• перед загрузкой операционной системы – команды, зашитые в память шифратора. Они осуществляют все необходимые проверки и устанавливают требуемый уровень безопасности – допустим, отключают внешние устройства.
• после загрузки, например, Windows – команды, поступающие через модуль управления шифраторами: шифровать данные, перезагружать ключи, вычислять случайные числа и т.д.

     Такое разделение необходимо из соображений  безопасности – после выполнения команд первого блока, которые нельзя обойти, злоумышленник уже не сможет сделать что-либо запрещенное.

     Еще одно назначение ПО управления шифраторами  – обеспечить возможность замены одного шифратора на другой (скажем на более «продвинутый» или быстрый), не меняя программного обеспечения. Это происходит аналогично, например, смене сетевой карты: шифратор поставляется вместе с драйвером, который позволяет программам выполнять стандартный набор функций. Те же программы шифрования и не заметят такой подмены, но будут работать в несколько раз быстрее.

     Таким же образом можно заменить аппаратный шифратор на программный. Для этого  программный шифратор выполняют  обычно в виде драйвера, предоставляющего тот же набор функций.

     Впрочем такое ПО нужно не всем шифраторам - в частности, ПШ , стоящий по дороге к HDD, достаточно настроить один раз, после чего о нем можно просто забыть. [7]

Аппаратный  шифратор «М-506».

     Рассмотрим  в качестве примера один из отечественных  аппаратных шифраторов производства ЗАО  НИП «Информзащита» СКЗИ (Система криптографической защиты информации) М-506.

М-506 представляет собой программно-аппаратный комплекс криптографической защиты информации, реализующий алгоритм шифрования данных по ГОСТ 28147-89. В этом комплексном  средстве защиты информации возможности  аппаратного шифратора дополнены широким спектром других функций информационной безопасности

СКЗИ  М-506 состоит из следующих компонентов:

• сервер безопасности. Установленный на выделенном компьютере или контроллере домена, он собирает и обрабатывает информацию о состоянии всех защищаемых рабочих станций и хранит данные о настройках всей системы защиты;
• средство защиты информации от несанкционированного доступа (СЗИ) Secret Net NT 4.0. Данным СЗИ оснащаются все рабочие станции, на которых устанавливается также электронный замок «Соболь». Тем самым защищаются ресурсы компьютера и обеспечивается регистрация входа пользователя в систему, предъявления незарегистрированного идентификатора, введения неправильного пароля, превышения числа попыток входа в систему;
• подсистема управления. Этот программный компонент устанавливается на рабочем месте администратора системы и позволяет ему конфигурировать СЗИ Secret Net (а также управлять встроенными возможностями операционной системы), контролировать все события, влияющие на защищенность системы, и реагировать на них в режиме реального времени и в терминах реальной предметной области (сотрудник, задача, подразделение, помещение);
• криптоменеджер. Он устанавливается на автономном компьютере и выполняет следующие функции: создание ключей шифрования, изготовление ключевых дискет, ведение базы созданных ключей на жестком диске компьютера.

     Реализованная в СКЗИ М-506 клиент-серверная архитектура  позволяет сосредоточить в одном  месте функции управления безопасностью  корпоративной сети и повысить живучесть  всей системы защиты: даже выход из строя сервера безопасности не приводит к снижению уровня защищенности. Развитые возможности защиты от несанкционированного доступа (НСД) интегрированы с криптографическими механизмами: электронной цифровой подписью, «прозрачным» шифрованием файлов и шифрованием сетевого трафика.

     Для легального пользователя, которому предоставлено  право работать с зашифрованным  сетевым ресурсом, данный ресурс предстает  в своем обычном, незашифрованном  виде («прозрачный» режим криптографического преобразования). Но это не значит, что конфиденциальная информация передается по сети в открытом виде: сетевой трафик шифруется, а расшифровывание происходит только на рабочей станции пользователя.

     Отметим, что все компоненты СКЗИ М-506 функционируют  в замкнутой программной среде, недоступной воздействию вирусов. О высоком качестве данного криптосредства позволяет судить тот факт, что оно сертифицировано ФАПСИ (Федеральное агентство правительственной связи и информации) для защиты информации, содержащей сведения, составляющие государственную тайну.

Проблемы  применения аппаратных шифраторов.

     Что же мешает широкому применению аппаратных шифраторов - или, выражаясь точнее, обусловливает их меньшую распространенность по сравнению с криптографическим ПО?

     Прежде всего цена – в любом случае стоимость аппаратного шифратора будет выше, чем чисто программного решения. Но для организаций, всерьез заботящихся об информационной безопасности, использование аппаратных шифраторов в силу перечисленных выше причин безусловно желательно – во всяком случае, для защиты наиболее важных ресурсов. Производители аппаратных криптографических средств постоянно дополняют свои продукты новыми возможностями, и по соотношению цена/качество (если понимать под последним прежде всего функциональность) аппаратные шифраторы выглядят более предпочтительно, если их сравнивать с соответствующим ПО.

     Зачастую  на выбор шифрующего средства (программного или аппаратного) влияет и чисто  психологический эффект. Кажется, гораздо  проще переписать из Интернета одну из бесплатных или условно-бесплатных программ шифрования и активно ее использовать, в том числе для защиты информационного обмена со сторонними организациями, в то время как закупка аппаратного шифратора представляется началом долгого процесса получения всевозможных лицензий, сбора согласующих виз и т. п. Иными словами, на первый план выходят даже не денежные соображения, а попытки сэкономить время и облегчить себе жизнь.

     Заметим, однако, что в нормативных актах, регулирующих практику применения криптографических (шифровальных) средств, не проводится различий между программными и аппаратными средствами: оформлять использование криптосредств надо в любом случае. Другое дело, что документы эти могут быть разными – или лицензия ФАПСИ (ФАПСИ - Федеральное агентство правительственной связи и информации). Ведомство РФ, в числе прочего занимающееся разработкой криптографических алгоритмов и отвечающее за сертификацию СКЗИ (Средства криптографической защиты информации) в части криптографических функций на использование криптосредств, или договор с организацией, имеющей необходимую лицензию ФАПСИ на предоставление услуг по криптографической защите конфиденциальной информации. Поэтому переход к применению аппаратных шифраторов можно совместить с оформлением упомянутых выше документов. [9]

Заключение

     Итак, в этой работе мы рассмотрели наиболее распространенные в настоящее время методы криптографической защиты информации и способы ее реализации. Выбор для конкретных систем должен быть основан на глубоком анализе слабых и сильных сторон тех или иных методов защиты. Обоснованный выбор той или иной системы защиты в общем-то должен опираться на какие-то критерии эффективности. К сожалению, до сих пор не разработаны подходящие методики оценки эффективности криптографических систем.

     Наиболее  простой критерий такой эффективности - вероятность раскрытия ключа  или мощность множества ключей. По сути это то же самое, что и криптостойкость. Для ее численной оценки можно использовать также и сложность раскрытия шифра путем перебора всех ключей. Однако этот критерий не учитывает других важных требований к криптосистемам:

• невозможность раскрытия или осмысленной модификации информации на основе анализа ее структуры,
• совершенство используемых протоколов защиты,
• минимальный объем используемой ключевой информации,
• минимальная сложность реализации, ее стоимость,
• высокая оперативность.

     Поэтому желательно конечно использование  некоторых интегральных показателей, учитывающих указанные факторы. Но в любом случае выбранный комплекс криптографических методов должен сочетать как удобство, гибкость и оперативность использования, так и надежную защиту от злоумышленников циркулирующей в системе информации.

Список  литературы

1. Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие для студентов учреждений среднего профессионального образования.  – М.: ФОРУМ: ИНФРА-М, 2004.
2. Крысин А.В. Информационная безопасность. Практическое руководство – М.: СПАРРК, К.:ВЕК+,2003.
3. Тарасюк М.В. Защищенные информационные технологии. Проектирование и применение – М.: СОЛОН-Пресс, 2004.
4. Лукашов И. В. Криптография? Железно! //Журнал «Мир ПК». 2003. № 3.
5. Панасенко С.П., Защита информации в компьютерных сетях // Журнал «Мир ПК» 2002 № 2.
6. Бунин О. Занимательное шифрование // Журнал «Мир ПК» 2003 №7.
7. Панасенко С. П., Ракитин В.В. Аппаратные шифраторы // Журнал «Мир ПК». 2002. № 8.
8. Панасенко С. П. Чтобы понять язык криптографов // Журнал «Мир ПК». 2002. № 5.
9. Панасенко С. П. Чтобы понять язык криптографов // Журнал «Мир ПК». 2002. № 6.
10. http://www.irfe.com/articles/cript.html

Оглавление