дисков или USB-накопителей обеспечивает безопасность всего, от каталогов до файловых систем и содержимого. Аутентификация должна выполняться до загрузки, чтобы даже ОС не запускалась, если пользователь не авторизован. Однако небольшим компаниям может быть трудно оправдать расходы даже на дополнительную безопасность и лучшую производительность системы.

Однако, если данные находятся в пути, шифрование на уровне файлов более целесообразно: файлы и папки шифруются отдельно и остаются зашифрованными независимо от того, как и куда они передаются.Возможно, менее дорогие, эти решения имеют ряд недостатков, от снижения производительности до неидеальной защиты из-за того, что хакеры используют уязвимости ОС и памяти, которые открывают ключи шифрования.

Новые теории и технологические достижения могут в конечном итоге это изменить. Как поясняет Эндрю Аванесян, исполнительный вице-президент по консультационным и технологическим услугам в компании Avecto, занимающейся разработкой программного обеспечения для обеспечения безопасности конечных точек: «Наборы инструкций AES, которые включены в некоторые современные процессоры, позволяют программному шифрованию быть более эффективным и работать лучше без использования специального оборудования но приложения должны быть оптимизированы, чтобы воспользоваться этим.”

Тщательный выбор превыше всего, но здесь нет места нерешительности. Avanessian считает, что настоящая проблема заключается в том, что «некоторые организации могут зацикливаться на шифровании устройств и в конечном итоге откладывают внедрение. С ростом портативности устройств и BYOD важно как можно скорее настроить некоторый уровень шифрования ».

Шифрование необходимо и является лучшим механизмом для защиты конфиденциальности, целостности и подлинности данных. Это сводит к минимуму вероятность нарушения безопасности и добавляет уровни защиты для защиты данных.Затраты, связанные с потерей данных, и требования, продиктованные законом, должны быть достаточным стимулом для всех предприятий для принятия решений, независимо от того, являются ли они аппаратными или программными.

---

Эта функция была первоначально опубликована в выпуске Infosecurity за второй квартал 2015 года — доступен бесплатно в печатном и цифровом форматах для зарегистрированных пользователей

Обзор аппаратного шифрования

Если вы хотите защитить свои данные и сохранить их в безопасности, вам следует рассмотреть возможность активации какой-либо формы шифрования на вашем компьютере.После того, как данные будут зашифрованы, вам понадобится секретный ключ или пароль, чтобы расшифровать их и получить к ним полный доступ. Мы сосредоточимся здесь на аппаратном шифровании, но если вы хотите узнать больше о других типах безопасности, ознакомьтесь с нашей статьей Различные типы шифрования и безопасности дисков .

Аппаратное шифрование означает, что шифрование происходит внутри диска. SSD, который имеет встроенное шифрование в аппаратном обеспечении, чаще называют самошифрующимся диском (SED).Большинство твердотельных накопителей Crucial® — это диски SED.

При использовании SED шифрование всегда включено, то есть, когда данные записываются на SED, они шифруются контроллером, а затем дешифруются при чтении с SED. Функция защиты паролем должна быть активирована программным обеспечением для управления шифрованием. Если этого не сделать, ничто не помешает пользователю прочитать данные на диске. Другими словами, SED щедро расшифрует всю информацию для любого, кто ее спросит, если для предотвращения этого не установлено программное обеспечение для управления безопасностью.

Проще всего это понять, как систему безопасности в доме. Пока он не «вооружен» (например, с помощью стороннего программного обеспечения для применения учетных данных), он просто существует, но не обеспечивает активной защиты ваших данных.

Технология

SED обеспечивает проверенную и сертифицированную защиту данных, которая предлагает практически нерушимую защиту доступа к пользовательским данным перед загрузкой. Поскольку шифрование является частью контроллера диска, оно обеспечивает защиту данных перед загрузкой.Запуск программной утилиты для взлома кодов аутентификации невозможен, поскольку шифрование активно до того, как начнется загрузка какого-либо программного обеспечения. Еще одним преимуществом постоянно активной функции шифрования является то, что это позволяет накопителю соответствовать требованиям государственных стандартов для данных в банковских, финансовых, медицинских и государственных приложениях, придерживаясь спецификаций TCG Opal 2.0 и Протоколы аутентификации доступа IEEE-1667. SED-диски Crucial также поддерживают стандартный протокол полного шифрования диска с помощью набора команд безопасности ATA-8.

Кроме того, поскольку шифрование происходит на SED и нигде больше, ключи шифрования хранятся в самом контроллере и никогда не покидают диск.

Основным преимуществом использования аппаратного шифрования вместо программного шифрования на SSD является то, что функция аппаратного шифрования оптимизирована для остальной части диска. Если пользователь применяет программное шифрование к накопителю, это добавляет несколько дополнительных шагов к процессу записи на накопитель, потому что данные должны быть зашифрованы с помощью программного обеспечения для шифрования во время записи.Затем эти же данные должны быть снова расшифрованы программным обеспечением, когда пользователь захочет получить к ним доступ, что замедляет процесс чтения. Другими словами, добавление уровня программного шифрования негативно влияет на производительность SSD.

Однако аппаратное шифрование SED интегрировано в контроллер, что означает, что это не влияет на производительность SSD ни в краткосрочной, ни в долгосрочной перспективе. Скорости чтения и записи уже учитывают шифрование, потому что это уже происходит в каждом цикле записи, а дешифрование происходит в каждом цикле чтения. Шифрование — это просто часть нормальной работы накопителя.

Все, что нужно пользователю, чтобы воспользоваться возможностями шифрования SED, — это программная утилита, которая обеспечивает управление ключами шифрования для устройств SED. SED-диски Crucial полностью совместимы со стандартом Microsoft® eDrive, который обеспечивает простую защиту данных по принципу plug-and-play за счет использования Windows® BitLocker®. Поскольку Windows BitLocker не требует шифрования диска перед его использованием (это уже было сделано контроллером твердотельного накопителя), нет задержки или ожидания выполнения шифрования.После включения Windows BitLocker самошифровальный компьютер сразу готов к использованию. Все, что вам нужно сделать, это позволить диску с самошифрованием работать так, как он всегда был, и наслаждаться спокойствием и высокой производительностью диска с аппаратным шифрованием.

Чтобы активировать аппаратное шифрование на вашем диске, обратитесь к нашему руководству здесь.

Преимущества аппаратного шифрования для защищенных USB-накопителей

Защита важной информации с помощью аппаратного шифрования AES

Аппаратное шифрование

AES существует уже давно, но вам может быть интересно, как оно защищает и защищает важные и конфиденциальные данные на USB-накопителях, жестких дисках и твердотельных накопителях. Безопасные USB-накопители Kanguru Defender® обеспечивают лучшее аппаратное шифрование AES, сертифицированное FIPS, чтобы помочь организациям защитить свою информацию, соблюдая строгие правила безопасности, такие как HIPAA, GDPR, SOX, GLBA, FINRA, FERPA, и т. Д., И следуйте им. лучшие практики для своих уважаемых клиентов и заказчиков. Хорошее понимание преимуществ дисков с аппаратным шифрованием поможет вам в выборе подходящих продуктов для защиты данных для вашей организации.

Что такое аппаратное шифрование AES?

AES означает Advanced Encryption Standard и является стандартом спецификаций Национального института стандартов и технологий (NIST) для защиты данных. AES — это широко признанный и адаптированный криптографический модуль, используемый в США, Канаде и во всем мире военными, правительственными, финансовыми учреждениями и организациями по всему миру в качестве стандарта для шифрования и дешифрования данных. ^[1] Существуют различные степени аппаратного шифрования AES, например 128-битное, 192-битное и 256-битное, причем каждый размер ключа обеспечивает повышенный уровень защиты и сложности. По сути, шифрование AES — это блок алгоритмов, который «скремблирует» данные в нечитаемый код для транспорта, а затем при повторном подключении к пользователю снова дешифрируется тем же алгоритмом, когда предоставляются правильные ключи.Эти алгоритмы очень сложны. Чтобы представить это в перспективе, как выразился один исследователь из Университета Лёвена, «если хакер попытается« взломать код », чтобы получить доступ к 128-битному шифрованию AES, то количество шагов, которые он должен будет предпринять это 8 с 37 нулями. Для этого потребуется триллион машин, проверяющих миллиард ключей в секунду, и два миллиарда лет, чтобы раскрыть ключ AES-128 ». ^[2]

На рисунке ниже (рис. 1) показан процесс шифрования в простейшем виде.Исходные читаемые данные шифруются с помощью алгоритма шифрования, так что данные становятся полностью нечитаемыми. Информация может быть расшифрована или расшифрована только тогда, когда пользователь вводит один и тот же ключ шифрования, чаще всего по паролю. Этот процесс может быть выполнен с помощью программного или аппаратного шифрования.

Аппаратное шифрование VS. Программное обеспечение шифрования

Для обеспечения безопасности шифрования на USB-накопителях, жестких дисках и твердотельных накопителях доступны два метода шифрования: Software Encryption или Hardware Encryption .Программное шифрование основано на программном обеспечении, при котором шифрование диска обеспечивается внешним программным обеспечением для защиты данных. Варианты программного шифрования доступны на рынке как более дешевая альтернатива аппаратному шифрованию, но недостатки, как правило, перевешивают преимущества. Он часто требует многочисленных обновлений, чтобы не отставать от методов взлома, может быть довольно медленным и может потребовать установки сложных драйверов и программного обеспечения. Программное шифрование также может не обеспечить полную безопасность, которую ожидают компании, чтобы конфиденциальная информация не попала в чужие руки.Хотя программное шифрование лучше, чем полное отсутствие шифрования, оно все же может быть уязвимо для ошибок пользователя, в результате чего данные не могут пройти через взлом и стать уязвимыми для потенциальных воров. Поскольку программное шифрование требует, чтобы пользователи следовали определенным процедурам для защиты данных, пользователи могут забыть или проигнорировать определенные аспекты процесса шифрования.

Благодаря аппаратному шифрованию на защищенных USB-накопителях, процесс шифрования AES выполняется автоматически, он встроен в небольшой чип внутри самого накопителя.После того, как исходные данные зашифрованы, они становятся неразборчивыми в фоновом режиме и блокируются в зашифрованном хранилище на диске. Если вор попытается получить доступ к данным без пароля, попытка практически невозможна. Но как только пользователь вводит свой личный пароль, данные мгновенно дешифруются и становятся полностью доступными для пользователя.

256-битное аппаратное шифрование AES на USB-накопителях Kanguru Secure

Когда подключен USB-накопитель с аппаратным шифрованием Kanguru Defender, на начальном экране необходимо ввести правильный пароль, чтобы получить доступ к какому-либо содержимому накопителя, что обеспечивает безопасность данных.

Из-за потенциальных уязвимостей программного шифрования Kanguru строго использует 256-битное аппаратное шифрование AES для всех защищенных USB-накопителей Kanguru Defender, жестких дисков и твердотельных накопителей . Диски Kanguru с аппаратным шифрованием содержат «всегда включенный» встроенный генератор случайных чисел, который независимо обеспечивает безопасность диска. Когда вы впервые подключаете устройство к USB-порту, краткий мастер настройки инициализации предложит вам назначить пароль для устройства, а также несколько простых вопросов о ваших предпочтениях в отношении функций накопителя.Как только вы создадите пароль, алгоритмы шифрования встанут на свои места, и вы сможете начать использовать свой накопитель так же, как и любой другой USB-накопитель. Единственное отличие, которое вы заметите, заключается в том, что вам потребуется ввести свой безопасный пароль, когда вы подключите диск к новому компьютеру, чтобы получить доступ к своей информации.

Масштабируемые / гибкие решения Kanguru

256-битное аппаратное шифрование AES обеспечивает наилучший уровень защиты данных на USB-накопителях.Система защищенных дисков с аппаратным шифрованием Kanguru Defender представляет собой масштабируемое решение, которое может использоваться компанией или организацией любого размера, от частных лиц и малых предприятий до крупных корпоративных корпораций, военных и правительственных организаций. Независимо от того, есть ли у вас штат из 1 или 1000 сотрудников, вы можете защитить конфиденциальные данные на USB-накопителях, жестких дисках и твердотельных накопителях в любом месте и обеспечить их защиту.

Защита от грубой силы

Меры безопасности Кангуру на этом не заканчиваются.Чтобы обеспечить физическую защиту аппаратно зашифрованного чипа внутри и защитить от любых попыток грубой силы, которые могут попытаться получить доступ к чипу, Kanguru проводит множество всемирно известных и широко уважаемых сертификатов безопасности. Эти сертификаты основаны на тщательном изучении лучших методов, используемых для защиты шифрования на диске. Например, достигнув одного из наивысших уровней сертификации FIPS 140-2, на уровне 3, защищенный флеш-накопитель Kanguru Defender 2000 ™ с аппаратным шифрованием демонстрирует, что он является лучшим средством защиты от грубой силы и любого типа взлома. .Большинство производителей USB предпочитают останавливаться на достигнутом, довольствуясь соблюдением требований безопасности, связанных с физической защитой аппаратного шифрования накопителя. Но Kanguru стремится предложить самое лучшее в области безопасности USB наряду с лучшими практиками для шифрования высочайшего качества. Кроме того, пройдя тестирование и квалификацию по Common Criteria, Kanguru еще раз демонстрирует свое стремление к совершенству и гарантирует своим уважаемым клиентам, что их защищенные аппаратные зашифрованные диски Kanguru Defender будут полностью защищать их важные и конфиденциальные данные в соответствии с высочайшим уровнем стандартов безопасности.Компания Kanguru прошла сертификацию Common Criteria в декабре 2014 года и теперь предлагает единственные в мире защищенные USB-накопители, сертифицированные по Common Criteria / FIPS 140-2. Дополнительные сведения см. В разделах Highly Certified FIPS 140-2 и Common Criteria USB Flash Drives или FIPS 140-2 и Common Criteria, Why It Matters .

Удаленное управление аппаратным шифрованием защищенных USB-накопителей Kanguru Defender

Kanguru также предлагает уникальное и надежное решение для организаций, позволяющее контролировать, управлять, отслеживать и взаимодействовать с назначенными USB-накопителями «в полевых условиях».Kanguru Remote Management, доступный как для самостоятельного размещения, так и в виде защищенной облачной службы, дает ИТ-администраторам и менеджерам возможность:

• Отслеживание защищенных USB-накопителей и управление ими по всему миру
  
• Отключить / удалить потерянные или украденные диски
• Распространение файлов и сообщений на USB-накопители
  
• Настройка разрешений в сети и в автономном режиме
  
• Создание отчетов
  
• Экспорт журналов аудита
  
• Управление паролями
  
• Уведомлять пользователей и развертывать обновления политики
  
• Запланировать смену пароля
  
• Ограничение IP-адресов и доменов
  
• Применение политик

Для получения дополнительной информации см. О центральном / удаленном управлении Kanguru.

Посетите Kanguru Defender® Secure USB-флеш-накопители с аппаратным шифрованием для получения дополнительной информации.

ресурсов

¹ Британская энциклопедия; Расширенный стандарт шифрования, (AES)

^[2] Блог AgileBits; Шифрование AES не взломано , цитируется статья The Inquirer относительно Андрея Богданова, научного сотрудника Левенского университета, 18 августа 2011 г.

Аппаратное шифрование

против программного шифрования

Программное и аппаратное шифрование — два лучших способа сохранить ваши данные в безопасности на USB-накопителях.Прочтите, чтобы узнать, как максимально использовать эти процессы для ваших собственных устройств хранения.

СВЯЗАННЫЕ: USB-накопитель | Все, что вам нужно знать

В этой статье:

1. Что такое шифрование?
2. Почему важно шифрование?
3. Что такое программное шифрование?
4. Что такое аппаратное шифрование?
5. Аппаратное шифрование и программное шифрование: различия
6. Как обеспечить безопасность данных на USB-накопителях?

Обеспечение безопасности ваших данных | Все, что вам нужно знать об аппаратном и программном шифровании

Что такое шифрование?

Шифрование — лучший способ сохранить ваши данные в безопасности и включает преобразования данных в секретный код .

Для доступа к зашифрованным файлам вам понадобится пароль или какой-то ключ . Этот пароль или ключ расшифровывает ваши данные и переводит их в обычный текст.

Вы можете зашифровать данные на компьютерах, смартфонах и даже на USB-накопителях. В частности, для USB-накопителей существует два способа шифрования данных:

• Аппаратное шифрование
• Программное шифрование

Почему важно шифрование?

Мы все хотим, чтобы наши данные были в безопасности.К сожалению, в наши дни нельзя быть слишком осторожным.

Ваши личные и деловые данные могут быть злоупотреблены разными способами, и шифрование — способ предотвратить это. Без шифрования USB-накопители особенно уязвимы .

USB-накопители распространены повсеместно, и многие компании полагаются на них для хранения, резервного копирования и передачи важных данных. Его размер также позволяет удобно носить с собой или путешествовать со всеми необходимыми данными.

Хотя размер USB-накопителей обеспечивает простоту мобильности, он также позволяет легко забыть , потерять или потерять их.Когда это происходит, возникает риск того, что кто-то другой получит доступ к данным, которые он хранит.

После того, как вы зашифруете свои данные, кому-либо будет очень трудно получить доступ к их содержимому. У них может быть ваш физический USB-накопитель, но они не смогут ничего сделать с данными.

В противном случае, если ваш USB-накопитель действительно потеряется и вы не зашифруете свои данные, любой, у кого есть компьютер, сможет просмотреть и скопировать его содержимое.

Что такое программное шифрование?

Использование программного шифрования для защиты файлов

Программное шифрование — это процесс защиты ваших данных с помощью программного обеспечения .Программное обеспечение устанавливается на главный компьютер и шифрует и дешифрует данные.

Программное обеспечение предоставляет алгоритм, который, по сути, шифрует данные , сохраненные на устройстве, а дешифрует их при предоставлении доступа .

В программном шифровании ваш пароль является ключом, который вам нужен для доступа к вашим данным. После ввода правильного пароля файлы и данные будут разблокированы и расшифрованы.

Определение алгоритма: Алгоритм — это набор правил, которыми управляют компьютеры и процессоры.Он сообщает им, что делать с каждым вводом и какой вывод он должен произвести.

СВЯЗАННЫЙ: Почему флэш-накопитель USB должен быть одним из предметов первой необходимости

Что такое аппаратное шифрование?

Аппаратное шифрование — это процесс защиты ваших данных с использованием выделенного и отдельного процессора . Этот процессор заботится о попытках аутентификации доступа, предоставлении доступа и шифровании / дешифровании данных .

Хотя некоторые процессы аппаратного шифрования по-прежнему используют пароли, они также могут использовать биометрические данные , такие как отпечатки пальцев, вместо традиционного пароля.

Для USB-накопителей обычно отдельный процессор генерирует ключ шифрования с помощью генератора случайных чисел. Процессор сгенерирует ключ шифрования только тогда, когда пользователь предоставит свой пароль.

Аппаратное шифрование и программное шифрование: различия

Аппаратное и программное шифрование служит для защиты ваших данных, но между ними есть несколько важных отличий. Вот основные отличия:

• Установка программного обеспечения — Программное обеспечение для шифрования требует установки программного обеспечения на главном компьютере.Аппаратное шифрование не требует установки программного обеспечения.
• Дополнительное оборудование — Для аппаратного шифрования требуется отдельный выделенный процессор. Программное шифрование обычно не требует дополнительного оборудования.
• Замедляет компьютер — Устройства с аппаратным шифрованием не замедляют работу главного компьютера, поскольку все шифрование происходит в отдельном процессоре. Шифрование программного обеспечения может замедлить работу компьютеров, поскольку для выполнения шифрования программное обеспечение полагается на вычислительные ресурсы компьютера и, кроме того, время от времени может требовать обновления программного обеспечения.
• Какая часть зашифрована на устройстве — Аппаратное шифрование обычно шифрует весь диск. Обычно вы можете настроить программное шифрование для шифрования только определенных файлов, если вам не нужно, чтобы все шифровалось.
• Проблемы безопасности — Программное шифрование более восприимчиво к атакам методом грубой силы по сравнению с аппаратным шифрованием. После взлома компьютера хакеры могут продолжать сбрасывать счетчик попыток ввода пароля, чтобы продолжать пробовать новые пароли.
  • Устройства с аппаратным шифрованием, как правило, более безопасны, потому что все шифрование, наряду со случайно сгенерированным числовым паролем, происходит в отдельном процессоре, что затрудняет доступ хакерам.Это не похоже на программное шифрование, которое безопасно только на главном компьютере.
• Доступ к данным при отказе шифрования — Доступ к вашим данным затруднен, когда процессор устройств с аппаратным шифрованием выходит из строя. Обычно существует больше отказоустойчивых вариантов или встроенных систем восстановления для программного шифрования.
• Стоимость — Для небольших компаний программное шифрование может быть более рентабельным. Для средних и крупных компаний аппаратное шифрование более рентабельно, поскольку не требует установки дополнительного программного обеспечения.

Оба типа шифрования имеют свои преимущества и недостатки. Выбирая между программным и аппаратным шифрованием, учитывайте свои потребности.

Как обеспечить безопасность данных на USB-накопителях?

Защита файлов на USB-накопителе

Есть два способа сохранить ваши данные на USB-накопителях:

• Установите программу программного шифрования на свой компьютер и используйте программное обеспечение для шифрования данных на USB-накопителе
• Приобретите USB-накопитель накопитель со встроенным процессором аппаратного шифрования

Лучше всего покупать USB у производителя, который может решить все ваши проблемы с безопасностью данных.

Шифрование необходимо для защиты ваших личных и деловых данных, особенно когда вы храните их на USB-накопителях.

Тип шифрования, который вы выбираете, зависит от ваших потребностей. Если вы думаете о защите USB-накопителя для личного использования, то программного шифрования, вероятно, будет достаточно для ваших целей.

С другой стороны, аппаратное шифрование может лучше подходить для крупных компаний и предприятий. Помните об этом при следующей покупке USB-накопителя.Помните, лучше перестраховаться, чем сожалеть!

Как обеспечить безопасность данных на USB-накопителях? Дайте нам знать в комментариях.

Вперед:

Статьи по теме

Аппаратное шифрование | Как развивается рынок

Проблемы конфиденциальности и информационной безопасности привели к росту использования в последние годы шифрования данных. Большая часть этой деятельности — и большинство форм, в которых была распространена и реализована соответствующая технология — была сосредоточена на настольном программном обеспечении, мобильных приложениях и сетевых / системных процессах.

Но аппаратные методы и технологии шифрования действительно существуют — и доставка товаров потребительского уровня в виде зашифрованного оборудования становится все более доступной.

В этой статье мы рассмотрим принципы и механизмы, которые делают возможным использование аппаратного обеспечения с шифрованием, а также то, как развивается развивающийся рынок этих товаров по сравнению с более традиционными программными продуктами.

Шифрование программного обеспечения

Шифрование — это процесс, при котором одна форма информации или содержимого шифруется до неузнаваемого состояния в соответствии с правилами математической формулы или алгоритма.Для данных в компьютерных системах и передачи между узловыми точками в сети это действует как защита от отслеживания или перехвата, поскольку информационный поток не может быть немедленно расшифрован, даже если он попадет в руки посторонних.

Сегодня широко используются несколько видов алгоритмов шифрования, но все они имеют общий основной принцип: ключ требуется для запуска процесса шифрования, а распознанный ключ необходим на принимающей стороне для декодирования шифра и дешифрования. замаскированные данные.

Для программного шифрования эти ключи обычно имеют форму буквенно-цифрового пароля, который должен быть установлен в начале процесса кодирования. После запуска шифрования соответствующий алгоритм шифрует информацию, записанную на диск. Эти данные будут оставаться в зашифрованной форме до тех пор, пока в систему не будет введена правильная комбинация букв, цифр и / или символов (например, ключ пароля), после чего программное обеспечение шифрования расшифровывает информацию по мере ее чтения с диска аутентифицированный пользователь.

Программные процессы шифрования, как правило, довольно недороги в реализации и не требуют дополнительного оборудования, что делает их популярным выбором для разработчиков. На рынке существует множество инструментов, в том числе BitLocker от Microsoft для шифрования дисков.

С другой стороны, программный инструмент шифрования может быть настолько безопасным, насколько устройство или система, на которых он находится. Если оборудование украдено или пароли попадут в чужие руки, любая защита, которую оно предлагает, может стать академической.Программным инструментам шифрования также требуется вычислительная мощность для выполнения своих процедур шифрования или дешифрования — мощность, которая должна быть разделена с системой в целом и может значительно замедлить ее общие операции.

Аппаратное шифрование

В основе аппаратного шифрования лежит отдельный процессор, предназначенный для шифрования и аутентификации (и, следовательно, не зависящий от основных системных ресурсов), которое в результате становится значительно быстрее, чем программная альтернатива.Это также позволяет отделить процесс шифрования / дешифрования от системы в целом, что затрудняет перехват или взлом.

Для шифрования или дешифрования информации по-прежнему требуется ключ, но обычно он генерируется как случайное число самим аппаратным процессором. Устройства аппаратного шифрования могут также использовать альтернативные технологии, такие как биометрия (например, сканирование отпечатков пальцев) или PIN-коды, вместо традиционных паролей. Это делает процесс идеальным для мобильных устройств: яркий тому пример — сканер отпечатков пальцев Apple TouchID для iPhone.

Поскольку процесс шифрования встроен в аппаратное обеспечение, система полагается на стабильность и надежность оборудования. В случае отказа механизма аппаратного шифрования восстановление доступа к зашифрованным данным может стать реальной проблемой.

Аппаратное шифрование — экономические соображения

Мы уже заметили, что шифрование программного обеспечения обычно является экономически эффективным вариантом для разработчика программы. То же самое верно и для пользователя, поскольку программные инструменты обычно доступны по цене (некоторые, например BitLocker от Microsoft, даже бесплатны).

Для сравнения, аппаратное шифрование стоит довольно дорого, и это вариант, который используется потребителями, у которых есть особая потребность в зашифрованных устройствах и преимуществах, которые они предлагают в определенных обстоятельствах или приложениях.

Поскольку они в значительной степени автономны, зашифрованные аппаратные устройства идеально подходят для защиты конфиденциальных данных на портативных носителях, таких как USB-накопители или ноутбуки. Офисные диски, содержащие конфиденциальные файлы, такие как финансовые данные, медицинская информация или интеллектуальная собственность, имеют более высокую степень защиты с помощью аппаратных ключей шифрования, которые предотвращают дешифрование, даже если диски украдены и установлены на других компьютерах.

Зашифрованное оборудование

Помимо встроенного шифрования смартфонов или других мобильных устройств, зашифрованное оборудование также поставляется в виде USB-накопителей, фиксированных и съемных жестких дисков и твердотельных накопителей.

Обычно используется стандарт шифрования AES или Advanced Encryption Standard, который представляет собой криптографический модуль, установленный Национальным институтом стандартов и технологий (NIST). AES имеет глобальную базу пользователей, включая государственные, военные, финансовые учреждения, независимые и коммерческие организации.

Существуют различные уровни аппаратного шифрования AES — в частности, 128-битный, 192-битный и 256-битный — с каждым размером ключа, представляющим повышение уровня защиты и сложности процессов шифрования / дешифрования. Но даже самый низкий уровень обеспечивает заметную степень защиты. Как заявил аналитик Левенского университета:

«если бы хакер попытался« взломать код », чтобы получить доступ к 128-битному шифрованию AES, ему пришлось бы сделать 8 шагов с 37 нулями.Для этого потребуется триллион машин, проверяющих миллиард ключей в секунду, и два миллиарда лет, чтобы раскрыть ключ AES-128 ».

Необходимость резервного копирования

Как мы отмечали ранее, восстановление зашифрованных данных из поврежденной системы или отказавшего устройства может быть реальной проблемой.

Некоторые программные инструменты шифрования имеют встроенные механизмы восстановления, но перед использованием системы необходимо выбрать их параметры.

Хотя зашифрованные аппаратные устройства обычно не имеют встроенных опций восстановления, многие из них имеют конструктивную особенность, которая предотвращает расшифровку данных, которые они хранят, в случае отказа компонента.Это может быть эффективным, чтобы помешать хакерам разобрать их на части.

Однако полное резервное копирование всех важных данных — и их хранение в безопасном и отдельном месте — остается лучшим средством защиты от потери данных со скомпрометированного и зашифрованного устройства. Облачное хранилище может быть вариантом, который стоит рассмотреть в случае мобильных устройств и критически важных данных настольных компьютеров. 256 ~ = 1.1E77. Для полного поиска в ключевом пространстве TaihuLight потребуется порядка 1.1E77 / 1.0E17 = 1E60 секунд. Но он не смог бы выполнить задачу! За гораздо более короткий промежуток времени — за 3,7E17 секунды — Землю поглотило бы Солнце, которое превратилось бы в красный карлик.

Давайте предположим немыслимое: что мы смогли сконструировать компьютер с производительностью TaihuLight всего из одного атома и , который мы превратили каждый атом Земли в такой компьютер: Земля, по оценкам, состоит из атомов 1E50.С таким количеством суперкомпьютеров 256-битное пространство ключей могло быть пройдено за 1E10 секунд или 316 лет. Так что даже с помощью компьютера, который мы не можем себе представить, потребуется больше жизни, чтобы использовать грубую силу против AES 256.

Появление квантовых компьютеров изменит ландшафт криптографии. Когда станут доступны достаточно большие квантовые компьютеры, алгоритм Гровера позволит поиск в ключевом месте за время O (sqrt (n)). Когда квантовая технология станет доступной, AES 256 будет иметь тот же уровень безопасности, что и AES 128 сегодня.

В основном AES 256 доступен как программная или аппаратная реализация. Аппаратная реализация позволяет повысить безопасность и производительность по сравнению с программным обеспечением. Аппаратный AES 256 может работать со скоростью 10 Гбит / с без значительных задержек.
Аппаратное шифрование обычно намного проще, чем аналогичное программное шифрование. А меньшая сложность может быть преобразована в меньшую уязвимость для вредоносных программ и ошибок.

Криптографические реализации: аппаратное и программное обеспечение

>> Электронные ресурсы для проектирования
.. >> Библиотека: Серия статей
.. .. >> Серия: Справочник по криптографии

Современные криптографические алгоритмы могут быть реализованы с использованием специального криптографического оборудования или программного обеспечения, работающего на аппаратном обеспечении общего назначения. По разным причинам специальное криптографическое оборудование является лучшим решением для большинства приложений. В приведенной ниже таблице перечислены причины, по которым аппаратные криптографические решения более желательны.

Безопасная загрузка и безопасная загрузка — что это такое и почему они важны?

Среди повседневных устройств Интернета вещей, использующих встроенное оборудование:

• Домашние устройства: камеры Wi-Fi, термостаты Интернета вещей и детекторы дыма
• Медицинские устройства
• Носимые устройства, фитнес-трекеры или умные часы
• Промышленные таких машин, как роботизированные манипуляторы на заводах

Практически все эти устройства (рис.1) содержат загрузочную прошивку или загружаемые данные, которые имеют доступ к Интернету, что подвергает их опасности. Загрузочная прошивка по существу сохраняется в энергонезависимой памяти внутри устройства. Это мозг устройства. Это программное обеспечение время от времени обновляется для исправления и улучшения определенных функций. Это может быть что угодно, от нового алгоритма обнаружения вторжения для камеры Wi-Fi или угла наклона манипулятора промышленного робота для лучшего позиционирования сварного шва.

1. Устройства Интернета вещей, такие как роботизированная рука на заводе, имеют встроенное оборудование, которое может представлять угрозу безопасности.

В этой статье описаны все шаги, необходимые для безопасной загрузки и загрузки новой прошивки на подключенное устройство.

Зачем защищать прошивку или данные устройства IoT?

Устройства Интернета вещей должны быть надежными, что означает, что микропрограммное обеспечение устройства и важные данные должны быть проверены на подлинность. В идеальном мире загрузочная прошивка и данные конфигурации были бы заблокированы на заводе, но клиенты ожидают, что обновления прошивки и реконфигурация будут доступны через Интернет.И в этом проблема — злоумышленники могут использовать эти сетевые интерфейсы как канал для вредоносных программ.

Если кто-то получает контроль над устройством IoT, он может получить контроль над устройством в злонамеренных целях. По этой причине любой код, который якобы исходит из авторизованного источника, должен быть аутентифицирован, прежде чем его будет разрешено использовать.

Злоумышленник может доставить вредоносное ПО на устройство Интернета вещей различными способами. (Рис. 2) :

• Если злоумышленник может получить физический доступ к устройству, то вредоносное ПО может быть занесено через физическое соединение (например, USB, Ethernet и др.).
• В операционных системах часто обнаруживаются уязвимости, которые закрываются по мере их обнаружения с помощью исправления. Если злоумышленник может получить доступ к системе без исправлений, он может внедрить вредоносное ПО.
• Часто устройства IoT связываются с серверами обновлений, чтобы определить, доступны ли обновленные данные микропрограмм или конфигурации. Злоумышленник может перехватить DNS-запрос и перенаправить устройство IoT на вредоносный источник, на котором размещено вредоносное ПО или повреждены данные конфигурации.
• Подлинный веб-сайт может быть неправильно настроен таким образом, чтобы позволить злоумышленнику получить контроль над веб-сайтом и заменить подлинную прошивку на ту, которая содержит вредоносное ПО злоумышленника.

2. Злоумышленники могут проникнуть на незащищенное устройство Интернета вещей вместо защищенного устройства Интернета вещей.

Мы можем предотвратить проникновение и защититься от внедрения вредоносных программ, используя безопасную загрузку и безопасную загрузку. Таким образом, устройство IoT может доверять обновлениям, получаемым из центра управления.

Защита от внедрения вредоносных программ с помощью безопасной загрузки / загрузки означает, что устройство IoT может доверять обновлениям, полученным из центра управления и контроля.

Обратите внимание: если центр управления хочет полностью доверять устройству IoT, существует дополнительный шаг, который включает аутентификацию данных устройства IoT. Как нам защитить эти устройства с помощью безопасной загрузки и безопасной загрузки?

Аутентификация и целостность микропрограммного обеспечения

Аутентификация и целостность могут обеспечить способ:

• Гарантировать, что целевое встроенное устройство запускает только авторизованное микропрограммное обеспечение или данные конфигурации.
• Подтвердите, что данные доверенные, и не изменялись впоследствии.
• Разрешить использование криптографии для подтверждения того, что данные являются как аутентичными, , так и имеют целостность .
• Используйте криптографические цифровые подписи , например печать или подпись вручную внизу письма.

При аутентификации и целостности данные микропрограмм и конфигурации загружаются на этапе производства, а все последующие обновления подписываются цифровой подписью.Таким образом, цифровая подпись обеспечивает доверие в течение всего срока службы устройства. Эти функции цифровой подписи имеют первостепенное значение для обеспечения безопасности:

• Используемая цифровая подпись должна быть вычислена с помощью криптографического алгоритма.
• Чтобы обеспечить высочайший уровень безопасности, алгоритмы должны быть общедоступными и хорошо зарекомендовавшими себя.

В качестве нашего безопасного решения мы рассмотрим асимметричные криптографические алгоритмы, в частности FIBS 186 ECDSA.

Асимметричная криптография, применяемая для безопасной загрузки / загрузки

3.Асимметричная криптография включает генерацию ключей ECDSA.

Асимметричная криптография использует пару открытого / закрытого ключей для вычислений алгоритма. (рис. 3) :

• Начало генерации любой пары ключей включает выбор случайного числа , которое будет использоваться в качестве закрытого ключа.
• Случайное число вводится в генератор ключей , и вычисление начинается с вывода открытого ключа.
• Открытый ключ является открытым (он может быть бесплатно распространен среди всех без какого-либо риска для безопасности).
• Однако закрытый ключ является важной информацией, которая должна оставаться конфиденциальной.

Основными принципами безопасной загрузки в асимметричной криптографии являются:

• Разработчик микропрограммного обеспечения использует закрытый ключ для подписи .
• Встроенное устройство (или устройство IoT) использует открытый ключ для проверки .

Так зачем использовать криптографию с асимметричным ключом?

• Преимущество состоит в том, что на встроенном устройстве не хранится закрытый ключ.
• При использовании асимметричной криптографии злоумышленник не может получить закрытый ключ.
• Наконец, выбранный алгоритм (например, ECDSA) делает математически невыполнимым получение закрытого ключа из открытого ключа.

Во-первых, давайте рассмотрим пример того, что должно происходить в научно-исследовательском центре, использующем криптографию с асимметричным ключом.

Отдел исследований и разработок

• Мы начинаем с полной прошивки .
• Прошивка должна быть подвергнута SHA-256 многоблочным вычислениям хэша .
• Закрытый ключ , и хэш вводятся в алгоритм подписи ECDSA . Результатом является уникальная подпись, которая могла быть подписана только закрытым ключом.
• Совместите нашу прошивку с подписью и отправьте по запросу для использования в поле .

Рисунок 4 иллюстрирует эти моменты более подробно.Теперь давайте посмотрим на использование поля.

4. Асимметричная криптография создает цифровую подпись для набора данных или прошивки.

Использование в полевых условиях

• Встроенное устройство получает прошивку и подпись.
• Прошивка будет выполнять вычисление многоблочного хэша SHA-256.
• Наше встроенное устройство уже будет содержать открытый ключ , созданный во время генерации ключа в центре исследований и разработок.
• Подпись и другие ингредиенты затем будут использоваться в качестве входных данных для проверки ECDSA.
• Результат из проверки ECDSA определит, может ли микропрограмма использоваться встроенным устройством .
• Если результатом является ПРОЙДЕН , тогда встроенное устройство принимает прошивку, которая имеет как подлинность, так и целостность.
• Если результатом является FAIL , то микропрограмма отклоняется.

В следующем видео объясняется, как можно безопасно загрузить микропрограммное обеспечение в удаленную систему:

Безопасная загрузка и безопасная загрузка с использованием DS28C36

У ряда встроенных устройств нет защищенного микроконтроллера с вычислительной мощностью для выполнения необходимые вычисления для проверки подлинности и целостности загруженного микропрограммного обеспечения или данных. Одним из экономичных аппаратных решений для ИС является безопасный аутентификатор DS28C36 DeepCover (рис.5) .

5. Безопасная загрузка и безопасная загрузка в экономичном аппаратном решении с использованием DS28C36.

Шаги для безопасной загрузки и безопасной загрузки:

1. Как обсуждалось ранее, пара открытых и закрытых ключей системы для функции безопасной загрузки или безопасной загрузки устанавливается в центре исследований и разработок. Системный закрытый ключ этой пары используется для подписи прошивки или данных, которые в конечном итоге проверяются DS28C36, встроенным в конечную систему.Этот системный закрытый ключ никогда не покидает контролируемую среду разработки. Системный открытый ключ этой пары установлен в DS28C36 в том месте реестра ключей, которое имеет атрибут «ключ полномочий», который является настраиваемым параметром в DS28C36.
2. Закрытый ключ системы используется для вычисления цифровой подписи микропрограммного обеспечения или данных.
3. DS28C36 с предварительно запрограммированным системным открытым ключом находится на интерфейсе с хост-процессором.
4. Когда микропрограммное обеспечение должно запускаться процессором, оно сначала извлекается диспетчером загрузки процессора и доставляется в DS28C36 последовательными 64-байтовыми блоками для вычисления хэша SHA-256.
5. После того, как DS28C36 завершает вычисление хэша SHA-256, процессор передает подпись ECDSA микропрограммного обеспечения или данных, которые были вычислены в среде разработки и добавлены к файлу.
6. После того, как DS28C36 получает подпись ECDSA, процессор отправляет команды на использование предварительно установленного системного открытого ключа для выполнения проверки подписи.
7. Если DS28C36 проверяет подпись, в процессор доставляется байт параметра результата передачи и вывод GPIO, установленный на логический 0.Состояние этого вывода и результат байта параметра действует как результат «годен / не годен» для процессора, чтобы запустить теперь известную доверенную прошивку или обновление данных.
8. Кроме того, если центр управления хочет доверять DS28C36, дополнительно доступен механизм подписи ECDSA.

Таким образом, мы показали проверенное решение безопасности для безопасной загрузки или безопасной загрузки с использованием DS28C36, которое устраняет угрозы для устройств IoT. Эта ИС безопасного аутентификатора избавляет от тяжелой вычислительной математики, необходимой для подтверждения подлинности и целостности обновлений микропрограмм и данных.

Для получения дополнительной информации о решениях Maxim для безопасной загрузки и безопасной загрузки посетите:

Перейдите в инструмент Security Lab, чтобы выполнить этот пример последовательности, или воспользуйтесь другими дополнительными лабораториями Maxim.

Двунаправленная аутентификация для защиты IP

Двунаправленная (или взаимная) аутентификация является важной частью безопасного обмена данными. Обе стороны коммуникации должны быть уверены, что их противнику можно доверять.Это можно сделать, доказав, что владеете частной информацией. Эта информация может быть передана между сторонами или оставаться полностью конфиденциальной, если есть возможность доказать владение ею.

Симметричные системы аутентификации требуют, чтобы информация была совместно использована всеми участниками коммуникации. Эта информация обычно называется «секретной». Секрет — это часть информации, не всем известная; она известна только тем, кто в ней нуждается. Секрет используется совместно с симметричным алгоритмом аутентификации, таким как SHA, наряду с другими данными, совместно используемыми участниками.Возможность генерировать соответствующую подпись на обеих сторонах связи доказывает владение секретом.

Системы асимметричной аутентификации (например, ECDSA) используют скрытую информацию, которая не передается сторонам (известная как «закрытый ключ»), но используется для получения информации, которая может быть известна общественности (известная как «открытый ключ»). Правильное использование открытого ключа доказывает владение закрытым ключом, поскольку закрытый ключ необходим для разблокировки сообщения, заблокированного открытым ключом, и наоборот.

Аутентификация подчиненного устройства

Для аутентификации подчиненного устройства в конфигурации главный-подчиненный, подчиненному устройству отправляется фрагмент случайных данных (также известный как «запрос»). Наряду с любыми данными, совместно используемыми устройствами, задача выполняется посредством операции подписи с секретным или закрытым ключом для создания подписи «ответа». Подпись ответа может быть проверена мастером, потому что ведущий владеет общим секретом или открытым ключом, который соответствует закрытому ключу ведомого.Общая схема этого процесса показана на рис. 6 .

6. Аутентификация ведомого устройства в системе ведущий-ведомый.

Аутентификация обычно зависит от алгоритмов, которые создают подписи, подтверждающие владение скрытой информацией участника, но затрудняющие обнаружение самой информации. Они известны как односторонние функции. SHA и ECDSA являются примерами таких алгоритмов.

Аутентификация ведущего

Чтобы доказать, что всем сторонам можно доверять, ведущему устройству также необходимо подтвердить подлинность ведомому устройству.Пример этого процесса показан в виде аутентифицированной записи (рис. 7) .

7. Мастер записывает новые данные в подчиненное устройство.

В рис. 7 ведущее устройство записывает новые данные в ведомое устройство. Однако для завершения записи ведомое устройство должно проверить подлинность информации, потребовав от ведущего создать подпись на основе этой информации, а также скрытых данных ведущего (секретный или закрытый ключ). Используя либо общий секрет, либо открытый ключ, соответствующий закрытому ключу главного устройства, подчиненное устройство может проверить подлинность подписи.

Использование односторонних функций может позволить любым перехватчикам видеть все передаваемые данные, но не позволяет им определить скрытую информацию, которая произвела подписи, связанные с данными. Без этой скрытой информации перехватчики не могут выдавать себя за другое лицо.

Эту модель двусторонней аутентификации можно легко использовать, чтобы гарантировать, что интеллектуальная собственность (IP), хранящаяся на устройстве, будет надежно защищена от подделок.

Вывод TRNG и типичное использование

Защищенные аутентификаторы Maxim ChipDNA имеют встроенный генератор истинных случайных чисел (TRNG) (рис.8) . Это используется устройством для внутренних целей. Но у них также есть команда, которая отправляет вывод TRNG, если пользователь запрашивает его. В настоящее время максимальная длина вывода TRNG составляет 64 байта. Этот аппаратный источник случайных чисел, совместимый с NIST, может использоваться для криптографических нужд, таких как генерация «запроса (одноразового номера)» хост-процессором.

8. Защищенный аутентификатор ChipDNA включает встроенный истинный генератор случайных чисел.