ตัวอย่างวิธีการปกป้องข้อมูลการเข้ารหัส การจำแนกประเภทของความปลอดภัยของข้อมูลหมายถึงจาก FSTEC และ FSB ของรัสเซีย

เครื่องมือปกป้องข้อมูลการเข้ารหัส (CIPF) ประกอบด้วยฮาร์ดแวร์ เฟิร์มแวร์ และซอฟต์แวร์ที่ใช้อัลกอริธึมการเข้ารหัสสำหรับการแปลงข้อมูลเพื่อวัตถุประสงค์ของ:

การปกป้องข้อมูลในระหว่างการประมวลผล การจัดเก็บ และการส่งผ่านสภาพแวดล้อมการขนส่ง AS

รับประกันความน่าเชื่อถือและความสมบูรณ์ของข้อมูล (รวมถึงการใช้อัลกอริธึมลายเซ็นดิจิทัล) ในระหว่างการประมวลผล การจัดเก็บ และการส่งผ่านสภาพแวดล้อมการขนส่ง AS

การสร้างข้อมูลที่ใช้ในการระบุและรับรองความถูกต้องของหัวข้อ ผู้ใช้และอุปกรณ์

การสร้างข้อมูลที่ใช้เพื่อปกป้ององค์ประกอบการรับรองความถูกต้องของ AS ที่ได้รับการป้องกันในระหว่างการสร้าง การจัดเก็บ การประมวลผล และการส่งผ่าน

สันนิษฐานว่ามีการใช้ CIPF ในบาง AS (ในหลายแหล่ง - ระบบข้อมูลและโทรคมนาคมหรือเครือข่ายการสื่อสาร) พร้อมด้วยกลไกในการนำไปใช้และรับประกันนโยบายความปลอดภัย

การแปลงการเข้ารหัสมีคุณลักษณะที่สำคัญหลายประการ:

CIPF ใช้อัลกอริธึมการแปลงข้อมูลบางอย่าง (การเข้ารหัส ลายเซ็นดิจิทัลอิเล็กทรอนิกส์ การควบคุมความสมบูรณ์)

อาร์กิวเมนต์อินพุตและเอาต์พุตของการแปลงการเข้ารหัสมีอยู่ใน AS ในรูปแบบวัสดุบางรูปแบบ (วัตถุ AS)

CIPF ใช้ข้อมูลที่เป็นความลับ (กุญแจ) บางอย่างในการดำเนินงาน

อัลกอริธึมการแปลงการเข้ารหัสถูกนำมาใช้ในรูปแบบของวัตถุวัตถุบางอย่างที่มีการโต้ตอบกับสภาพแวดล้อม (รวมถึงวัตถุและวัตถุของ AS ที่ได้รับการป้องกัน)

ดังนั้นบทบาทของ CIPF ใน AS ที่ได้รับการป้องกันคือการเปลี่ยนแปลงของวัตถุ ในแต่ละกรณี การเปลี่ยนแปลงนี้มีลักษณะเฉพาะของตัวเอง ดังนั้นขั้นตอนการเข้ารหัสจึงใช้วัตถุ - ข้อความธรรมดาและวัตถุ - คีย์เป็นพารามิเตอร์อินพุต ผลลัพธ์ของการแปลงคือวัตถุ - ไซเฟอร์เท็กซ์ ในทางตรงกันข้ามขั้นตอนการถอดรหัสจะใช้ไซเฟอร์เท็กซ์และคีย์เป็นพารามิเตอร์อินพุต ขั้นตอนในการติดลายเซ็นดิจิทัลใช้วัตถุ - ข้อความและวัตถุ - คีย์ลายเซ็นลับ - เป็นพารามิเตอร์อินพุต ผลลัพธ์ของลายเซ็นดิจิทัลคือวัตถุ - ลายเซ็นซึ่งมักจะรวมเข้ากับวัตถุ - ข้อความ เราสามารถพูดได้ว่า CIPF ปกป้องวัตถุในระดับความหมาย ในเวลาเดียวกัน ออบเจ็กต์ - พารามิเตอร์ของการแปลงการเข้ารหัสเป็นออบเจ็กต์ AS เต็มรูปแบบและสามารถเป็นออบเจ็กต์ของนโยบายความปลอดภัยบางอย่างได้ (เช่น คีย์การเข้ารหัสสามารถและควรได้รับการปกป้องจากการเข้าถึงที่ไม่ได้รับอนุญาต คีย์สาธารณะสำหรับตรวจสอบลายเซ็นดิจิทัลจากการเปลี่ยนแปลง) . ดังนั้น CIPF ซึ่งเป็นส่วนหนึ่งของระบบที่ได้รับการป้องกันจึงมีการใช้งานเฉพาะ - อาจเป็นอุปกรณ์พิเศษแยกต่างหากที่ติดตั้งไว้ในคอมพิวเตอร์หรือโปรแกรมพิเศษ ประเด็นต่อไปนี้มีความสำคัญ:

CIPF แลกเปลี่ยนข้อมูลกับสภาพแวดล้อมภายนอก กล่าวคือ: คีย์ถูกป้อนเข้าไป เป็นข้อความธรรมดาระหว่างการเข้ารหัส

CIPF ในกรณีของการนำฮาร์ดแวร์ไปใช้จะใช้ฐานองค์ประกอบที่มีความน่าเชื่อถือจำกัด (เช่น ชิ้นส่วนที่ประกอบเป็น CIPF อาจทำงานผิดปกติหรือล้มเหลว)

CIPF ในกรณีของการใช้งานซอฟต์แวร์จะดำเนินการบนโปรเซสเซอร์ที่มีความน่าเชื่อถือจำกัดและในสภาพแวดล้อมซอฟต์แวร์ที่มีโปรแกรมของบุคคลที่สามซึ่งอาจส่งผลกระทบต่อขั้นตอนต่างๆ ของการดำเนินงาน

CIPF ถูกจัดเก็บไว้ในสื่อที่จับต้องได้ (ในกรณีของการใช้งานซอฟต์แวร์) และอาจถูกบิดเบือนโดยเจตนาหรือโดยไม่ได้ตั้งใจระหว่างการจัดเก็บ

CIPF โต้ตอบกับสภาพแวดล้อมภายนอกโดยอ้อม (ขับเคลื่อนโดยแหล่งจ่ายไฟหลัก และปล่อยสนามแม่เหล็กไฟฟ้า)

CIPF ผลิตและ/หรือใช้โดยบุคคลที่สามารถสร้างข้อผิดพลาด (โดยตั้งใจหรือโดยไม่ได้ตั้งใจ) ในระหว่างการพัฒนาและการดำเนินงาน

เครื่องมือปกป้องข้อมูลที่มีอยู่ในเครือข่ายโทรคมนาคมสามารถแบ่งออกเป็นสองกลุ่มตามหลักการสร้างระบบคีย์และระบบการตรวจสอบความถูกต้อง กลุ่มแรกประกอบด้วยเครื่องมือที่ใช้อัลกอริธึมการเข้ารหัสแบบสมมาตรเพื่อสร้างระบบคีย์และระบบการตรวจสอบสิทธิ์ และกลุ่มที่สองประกอบด้วยกลุ่มที่ไม่สมมาตร

ให้เราทำการวิเคราะห์เปรียบเทียบของระบบเหล่านี้ ข้อความข้อมูลที่พร้อมสำหรับการส่ง เริ่มต้นเปิดและไม่มีการป้องกัน จะถูกเข้ารหัสและแปลงเป็นไซเฟอร์แกรม กล่าวคือ เป็นข้อความปิดหรือภาพกราฟิกของเอกสาร ในรูปแบบนี้ ข้อความจะถูกส่งผ่านช่องทางการสื่อสาร แม้ว่าจะไม่ปลอดภัยก็ตาม หลังจากได้รับข้อความแล้ว ผู้ใช้ที่ได้รับอนุญาตจะถอดรหัส (เช่น เปิดข้อความ) โดยการแปลงรหัสลับแบบย้อนกลับ ส่งผลให้ข้อความมีรูปแบบดั้งเดิมที่ชัดเจน และผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงได้ วิธีการแปลงในระบบการเข้ารหัสสอดคล้องกับการใช้อัลกอริธึมพิเศษ การทำงานของอัลกอริธึมดังกล่าวถูกกระตุ้นด้วยหมายเลขเฉพาะ (ลำดับของบิต) ซึ่งมักเรียกว่าคีย์เข้ารหัส

สำหรับระบบส่วนใหญ่วงจรกำเนิดคีย์อาจเป็นชุดคำสั่งและคำสั่งหรือชิ้นส่วนของฮาร์ดแวร์หรือโปรแกรมคอมพิวเตอร์หรือทั้งหมดเหล่านี้ แต่ในกรณีใด ๆ กระบวนการเข้ารหัส (ถอดรหัส) จะถูกนำมาใช้โดยพิเศษนี้เท่านั้น สำคัญ. เพื่อให้การแลกเปลี่ยนข้อมูลที่เข้ารหัสประสบความสำเร็จ ทั้งผู้ส่งและผู้รับจำเป็นต้องทราบการตั้งค่าคีย์ที่ถูกต้องและเก็บเป็นความลับ ความแรงของระบบการสื่อสารแบบปิดนั้นพิจารณาจากระดับความลับของคีย์ที่ใช้ในระบบ อย่างไรก็ตาม ผู้ใช้เครือข่ายรายอื่นจะต้องรู้จักคีย์นี้เพื่อให้สามารถแลกเปลี่ยนข้อความที่เข้ารหัสได้อย่างอิสระ ในแง่นี้ ระบบการเข้ารหัสยังช่วยแก้ปัญหาการรับรองความถูกต้อง (การสร้างความถูกต้อง) ของข้อมูลที่ได้รับ ในกรณีที่ข้อความถูกดักฟัง ผู้โจมตีจะจัดการกับข้อความที่เข้ารหัสเท่านั้น และผู้รับที่แท้จริงที่ได้รับข้อความที่เป็นส่วนตัวด้วยรหัสที่เขาและผู้ส่งรู้จัก จะได้รับการปกป้องอย่างน่าเชื่อถือจากข้อมูลที่ผิดที่อาจเกิดขึ้น นอกจากนี้ ยังสามารถเข้ารหัสข้อมูลด้วยวิธีที่ง่ายกว่า โดยใช้เครื่องสร้างตัวเลขสุ่มเทียม การใช้ตัวสร้างตัวเลขสุ่มหลอกเกี่ยวข้องกับการสร้างแกมม่าตัวเลขโดยใช้ตัวสร้างตัวเลขสุ่มหลอกโดยให้คีย์บางตัวและนำแกมมาผลลัพธ์ไปใช้กับข้อมูลที่เปิดในลักษณะที่สามารถย้อนกลับได้ วิธีการป้องกันการเข้ารหัสนี้ค่อนข้างใช้งานง่ายและให้ความเร็วการเข้ารหัสที่ค่อนข้างสูง แต่ไม่สามารถต้านทานการถอดรหัสได้เพียงพอ

การเข้ารหัสแบบคลาสสิกมีลักษณะเฉพาะคือการใช้หน่วยลับหนึ่งหน่วย - คีย์ซึ่งช่วยให้ผู้ส่งเข้ารหัสข้อความและผู้รับสามารถถอดรหัสได้ ในกรณีของการเข้ารหัสข้อมูลที่จัดเก็บไว้ในสื่อแม่เหล็กหรือสื่อจัดเก็บข้อมูลอื่นๆ คีย์จะช่วยให้คุณสามารถเข้ารหัสข้อมูลเมื่อเขียนลงในสื่อ และถอดรหัสเมื่ออ่านจากสื่อนั้น

"วิธีการรักษาความปลอดภัยข้อมูลขององค์กรและกฎหมาย"

เอกสารคำแนะนำด้านกฎระเบียบขั้นพื้นฐานที่เกี่ยวข้องกับความลับของรัฐ เอกสารด้านกฎระเบียบและเอกสารอ้างอิง

ปัจจุบันประเทศของเราได้สร้างกรอบกฎหมายที่มั่นคงในด้านการคุ้มครองข้อมูล กฎหมายพื้นฐานสามารถเรียกได้ว่าเป็นกฎหมายของรัฐบาลกลางของสหพันธรัฐรัสเซียว่า "เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล" “ การควบคุมความสัมพันธ์ของรัฐในด้านการปกป้องข้อมูลนั้นดำเนินการโดยการกำหนดข้อกำหนดสำหรับการปกป้องข้อมูลตลอดจนความรับผิดต่อการละเมิดกฎหมายของสหพันธรัฐรัสเซียว่าด้วยข้อมูลเทคโนโลยีสารสนเทศและการปกป้องข้อมูล” ความรับผิดชอบของเจ้าของข้อมูลและผู้ปฏิบัติงานระบบสารสนเทศ

สำหรับกฎระเบียบด้านความปลอดภัยของข้อมูล "ประมวลกฎหมาย" บรรทัดฐานของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซียและประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียก็มีบทความที่จำเป็นเช่นกัน ในศิลปะ 13.12 แห่งประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซียพูดถึงการละเมิดกฎการคุ้มครองข้อมูล อาร์ตอีกด้วย 13.13 ซึ่งกำหนดบทลงโทษสำหรับกิจกรรมที่ผิดกฎหมายในด้านการรักษาความปลอดภัยข้อมูล และอาร์ต 13.14. ซึ่งมีบทลงโทษสำหรับการเปิดเผยข้อมูลที่ถูกจำกัด มาตรา 183 ประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียกำหนดบทลงโทษสำหรับการรับและการเปิดเผยข้อมูลที่เป็นความลับทางการค้า ภาษี หรือการธนาคารอย่างผิดกฎหมาย

กฎหมายของรัฐบาลกลาง "ว่าด้วยข้อมูล สารสนเทศ และการคุ้มครองข้อมูล" กำหนดว่าแหล่งข้อมูลของรัฐของสหพันธรัฐรัสเซียเปิดกว้างและเข้าถึงได้โดยสาธารณะ ข้อยกเว้นคือเอกสารข้อมูลซึ่งจัดประเภทตามกฎหมายว่าเป็นการเข้าถึงแบบจำกัด

แนวคิดเรื่องความลับของรัฐถูกกำหนดไว้ในกฎหมายว่าด้วยความลับของรัฐว่าเป็น "ข้อมูลที่ได้รับการคุ้มครองโดยรัฐในด้านการทหาร นโยบายต่างประเทศ เศรษฐกิจ ข่าวกรอง การต่อต้านข่าวกรอง และการสืบสวนเชิงปฏิบัติการ ซึ่งการเผยแพร่ซึ่งอาจเป็นอันตรายต่อความมั่นคง ของสหพันธรัฐรัสเซีย” ดังนั้น ตามความสมดุลของผลประโยชน์ของรัฐ สังคม และพลเมือง ขอบเขตของการใช้กฎหมายจึงจำกัดอยู่เฉพาะกิจกรรมบางประเภทเท่านั้น เช่น การทหาร นโยบายต่างประเทศ เศรษฐกิจ ข่าวกรอง การต่อต้านข่าวกรอง และการสืบสวนเชิงปฏิบัติ

กฎหมายกำหนดว่าเกณฑ์หลักคือข้อมูลลับเป็นของรัฐ

กฎหมายยังกำหนดให้มีการจัดตั้งหน่วยงานที่เกี่ยวข้องกับการคุ้มครองความลับของรัฐจำนวนหนึ่งโดยเฉพาะคณะกรรมาธิการระหว่างแผนกเพื่อการคุ้มครองความลับของรัฐได้แนะนำสถาบันของเจ้าหน้าที่ที่ได้รับมอบอำนาจในการจำแนกข้อมูลว่าเป็นความลับของรัฐในขณะเดียวกัน เวลามอบหมายความรับผิดชอบส่วนบุคคลให้กับพวกเขาสำหรับกิจกรรมเพื่อปกป้องความลับของรัฐในพื้นที่เขตอำนาจศาลของตน

องค์กรทั่วไปและการประสานงานการทำงานในประเทศเพื่อปกป้องข้อมูลที่ประมวลผลด้วยวิธีทางเทคนิคนั้นดำเนินการโดยหน่วยงานวิทยาลัย - Federal Service for Technical and Export Control (FSTEK) ของรัสเซียภายใต้ประธานาธิบดีแห่งสหพันธรัฐรัสเซียซึ่งตรวจสอบความปลอดภัยใน หน่วยงานของรัฐและองค์กรที่ดำเนินงานด้านการป้องกันและหัวข้อลับอื่น ๆ

วัตถุประสงค์และงานในด้านการรับรองความปลอดภัยของข้อมูลในระดับรัฐ

นโยบายของรัฐในการรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียกำหนดทิศทางหลักของกิจกรรมของหน่วยงานรัฐบาลกลางและหน่วยงานของรัฐของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซียในพื้นที่นี้ขั้นตอนในการรวมความรับผิดชอบเพื่อปกป้องผลประโยชน์ของสหพันธรัฐรัสเซียใน ขอบเขตข้อมูลภายในกรอบของกิจกรรมของพวกเขาและขึ้นอยู่กับการรักษาความสมดุลของผลประโยชน์ของแต่ละบุคคล สังคม และรัฐในขอบเขตข้อมูล นโยบายของรัฐในการรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียตั้งอยู่บนหลักการพื้นฐานดังต่อไปนี้: การปฏิบัติตามรัฐธรรมนูญแห่งสหพันธรัฐรัสเซีย กฎหมายของสหพันธรัฐรัสเซีย หลักการและบรรทัดฐานของกฎหมายระหว่างประเทศที่เป็นที่ยอมรับโดยทั่วไปเมื่อดำเนินกิจกรรมเพื่อให้มั่นใจในข้อมูล ความมั่นคงของสหพันธรัฐรัสเซีย การเปิดกว้างในการปฏิบัติหน้าที่ของหน่วยงานรัฐบาลกลาง หน่วยงานรัฐบาลของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย และสมาคมสาธารณะ โดยจัดให้มีการแจ้งให้สาธารณชนทราบเกี่ยวกับกิจกรรมของพวกเขา โดยคำนึงถึงข้อจำกัดที่กำหนดโดยกฎหมายของสหพันธรัฐรัสเซีย ความเท่าเทียมกันทางกฎหมายของผู้เข้าร่วมทั้งหมดในกระบวนการโต้ตอบข้อมูล โดยไม่คำนึงถึงสถานะทางการเมือง สังคม และเศรษฐกิจ โดยยึดตามสิทธิตามรัฐธรรมนูญของพลเมืองในการค้นหา รับ ส่ง ผลิต และเผยแพร่ข้อมูลด้วยวิธีทางกฎหมายใด ๆ ได้อย่างอิสระ การพัฒนาลำดับความสำคัญของข้อมูลสมัยใหม่ในประเทศและเทคโนโลยีโทรคมนาคมการผลิตฮาร์ดแวร์และซอฟต์แวร์ที่สามารถสร้างความมั่นใจในการปรับปรุงเครือข่ายโทรคมนาคมระดับชาติการเชื่อมต่อกับเครือข่ายข้อมูลระดับโลกเพื่อให้สอดคล้องกับผลประโยชน์ที่สำคัญของสหพันธรัฐรัสเซีย

รัฐในกระบวนการดำเนินการตามหน้าที่ของตนเพื่อรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย: ดำเนินการวิเคราะห์และคาดการณ์ภัยคุกคามต่อความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียอย่างครอบคลุมและเป็นกลาง พัฒนามาตรการเพื่อให้มั่นใจ จัดระเบียบการทำงานของฝ่ายนิติบัญญัติ (ตัวแทน) และฝ่ายบริหารของอำนาจรัฐของสหพันธรัฐรัสเซียเพื่อดำเนินชุดมาตรการที่มุ่งป้องกัน ขับไล่ และต่อต้านภัยคุกคามต่อความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย สนับสนุนกิจกรรมของสมาคมสาธารณะที่มีวัตถุประสงค์เพื่อแจ้งให้ประชากรทราบอย่างเป็นกลางเกี่ยวกับปรากฏการณ์ที่สำคัญทางสังคมของชีวิตสาธารณะ ปกป้องสังคมจากข้อมูลที่บิดเบี้ยวและไม่น่าเชื่อถือ ควบคุมการออกแบบ การสร้าง การพัฒนา การใช้ การส่งออก และการนำเข้าเครื่องมือรักษาความปลอดภัยข้อมูล ผ่านการรับรองและการออกใบอนุญาตกิจกรรมด้านความปลอดภัยข้อมูล ดำเนินนโยบายกีดกันทางการค้าที่จำเป็นต่อผู้ผลิตเครื่องมือสารสนเทศและการปกป้องข้อมูลในอาณาเขตของสหพันธรัฐรัสเซีย และใช้มาตรการเพื่อปกป้องตลาดภายในประเทศจากการรุกล้ำของเครื่องมือสารสนเทศและผลิตภัณฑ์ข้อมูลคุณภาพต่ำ มีส่วนช่วยให้บุคคลและนิติบุคคลสามารถเข้าถึงทรัพยากรข้อมูลโลกและเครือข่ายข้อมูลระดับโลก กำหนดและดำเนินการตามนโยบายข้อมูลของรัฐของรัสเซีย จัดการพัฒนาโปรแกรมของรัฐบาลกลางเพื่อรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียโดยรวมความพยายามขององค์กรของรัฐและที่ไม่ใช่ของรัฐในด้านนี้ ส่งเสริมความเป็นสากลของเครือข่ายและระบบข้อมูลระดับโลก รวมถึงการเข้าสู่ชุมชนข้อมูลระดับโลกของรัสเซียภายใต้เงื่อนไขของการเป็นหุ้นส่วนที่เท่าเทียมกัน

การปรับปรุงกลไกทางกฎหมายในการควบคุมการประชาสัมพันธ์ที่เกิดขึ้นในขอบเขตข้อมูลถือเป็นทิศทางสำคัญของนโยบายของรัฐในด้านการรับรองความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซีย

สิ่งนี้เกี่ยวข้องกับ: การประเมินประสิทธิผลของการประยุกต์ใช้กฎหมายที่มีอยู่และกฎหมายด้านกฎระเบียบอื่น ๆ ที่มีอยู่ในขอบเขตข้อมูลและการพัฒนาโปรแกรมสำหรับการปรับปรุง การสร้างกลไกองค์กรและกฎหมายเพื่อรับรองความปลอดภัยของข้อมูล การกำหนดสถานะทางกฎหมายของทุกประเด็นความสัมพันธ์ในขอบเขตข้อมูลรวมถึงผู้ใช้ข้อมูลและระบบโทรคมนาคมและกำหนดความรับผิดชอบในการปฏิบัติตามกฎหมายของสหพันธรัฐรัสเซียในพื้นที่นี้ การสร้างระบบในการรวบรวมและวิเคราะห์ข้อมูลเกี่ยวกับแหล่งที่มาของภัยคุกคามต่อความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียตลอดจนผลที่ตามมาของการดำเนินการ การพัฒนากฎหมายเชิงบรรทัดฐานที่กำหนดองค์กรของการสอบสวนและขั้นตอนการพิจารณาคดีข้อเท็จจริงของการกระทำที่ผิดกฎหมายในขอบเขตข้อมูลตลอดจนขั้นตอนในการขจัดผลที่ตามมาจากการกระทำที่ผิดกฎหมายเหล่านี้ การพัฒนาความผิดโดยคำนึงถึงลักษณะเฉพาะของความรับผิดทางอาญา ทางแพ่ง ทางปกครอง ทางวินัย และการรวมบรรทัดฐานทางกฎหมายที่เกี่ยวข้องไว้ในประมวลกฎหมายอาญา ทางแพ่ง ทางปกครอง และทางแรงงาน ในกฎหมายของสหพันธรัฐรัสเซียว่าด้วยการบริการสาธารณะ ปรับปรุงระบบการฝึกอบรมบุคลากรที่ใช้ในการรักษาความปลอดภัยข้อมูลของสหพันธรัฐรัสเซีย

การสนับสนุนทางกฎหมายสำหรับความปลอดภัยของข้อมูลของสหพันธรัฐรัสเซียควรตั้งอยู่บนพื้นฐานของการปฏิบัติตามหลักการของความถูกต้องตามกฎหมายความสมดุลของผลประโยชน์ของพลเมืองสังคมและรัฐในขอบเขตข้อมูล การปฏิบัติตามหลักการของความถูกต้องตามกฎหมายกำหนดให้หน่วยงานของรัฐบาลกลางและหน่วยงานของรัฐของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซียเมื่อแก้ไขข้อขัดแย้งที่เกิดขึ้นในขอบเขตข้อมูลต้องได้รับคำแนะนำอย่างเคร่งครัดจากการดำเนินการทางกฎหมายและกฎระเบียบอื่น ๆ ที่ควบคุมความสัมพันธ์ในพื้นที่นี้ การปฏิบัติตามหลักการสร้างความสมดุลระหว่างผลประโยชน์ของพลเมืองสังคมและรัฐในขอบเขตข้อมูลถือว่าการรวมกฎหมายของลำดับความสำคัญของผลประโยชน์เหล่านี้ในด้านต่าง ๆ ของสังคมตลอดจนการใช้รูปแบบของการควบคุมสาธารณะในกิจกรรมของรัฐบาลกลาง หน่วยงานและหน่วยงานของรัฐของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย การดำเนินการรับประกันสิทธิและเสรีภาพตามรัฐธรรมนูญของมนุษย์และพลเมืองที่เกี่ยวข้องกับกิจกรรมในขอบเขตข้อมูลถือเป็นงานที่สำคัญที่สุดของรัฐในด้านความปลอดภัยของข้อมูล การพัฒนากลไกสำหรับการสนับสนุนทางกฎหมายด้านความปลอดภัยของข้อมูลในสหพันธรัฐรัสเซียรวมถึงมาตรการในการให้ข้อมูลขอบเขตทางกฎหมายโดยรวม เพื่อระบุและประสานผลประโยชน์ของหน่วยงานรัฐบาลกลาง หน่วยงานรัฐบาลของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย และหัวข้อความสัมพันธ์อื่น ๆ ในขอบเขตข้อมูล และพัฒนาการตัดสินใจที่จำเป็น รัฐสนับสนุนการจัดตั้งสภาสาธารณะ คณะกรรมการ และคณะกรรมาธิการ ด้วยการเป็นตัวแทนอย่างกว้างขวางของสมาคมสาธารณะและอำนวยความสะดวกในการจัดระเบียบการทำงานที่มีประสิทธิภาพ

คุณสมบัติของการรับรองและมาตรฐานของบริการการเข้ารหัส

ในเกือบทุกประเทศที่มีเทคโนโลยีการเข้ารหัสที่พัฒนาขึ้น การพัฒนา CIPF อยู่ภายใต้การควบคุมของรัฐบาล ตามกฎข้อบังคับของรัฐนั้น รวมถึงการอนุญาตกิจกรรมที่เกี่ยวข้องกับการพัฒนาและการใช้เครื่องมือการเข้ารหัส การรับรอง CIPF และการสร้างมาตรฐานของอัลกอริธึมการแปลงการเข้ารหัส

กิจกรรมประเภทต่อไปนี้อยู่ภายใต้ใบอนุญาต: การพัฒนา การผลิต การทดสอบการรับรอง การขาย การทำงานของเครื่องมือเข้ารหัสที่มีจุดประสงค์เพื่อการปกป้องข้อมูลด้วยการเข้ารหัสที่มีข้อมูลที่ประกอบขึ้นเป็นสถานะหรือความลับอื่น ๆ ที่ได้รับการคุ้มครองตามกฎหมายในระหว่างการประมวลผล การจัดเก็บ และการส่งผ่านช่องทางการสื่อสาร เช่นเดียวกับการให้บริการในด้านการเข้ารหัสข้อมูลนี้ การพัฒนา การผลิต การทดสอบการรับรอง การทำงานของระบบโทรคมนาคมและคอมเพล็กซ์ของหน่วยงานรัฐบาลสูงสุดของสหพันธรัฐรัสเซีย การพัฒนา การผลิต การทดสอบการรับรอง การดำเนินการ การทำงานของระบบปิดและศูนย์โทรคมนาคมของหน่วยงานที่เป็นส่วนประกอบของสหพันธรัฐรัสเซีย หน่วยงานบริหารกลางของรัฐบาลกลาง องค์กร องค์กร ธนาคาร และสถาบันอื่น ๆ ที่ตั้งอยู่ในอาณาเขตของสหพันธรัฐรัสเซีย โดยไม่คำนึงถึง สังกัดแผนกและรูปแบบทรัพย์สิน (ต่อไปนี้จะเรียกว่าระบบปิดและศูนย์โทรคมนาคม) ที่มีจุดประสงค์เพื่อการส่งข้อมูลที่ประกอบขึ้นเป็นรัฐหรือความลับอื่น ๆ ที่ได้รับการคุ้มครองตามกฎหมาย ดำเนินการทดสอบการรับรองการใช้งานและการทำงานของเครื่องมือเข้ารหัสระบบปิดและคอมเพล็กซ์โทรคมนาคมที่มีไว้สำหรับการประมวลผลข้อมูลที่ไม่มีข้อมูลที่ประกอบขึ้นเป็นสถานะหรือความลับอื่น ๆ ที่ได้รับการคุ้มครองตามกฎหมายในระหว่างการประมวลผลการจัดเก็บและการส่งผ่านช่องทางการสื่อสารตลอดจนการจัดหา บริการในด้านการเข้ารหัสข้อมูลนี้

เครื่องมือการเข้ารหัสประกอบด้วย: ฮาร์ดแวร์ ซอฟต์แวร์ และเครื่องมือซอฟต์แวร์ฮาร์ดแวร์ที่ใช้อัลกอริธึมการเข้ารหัสสำหรับการแปลงข้อมูล ทำให้มั่นใจในความปลอดภัยของข้อมูลในระหว่างการประมวลผล การจัดเก็บ และการส่งผ่านช่องทางการสื่อสาร รวมถึงเทคโนโลยีการเข้ารหัส ฮาร์ดแวร์ ซอฟต์แวร์ และฮาร์ดแวร์-ซอฟต์แวร์ หมายถึงการป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตในระหว่างการประมวลผลและการจัดเก็บที่ใช้อัลกอริธึมการเข้ารหัสสำหรับการแปลงข้อมูล การใช้อัลกอริธึมการเข้ารหัสสำหรับการแปลงข้อมูล ฮาร์ดแวร์ ซอฟต์แวร์ และฮาร์ดแวร์-ซอฟต์แวร์ หมายถึงการป้องกันจากการเก็บรวบรวมข้อมูลที่เป็นเท็จ รวมถึงวิธีการป้องกันการเลียนแบบและ "ลายเซ็นดิจิทัล" ฮาร์ดแวร์ ฮาร์ดแวร์-ซอฟต์แวร์ และซอฟต์แวร์สำหรับการผลิตเอกสารสำคัญสำหรับเครื่องมือเข้ารหัส โดยไม่คำนึงถึงประเภทของผู้ให้บริการข้อมูลสำคัญ

ระบบปิดและคอมเพล็กซ์โทรคมนาคม ได้แก่ ระบบโทรคมนาคมและคอมเพล็กซ์ที่รับรองการปกป้องข้อมูลโดยใช้เครื่องมือการเข้ารหัส อุปกรณ์ที่ปลอดภัย และมาตรการขององค์กร

นอกจากนี้ กิจกรรมประเภทต่อไปนี้ยังอยู่ภายใต้การอนุญาต: การใช้งานเครื่องมือเข้ารหัสและ/หรือเครื่องมือลายเซ็นดิจิทัล รวมถึงเครื่องมือการเข้ารหัสเพื่อปกป้องการชำระเงินทางอิเล็กทรอนิกส์โดยใช้บัตรเครดิตพลาสติกและสมาร์ทการ์ด การให้บริการปกป้องข้อมูล (การเข้ารหัส) การติดตั้ง การติดตั้ง การปรับเครื่องมือการเข้ารหัสและ/หรือเครื่องมือลายเซ็นดิจิทัล เครื่องมือการเข้ารหัสเพื่อป้องกันการชำระเงินทางอิเล็กทรอนิกส์โดยใช้บัตรเครดิตพลาสติกและสมาร์ทการ์ด การพัฒนาเครื่องมือเข้ารหัสและ/หรือเครื่องมือลายเซ็นดิจิทัล เครื่องมือเข้ารหัสเพื่อป้องกันการชำระเงินทางอิเล็กทรอนิกส์โดยใช้บัตรเครดิตพลาสติกและสมาร์ทการ์ด

ขั้นตอนการรับรอง CIPF นั้นกำหนดโดยระบบการรับรองสำหรับเครื่องมือป้องกันข้อมูลการเข้ารหัส ROSS.R11.0001.030001 ของมาตรฐานรัฐรัสเซีย

การกำหนดมาตรฐานของอัลกอริธึมการแปลงการเข้ารหัสประกอบด้วยการวิจัยและการตีพิมพ์ที่ครอบคลุมในรูปแบบของมาตรฐานองค์ประกอบของขั้นตอนการเข้ารหัสโดยมีเป้าหมายเพื่อใช้การแปลงที่แข็งแกร่งในการเข้ารหัสที่ได้รับการพิสูจน์แล้วโดยนักพัฒนา CIPF ทำให้มั่นใจถึงความเป็นไปได้ของการดำเนินการร่วมกันของ CIPF ต่างๆ รวมถึงความสามารถในการทดสอบ และตรวจสอบความสอดคล้องของการนำ CIPF ไปใช้ด้วยอัลกอริทึมที่กำหนดโดยมาตรฐาน มาตรฐานต่อไปนี้ถูกนำมาใช้ในรัสเซีย: อัลกอริธึมการแปลงการเข้ารหัส 28147-89, อัลกอริธึมการแฮช, การแนบ และการตรวจสอบลายเซ็นดิจิทัล R34.10.94 และ R34.11.94 ในบรรดามาตรฐานต่างประเทศ อัลกอริธึมการเข้ารหัส DES, RC2, RC4, อัลกอริธึมแฮช MD2, MD4 และ MD5 และอัลกอริธึมสำหรับการติดและตรวจสอบลายเซ็นดิจิทัล DSS และ RSA เป็นที่รู้จักและใช้กันอย่างแพร่หลาย

กรอบกฎหมายเพื่อความมั่นคงปลอดภัยสารสนเทศ

แนวคิดพื้นฐาน ข้อกำหนด วิธีการ และเครื่องมือในการออกแบบและประเมินระบบรักษาความปลอดภัยข้อมูลสำหรับระบบสารสนเทศ (IS) สะท้อนให้เห็นในเอกสารพื้นฐานต่อไปนี้:

“สมุดสีส้ม” ของศูนย์การรักษาความมั่นคงปลอดภัยคอมพิวเตอร์แห่งชาติ

"เกณฑ์ที่สอดคล้องกันของประเทศในยุโรป (ITSEC)";

แนวคิดการป้องกันกิจกรรมที่ผิดกฎหมายของคณะกรรมาธิการแห่งรัฐภายใต้ประธานาธิบดีแห่งสหพันธรัฐรัสเซีย

แนวคิดการรักษาความปลอดภัยของข้อมูล

แนวคิดด้านความปลอดภัยของระบบที่กำลังพัฒนาคือ “ชุดของกฎหมาย กฎเกณฑ์ และบรรทัดฐานของพฤติกรรมที่กำหนดวิธีที่องค์กรดำเนินการ ปกป้อง และเผยแพร่ข้อมูล โดยเฉพาะอย่างยิ่ง กฎจะกำหนดในกรณีที่ผู้ใช้มีสิทธิ์ดำเนินการบางอย่าง ยิ่งระบบมีความน่าเชื่อถือมากเท่าไร แนวคิดด้านความปลอดภัยก็จะยิ่งมีความหลากหลายมากขึ้นเท่านั้น ทั้งนี้ขึ้นอยู่กับแนวคิดที่กำหนดไว้ กลไกเฉพาะสามารถเลือกได้เพื่อให้มั่นใจถึงความปลอดภัยของระบบ รวมถึงการวิเคราะห์ภัยคุกคามที่เป็นไปได้และการเลือกมาตรการรับมือ”

ตาม Orange Book แนวคิดด้านความปลอดภัยของระบบที่กำลังพัฒนาควรมีองค์ประกอบดังต่อไปนี้:

การควบคุมการเข้าถึงแบบสุ่ม

ความปลอดภัยของการใช้วัตถุซ้ำ

ป้ายความปลอดภัย

การควบคุมการเข้าถึงที่บังคับใช้

พิจารณาเนื้อหาขององค์ประกอบที่ระบุไว้

การควบคุมการเข้าถึงแบบสุ่มเป็นวิธีการจำกัดการเข้าถึงออบเจ็กต์ โดยคำนึงถึงตัวตนของหัวเรื่องหรือกลุ่มที่เป็นเจ้าของหัวเรื่อง ความเด็ดขาดในการควบคุมคือบุคคลบางคน (โดยปกติจะเป็นเจ้าของวัตถุ) สามารถให้หรือเอาสิทธิ์ในการเข้าถึงวัตถุนั้นออกจากอาสาสมัครอื่น ๆ ได้ตามดุลยพินิจของเขาเอง

ข้อได้เปรียบหลักของการควบคุมการเข้าถึงแบบสุ่มคือความยืดหยุ่น ข้อเสียเปรียบหลักคือการกระจายการควบคุมและความซับซ้อนของการควบคุมแบบรวมศูนย์ รวมถึงการแยกสิทธิ์การเข้าถึงจากข้อมูล ซึ่งช่วยให้คุณสามารถคัดลอกข้อมูลลับไปยังไฟล์สาธารณะ

การรักษาความปลอดภัยในการใช้ออบเจ็กต์ซ้ำเป็นส่วนเสริมที่สำคัญในการควบคุมการเข้าถึงในทางปฏิบัติ โดยป้องกันการดึงข้อมูลที่ละเอียดอ่อนจากขยะโดยไม่ได้ตั้งใจหรือโดยเจตนา ต้องรับประกันความปลอดภัยในการใช้ซ้ำสำหรับพื้นที่ RAM (โดยเฉพาะสำหรับบัฟเฟอร์ที่มีภาพหน้าจอ รหัสผ่านที่ถอดรหัส ฯลฯ) สำหรับบล็อกดิสก์และสื่อแม่เหล็กโดยทั่วไป

ป้ายความปลอดภัยเชื่อมโยงกับหัวเรื่องและวัตถุเพื่อบังคับใช้การควบคุมการเข้าถึง ป้ายกำกับของหัวเรื่องอธิบายถึงความน่าเชื่อถือ ส่วนป้ายกำกับของวัตถุอธิบายถึงระดับการรักษาความลับของข้อมูลที่มีอยู่ ตาม Orange Book ป้ายกำกับความปลอดภัยประกอบด้วยสองส่วน - ระดับความปลอดภัยและรายการหมวดหมู่ ปัญหาหลักที่ต้องแก้ไขด้วยแท็กคือการประกันความสมบูรณ์ของแท็ก ประการแรก ไม่ควรมีหัวข้อหรือวัตถุที่ไม่ติดแท็ก มิฉะนั้น จะมีช่องโหว่ที่สามารถใช้ประโยชน์ได้ง่ายในการรักษาความปลอดภัยที่ติดแท็ก ประการที่สอง ในระหว่างการดำเนินการใดๆ กับข้อมูล ป้ายกำกับจะต้องยังคงถูกต้อง วิธีหนึ่งในการรับรองความสมบูรณ์ของป้ายกำกับความปลอดภัยคือการแยกอุปกรณ์ออกเป็นอุปกรณ์หลายระดับและอุปกรณ์ระดับเดียว อุปกรณ์หลายระดับสามารถจัดเก็บข้อมูลความลับในระดับต่างๆ ได้ (แม่นยำยิ่งขึ้นคืออยู่ในช่วงระดับหนึ่ง) อุปกรณ์ระดับเดียวถือได้ว่าเป็นกรณีที่เสื่อมถอยของอุปกรณ์หลายระดับ โดยที่ช่วงที่อนุญาตประกอบด้วยระดับเดียว เมื่อทราบระดับของอุปกรณ์ ระบบสามารถตัดสินใจได้ว่าอนุญาตให้เขียนข้อมูลโดยมีป้ายกำกับบางอย่างอยู่หรือไม่

การควบคุมการเข้าถึงที่บังคับใช้จะขึ้นอยู่กับการจับคู่ป้ายกำกับความปลอดภัยของวัตถุและวัตถุ วิธีการควบคุมการเข้าถึงนี้เรียกว่าการบังคับเนื่องจากไม่ได้ขึ้นอยู่กับความประสงค์ของอาสาสมัคร (แม้แต่ผู้ดูแลระบบ) การควบคุมการเข้าถึงแบบบังคับนั้นถูกนำมาใช้ในระบบปฏิบัติการและ DBMS หลายเวอร์ชัน โดยมีคุณลักษณะเด่นคือมาตรการรักษาความปลอดภัยที่ได้รับการปรับปรุง

ปปัญหาในการปกป้องข้อมูลโดยการแปลงข้อมูลเพื่อป้องกันไม่ให้บุคคลภายนอกอ่านได้ทำให้เกิดความกังวลในจิตใจของมนุษย์มาตั้งแต่สมัยโบราณ ประวัติศาสตร์ของการเข้ารหัสนั้นมีความคล้ายคลึงกับประวัติศาสตร์ของภาษามนุษย์ ยิ่งไปกว่านั้น เดิมทีการเขียนเองเป็นระบบการเข้ารหัส เนื่องจากในสังคมโบราณมีเพียงไม่กี่คนเท่านั้นที่เชี่ยวชาญระบบนี้ หนังสือศักดิ์สิทธิ์ของอียิปต์โบราณและอินเดียโบราณเป็นตัวอย่างของสิ่งนี้

ถึงวิธีการเข้ารหัสในการปกป้องข้อมูลเป็นวิธีการพิเศษในการเข้ารหัส การเข้ารหัส หรือการแปลงข้อมูล ส่งผลให้เนื้อหาไม่สามารถเข้าถึงได้โดยไม่ต้องแสดงคีย์เข้ารหัสและการแปลงแบบย้อนกลับ แน่นอนว่าวิธีป้องกันด้วยการเข้ารหัสเป็นวิธีการป้องกันที่เชื่อถือได้มากที่สุด เนื่องจากข้อมูลได้รับการป้องกันและไม่สามารถเข้าถึงได้ (เช่น ไฟล์ที่เข้ารหัสไม่สามารถอ่านได้แม้ว่าสื่อจะถูกขโมยก็ตาม) วิธีการป้องกันนี้ถูกนำมาใช้ในรูปแบบของโปรแกรมหรือชุดซอฟต์แวร์

การเข้ารหัสสมัยใหม่ประกอบด้วยสี่ส่วนหลัก:

ระบบเข้ารหัสแบบสมมาตร- ในระบบเข้ารหัสลับแบบสมมาตร คีย์เดียวกันจะใช้สำหรับทั้งการเข้ารหัสและการถอดรหัส (การเข้ารหัสเป็นกระบวนการเปลี่ยนแปลง: ข้อความต้นฉบับซึ่งเรียกอีกอย่างว่าข้อความธรรมดาจะถูกแทนที่ด้วยข้อความไซเฟอร์เท็กซ์ การถอดรหัสเป็นกระบวนการย้อนกลับของการเข้ารหัส ข้อความไซเฟอร์เท็กซ์จะถูกแปลงเป็นต้นฉบับโดยขึ้นอยู่กับคีย์)

ระบบเข้ารหัสคีย์สาธารณะ- ระบบกุญแจสาธารณะใช้สองกุญแจ คือ สาธารณะและส่วนตัว ซึ่งสัมพันธ์กันในทางคณิตศาสตร์ ข้อมูลถูกเข้ารหัสโดยใช้กุญแจสาธารณะซึ่งทุกคนสามารถใช้ได้ และถอดรหัสโดยใช้กุญแจส่วนตัวซึ่งมีเพียงผู้รับข้อความเท่านั้นที่ทราบ (กุญแจคือข้อมูลที่จำเป็นสำหรับการเข้ารหัสและถอดรหัสข้อความที่ราบรื่น)

ลายเซนต์อิเล็กทรอนิกส์- ระบบลายเซ็นอิเล็กทรอนิกส์ เรียกว่าการแปลงการเข้ารหัสที่แนบมากับข้อความ ซึ่งเมื่อผู้ใช้รายอื่นได้รับข้อความ สามารถตรวจสอบการประพันธ์และความถูกต้องของข้อความได้

การจัดการคีย์- นี่คือกระบวนการของระบบประมวลผลข้อมูลซึ่งมีเนื้อหาเป็นการรวบรวมและแจกจ่ายคีย์ระหว่างผู้ใช้

เกี่ยวกับพื้นที่หลักของการใช้วิธีการเข้ารหัสคือการถ่ายโอนข้อมูลที่เป็นความลับผ่านช่องทางการสื่อสาร (เช่น อีเมล) การสร้างความถูกต้องของข้อความที่ส่ง การจัดเก็บข้อมูล (เอกสาร ฐานข้อมูล) บนสื่อในรูปแบบที่เข้ารหัส

ข้อกำหนดสำหรับระบบเข้ารหัสลับ

ปกระบวนการปิดข้อมูลการเข้ารหัสสามารถทำได้ทั้งในซอฟต์แวร์และฮาร์ดแวร์ การใช้งานฮาร์ดแวร์มีราคาแพงกว่ามาก แต่ก็มีข้อดีเช่นกัน: ประสิทธิภาพสูง ความเรียบง่าย ความปลอดภัย ฯลฯ การใช้งานซอฟต์แวร์นั้นใช้งานได้จริงมากกว่าและช่วยให้มีความยืดหยุ่นในการใช้งาน ข้อกำหนดที่ยอมรับโดยทั่วไปต่อไปนี้ได้รับการกำหนดขึ้นสำหรับระบบรักษาความปลอดภัยข้อมูลการเข้ารหัสสมัยใหม่:

ข้อความที่เข้ารหัสจะต้องสามารถอ่านได้ก็ต่อเมื่อมีรหัสเท่านั้น

จำนวนการดำเนินการที่จำเป็นในการกำหนดคีย์เข้ารหัสที่ใช้จากส่วนของข้อความที่เข้ารหัสและข้อความธรรมดาที่เกี่ยวข้องจะต้องไม่น้อยกว่าจำนวนคีย์ที่เป็นไปได้ทั้งหมด

จำนวนการดำเนินการที่จำเป็นในการถอดรหัสข้อมูลโดยการค้นหาผ่านคีย์ที่เป็นไปได้ทั้งหมดจะต้องมีขอบเขตล่างที่เข้มงวดและเกินความสามารถของคอมพิวเตอร์สมัยใหม่ (โดยคำนึงถึงความเป็นไปได้ของการใช้คอมพิวเตอร์เครือข่าย)

ความรู้เกี่ยวกับอัลกอริธึมการเข้ารหัสไม่ควรส่งผลกระทบต่อความน่าเชื่อถือของการป้องกัน

การเปลี่ยนแปลงคีย์เล็กน้อยควรนำไปสู่การเปลี่ยนแปลงที่สำคัญในลักษณะที่ปรากฏของข้อความที่เข้ารหัสแม้ว่าจะใช้คีย์เดียวกันก็ตาม

องค์ประกอบโครงสร้างของอัลกอริธึมการเข้ารหัสจะต้องไม่เปลี่ยนแปลง

บิตเพิ่มเติมที่นำมาใช้ในข้อความระหว่างกระบวนการเข้ารหัสจะต้องซ่อนไว้อย่างสมบูรณ์และปลอดภัยในไซเฟอร์เท็กซ์

ความยาวของไซเฟอร์เท็กซ์ต้องเท่ากับความยาวของข้อความต้นฉบับ

ไม่ควรมีการอ้างอิงที่ง่ายและสร้างขึ้นได้ง่ายระหว่างคีย์ที่ใช้ตามลำดับในกระบวนการเข้ารหัส

คีย์ใด ๆ ที่เป็นไปได้จะต้องให้การปกป้องข้อมูลที่เชื่อถือได้

อัลกอริธึมจะต้องอนุญาตการใช้งานทั้งซอฟต์แวร์และฮาร์ดแวร์ในขณะที่การเปลี่ยนความยาวของคีย์ไม่ควรทำให้อัลกอริธึมการเข้ารหัสเสื่อมคุณภาพ

ระบบเข้ารหัสแบบสมมาตร

ในวิธีการเข้ารหัสที่หลากหลายที่มีอยู่ในระบบการเข้ารหัสแบบสมมาตรสามารถลดลงเหลือ 4 คลาสของการแปลงดังต่อไปนี้:

การทดแทน - อักขระของข้อความที่เข้ารหัสจะถูกแทนที่ด้วยอักขระที่เหมือนกันหรือตัวอักษรอื่นตามกฎที่กำหนดไว้ล่วงหน้า

การเรียงสับเปลี่ยน - อักขระของข้อความที่เข้ารหัสจะถูกจัดเรียงใหม่ตามกฎบางอย่างภายในบล็อกข้อความที่ส่งที่กำหนด

การแปลงเชิงวิเคราะห์ - ข้อความที่เข้ารหัสจะถูกแปลงตามกฎการวิเคราะห์บางอย่าง เช่น แกมมา - ประกอบด้วยการกำหนดลำดับการสุ่มหลอกที่สร้างขึ้นโดยใช้คีย์บนข้อความต้นฉบับ

การแปลงแบบรวม - แสดงถึงลำดับ (ด้วยการทำซ้ำและการสลับที่เป็นไปได้) ของวิธีการแปลงพื้นฐานที่ใช้กับบล็อก (บางส่วน) ของข้อความที่เข้ารหัส ในทางปฏิบัติ บล็อกไซเฟอร์นั้นพบเห็นได้ทั่วไปมากกว่าการแปลงแบบ "บริสุทธิ์" ของคลาสหนึ่งหรืออีกคลาสหนึ่ง เนื่องจากความแข็งแกร่งของการเข้ารหัสที่สูงกว่า มาตรฐานการเข้ารหัสของรัสเซียและอเมริกาเป็นไปตามคลาสนี้

ระบบกุญแจสาธารณะ

ถึงไม่ว่าระบบการเข้ารหัสลับจะซับซ้อนและเชื่อถือได้เพียงใด จุดอ่อนในการใช้งานจริงคือปัญหาของการแจกจ่ายคีย์ เพื่อให้การแลกเปลี่ยนข้อมูลที่เป็นความลับระหว่างสองหัวข้อ IP เป็นไปได้ คีย์จะต้องถูกสร้างขึ้นโดยหนึ่งในนั้น จากนั้นจึงถ่ายโอนไปยังอีกอันหนึ่งอย่างเป็นความลับอีกครั้ง เหล่านั้น. โดยทั่วไปแล้ว การโอนคีย์อีกครั้งจำเป็นต้องใช้ระบบเข้ารหัสบางประเภท เพื่อแก้ปัญหานี้ ระบบกุญแจสาธารณะจึงถูกเสนอโดยอิงจากผลลัพธ์ที่ได้จากพีชคณิตคลาสสิกและสมัยใหม่ สาระสำคัญของพวกเขาคือผู้รับ IP แต่ละคนจะสร้างคีย์สองอันที่เชื่อมต่อถึงกันตามกฎบางอย่าง คีย์หนึ่งถูกประกาศให้เป็นสาธารณะและอีกคีย์หนึ่งถูกประกาศเป็นส่วนตัว รหัสสาธารณะได้รับการเผยแพร่และพร้อมสำหรับทุกคนที่ต้องการส่งข้อความถึงผู้รับ รหัสลับจะถูกเก็บเป็นความลับ ข้อความต้นฉบับถูกเข้ารหัสด้วยกุญแจสาธารณะของผู้รับและส่งถึงเขา โดยหลักการแล้วไซเฟอร์เท็กซ์ไม่สามารถถอดรหัสด้วยกุญแจสาธารณะอันเดียวกันได้ การถอดรหัสข้อความสามารถทำได้โดยใช้รหัสส่วนตัวเท่านั้น ซึ่งมีเพียงผู้รับเท่านั้นที่ทราบ ระบบการเข้ารหัสคีย์สาธารณะใช้สิ่งที่เรียกว่าฟังก์ชันย้อนกลับไม่ได้หรือฟังก์ชันทางเดียว ซึ่งมีคุณสมบัติดังต่อไปนี้: เมื่อกำหนดค่า x จะทำให้คำนวณค่า f(x) ค่อนข้างง่าย แต่ถ้า y=f(x) ดังนั้นจึงไม่มีวิธีง่ายๆ ในการคำนวณค่า x ชุดของคลาสของฟังก์ชันที่ไม่สามารถย้อนกลับได้ทำให้เกิดระบบคีย์สาธารณะที่หลากหลาย อย่างไรก็ตาม ไม่ใช่ทุกฟังก์ชันที่ไม่สามารถย้อนกลับได้จะเหมาะสำหรับใช้ในไอซีจริง มีความไม่แน่นอนในคำจำกัดความของการย้อนกลับไม่ได้ การกลับไม่ได้ไม่ได้หมายถึงการกลับไม่ได้ทางทฤษฎี แต่เป็นไปไม่ได้ในทางปฏิบัติในการคำนวณค่าส่วนกลับโดยใช้เครื่องมือคอมพิวเตอร์สมัยใหม่ในช่วงเวลาที่คาดการณ์ได้ ดังนั้น เพื่อรับประกันการปกป้องข้อมูลที่เชื่อถือได้ ระบบกุญแจสาธารณะ (PKS) จึงอยู่ภายใต้ข้อกำหนดที่สำคัญและชัดเจนสองประการ:

1. การแปลงข้อความต้นฉบับจะต้องไม่สามารถย้อนกลับได้ และไม่สามารถกู้คืนตามคีย์สาธารณะได้

การกำหนดคีย์ส่วนตัวตามคีย์สาธารณะก็ไม่ควรสามารถทำได้ในระดับเทคโนโลยีในปัจจุบัน ในกรณีนี้ ขอบเขตล่างที่แน่นอนสำหรับความซับซ้อน (จำนวนการดำเนินการ) ของการทำลายรหัสเป็นสิ่งที่พึงปรารถนา

กอัลกอริธึมการเข้ารหัสคีย์สาธารณะแพร่หลายในระบบข้อมูลสมัยใหม่ ดังนั้นอัลกอริทึม RSA จึงกลายเป็นมาตรฐานโลกโดยพฤตินัยสำหรับระบบเปิด โดยทั่วไป ระบบเข้ารหัสคีย์สาธารณะทั้งหมดที่นำเสนอในปัจจุบันจะขึ้นอยู่กับการแปลงที่ไม่สามารถย้อนกลับได้ประเภทใดประเภทหนึ่งต่อไปนี้:

• แยกตัวประกอบจำนวนมากให้เป็นตัวประกอบเฉพาะ
• การคำนวณลอการิทึมในสนามจำกัด
• การคำนวณรากของสมการพีชคณิต

ซีควรสังเกตว่าอัลกอริทึมการเข้ารหัสคีย์สาธารณะ (PSC) สามารถใช้เพื่อวัตถุประสงค์ดังต่อไปนี้:

1. เป็นวิธีอิสระในการปกป้องข้อมูลที่ส่งและจัดเก็บ
2. เพื่อเป็นช่องทางในการจำหน่ายกุญแจ

กอัลกอริธึม RNS นั้นใช้แรงงานเข้มข้นมากกว่าระบบเข้ารหัสแบบดั้งเดิม ดังนั้นในทางปฏิบัติจึงมักจะมีเหตุผลที่จะใช้ RNS เพื่อแจกจ่ายคีย์ ซึ่งปริมาณข้อมูลดังกล่าวไม่มีนัยสำคัญ จากนั้นใช้อัลกอริธึมแบบเดิมๆ เพื่อแลกเปลี่ยนกระแสข้อมูลขนาดใหญ่ หนึ่งในสิ่งที่พบได้บ่อยที่สุดคือระบบกุญแจสาธารณะ - RSA ระบบเข้ารหัส RSA ได้รับการพัฒนาในปี 1977 และตั้งชื่อตามผู้สร้าง: Ron Rivest, Adi Shamir และ Leonard Eidelman พวกเขาใช้ประโยชน์จากข้อเท็จจริงที่ว่าการค้นหาจำนวนเฉพาะจำนวนมากเป็นเรื่องง่ายในการคำนวณ แต่การแยกตัวประกอบผลคูณของจำนวนเฉพาะสองตัวนั้นแทบจะเป็นไปไม่ได้เลย ได้รับการพิสูจน์แล้ว (ทฤษฎีบทของ Rabin) ว่าการทำลายรหัส RSA นั้นเทียบเท่ากับการสลายตัวนี้ ดังนั้นสำหรับความยาวของคีย์ใดๆ เราสามารถประมาณจำนวนการดำเนินการในการถอดรหัสรหัสที่ต่ำกว่าได้ และเมื่อคำนึงถึงประสิทธิภาพของคอมพิวเตอร์สมัยใหม่แล้ว ให้ประมาณเวลาที่ต้องใช้ในการถอดรหัสนี้ ความสามารถในการประเมินความปลอดภัยของอัลกอริธึม RSA ได้อย่างน่าเชื่อถือได้กลายเป็นหนึ่งในเหตุผลที่ทำให้ RSA นี้ได้รับความนิยมเมื่อเปรียบเทียบกับรูปแบบอื่น ๆ หลายสิบแบบ ดังนั้นอัลกอริทึม RSA จึงถูกใช้ในเครือข่ายคอมพิวเตอร์ของธนาคารโดยเฉพาะสำหรับการทำงานกับไคลเอนต์ระยะไกล (บริการบัตรเครดิต)

ลายเซนต์อิเล็กทรอนิกส์

ในปัญหาการตรวจสอบข้อมูลคืออะไร? ในตอนท้ายของจดหมายหรือเอกสารปกติ ผู้ดำเนินการหรือผู้รับผิดชอบมักจะลงลายมือชื่อ การกระทำดังกล่าวมักมีจุดประสงค์สองประการ ประการแรก ผู้รับมีโอกาสที่จะตรวจสอบความถูกต้องของจดหมายโดยการเปรียบเทียบลายเซ็นกับตัวอย่างที่เขามี ประการที่สอง ลายเซ็นส่วนบุคคลคือการรับประกันทางกฎหมายของการประพันธ์เอกสาร ประเด็นสุดท้ายมีความสำคัญอย่างยิ่งในการสรุปธุรกรรมการค้าประเภทต่างๆ การจัดทำหนังสือมอบอำนาจ ภาระผูกพัน ฯลฯ หากเป็นเรื่องยากมากที่จะปลอมแปลงลายเซ็นของบุคคลบนกระดาษและการสร้างลายเซ็นโดยใช้วิธีการทางนิติวิทยาศาสตร์สมัยใหม่นั้นเป็นรายละเอียดทางเทคนิค ดังนั้นด้วยลายเซ็นอิเล็กทรอนิกส์สถานการณ์จะแตกต่างออกไป ผู้ใช้คนใดก็ตามสามารถยุ่งเกี่ยวกับสตริงบิตได้เพียงแค่คัดลอกมัน หรือทำการแก้ไขเอกสารอย่างผิดกฎหมายโดยไม่มีใครสังเกตเห็น ด้วยการใช้อย่างแพร่หลายในโลกสมัยใหม่ของเอกสารในรูปแบบอิเล็กทรอนิกส์ (รวมถึงเอกสารที่เป็นความลับ) และวิธีการประมวลผลเอกสารเหล่านี้ ปัญหาในการสร้างความถูกต้องและการประพันธ์เอกสารไร้กระดาษจึงมีความเกี่ยวข้องอย่างยิ่ง ในส่วนของระบบการเข้ารหัสคีย์สาธารณะ แสดงให้เห็นว่าแม้จะมีข้อดีทั้งหมดของระบบการเข้ารหัสสมัยใหม่ แต่ก็ไม่อนุญาตให้มีการตรวจสอบข้อมูล ดังนั้นจึงต้องใช้วิธีการตรวจสอบความถูกต้องร่วมกับอัลกอริธึมการเข้ารหัส

การจัดการคีย์

ถึงนอกเหนือจากการเลือกระบบเข้ารหัสที่เหมาะสมสำหรับ IS โดยเฉพาะแล้ว ปัญหาสำคัญก็คือการจัดการหลัก ไม่ว่าระบบเข้ารหัสลับจะซับซ้อนและเชื่อถือได้เพียงใด มันก็ขึ้นอยู่กับการใช้คีย์ หากเพื่อให้แน่ใจว่ามีการแลกเปลี่ยนข้อมูลที่เป็นความลับระหว่างผู้ใช้สองคน กระบวนการแลกเปลี่ยนคีย์นั้นไม่สำคัญ ดังนั้นในระบบข้อมูลที่จำนวนผู้ใช้เป็นสิบหรือร้อย การจัดการคีย์ถือเป็นปัญหาร้ายแรง ข้อมูลสำคัญเข้าใจว่าเป็นยอดรวมของคีย์ทั้งหมดที่ใช้งานอยู่ใน IS หากไม่รับประกันการจัดการข้อมูลสำคัญที่เชื่อถือได้เพียงพอ เมื่อเข้าครอบครองแล้ว ผู้โจมตีจะสามารถเข้าถึงข้อมูลทั้งหมดได้อย่างไม่จำกัด การจัดการคีย์คือกระบวนการข้อมูลที่มีองค์ประกอบสามประการ:

• การสร้างคีย์
• การสะสมกุญแจ
• การกระจายคีย์

รมาดูกันว่าควรนำไปใช้อย่างไรเพื่อให้มั่นใจในความปลอดภัยของข้อมูลสำคัญใน IS

การสร้างคีย์

ในในช่วงเริ่มต้นของการสนทนาเกี่ยวกับวิธีการเข้ารหัส มีการกล่าวว่าคุณไม่ควรใช้คีย์ที่ไม่ใช่แบบสุ่มเพื่อให้จดจำได้ง่ายขึ้น ระบบข้อมูลที่จริงจังใช้วิธีการฮาร์ดแวร์และซอฟต์แวร์พิเศษในการสร้างคีย์สุ่ม ตามกฎแล้วจะใช้เซ็นเซอร์ PSCH อย่างไรก็ตาม ระดับของการสุ่มของรุ่นของพวกเขาควรจะค่อนข้างสูง เครื่องกำเนิดไฟฟ้าในอุดมคติคืออุปกรณ์ที่ใช้กระบวนการสุ่ม "ตามธรรมชาติ" ตัวอย่างเช่น วัตถุทางคณิตศาสตร์แบบสุ่มคือตำแหน่งทศนิยมของจำนวนอตรรกยะ ซึ่งคำนวณโดยใช้วิธีการทางคณิตศาสตร์มาตรฐาน
5.3.5.2. การสะสมกุญแจ

ปการสะสมคีย์หมายถึงการจัดระเบียบการจัดเก็บ การบัญชี และการถอดออก เนื่องจากกุญแจเป็นวัตถุที่น่าดึงดูดที่สุดสำหรับผู้โจมตี ซึ่งเป็นการเปิดทางสู่ข้อมูลที่เป็นความลับ จึงควรให้ความสนใจเป็นพิเศษกับการสะสมกุญแจ คีย์ส่วนตัวไม่ควรเขียนอย่างชัดเจนบนสื่อที่สามารถอ่านหรือคัดลอกได้ ในระบบข้อมูลที่ค่อนข้างซับซ้อน ผู้ใช้หนึ่งรายสามารถทำงานกับข้อมูลสำคัญจำนวนมากได้ และบางครั้งก็จำเป็นต้องจัดระเบียบฐานข้อมูลขนาดเล็กของข้อมูลสำคัญด้วยซ้ำ ฐานข้อมูลดังกล่าวมีหน้าที่รับผิดชอบในการยอมรับ จัดเก็บ บันทึก และลบคีย์ที่ใช้ ดังนั้นข้อมูลแต่ละอย่างเกี่ยวกับคีย์ที่ใช้จะต้องถูกจัดเก็บในรูปแบบที่เข้ารหัส คีย์ที่เข้ารหัสข้อมูลคีย์เรียกว่าคีย์หลัก เป็นที่พึงปรารถนาที่ผู้ใช้แต่ละคนจะรู้จักคีย์หลักและไม่ได้จัดเก็บไว้ในสื่อที่จับต้องได้ใดๆ เลย เงื่อนไขที่สำคัญมากสำหรับความปลอดภัยของข้อมูลคือการอัปเดตข้อมูลสำคัญใน IS เป็นระยะ ในกรณีนี้ จะต้องกำหนดทั้งคีย์ปกติและคีย์หลักใหม่ ในระบบข้อมูลที่สำคัญอย่างยิ่ง ขอแนะนำให้อัปเดตข้อมูลสำคัญทุกวัน ปัญหาของการอัปเดตข้อมูลสำคัญยังเกี่ยวข้องกับองค์ประกอบที่สามของการจัดการคีย์ นั่นก็คือการแจกจ่ายคีย์

การกระจายคีย์

รการแจกจ่ายคีย์เป็นกระบวนการที่สำคัญที่สุดในการจัดการคีย์ มีข้อกำหนดสองประการ:

• ประสิทธิภาพและความถูกต้องแม่นยำในการกระจายสินค้า
• ความลับของคีย์แบบกระจาย

ในเมื่อเร็ว ๆ นี้ มีการเปลี่ยนแปลงที่เห็นได้ชัดเจนต่อการใช้ระบบการเข้ารหัสคีย์สาธารณะ ซึ่งปัญหาของการแจกจ่ายคีย์หายไป อย่างไรก็ตาม การกระจายข้อมูลสำคัญในระบบสารสนเทศจำเป็นต้องมีแนวทางแก้ไขใหม่ที่มีประสิทธิภาพ การแจกจ่ายคีย์ระหว่างผู้ใช้จะดำเนินการในสองแนวทางที่แตกต่างกัน:

โดยการสร้างศูนย์กระจายสินค้าหลักหนึ่งแห่งหรือหลายแห่ง ข้อเสียของแนวทางนี้คือศูนย์กระจายสินค้ารู้ว่าใครเป็นผู้กำหนดคีย์ใด และทำให้สามารถอ่านข้อความทั้งหมดที่หมุนเวียนใน IS ได้ การละเมิดที่อาจเกิดขึ้นมีผลกระทบอย่างมากต่อการป้องกัน

การแลกเปลี่ยนคีย์โดยตรงระหว่างผู้ใช้ระบบข้อมูล ความท้าทายก็คือการตรวจสอบความถูกต้องของอาสาสมัครอย่างน่าเชื่อถือ ระบบเข้ารหัสคีย์สาธารณะสามารถใช้เพื่อแลกเปลี่ยนคีย์โดยใช้อัลกอริทึม RSA เดียวกัน

ในโดยภาพรวมของสิ่งที่กล่าวถึงเกี่ยวกับการแจกแจงคีย์ ควรกล่าวถึงสิ่งต่อไปนี้ ปัญหาการจัดการคีย์อยู่ที่การค้นหาโปรโตคอลการแจกจ่ายคีย์ที่จะให้:

ความเป็นไปได้ที่จะปฏิเสธศูนย์กระจายสินค้าที่สำคัญ

การยืนยันร่วมกันถึงความถูกต้องของผู้เข้าร่วมเซสชั่น

การยืนยันความถูกต้องของเซสชันโดยกลไกการตอบกลับคำขอโดยใช้ซอฟต์แวร์หรือฮาร์ดแวร์สำหรับสิ่งนี้

ใช้จำนวนข้อความขั้นต่ำเมื่อแลกเปลี่ยนคีย์

การใช้วิธีการเข้ารหัส

ปปัญหาของการใช้วิธีการรักษาความปลอดภัยข้อมูลมีสองด้าน:

การพัฒนาเครื่องมือที่ใช้อัลกอริธึมการเข้ารหัส

วิธีการใช้เงินเหล่านี้

ถึงวิธีการเข้ารหัสที่พิจารณาแต่ละวิธีสามารถนำไปใช้ได้ทั้งในซอฟต์แวร์หรือในฮาร์ดแวร์ ความเป็นไปได้ของการใช้งานซอฟต์แวร์นั้นเกิดจากการที่วิธีการแปลงการเข้ารหัสทั้งหมดเป็นทางการและสามารถนำเสนอในรูปแบบของขั้นตอนอัลกอริธึมขั้นสุดท้าย เมื่อนำไปใช้ในฮาร์ดแวร์ ขั้นตอนการเข้ารหัสและถอดรหัสทั้งหมดจะดำเนินการโดยวงจรอิเล็กทรอนิกส์พิเศษ โมดูลที่ใช้กันอย่างแพร่หลายที่สุดคือโมดูลที่ใช้วิธีการแบบรวม เครื่องมือเข้ารหัสซีเรียลต่างประเทศส่วนใหญ่ใช้มาตรฐาน American DES การพัฒนาในประเทศ เช่น อุปกรณ์ KRYPTON ใช้มาตรฐานการเข้ารหัสภายในประเทศ ข้อได้เปรียบหลักของวิธีการซอฟต์แวร์สำหรับการดำเนินการป้องกันคือความยืดหยุ่น เช่น ความสามารถในการเปลี่ยนอัลกอริธึมการเข้ารหัสอย่างรวดเร็ว ข้อเสียเปรียบหลักของการใช้งานซอฟต์แวร์คือประสิทธิภาพที่ต่ำกว่าอย่างมากเมื่อเทียบกับฮาร์ดแวร์ (ประมาณ 10 เท่า) เมื่อเร็ว ๆ นี้เครื่องมือเข้ารหัสแบบรวมที่เรียกว่าฮาร์ดแวร์และซอฟต์แวร์ได้เริ่มปรากฏให้เห็น ในกรณีนี้ คอมพิวเตอร์ใช้ "ตัวประมวลผลร่วมเข้ารหัส" ซึ่งเป็นอุปกรณ์คอมพิวเตอร์ที่เน้นไปที่การดำเนินการเข้ารหัส (การเพิ่มแบบโมดูโล กะ ฯลฯ) โดยการเปลี่ยนซอฟต์แวร์สำหรับอุปกรณ์ดังกล่าว คุณสามารถเลือกวิธีการเข้ารหัสอย่างใดอย่างหนึ่งได้ วิธีนี้เป็นการรวมข้อดีของวิธีซอฟต์แวร์และฮาร์ดแวร์เข้าด้วยกัน

ตดังนั้นการเลือกประเภทของการดำเนินการป้องกันการเข้ารหัสสำหรับระบบข้อมูลเฉพาะส่วนใหญ่ขึ้นอยู่กับลักษณะของระบบและควรอยู่บนพื้นฐานของการวิเคราะห์ข้อกำหนดสำหรับระบบความปลอดภัยของข้อมูลอย่างครอบคลุม

การระบุและการรับรองความถูกต้อง

และการระบุและการรับรองความถูกต้องถือเป็นพื้นฐานของเครื่องมือรักษาความปลอดภัยซอฟต์แวร์และฮาร์ดแวร์ การระบุและการรับรองความถูกต้องเป็นด่านแรกในการป้องกัน ซึ่งเป็น "เกตเวย์" ของพื้นที่ข้อมูลขององค์กร

และการระบุตัวตนทำให้เอนทิตี—ผู้ใช้หรือกระบวนการที่ดำเนินการในนามของผู้ใช้รายใดรายหนึ่ง—สามารถระบุตัวเองได้โดยการระบุชื่อของมัน ด้วยการรับรองความถูกต้อง บุคคลที่สองจะตรวจสอบให้แน่ใจว่าบุคคลนั้นคือบุคคลที่เขาอ้างว่าเป็น คำว่า "authentication" บางครั้งใช้เป็นคำพ้องสำหรับ "authentication" หัวข้อสามารถพิสูจน์ตัวตนได้โดยนำเสนอเอนทิตีต่อไปนี้อย่างน้อยหนึ่งรายการ:

• สิ่งที่เขารู้: รหัสผ่าน หมายเลขประจำตัวส่วนบุคคล คีย์เข้ารหัส ฯลฯ
• บางสิ่งที่เขาเป็นเจ้าของ: บัตรส่วนตัวหรืออุปกรณ์อื่นที่มีวัตถุประสงค์คล้ายคลึงกัน
• สิ่งที่เป็นส่วนหนึ่งของตัวเขาเอง เช่น เสียง ลายนิ้วมือ ฯลฯ นั่นคือลักษณะไบโอเมตริกซ์ของเขา
• สิ่งที่เกี่ยวข้องกับมัน เช่น พิกัด

ชข้อได้เปรียบหลักของการตรวจสอบรหัสผ่านคือความเรียบง่ายและความคุ้นเคย รหัสผ่านมีอยู่แล้วในระบบปฏิบัติการและบริการอื่นๆ เมื่อใช้อย่างถูกต้อง รหัสผ่านสามารถให้ระดับความปลอดภัยที่ยอมรับได้สำหรับหลายองค์กร อย่างไรก็ตาม เมื่อพิจารณาจากคุณลักษณะทั้งหมดแล้ว สิ่งเหล่านั้นควรได้รับการยอมรับว่าเป็นวิธีการรับรองความถูกต้องที่อ่อนแอที่สุด ความเข้มแข็งของรหัสผ่านขึ้นอยู่กับความสามารถในการจดจำและเก็บเป็นความลับ คุณสามารถสอดแนมการป้อนรหัสผ่านของคุณได้ รหัสผ่านสามารถเดาได้โดยใช้กำลังดุร้ายบางทีอาจใช้พจนานุกรม ถ้าไฟล์รหัสผ่านถูกเข้ารหัสแต่อ่านได้ คุณสามารถดาวน์โหลดไฟล์นั้นลงคอมพิวเตอร์แล้วลองเดารหัสผ่านโดยตั้งโปรแกรมค้นหาแบบเดรัจฉาน

ปรหัสผ่านมีความเสี่ยงต่อการถูกสกัดกั้นทางอิเล็กทรอนิกส์ - นี่เป็นข้อบกพร่องพื้นฐานที่สุดที่ไม่สามารถชดเชยได้ด้วยการปรับปรุงการดูแลระบบหรือการฝึกอบรมผู้ใช้ ทางออกเดียวเกือบทั้งหมดคือการใช้การเข้ารหัสเพื่อเข้ารหัสรหัสผ่านก่อนที่จะส่งผ่านสายการสื่อสาร

ตอย่างไรก็ตาม มาตรการต่อไปนี้สามารถเพิ่มความน่าเชื่อถือของการป้องกันด้วยรหัสผ่านได้อย่างมาก:

การกำหนดข้อจำกัดทางเทคนิค (รหัสผ่านไม่ควรสั้นเกินไป ควรมีตัวอักษร ตัวเลข เครื่องหมายวรรคตอน ฯลฯ );

จัดการวันหมดอายุของรหัสผ่านและการเปลี่ยนแปลงเป็นระยะ

การจำกัดการเข้าถึงไฟล์รหัสผ่าน

การจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลว ซึ่งจะทำให้ยากต่อการใช้วิธีการบังคับเดรัจฉาน

การฝึกอบรมและการให้ความรู้แก่ผู้ใช้

การใช้ตัวสร้างรหัสผ่านของซอฟต์แวร์ซึ่งตามกฎง่ายๆ สามารถสร้างรหัสผ่านที่ไพเราะและจดจำได้เท่านั้น

ปขอแนะนำให้ใช้มาตรการข้างต้นเสมอ แม้ว่าจะใช้วิธีการรับรองความถูกต้องอื่น ๆ ร่วมกับรหัสผ่านก็ตาม ตัวอย่างเช่น ตามการใช้โทเค็น

ต Oken คือรายการหรืออุปกรณ์ที่มีการครอบครองซึ่งยืนยันตัวตนของผู้ใช้ มีโทเค็นที่มีหน่วยความจำ (แบบพาสซีฟซึ่งจัดเก็บเท่านั้นแต่ไม่ได้ประมวลผลข้อมูล) และโทเค็นอัจฉริยะ (ใช้งานอยู่)

กับโทเค็นหน่วยความจำประเภทที่พบบ่อยที่สุดคือการ์ดที่มีแถบแม่เหล็ก หากต้องการใช้โทเค็นดังกล่าว คุณต้องมีเครื่องอ่านที่ติดตั้งแป้นพิมพ์และโปรเซสเซอร์ โดยทั่วไปแล้ว ผู้ใช้พิมพ์หมายเลขประจำตัวส่วนบุคคลของเขาบนแป้นพิมพ์นี้ หลังจากนั้นโปรเซสเซอร์จะตรวจสอบว่าตรงกับที่เขียนไว้บนการ์ดหรือไม่ รวมถึงความถูกต้องของตัวการ์ดด้วย ดังนั้นจึงมีการใช้วิธีป้องกันสองวิธีร่วมกันซึ่งทำให้การกระทำของผู้โจมตีมีความซับซ้อนมากขึ้น

เอ็นจำเป็นต้องประมวลผลข้อมูลการรับรองความถูกต้องโดยผู้อ่านเองโดยไม่ต้องถ่ายโอนไปยังคอมพิวเตอร์ซึ่งจะช่วยลดความเป็นไปได้ของการสกัดกั้นทางอิเล็กทรอนิกส์

และบางครั้ง (โดยปกติสำหรับการควบคุมการเข้าถึงทางกายภาพ) การ์ดจะถูกใช้ด้วยตัวเอง โดยไม่ต้องใช้หมายเลขประจำตัวส่วนบุคคล

ถึงดังที่เราทราบ หนึ่งในเครื่องมือที่ทรงพลังที่สุดในมือของผู้โจมตีคือการเปลี่ยนโปรแกรมการตรวจสอบสิทธิ์ ซึ่งไม่เพียงตรวจสอบรหัสผ่านเท่านั้น แต่ยังจดจำสำหรับการใช้งานที่ไม่ได้รับอนุญาตในภายหลังอีกด้วย

และโทเค็นอัจฉริยะมีลักษณะเฉพาะด้วยพลังการประมวลผลของตัวเอง แบ่งออกเป็นสมาร์ทการ์ด มาตรฐาน ISO และโทเค็นอื่นๆ การ์ดต้องใช้อุปกรณ์อินเทอร์เฟซ โทเค็นอื่น ๆ มักจะมีอินเทอร์เฟซแบบแมนนวล (จอแสดงผลและแป้นพิมพ์) และมีลักษณะคล้ายกับเครื่องคิดเลข เพื่อให้โทเค็นใช้งานได้ ผู้ใช้จะต้องป้อนหมายเลขประจำตัวส่วนบุคคลของตน

ปตามหลักการทำงาน โทเค็นอัจฉริยะสามารถแบ่งออกเป็นประเภทต่างๆ ได้ดังต่อไปนี้:

การแลกเปลี่ยนรหัสผ่านแบบคงที่: ผู้ใช้พิสูจน์ความถูกต้องของเขากับโทเค็นด้วยวิธีปกติ จากนั้นโทเค็นจะถูกตรวจสอบโดยระบบคอมพิวเตอร์

การสร้างรหัสผ่านแบบไดนามิก: โทเค็นจะสร้างรหัสผ่านโดยการเปลี่ยนรหัสผ่านเป็นระยะ ระบบคอมพิวเตอร์ต้องมีตัวสร้างรหัสผ่านที่ซิงโครไนซ์ ข้อมูลจากโทเค็นจะได้รับผ่านอินเทอร์เฟซอิเล็กทรอนิกส์หรือพิมพ์โดยผู้ใช้บนแป้นพิมพ์เทอร์มินัล

ระบบตอบสนองต่อความท้าทาย: คอมพิวเตอร์จะสร้างตัวเลขสุ่มซึ่งจะถูกแปลงโดยกลไกการเข้ารหัสที่สร้างไว้ในโทเค็น หลังจากนั้นผลลัพธ์จะถูกส่งกลับไปยังคอมพิวเตอร์เพื่อตรวจสอบ นอกจากนี้ยังสามารถใช้อินเทอร์เฟซแบบอิเล็กทรอนิกส์หรือแบบแมนนวลได้ที่นี่ ในกรณีหลังนี้ ผู้ใช้อ่านคำขอจากหน้าจอเทอร์มินัล พิมพ์คำขอบนแป้นพิมพ์โทเค็น (บางทีอาจป้อนหมายเลขส่วนตัวในขณะนี้) และเห็นคำตอบบนหน้าจอโทเค็นและโอนไปยังแป้นพิมพ์เทอร์มินัล

การควบคุมการเข้าถึง

กับการควบคุมการเข้าถึงช่วยให้คุณสามารถระบุและควบคุมการดำเนินการที่เรื่อง—ผู้ใช้และกระบวนการ—สามารถดำเนินการกับวัตถุ—ข้อมูลและทรัพยากรคอมพิวเตอร์อื่น ๆ เรากำลังพูดถึงการควบคุมการเข้าถึงแบบลอจิคัลซึ่งดำเนินการโดยซอฟต์แวร์ การควบคุมการเข้าถึงแบบลอจิคัลเป็นกลไกพื้นฐานในระบบที่มีผู้ใช้หลายรายซึ่งออกแบบมาเพื่อรับรองการรักษาความลับและความสมบูรณ์ของอ็อบเจ็กต์ และในระดับหนึ่ง ความพร้อมใช้งานของอ็อบเจ็กต์โดยการปฏิเสธการให้บริการแก่ผู้ใช้ที่ไม่ได้รับอนุญาต งานของการควบคุมการเข้าถึงแบบลอจิคัลคือการกำหนดชุดของการดำเนินการที่อนุญาตสำหรับแต่ละคู่ (หัวเรื่อง วัตถุ) ขึ้นอยู่กับเงื่อนไขเพิ่มเติมบางประการ และควบคุมการดำเนินการของคำสั่งที่สร้างขึ้น ตัวอย่างง่ายๆ ของการดำเนินการตามสิทธิ์การเข้าถึงดังกล่าวคือผู้ใช้บางราย (หัวเรื่อง) ที่เข้าสู่ระบบข้อมูลได้รับสิทธิ์ในการเข้าถึงเพื่ออ่านข้อมูลจากดิสก์ (วัตถุ) บางส่วน สิทธิ์ในการเข้าถึงเพื่อแก้ไขข้อมูลในบางไดเรกทอรี (วัตถุ) และไม่มีสิทธิในการเข้าถึงทรัพยากรอื่นของระบบสารสนเทศ

ถึงสิทธิ์การเข้าถึงถูกควบคุมโดยส่วนประกอบต่างๆ ของสภาพแวดล้อมซอฟต์แวร์ - เคอร์เนลระบบปฏิบัติการ เครื่องมือรักษาความปลอดภัยเพิ่มเติม ระบบจัดการฐานข้อมูล ซอฟต์แวร์ตัวกลาง (เช่น การตรวจสอบธุรกรรม) เป็นต้น

การบันทึกและการตรวจสอบ

ปการบันทึกหมายถึงการรวบรวมและการสะสมข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นในระบบสารสนเทศ ตัวอย่างเช่น ใครพยายามเข้าสู่ระบบ และเมื่อใด ความพยายามนี้สิ้นสุดลงอย่างไร ใครใช้แหล่งข้อมูลใด แหล่งข้อมูลใดบ้างที่ได้รับการแก้ไข และโดยใคร และอื่นๆ อีกมากมาย

กการตรวจสอบ คือ การวิเคราะห์ข้อมูลที่สะสม ดำเนินการอย่างทันท่วงที เกือบจะเรียลไทม์ หรือเป็นระยะๆ

รการดำเนินการบันทึกและการตรวจสอบมีเป้าหมายหลักดังต่อไปนี้:

• การให้ผู้ใช้และผู้ดูแลระบบรับผิดชอบ
• สร้างความมั่นใจถึงความเป็นไปได้ในการสร้างลำดับเหตุการณ์ขึ้นมาใหม่
• การตรวจจับการละเมิดความปลอดภัยของข้อมูลที่พยายามทำ
• การให้ข้อมูลเพื่อระบุและวิเคราะห์ปัญหา

1. การเข้ารหัสแบบสมมาตร

แนวทางปกติคือการใช้วิธีการเข้ารหัส (คีย์) กับเอกสาร หลังจากนั้นเอกสารจะไม่สามารถอ่านได้ด้วยวิธีปกติ เฉพาะผู้ที่รู้คีย์เท่านั้นที่สามารถอ่านได้ (เช่น สามารถใช้วิธีการที่เหมาะสมได้) ข้อความตอบกลับจะถูกเข้ารหัสในลักษณะเดียวกัน หากในกระบวนการแลกเปลี่ยนข้อมูลจะใช้คีย์เดียวกันในการเข้ารหัสและการอ่าน แสดงว่ากระบวนการเข้ารหัสดังกล่าวเป็นเช่นนั้น สมมาตร.

ปัญหาคือก่อนการแลกเปลี่ยนคุณต้องโอนคีย์

1. การเข้ารหัสแบบอสมมาตร

ไม่ใช่หนึ่ง แต่ใช้สองคีย์ บริษัทสร้างสองคีย์เพื่อทำงานร่วมกับลูกค้า: หนึ่ง – เปิด (สาธารณะ) คีย์ และอีกอันคือ ปิด (ส่วนตัว) กุญแจ อันที่จริงนี่คือ "ครึ่งหนึ่ง" สองส่วนของคีย์ทั้งหมดเชื่อมต่อถึงกัน

คีย์ได้รับการออกแบบเพื่อให้ข้อความที่เข้ารหัสโดยครึ่งหนึ่งสามารถถอดรหัสได้โดยอีกครึ่งหนึ่งเท่านั้น (ไม่ใช่ข้อความที่ถูกเข้ารหัส)

กุญแจสาธารณะถูกแจกจ่ายให้กับประชาชนทั่วไป กุญแจส่วนตัว (กุญแจส่วนตัว) จะถูกเก็บไว้อย่างปลอดภัย

คีย์คือลำดับโค้ดที่แน่นอน

ปัญหาคือสามารถสร้างคีย์ส่วนตัวขึ้นมาใหม่ได้

หลักการความเพียงพอของการป้องกัน:

เขาถือว่าการป้องกันนั้นไม่สมบูรณ์ และเทคนิคในการถอดออกนั้นเป็นที่รู้จัก แต่ก็ยังเพียงพอที่จะทำให้การกระทำนี้คุ้มค่า เมื่อวิธีการอื่นปรากฏขึ้นซึ่งทำให้สามารถรับข้อมูลที่เข้ารหัสได้ในเวลาที่เหมาะสม หลักการทำงานของอัลกอริทึมจะเปลี่ยนไป และปัญหาจะเกิดขึ้นซ้ำในระดับที่สูงขึ้น

สาขาวิชาวิทยาศาสตร์ที่อุทิศให้กับการศึกษาวิธีการสร้างคีย์ส่วนตัวขึ้นใหม่เรียกว่า การเข้ารหัส

ระยะเวลาเฉลี่ยที่จำเป็นในการสร้างคีย์ส่วนตัวขึ้นใหม่จากคีย์สาธารณะที่เผยแพร่นั้นเรียกว่า ความแรงของการเข้ารหัส อัลกอริธึมการเข้ารหัส

ลายเซ็นดิจิทัลของเอกสารอนุญาตให้ผู้รับตรวจสอบความถูกต้องของผู้ส่งเอกสารเท่านั้น แต่ไม่สามารถตรวจสอบความถูกต้องของเอกสารได้

มีการสร้างสองคีย์ (โดยใช้โปรแกรมพิเศษที่ได้รับจากธนาคาร): ส่วนตัวและสาธารณะ

รหัสสาธารณะจะถูกโอนไปที่ธนาคาร หากคุณต้องการส่งคำสั่งซื้อไปยังธนาคารเพื่อดำเนินการด้วยบัญชีกระแสรายวัน คำสั่งนั้นจะถูกเข้ารหัส กุญแจสาธารณะธนาคารและลายเซ็นของคุณภายใต้นั้นจะถูกเข้ารหัสด้วยมือของคุณเอง รหัสส่วนตัว

ธนาคารทำตรงกันข้าม เขาอ่านคำสั่งโดยใช้คีย์ส่วนตัวของเขา และลายเซ็นโดยใช้คีย์สาธารณะของผู้ค้ำประกัน หากลายเซ็นชัดเจนธนาคารสามารถมั่นใจได้ว่าเป็นเราที่เป็นผู้ส่งคำสั่งซื้อและไม่มีใครอื่น

ในบทความนี้ คุณจะได้เรียนรู้ว่า CIPF คืออะไร และเหตุใดจึงจำเป็น คำจำกัดความนี้หมายถึงการเข้ารหัส - การป้องกันและการจัดเก็บข้อมูล การปกป้องข้อมูลในรูปแบบอิเล็กทรอนิกส์สามารถทำได้ไม่ว่าจะด้วยวิธีใดก็ตาม แม้จะตัดการเชื่อมต่อคอมพิวเตอร์จากเครือข่ายและติดตั้งเจ้าหน้าที่รักษาความปลอดภัยโดยมีสุนัขอยู่ใกล้ๆ แต่การทำเช่นนี้ทำได้ง่ายกว่ามากโดยใช้เครื่องมือป้องกันการเข้ารหัส เรามาดูกันว่ามันคืออะไรและนำไปใช้ในทางปฏิบัติอย่างไร

เป้าหมายหลักของการเข้ารหัส

การถอดรหัส CIPF ฟังดูเหมือน “ระบบป้องกันข้อมูลที่เข้ารหัส” ในการเข้ารหัส ผู้โจมตีสามารถเข้าถึงช่องทางการส่งข้อมูลได้อย่างสมบูรณ์ แต่ข้อมูลทั้งหมดเป็นความลับและได้รับการเข้ารหัสอย่างดี ดังนั้นแม้ช่องทางจะเปิดกว้าง แต่ผู้โจมตีก็ไม่สามารถรับข้อมูลได้

วิธี CIPF สมัยใหม่ประกอบด้วยซอฟต์แวร์และคอมพิวเตอร์ที่ซับซ้อน ด้วยความช่วยเหลือ ข้อมูลจะได้รับการคุ้มครองตามพารามิเตอร์ที่สำคัญที่สุดซึ่งเราจะพิจารณาเพิ่มเติม

การรักษาความลับ

เป็นไปไม่ได้ที่จะอ่านข้อมูลหากคุณไม่มีสิทธิ์ในการเข้าถึง CIPF คืออะไร และเข้ารหัสข้อมูลอย่างไร ส่วนประกอบหลักของระบบคือกุญแจอิเล็กทรอนิกส์ เป็นการผสมผสานระหว่างตัวอักษรและตัวเลข ด้วยการป้อนรหัสนี้เท่านั้นคุณจึงสามารถไปยังส่วนที่ต้องการซึ่งติดตั้งการป้องกันไว้ได้

ความสมบูรณ์และการรับรองความถูกต้อง

นี่เป็นพารามิเตอร์สำคัญที่กำหนดความเป็นไปได้ของการเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาต หากไม่มีคีย์ คุณจะไม่สามารถแก้ไขหรือลบข้อมูลได้

การรับรองความถูกต้องเป็นขั้นตอนในการตรวจสอบความถูกต้องของข้อมูลที่บันทึกไว้ในสื่อหลัก คีย์จะต้องตรงกับเครื่องที่ถอดรหัสข้อมูล

นักเขียน

นี่คือการยืนยันการกระทำของผู้ใช้และความเป็นไปไม่ได้ที่จะปฏิเสธ ประเภทของการยืนยันที่พบบ่อยที่สุดคือ EDS (ลายเซ็นดิจิทัลอิเล็กทรอนิกส์) ประกอบด้วยอัลกอริธึมสองอัลกอริธึม - อันแรกสร้างลายเซ็น ส่วนอันที่สองตรวจสอบ

โปรดทราบว่าการดำเนินการทั้งหมดที่ดำเนินการด้วยลายเซ็นอิเล็กทรอนิกส์นั้นได้รับการประมวลผลโดยศูนย์ที่ได้รับการรับรอง (อิสระ) ด้วยเหตุนี้ จึงเป็นไปไม่ได้ที่จะปลอมแปลงการประพันธ์

อัลกอริธึมการเข้ารหัสข้อมูลพื้นฐาน

ทุกวันนี้ ใบรับรอง CIPF จำนวนมากมีการใช้กันอย่างแพร่หลาย คีย์ที่แตกต่างกันใช้สำหรับการเข้ารหัส - ทั้งแบบสมมาตรและไม่สมมาตร และคีย์นั้นยาวพอที่จะทำให้เกิดความซับซ้อนในการเข้ารหัสที่จำเป็น

อัลกอริธึมยอดนิยมที่ใช้ในการป้องกันการเข้ารหัส:

1. คีย์สมมาตร - DES, AES, RC4, รัสเซีย R-28147.89
2. ด้วยฟังก์ชันแฮช - เช่น SHA-1/2, MD4/5/6, R-34.11.94
3. คีย์แบบอสมมาตร - RSA

หลายประเทศมีมาตรฐานอัลกอริธึมการเข้ารหัสเป็นของตัวเอง ตัวอย่างเช่น ในสหรัฐอเมริกา พวกเขาใช้การเข้ารหัส AES ที่ได้รับการแก้ไข คีย์อาจมีความยาวได้ตั้งแต่ 128 ถึง 256 บิต

สหพันธรัฐรัสเซียมีอัลกอริทึมของตัวเอง - R-34.10.2001 และ R-28147.89 ซึ่งใช้คีย์ 256 บิต โปรดทราบว่ามีองค์ประกอบในระบบการเข้ารหัสระดับประเทศที่ห้ามส่งออกไปยังประเทศอื่น กิจกรรมทั้งหมดที่เกี่ยวข้องกับการพัฒนา CIPF จำเป็นต้องมีใบอนุญาตบังคับ

การป้องกันการเข้ารหัสฮาร์ดแวร์

เมื่อติดตั้งกราฟวัดความเร็วของ CIPF คุณสามารถรับประกันการปกป้องข้อมูลที่จัดเก็บไว้ในอุปกรณ์ได้สูงสุด ทั้งหมดนี้ดำเนินการทั้งในระดับซอฟต์แวร์และฮาร์ดแวร์

ประเภทฮาร์ดแวร์ CIPF คืออุปกรณ์ที่มีโปรแกรมพิเศษที่ให้การเข้ารหัสข้อมูลที่เชื่อถือได้ นอกจากนี้ยังช่วยจัดเก็บข้อมูล บันทึก และส่งผ่านอีกด้วย

อุปกรณ์เข้ารหัสทำในรูปแบบของตัวเข้ารหัสที่เชื่อมต่อกับพอร์ต USB นอกจากนี้ยังมีอุปกรณ์ที่ติดตั้งบนเมนบอร์ดพีซีด้วย แม้แต่สวิตช์พิเศษและการ์ดเครือข่ายที่มีการป้องกันการเข้ารหัสลับก็ยังสามารถใช้เพื่อทำงานกับข้อมูลได้

ประเภทฮาร์ดแวร์ของ CIPF ได้รับการติดตั้งค่อนข้างเร็วและสามารถแลกเปลี่ยนข้อมูลได้ด้วยความเร็วสูง แต่ข้อเสียคือต้นทุนค่อนข้างสูงรวมถึงความเป็นไปได้ที่จำกัดในการปรับปรุงให้ทันสมัย

การป้องกันการเข้ารหัสซอฟต์แวร์

นี่คือชุดโปรแกรมที่ให้คุณเข้ารหัสข้อมูลที่จัดเก็บไว้ในสื่อต่างๆ (แฟลชไดรฟ์ ฮาร์ดไดรฟ์และออปติคัลไดรฟ์ ฯลฯ) นอกจากนี้ หากคุณมีใบอนุญาตสำหรับ CIPF ประเภทนี้ คุณสามารถเข้ารหัสข้อมูลได้เมื่อส่งข้อมูลผ่านอินเทอร์เน็ต (เช่น ทางอีเมลหรือแชท)

มีโปรแกรมป้องกันจำนวนมากและยังมีโปรแกรมฟรีอีกด้วย - DiskCryptor ก็เป็นหนึ่งในนั้น ประเภทซอฟต์แวร์ของ CIPF ยังเป็นเครือข่ายเสมือนที่ช่วยให้มีการแลกเปลี่ยนข้อมูล "ทางอินเทอร์เน็ต" นี่คือเครือข่าย VPN ที่หลายคนรู้จัก การป้องกันประเภทนี้ยังรวมถึงโปรโตคอล HTTP ซึ่งรองรับการเข้ารหัส SSL และ HTTPS

ซอฟต์แวร์ CIPF ส่วนใหญ่จะใช้เมื่อทำงานบนอินเทอร์เน็ต เช่นเดียวกับบนพีซีที่บ้าน กล่าวอีกนัยหนึ่ง เฉพาะในพื้นที่ที่ไม่มีข้อกำหนดร้ายแรงสำหรับความทนทานและการทำงานของระบบ

การป้องกันการเข้ารหัสประเภทซอฟต์แวร์และฮาร์ดแวร์

ตอนนี้คุณรู้แล้วว่า CIPF คืออะไร ทำงานอย่างไร และนำไปใช้ที่ไหน นอกจากนี้ยังจำเป็นต้องเน้นประเภทหนึ่ง - ฮาร์ดแวร์และซอฟต์แวร์ซึ่งรวมคุณสมบัติที่ดีที่สุดของทั้งสองประเภทเข้าด้วยกัน วิธีการประมวลผลข้อมูลนี้มีความน่าเชื่อถือและปลอดภัยที่สุด ยิ่งไปกว่านั้น ผู้ใช้สามารถระบุตัวผู้ใช้ได้หลายวิธี - ทั้งฮาร์ดแวร์ (โดยการติดตั้งแฟลชไดรฟ์หรือฟล็อปปี้ดิสก์) และแบบมาตรฐาน (โดยการป้อนคู่ล็อกอิน/รหัสผ่าน)

ระบบฮาร์ดแวร์และซอฟต์แวร์รองรับอัลกอริธึมการเข้ารหัสทั้งหมดที่มีอยู่ในปัจจุบัน โปรดทราบว่าการติดตั้ง CIPF ควรดำเนินการโดยบุคลากรที่มีคุณสมบัติเหมาะสมของผู้พัฒนาที่ซับซ้อนเท่านั้น เป็นที่ชัดเจนว่าไม่ควรติดตั้ง CIPF ดังกล่าวบนคอมพิวเตอร์ที่ไม่ประมวลผลข้อมูลที่เป็นความลับ

คำว่า "การเข้ารหัส" มาจากคำภาษากรีกโบราณ "ซ่อน" และ "เขียน" วลีนี้เป็นการแสดงออกถึงจุดประสงค์หลักของการเข้ารหัส - การป้องกันและการรักษาความลับของข้อมูลที่ส่ง การปกป้องข้อมูลสามารถเกิดขึ้นได้หลายวิธี ตัวอย่างเช่น โดยการจำกัดการเข้าถึงข้อมูลทางกายภาพ การซ่อนช่องทางการส่งข้อมูล การสร้างปัญหาทางกายภาพในการเชื่อมต่อกับสายการสื่อสาร เป็นต้น

วัตถุประสงค์ของการเข้ารหัส

ซึ่งแตกต่างจากวิธีการเขียนความลับแบบดั้งเดิม การเข้ารหัสจะถือว่าสามารถเข้าถึงช่องทางการส่งข้อมูลได้อย่างเต็มที่สำหรับผู้โจมตี และรับประกันความลับและความถูกต้องของข้อมูลโดยใช้อัลกอริธึมการเข้ารหัสที่ทำให้บุคคลภายนอกไม่สามารถเข้าถึงข้อมูลได้ ระบบป้องกันข้อมูลการเข้ารหัสลับสมัยใหม่ (CIPS) คือซอฟต์แวร์และฮาร์ดแวร์คอมพิวเตอร์ที่ซับซ้อนที่ให้การปกป้องข้อมูลตามพารามิเตอร์พื้นฐานต่อไปนี้

• การรักษาความลับ- ความเป็นไปไม่ได้ในการอ่านข้อมูลโดยบุคคลที่ไม่มีสิทธิ์การเข้าถึงที่เหมาะสม องค์ประกอบหลักในการรับประกันการรักษาความลับใน CIPF คือกุญแจสำคัญ ซึ่งเป็นชุดค่าผสมตัวอักษรและตัวเลขที่ไม่ซ้ำกันสำหรับผู้ใช้ในการเข้าถึงบล็อก CIPF ที่เฉพาะเจาะจง
• ความซื่อสัตย์- ความเป็นไปไม่ได้ของการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต เช่น การแก้ไขและการลบข้อมูล ในการดำเนินการนี้ ความซ้ำซ้อนจะถูกเพิ่มลงในข้อมูลต้นฉบับในรูปแบบของชุดการยืนยัน ซึ่งคำนวณโดยใช้อัลกอริธึมการเข้ารหัสและขึ้นอยู่กับคีย์ ดังนั้นหากไม่ทราบรหัส การเพิ่มหรือเปลี่ยนแปลงข้อมูลจึงเป็นไปไม่ได้
• การรับรองความถูกต้อง- การยืนยันความถูกต้องของข้อมูลและฝ่ายที่ส่งและรับข้อมูล ข้อมูลที่ส่งผ่านช่องทางการสื่อสารจะต้องได้รับการรับรองความถูกต้องเฉพาะจากเนื้อหา เวลาที่สร้างและส่ง แหล่งที่มาและผู้รับ ควรจำไว้ว่าแหล่งที่มาของภัยคุกคามไม่เพียงแต่อาจเป็นผู้โจมตีเท่านั้น แต่ยังรวมถึงฝ่ายที่เกี่ยวข้องในการแลกเปลี่ยนข้อมูลด้วยความไว้วางใจซึ่งกันและกันที่ไม่เพียงพอ เพื่อป้องกันสถานการณ์ดังกล่าว CIPF จะใช้ระบบการประทับเวลาเพื่อป้องกันการส่งข้อมูลซ้ำหรือย้อนกลับ และเปลี่ยนลำดับการเกิดขึ้น

• นักเขียน- การยืนยันและความเป็นไปไม่ได้ที่จะปฏิเสธการกระทำที่กระทำโดยผู้ใช้ข้อมูล วิธีการตรวจสอบสิทธิ์ที่พบบ่อยที่สุดคือระบบ EDS ประกอบด้วยสองอัลกอริธึม: สำหรับการสร้างลายเซ็นและสำหรับการตรวจสอบ เมื่อทำงานร่วมกับ ECC อย่างเข้มข้น ขอแนะนำให้ใช้ศูนย์รับรองซอฟต์แวร์เพื่อสร้างและจัดการลายเซ็น ศูนย์ดังกล่าวสามารถนำมาใช้เป็นเครื่องมือ CIPF ที่ไม่ขึ้นอยู่กับโครงสร้างภายในโดยสิ้นเชิง สิ่งนี้มีความหมายต่อองค์กรอย่างไร? ซึ่งหมายความว่าธุรกรรมทั้งหมดได้รับการประมวลผลโดยองค์กรอิสระที่ได้รับการรับรองและการปลอมแปลงผลงานแทบจะเป็นไปไม่ได้เลย

อัลกอริธึมการเข้ารหัส

ในปัจจุบัน อัลกอริธึมการเข้ารหัสแบบเปิดที่ใช้คีย์สมมาตรและอสมมาตรที่มีความยาวเพียงพอที่จะมอบความซับซ้อนในการเข้ารหัสที่จำเป็นนั้นมีอำนาจเหนือกว่าใน CIPF อัลกอริธึมที่พบบ่อยที่สุด:

• ปุ่มสมมาตร - รัสเซีย R-28147.89, AES, DES, RC4;
• ปุ่มไม่สมมาตร - RSA;
• ใช้ฟังก์ชันแฮช - R-34.11.94, MD4/5/6, SHA-1/2

หลายประเทศมีมาตรฐานระดับชาติของตนเอง ในสหรัฐอเมริกามีการใช้อัลกอริธึม AES ที่ได้รับการแก้ไขซึ่งมีความยาวคีย์ 128-256 บิต และในสหพันธรัฐรัสเซีย อัลกอริธึมลายเซ็นอิเล็กทรอนิกส์ R-34.10.2001 และอัลกอริธึมการเข้ารหัสแบบบล็อก R- 28147.89 พร้อมคีย์ 256 บิต องค์ประกอบบางอย่างของระบบการเข้ารหัสระดับประเทศไม่ได้รับอนุญาตให้ส่งออกไปนอกประเทศ กิจกรรมเพื่อพัฒนา CIPF จำเป็นต้องมีใบอนุญาต

ระบบป้องกันการเข้ารหัสฮาร์ดแวร์

ฮาร์ดแวร์ CIPF คืออุปกรณ์ทางกายภาพที่มีซอฟต์แวร์สำหรับการเข้ารหัส บันทึก และส่งข้อมูล อุปกรณ์เข้ารหัสสามารถทำได้ในรูปแบบของอุปกรณ์ส่วนบุคคล เช่น ตัวเข้ารหัส ruToken USB และแฟลชไดรฟ์ IronKey การ์ดเอ็กซ์แพนชันสำหรับคอมพิวเตอร์ส่วนบุคคล สวิตช์เครือข่ายเฉพาะและเราเตอร์ โดยที่คุณสามารถสร้างเครือข่ายคอมพิวเตอร์ที่ปลอดภัยเต็มรูปแบบได้

ฮาร์ดแวร์ CIPF ได้รับการติดตั้งอย่างรวดเร็วและทำงานด้วยความเร็วสูง ข้อเสีย - สูง เมื่อเปรียบเทียบกับซอฟต์แวร์และฮาร์ดแวร์-ซอฟต์แวร์ CIPF ต้นทุนและความสามารถในการอัปเกรดมีจำกัด

นอกจากนี้ ยังรวมอยู่ในหมวดหมู่ฮาร์ดแวร์ด้วยคือหน่วย CIPF ที่สร้างขึ้นในอุปกรณ์บันทึกและส่งข้อมูลต่างๆ ที่ต้องมีการเข้ารหัสและการจำกัดการเข้าถึงข้อมูล อุปกรณ์ดังกล่าว ได้แก่ เครื่องวัดความเร็วรอบรถยนต์ที่บันทึกพารามิเตอร์ของยานพาหนะ อุปกรณ์ทางการแพทย์บางประเภท เป็นต้น เพื่อให้ระบบดังกล่าวทำงานได้อย่างสมบูรณ์ จำเป็นต้องเปิดใช้งานโมดูล CIPF แยกต่างหากโดยผู้เชี่ยวชาญของซัพพลายเออร์

ซอฟต์แวร์ระบบป้องกันการเข้ารหัส

ซอฟต์แวร์ CIPF เป็นชุดซอฟต์แวร์พิเศษสำหรับการเข้ารหัสข้อมูลในสื่อจัดเก็บข้อมูล (ฮาร์ดไดรฟ์และแฟลชไดรฟ์ การ์ดหน่วยความจำ ซีดี/ดีวีดี) และเมื่อส่งผ่านอินเทอร์เน็ต (อีเมล ไฟล์ในเอกสารแนบ การสนทนาที่ปลอดภัย ฯลฯ) มีโปรแกรมค่อนข้างเยอะ รวมถึงโปรแกรมฟรีด้วย เช่น DiskCryptor ซอฟต์แวร์ CIPF ยังรวมถึงเครือข่ายการแลกเปลี่ยนข้อมูลเสมือนที่ปลอดภัยที่ทำงาน "บนอินเทอร์เน็ต" (VPN) ซึ่งเป็นส่วนขยายของโปรโตคอลอินเทอร์เน็ต HTTP ที่รองรับการเข้ารหัส HTTPS และ SSL - โปรโตคอลการถ่ายโอนข้อมูลการเข้ารหัสที่ใช้กันอย่างแพร่หลายในระบบโทรศัพท์ IP และแอปพลิเคชันอินเทอร์เน็ต .

ระบบป้องกันข้อมูลการเข้ารหัสซอฟต์แวร์ส่วนใหญ่จะใช้บนอินเทอร์เน็ต บนคอมพิวเตอร์ที่บ้าน และในพื้นที่อื่น ๆ ที่ข้อกำหนดสำหรับการทำงานและความเสถียรของระบบไม่สูงมาก หรืออย่างที่เป็นกับอินเทอร์เน็ต เมื่อคุณจำเป็นต้องสร้างการเชื่อมต่อที่ปลอดภัยต่างๆ มากมายในเวลาเดียวกัน

การป้องกันการเข้ารหัสซอฟต์แวร์และฮาร์ดแวร์

ผสมผสานคุณสมบัติที่ดีที่สุดของฮาร์ดแวร์และซอฟต์แวร์ระบบ CIPF นี่เป็นวิธีที่เชื่อถือได้และใช้งานได้ดีที่สุดในการสร้างระบบและเครือข่ายข้อมูลที่ปลอดภัย รองรับตัวเลือกทั้งหมดสำหรับการระบุตัวตนผู้ใช้ ทั้งฮาร์ดแวร์ (ไดรฟ์ USB หรือสมาร์ทการ์ด) และ "ดั้งเดิม" - การเข้าสู่ระบบและรหัสผ่าน ซอฟต์แวร์และฮาร์ดแวร์ CIPF รองรับอัลกอริธึมการเข้ารหัสที่ทันสมัยทั้งหมด มีฟังก์ชันที่หลากหลายสำหรับการสร้างการรับส่งข้อมูลเอกสารที่ปลอดภัยตามลายเซ็นดิจิทัล และใบรับรองจากรัฐบาลที่จำเป็นทั้งหมด การติดตั้ง CIPF ดำเนินการโดยบุคลากรนักพัฒนาที่มีคุณสมบัติเหมาะสม

บริษัท "CRYPTO-PRO"

หนึ่งในผู้นำของตลาดการเข้ารหัสลับของรัสเซีย บริษัทพัฒนาโปรแกรมเต็มรูปแบบสำหรับการปกป้องข้อมูลโดยใช้ลายเซ็นดิจิทัลตามอัลกอริธึมการเข้ารหัสระหว่างประเทศและรัสเซีย

โปรแกรมของบริษัทถูกนำมาใช้ในการจัดการเอกสารอิเล็กทรอนิกส์ขององค์กรการค้าและภาครัฐ สำหรับการยื่นรายงานทางบัญชีและภาษี ในโครงการเมืองและงบประมาณต่างๆ เป็นต้น บริษัทได้ออกใบอนุญาตมากกว่า 3 ล้านใบอนุญาตสำหรับโปรแกรม CryptoPRO CSP และใบอนุญาตสำหรับการรับรอง 700 ใบ ศูนย์ Crypto-PRO มอบอินเทอร์เฟซสำหรับนักพัฒนาสำหรับการฝังองค์ประกอบการป้องกันการเข้ารหัสไว้ในตัวของพวกเขาเอง และให้บริการให้คำปรึกษาครบวงจรสำหรับการสร้าง CIPF

ผู้ให้บริการ Crypto CryptoPro

เมื่อพัฒนา CIPF CryptoPro CSP จะใช้สถาปัตยกรรมการเข้ารหัส ผู้ให้บริการการเข้ารหัสที่สร้างขึ้นในระบบปฏิบัติการ Windows สถาปัตยกรรมช่วยให้คุณสามารถเชื่อมต่อโมดูลอิสระเพิ่มเติมที่ใช้อัลกอริธึมการเข้ารหัสที่จำเป็น ด้วยความช่วยเหลือของโมดูลที่ทำงานผ่านฟังก์ชัน CryptoAPI ทำให้การป้องกันการเข้ารหัสสามารถใช้งานได้ทั้งซอฟต์แวร์และฮาร์ดแวร์ CIPF

ผู้ให้บริการที่สำคัญ

สามารถใช้คีย์ส่วนตัวประเภทต่างๆ ได้:

• สมาร์ทการ์ดและเครื่องอ่าน
• ล็อคอิเล็กทรอนิกส์และเครื่องอ่านที่ทำงานร่วมกับอุปกรณ์ Touch Memory
• ปุ่ม USB ต่างๆ และไดรฟ์ USB แบบถอดได้
• ไฟล์รีจิสทรีของระบบ Windows, Solaris, Linux

ฟังก์ชั่น Cryptoprovider

CIPF CryptoPro CSP ได้รับการรับรองโดย FAPSI และสามารถใช้สำหรับ:

2. รักษาความลับ ความถูกต้อง และความสมบูรณ์ของข้อมูลอย่างสมบูรณ์โดยใช้การเข้ารหัสและการป้องกันการจำลองตามมาตรฐานการเข้ารหัสของรัสเซียและโปรโตคอล TLS

3. การตรวจสอบและติดตามความสมบูรณ์ของรหัสโปรแกรมเพื่อป้องกันการเปลี่ยนแปลงและการเข้าถึงโดยไม่ได้รับอนุญาต

4. การสร้างกฎเกณฑ์การป้องกันระบบ

1.1. นโยบายนี้สำหรับการใช้เครื่องมือป้องกันข้อมูลการเข้ารหัส ( ไกลออกไป - นโยบาย ) กำหนดขั้นตอนในการจัดระเบียบและรับรองการทำงานของการเข้ารหัส ( การเข้ารหัส) หมายถึง มีวัตถุประสงค์เพื่อปกป้องข้อมูลที่ไม่มีข้อมูลที่เป็นความลับของรัฐ ( ไกลออกไป - CIPF หมายถึงการเข้ารหัสลับ ) ในกรณีที่ใช้เพื่อรับรองความปลอดภัยของข้อมูลที่เป็นความลับและข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูล

1.2. นโยบายนี้ได้รับการพัฒนาตาม:

• กฎหมายของรัฐบาลกลาง "เกี่ยวกับข้อมูลส่วนบุคคล" ข้อบังคับของรัฐบาลสหพันธรัฐรัสเซียในด้านการรับรองความปลอดภัยของข้อมูลส่วนบุคคล
• กฎหมายของรัฐบาลกลางหมายเลข 63-FZ "เกี่ยวกับลายเซ็นอิเล็กทรอนิกส์" ;
• คำสั่งของ FSB แห่งสหพันธรัฐรัสเซียหมายเลข 378 "ในการอนุมัติองค์ประกอบและเนื้อหาของมาตรการองค์กรและทางเทคนิคเพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลในระหว่างการประมวลผลในระบบข้อมูลส่วนบุคคลโดยใช้เครื่องมือป้องกันข้อมูลการเข้ารหัสที่จำเป็นเพื่อตอบสนองข้อกำหนดที่กำหนดโดยรัฐบาลสหพันธรัฐรัสเซียเพื่อการปกป้อง ข้อมูลส่วนบุคคลสำหรับการรักษาความปลอดภัยแต่ละระดับ";
• FAPSI คำสั่งที่ 152 “ เมื่อได้รับอนุมัติคำแนะนำในการจัดระเบียบและรับรองความปลอดภัยของการจัดเก็บ การประมวลผล และการส่งผ่านช่องทางการสื่อสารโดยใช้วิธีการป้องกันการเข้ารหัสข้อมูลที่มีการจำกัดการเข้าถึงที่ไม่มีข้อมูลที่เป็นความลับของรัฐ»;
• คำสั่งของ FSB ของสหพันธรัฐรัสเซีย N 66 " เมื่อได้รับการอนุมัติกฎข้อบังคับเกี่ยวกับการพัฒนา การผลิต การขาย และการดำเนินการของวิธีการรักษาความปลอดภัยข้อมูลการเข้ารหัส (การเข้ารหัส) (กฎข้อบังคับ PKZ-2005) »;

1.3. นโยบายนี้ใช้กับเครื่องมือเข้ารหัสลับที่ออกแบบมาเพื่อรับรองความปลอดภัยของข้อมูลที่เป็นความลับและข้อมูลส่วนบุคคลเมื่อประมวลผลในระบบข้อมูล

1.4. วิธีการเข้ารหัสในการปกป้องข้อมูล ( ไกลออกไป - ซีพีเอฟ ) การใช้ฟังก์ชันการเข้ารหัสและลายเซ็นอิเล็กทรอนิกส์จะใช้เพื่อปกป้องเอกสารอิเล็กทรอนิกส์ที่ส่งผ่านช่องทางการสื่อสารสาธารณะ เช่น อินเทอร์เน็ตสาธารณะ หรือผ่านช่องทางการสื่อสารผ่านสายโทรศัพท์

1.5. เพื่อความปลอดภัย จำเป็นต้องใช้ CIPF ซึ่ง:

• อนุญาตให้รวมเข้ากับกระบวนการทางเทคโนโลยีสำหรับการประมวลผลข้อความอิเล็กทรอนิกส์ รับรองการมีปฏิสัมพันธ์กับแอพพลิเคชั่นซอฟต์แวร์ในระดับการประมวลผลคำขอสำหรับการแปลงการเข้ารหัสและการออกผลลัพธ์
• จัดทำโดยนักพัฒนาพร้อมเอกสารการปฏิบัติงานครบชุดรวมถึงคำอธิบายของระบบคีย์กฎในการทำงานรวมถึงเหตุผลสำหรับการสนับสนุนองค์กรและพนักงานที่จำเป็น
• สนับสนุนความต่อเนื่องของกระบวนการบันทึกการทำงานของ CIPF และรับรองความสมบูรณ์ของซอฟต์แวร์สำหรับสภาพแวดล้อมการทำงานของ CIPF ซึ่งเป็นชุดเครื่องมือฮาร์ดแวร์และซอฟต์แวร์ รวมถึงการทำงานปกติของ CIPF ที่เกิดขึ้นและอาจส่งผลกระทบ การปฏิบัติตามข้อกำหนดของ CIPF
• รับรองโดยหน่วยงานของรัฐที่ได้รับอนุญาตหรือได้รับอนุญาตจาก FSB ของรัสเซีย

1.6. CIPF ที่ใช้เพื่อปกป้องข้อมูลส่วนบุคคลต้องมีคลาสอย่างน้อย KS2

1.7. CIPF ถูกนำมาใช้บนพื้นฐานของอัลกอริธึมที่สอดคล้องกับมาตรฐานแห่งชาติของสหพันธรัฐรัสเซียและเงื่อนไขของข้อตกลงกับคู่สัญญา

1.8. CIPF, ใบอนุญาต, เอกสารสำคัญที่แนบมาด้วย, คำแนะนำสำหรับ CIPF นั้นจัดซื้อโดยองค์กรโดยอิสระหรือสามารถได้รับจากบุคคลที่สามที่เริ่มต้นการไหลของเอกสารที่ปลอดภัย

1.9. CIPF รวมถึงสื่อการติดตั้ง เอกสารสำคัญ คำอธิบาย และคำแนะนำสำหรับ CIPF ถือเป็นความลับทางการค้าตามกฎระเบียบว่าด้วยข้อมูลที่เป็นความลับ

1. ขั้นตอนการใช้ CIPF

2.1. การติดตั้งและการกำหนดค่าเครื่องมือป้องกันข้อมูลการเข้ารหัสนั้นดำเนินการตามเอกสารการปฏิบัติงาน คำแนะนำของ FSB แห่งรัสเซีย และองค์กรอื่น ๆ ที่เข้าร่วมในการไหลของเอกสารอิเล็กทรอนิกส์ที่ปลอดภัย เมื่อการติดตั้งและการกำหนดค่าเสร็จสิ้น จะมีการตรวจสอบความพร้อมของ CIPF สำหรับการใช้งาน มีการสรุปข้อสรุปเกี่ยวกับความเป็นไปได้ของการดำเนินการ และ CIPF จะถูกนำไปใช้งาน

การจัดวางและการติดตั้ง CIPF รวมถึงอุปกรณ์อื่นๆ ที่ทำงานด้วยสินทรัพย์เข้ารหัส ในสถานที่ที่ปลอดภัยควรลดความเป็นไปได้ในการเข้าถึงกองทุนเหล่านี้โดยไม่มีการควบคุมของบุคคลที่ไม่ได้รับอนุญาต การบำรุงรักษาอุปกรณ์ดังกล่าวและการเปลี่ยนแปลงคีย์เข้ารหัสจะดำเนินการในกรณีที่ไม่มีบุคคลที่ไม่ได้รับอนุญาตให้ทำงานกับข้อมูล CIPF มีความจำเป็นต้องจัดให้มีมาตรการขององค์กรและทางเทคนิคเพื่อยกเว้นความเป็นไปได้ในการใช้ CIPF โดยบุคคลที่ไม่ได้รับอนุญาต การวางตำแหน่งทางกายภาพของ CIPF จะต้องมั่นใจในความปลอดภัยของ CIPF และป้องกันการเข้าถึง CIPF โดยไม่ได้รับอนุญาต การเข้าถึงบุคคลไปยังสถานที่ซึ่งมีอุปกรณ์ป้องกันนั้นถูกจำกัดตามความต้องการอย่างเป็นทางการ และถูกกำหนดโดยรายชื่อที่ได้รับอนุมัติจากผู้อำนวยการ

การฝังกองทุน crypto ของคลาส KS1 และ KS2 ดำเนินการโดยไม่มีการควบคุมโดย FSB ของรัสเซีย ( หากการควบคุมนี้ไม่ได้ระบุไว้ในเงื่อนไขการอ้างอิงสำหรับการพัฒนา (ความทันสมัย) ของระบบสารสนเทศ).

การฝัง cryptocurrencies ของคลาส KS3, KB1, KB2 และ KA1 ดำเนินการภายใต้การควบคุมของ FSB ของรัสเซียเท่านั้น

การฝังเครื่องมือเข้ารหัสลับของคลาส KS1, KS2 หรือ KS3 สามารถดำเนินการโดยผู้ใช้เครื่องมือเข้ารหัสลับเองหากเขาได้รับใบอนุญาตที่เหมาะสมจาก FSB แห่งรัสเซีย หรือโดยองค์กรที่มีใบอนุญาตที่เหมาะสมจาก FSB ของรัสเซีย

การฝัง cryptocurrencies ของคลาส KV1, KV2 หรือ KA1 ดำเนินการโดยองค์กรที่ได้รับใบอนุญาตที่เหมาะสมจาก FSB ของรัสเซีย

การเลิกใช้งาน CIPF ดำเนินการภายใต้ขั้นตอนที่ให้การรับประกันการลบข้อมูล การใช้งานโดยไม่ได้รับอนุญาตซึ่งอาจเป็นอันตรายต่อกิจกรรมทางธุรกิจขององค์กร และข้อมูลที่ใช้โดยเครื่องมือรักษาความปลอดภัยข้อมูล จากหน่วยความจำถาวรและจากสื่อภายนอก ( ยกเว้นการเก็บถาวรเอกสารอิเล็กทรอนิกส์และโปรโตคอลของการโต้ตอบทางอิเล็กทรอนิกส์ การบำรุงรักษาและการเก็บรักษาซึ่งจัดทำขึ้นในช่วงระยะเวลาหนึ่งโดยเอกสารกำกับดูแลที่เกี่ยวข้องและ (หรือ) เอกสารสัญญา) และเป็นทางการตามพระราชบัญญัติ CIPF ถูกทำลาย ( กำจัด) โดยการตัดสินใจของเจ้าของกองทุน crypto และด้วยการแจ้งเตือนขององค์กรที่รับผิดชอบตามองค์กรของการบัญชีคัดลอกทีละอินสแตนซ์ของกองทุน crypto

มุ่งสู่การทำลายล้าง ( การรีไซเคิล) CIPF อาจถูกถอดออกจากฮาร์ดแวร์ที่ใช้งานอยู่ ในกรณีนี้ เครื่องมือเข้ารหัสลับจะถือว่าถูกลบออกจากฮาร์ดแวร์ หากขั้นตอนการลบซอฟต์แวร์ของเครื่องมือเข้ารหัสลับตามที่ระบุไว้ในเอกสารการปฏิบัติงานและด้านเทคนิคสำหรับ CIPF เสร็จสมบูรณ์แล้ว และเครื่องมือเหล่านั้นถูกตัดการเชื่อมต่อจากฮาร์ดแวร์โดยสมบูรณ์

ส่วนประกอบและชิ้นส่วนฮาร์ดแวร์สำหรับใช้งานทั่วไปที่เหมาะสำหรับการใช้งานต่อไป ไม่ได้ออกแบบมาเป็นพิเศษสำหรับการใช้งานฮาร์ดแวร์ของอัลกอริธึมการเข้ารหัสหรือฟังก์ชัน CIPF อื่นๆ รวมถึงอุปกรณ์ที่ทำงานร่วมกับเครื่องมือเข้ารหัส ( จอภาพ เครื่องพิมพ์ สแกนเนอร์ คีย์บอร์ด ฯลฯ) อาจใช้ได้หลังจากการทำลาย CIPF โดยไม่มีข้อจำกัด ในกรณีนี้ข้อมูลที่อาจยังคงอยู่ในอุปกรณ์หน่วยความจำอุปกรณ์ ( เช่น ในเครื่องพิมพ์ เครื่องสแกน) จะต้องถูกลบออกอย่างปลอดภัย ( ลบแล้ว).

2.2. การดำเนินงานของ CIPF ดำเนินการโดยบุคคลที่ได้รับการแต่งตั้งตามคำสั่งของผู้อำนวยการองค์กรและผู้ที่ได้รับการฝึกอบรมให้ทำงานร่วมกับพวกเขา หากมีผู้ใช้ CIPF สองคนขึ้นไป ความรับผิดชอบจะถูกกระจายระหว่างพวกเขา โดยคำนึงถึงความรับผิดชอบส่วนบุคคลสำหรับความปลอดภัยของสินทรัพย์ crypto เอกสารสำคัญ เอกสารการปฏิบัติงานและทางเทคนิค รวมถึงพื้นที่ทำงานที่ได้รับมอบหมาย

ผู้ใช้กองทุน crypto จะต้อง:

• ไม่เปิดเผยข้อมูลที่พวกเขาได้รับอนุญาต รวมถึงข้อมูลเกี่ยวกับ CIPF และมาตรการป้องกันอื่น ๆ
• ไม่เปิดเผยข้อมูลเกี่ยวกับเอกสารสำคัญ
• ไม่อนุญาตให้ทำสำเนาเอกสารสำคัญ
• ป้องกันไม่ให้แสดงเอกสารสำคัญ ( เฝ้าสังเกต) คอมพิวเตอร์ส่วนบุคคลหรือเครื่องพิมพ์
• ไม่อนุญาตให้บันทึกข้อมูลที่ไม่เกี่ยวข้องลงในสื่อหลัก
• ไม่อนุญาตให้ติดตั้งเอกสารสำคัญบนคอมพิวเตอร์ส่วนบุคคลเครื่องอื่น
• ปฏิบัติตามข้อกำหนดในการรับรองความปลอดภัยของข้อมูลข้อกำหนดในการรับรองความปลอดภัยของ CIPF และเอกสารสำคัญในนั้น
• รายงานเกี่ยวกับความพยายามของบุคคลที่ไม่ได้รับอนุญาตซึ่งพวกเขาทราบว่าได้รับข้อมูลเกี่ยวกับ CIPF ที่ใช้หรือเอกสารสำคัญสำหรับพวกเขา
• แจ้งข้อเท็จจริงของการสูญหายหรือขาดแคลน CIPF เอกสารสำคัญสำหรับพวกเขา กุญแจสถานที่ สถานที่จัดเก็บ ตราประทับส่วนบุคคล และข้อเท็จจริงอื่น ๆ ที่อาจนำไปสู่การเปิดเผยข้อมูลที่ได้รับการคุ้มครองโดยทันที
• ส่ง CIPF เอกสารการปฏิบัติงานและด้านเทคนิค เอกสารสำคัญเมื่อถูกไล่ออกหรือถูกถอดออกจากหน้าที่ที่เกี่ยวข้องกับการใช้สกุลเงินดิจิทัล

ความปลอดภัยของการประมวลผลข้อมูลโดยใช้ CIPF ได้รับการรับรองโดย:

• การปฏิบัติตามโดยผู้ใช้ด้วยการรักษาความลับเมื่อจัดการข้อมูลที่ได้รับความไว้วางใจหรือเป็นที่รู้จักผ่านงานของพวกเขา รวมถึงข้อมูลเกี่ยวกับการทำงานและขั้นตอนในการรับรองความปลอดภัยของ CIPF ที่ใช้และเอกสารสำคัญต่อพวกเขา
• การปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลโดยผู้ใช้ CIPF อย่างถูกต้อง
• การจัดเก็บเอกสารการปฏิบัติงานและทางเทคนิคที่เชื่อถือได้สำหรับ CIPF เอกสารสำคัญ สื่อการจัดจำหน่ายแบบจำกัด
• การตรวจจับความพยายามโดยบุคคลที่ไม่ได้รับอนุญาตอย่างทันท่วงทีเพื่อรับข้อมูลเกี่ยวกับข้อมูลที่ได้รับการคุ้มครอง เกี่ยวกับ CIPF ที่ใช้หรือเอกสารสำคัญที่ส่งถึงพวกเขา
• การนำมาตรการไปใช้ทันทีเพื่อป้องกันการเปิดเผยข้อมูลที่ได้รับการคุ้มครองรวมถึงการรั่วไหลที่เป็นไปได้ในกรณีที่ตรวจพบข้อเท็จจริงของการสูญหายหรือขาดแคลน CIPF เอกสารสำคัญสำหรับพวกเขา ใบรับรอง บัตรผ่าน กุญแจไปยังสถานที่ สถานที่จัดเก็บ ตู้นิรภัย ( ตู้โลหะ) ตราประทับส่วนตัว ฯลฯ

หากจำเป็นต้องส่งข้อความบริการการเข้าถึงแบบจำกัดผ่านวิธีการสื่อสารทางเทคนิคที่เกี่ยวข้องกับองค์กรและการดำเนินงานของ CIPF ข้อความเหล่านี้จะต้องส่งโดยใช้วิธีเข้ารหัสลับเท่านั้น ไม่อนุญาตให้ถ่ายโอน cryptokeys ผ่านวิธีการสื่อสารทางเทคนิค ยกเว้นระบบที่จัดระเบียบเป็นพิเศษพร้อมการจัดหา cryptokeys แบบกระจายอำนาจ

CIPF อยู่ภายใต้การบัญชีโดยใช้ดัชนีหรือชื่อทั่วไปและหมายเลขทะเบียน รายการดัชนี ชื่อรหัส และหมายเลขการลงทะเบียนของสินทรัพย์เข้ารหัสจะถูกกำหนดโดย Federal Security Service ของสหพันธรัฐรัสเซีย

CIPF ที่ใช้หรือจัดเก็บ เอกสารการปฏิบัติงานและทางเทคนิคสำหรับพวกเขา เอกสารสำคัญจะต้องมีการบันทึกแบบสำเนาต่อสำเนา แบบฟอร์มของสมุดบันทึก CIPF มีระบุไว้ในภาคผนวกที่ 1 ซึ่งเป็นสมุดบันทึกสื่อหลักในภาคผนวกที่ 2 ของนโยบายนี้ ในกรณีนี้ ต้องคำนึงถึงระบบป้องกันข้อมูลการเข้ารหัสของซอฟต์แวร์ร่วมกับฮาร์ดแวร์ที่ใช้งานตามปกติ หากฮาร์ดแวร์หรือฮาร์ดแวร์-ซอฟต์แวร์ CIPF เชื่อมต่อกับบัสระบบหรือกับอินเทอร์เฟซฮาร์ดแวร์ภายในตัวใดตัวหนึ่ง ดังนั้นมาตรการเข้ารหัสลับดังกล่าวจะถูกนำมาพิจารณาร่วมกับฮาร์ดแวร์ที่เกี่ยวข้องด้วย

หน่วยของการบัญชีสำเนาทีละสำเนาของเอกสารสำคัญถือเป็นสื่อคีย์ที่นำมาใช้ซ้ำได้ ซึ่งก็คือสมุดบันทึกคีย์ หากใช้สื่อคีย์เดียวกันซ้ำๆ เพื่อบันทึกคีย์เข้ารหัสลับ ก็ควรลงทะเบียนแยกกันในแต่ละครั้ง

สำเนาสินทรัพย์เข้ารหัสลับที่ได้รับทั้งหมด เอกสารการปฏิบัติงานและทางเทคนิคสำหรับพวกเขา เอกสารสำคัญจะต้องออกให้พร้อมกับการรับในทะเบียนคัดลอกทีละสำเนาที่เหมาะสมแก่ผู้ใช้สินทรัพย์เข้ารหัสลับที่รับผิดชอบด้านความปลอดภัยเป็นการส่วนตัว

การโอน CIPF เอกสารการปฏิบัติงานและทางเทคนิคสำหรับพวกเขา และเอกสารสำคัญได้รับอนุญาตเฉพาะระหว่างผู้ใช้สินทรัพย์เข้ารหัสลับและ (หรือ) ผู้ใช้ที่รับผิดชอบสินทรัพย์เข้ารหัสลับกับใบเสร็จรับเงินในวารสารที่เหมาะสมสำหรับการบัญชีส่วนบุคคล การโอนเงินระหว่างผู้ใช้เงินดิจิตอลเข้ารหัสจะต้องได้รับอนุญาต

การจัดเก็บสื่อการติดตั้ง CIPF เอกสารการปฏิบัติงานและทางเทคนิค เอกสารสำคัญจะดำเนินการในตู้ ( กล่องเก็บของ) สำหรับการใช้งานส่วนบุคคลภายใต้เงื่อนไขที่ขัดขวางการเข้าถึงโดยไม่มีการควบคุม เช่นเดียวกับการทำลายโดยไม่ได้ตั้งใจ

ฮาร์ดแวร์ที่ CIPF ทำงานตามปกติ รวมถึงฮาร์ดแวร์และซอฟต์แวร์ฮาร์ดแวร์ CIPF จะต้องติดตั้งวิธีการควบคุมการเปิด ( ปิดผนึก, ปิดผนึก- สถานที่ปิดผนึก ( การปิดผนึก) สกุลเงินดิจิทัล ฮาร์ดแวร์จะต้องมีลักษณะที่สามารถตรวจสอบได้ด้วยสายตา หากเป็นไปได้ในทางเทคนิค ในระหว่างที่ไม่มีผู้ใช้กองทุน crypto เงินเหล่านี้จะต้องถูกตัดการเชื่อมต่อจากสายการสื่อสารและวางไว้ในที่เก็บข้อมูลที่ปิดสนิท

การเปลี่ยนแปลงซอฟต์แวร์ CIPF และเอกสารทางเทคนิคสำหรับ CIPF จะดำเนินการตามที่ได้รับจากผู้ผลิต CIPF และการอัปเดตที่เป็นเอกสารพร้อมการบันทึกเช็คซัม

การดำเนินงานของ CIPF จำเป็นต้องมีการบำรุงรักษาสำเนาสำรองของซอฟต์แวร์อย่างน้อยสองชุดและสำเนาสำรองของสื่อสำคัญหนึ่งชุด การกู้คืนฟังก์ชันการทำงานของ CIPF ในสถานการณ์ฉุกเฉินจะดำเนินการตามเอกสารการปฏิบัติงาน

2.3. การผลิตเอกสารสำคัญจากข้อมูลสำคัญเริ่มต้นนั้นดำเนินการโดยผู้ใช้ที่รับผิดชอบของ CIPF โดยใช้เครื่องมือเข้ารหัสมาตรฐาน หากมีความเป็นไปได้ดังกล่าวไว้ในเอกสารการปฏิบัติงานและด้านเทคนิคโดยมีใบอนุญาตจาก FSB ของรัสเซียสำหรับ การผลิตเอกสารสำคัญสำหรับเครื่องมือเข้ารหัสลับ

เอกสารสำคัญสามารถจัดส่งทางไปรษณีย์ ( รวมทั้งแผนกด้วย) การสื่อสารหรือกับผู้ใช้กองทุน crypto และพนักงานที่ได้รับมอบหมายเป็นพิเศษ ภายใต้มาตรการที่ไม่รวมการเข้าถึงเอกสารสำคัญที่ไม่มีการควบคุมระหว่างการจัดส่ง

ในการส่งเอกสารสำคัญ จะต้องวางไว้ในบรรจุภัณฑ์ที่ทนทาน ไม่รวมความเป็นไปได้ที่จะเกิดความเสียหายทางกายภาพและอิทธิพลภายนอก บรรจุภัณฑ์ระบุถึงผู้ใช้ที่รับผิดชอบซึ่งตั้งใจจะใช้บรรจุภัณฑ์นั้น แพ็คเกจดังกล่าวมีเครื่องหมาย “ส่วนตัว” บรรจุภัณฑ์ถูกปิดผนึกในลักษณะที่ไม่สามารถนำเนื้อหาออกจากบรรจุภัณฑ์ได้โดยไม่ทำให้บรรจุภัณฑ์และซีลเสียหาย

ก่อนการเนรเทศครั้งแรก ( หรือกลับมา) ผู้รับจะได้รับแจ้งในจดหมายแยกต่างหากถึงคำอธิบายของบรรจุภัณฑ์ที่ส่งถึงเขาและตราประทับที่สามารถปิดผนึกได้

ในการส่งเอกสารสำคัญจะมีการจัดทำจดหมายปะหน้าซึ่งจะต้องระบุ: สิ่งที่กำลังส่งและจำนวนหมายเลขทะเบียนเอกสารตลอดจนวัตถุประสงค์และขั้นตอนการใช้รายการที่ส่งหากจำเป็น จดหมายปะหน้ารวมอยู่ในแพ็คเกจใดแพ็คเกจหนึ่ง

แพ็คเกจที่ได้รับจะถูกเปิดโดยผู้ใช้ที่รับผิดชอบของกองทุน crypto ตามที่ตั้งใจไว้เท่านั้น หากเนื้อหาของแพ็คเกจที่ได้รับไม่ตรงกับสิ่งที่ระบุไว้ในจดหมายปะหน้าหรือตัวบรรจุภัณฑ์และตราประทับไม่ตรงกับคำอธิบาย ( สำนักพิมพ์) และหากบรรจุภัณฑ์ได้รับความเสียหายส่งผลให้สามารถเข้าถึงเนื้อหาได้ฟรี ผู้รับจะจัดทำรายงานซึ่งจะส่งไปยังผู้ส่ง เอกสารสำคัญที่ได้รับพร้อมกับการจัดส่งดังกล่าวไม่ได้รับอนุญาตให้ใช้จนกว่าจะได้รับคำแนะนำจากผู้ส่ง

หากพบเอกสารคีย์หรือคีย์เข้ารหัสที่มีข้อบกพร่อง ควรส่งคืนสำเนาของผลิตภัณฑ์ที่ชำรุดหนึ่งชุดให้กับผู้ผลิตเพื่อระบุสาเหตุของเหตุการณ์และกำจัดออกในอนาคต และสำเนาที่เหลือควรเก็บไว้จนกว่าจะได้รับคำแนะนำเพิ่มเติมจาก ผู้ผลิต

การรับเอกสารสำคัญจะต้องได้รับการยืนยันกับผู้ส่งในลักษณะที่ระบุไว้ในจดหมายปะหน้า ผู้ส่งมีหน้าที่ควบคุมการส่งมอบสิ่งของไปยังผู้รับ หากผู้รับไม่ได้รับการยืนยันที่เหมาะสมภายในเวลาที่กำหนด ผู้ส่งจะต้องส่งคำขอถึงเขาและใช้มาตรการเพื่อชี้แจงตำแหน่งของสิ่งของ

มีการจัดทำคำสั่งสำหรับการผลิตเอกสารสำคัญถัดไปการผลิตและการแจกจ่ายไปยังสถานที่ใช้งานเพื่อทดแทนเอกสารสำคัญที่มีอยู่ล่วงหน้า คำแนะนำในการบังคับใช้เอกสารสำคัญถัดไปนั้นจะได้รับจากผู้ใช้ที่รับผิดชอบของกองทุน crypto หลังจากได้รับการยืนยันจากพวกเขาว่าได้รับเอกสารสำคัญถัดไปแล้วเท่านั้น

เอกสารสำคัญที่ไม่ได้ใช้หรือปิดใช้งานจะต้องส่งคืนให้กับผู้ใช้กองทุน crypto ที่รับผิดชอบ หรือต้องถูกทำลายในสถานที่ตามคำสั่งของเขา

การทำลายคีย์ crypto ( ข้อมูลสำคัญเบื้องต้น) สามารถทำได้โดยการทำลายสื่อหลักที่สื่อนั้นอยู่ทางกายภาพ หรือโดยการลบ ( การทำลาย) คีย์การเข้ารหัสลับ ( ข้อมูลสำคัญเบื้องต้น) โดยไม่ทำลายสื่อสำคัญ ( เพื่อให้แน่ใจว่าสามารถนำกลับมาใช้ใหม่ได้).

คริปโตคีย์ ( ข้อมูลสำคัญเบื้องต้น) ได้รับการล้างโดยใช้เทคโนโลยีที่นำมาใช้กับสื่อคีย์ที่นำกลับมาใช้ใหม่ได้ที่สอดคล้องกัน ( ฟลอปปีดิสก์ คอมแพคดิสก์ (ซีดีรอม) คีย์ข้อมูล สมาร์ทการ์ด หน่วยความจำแบบสัมผัส ฯลฯ- การดำเนินการโดยตรงเพื่อลบคีย์ crypto ( ข้อมูลสำคัญเบื้องต้น) เช่นเดียวกับข้อจำกัดที่เป็นไปได้ในการใช้งานสื่อคีย์ที่นำกลับมาใช้ใหม่ที่เกี่ยวข้องเพิ่มเติมนั้นได้รับการควบคุมโดยเอกสารการปฏิบัติงานและทางเทคนิคสำหรับ CIPF ที่เกี่ยวข้อง เช่นเดียวกับคำแนะนำจากองค์กรที่บันทึกคีย์ crypto ( ข้อมูลสำคัญเบื้องต้น).

สื่อหลักจะถูกทำลายโดยการก่อให้เกิดความเสียหายทางกายภาพที่ไม่อาจซ่อมแซมได้ ยกเว้นความเป็นไปได้ในการใช้งาน เช่นเดียวกับการกู้คืนข้อมูลสำคัญ การดำเนินการโดยตรงเพื่อทำลายสื่อคีย์ประเภทใดประเภทหนึ่งนั้นได้รับการควบคุมโดยเอกสารการปฏิบัติงานและทางเทคนิคสำหรับ CIPF ที่เกี่ยวข้อง รวมถึงคำแนะนำจากองค์กรที่บันทึกคีย์เข้ารหัสลับ ( ข้อมูลสำคัญเบื้องต้น).

กระดาษและสื่อหลักที่ติดไฟได้อื่นๆ จะถูกทำลายโดยการเผาหรือใช้เครื่องตัดกระดาษ

เอกสารสำคัญจะถูกทำลายภายในระยะเวลาที่ระบุไว้ในเอกสารการปฏิบัติงานและทางเทคนิคสำหรับ CIPF ที่เกี่ยวข้อง ข้อเท็จจริงของการทำลายล้างจะถูกบันทึกไว้ในวารสารสำเนาทีละอินสแตนซ์ที่เกี่ยวข้อง

การทำลายล้างตามการกระทำนั้นดำเนินการโดยคณะกรรมการซึ่งประกอบด้วยคนอย่างน้อยสองคน พระราชบัญญัติระบุถึงสิ่งที่ถูกทำลายและปริมาณเท่าใด ในตอนท้ายของการกระทำ จะมีการสร้างบันทึกขั้นสุดท้าย (เป็นตัวเลขและคำพูด) เกี่ยวกับจำนวนรายการและสำเนาของเอกสารสำคัญที่ถูกทำลาย การติดตั้งสื่อ CIPF เอกสารการปฏิบัติงานและทางเทคนิค การแก้ไขในข้อความของการกระทำจะต้องได้รับความเห็นชอบและรับรองโดยลายเซ็นของสมาชิกคณะกรรมาธิการทุกคนที่มีส่วนร่วมในการทำลาย เกี่ยวกับการทำลายที่เกิดขึ้นจะมีการจดบันทึกไว้ในวารสารที่เหมาะสมสำหรับบันทึกแต่ละรายการ

Cryptokey ที่ต้องสงสัยว่าถูกบุกรุก รวมถึง Cryptokey อื่นๆ ที่ทำงานร่วมกันจะต้องถูกเลิกใช้งานทันที เว้นแต่จะระบุขั้นตอนอื่นไว้ในเอกสารการปฏิบัติงานและทางเทคนิคของ CIPF ในกรณีฉุกเฉิน เมื่อไม่มีคีย์เข้ารหัสลับมาแทนที่คีย์เข้ารหัสที่ถูกบุกรุก จะได้รับอนุญาตตามการตัดสินใจของผู้ใช้กองทุนเข้ารหัสลับที่รับผิดชอบ ซึ่งตกลงกับผู้ให้บริการ ให้ใช้คีย์เข้ารหัสลับที่ถูกบุกรุก ในกรณีนี้ ระยะเวลาการใช้คีย์เข้ารหัสลับที่ถูกบุกรุกควรสั้นที่สุดเท่าที่จะเป็นไปได้ และข้อมูลที่ได้รับการป้องกันควรมีคุณค่ามากที่สุด

เกี่ยวกับการละเมิดที่อาจนำไปสู่การประนีประนอมของ cryptokeys ส่วนประกอบหรือการส่งผ่าน ( เก็บไว้) เมื่อใช้ข้อมูล ผู้ใช้กองทุน crypto จะต้องแจ้งให้ผู้ใช้ที่รับผิดชอบกองทุน crypto ทราบ

การตรวจสอบสื่อคีย์ที่นำมาใช้ซ้ำโดยบุคคลที่ไม่ได้รับอนุญาตไม่ควรถือเป็นข้อสงสัยว่าจะมีการประนีประนอมกับคีย์เข้ารหัสลับ หากไม่รวมถึงความเป็นไปได้ของการคัดลอก ( การอ่านการสืบพันธุ์).

ในกรณีที่มีการขาดแคลน การไม่นำเสนอเอกสารสำคัญ รวมถึงความไม่แน่นอนของที่ตั้ง ผู้ใช้ที่รับผิดชอบจะใช้มาตรการเร่งด่วนเพื่อค้นหาเอกสารเหล่านั้นและแปลผลที่ตามมาของเอกสารสำคัญที่ถูกประนีประนอม

1. ขั้นตอนการจัดการระบบคีย์

การลงทะเบียนบุคคลที่มีสิทธิ์ในการจัดการคีย์นั้นดำเนินการตามเอกสารการปฏิบัติงานของ CIPF

การจัดการคีย์คือกระบวนการข้อมูลที่มีองค์ประกอบสามประการ:

— การสร้างคีย์

- การสะสมกุญแจ

- การแจกกุญแจ

ระบบข้อมูลองค์กรใช้วิธีการฮาร์ดแวร์และซอฟต์แวร์พิเศษในการสร้างคีย์สุ่ม ตามกฎแล้ว จะใช้เซ็นเซอร์ตัวเลขสุ่มหลอก ( ไกลออกไป - ปชช ) โดยมีระดับความสุ่มค่อนข้างสูงในการสร้าง ตัวสร้างคีย์ซอฟต์แวร์ที่คำนวณ PFR เป็นฟังก์ชันที่ซับซ้อนของเวลาปัจจุบันและ ( หรือ) หมายเลขที่ผู้ใช้ป้อน

การสะสมคีย์หมายถึงการจัดระเบียบการจัดเก็บ การบัญชี และการถอดออก

คีย์ส่วนตัวจะต้องไม่เขียนอย่างชัดเจนบนสื่อที่สามารถอ่านหรือคัดลอกได้

ข้อมูลทั้งหมดเกี่ยวกับคีย์ที่ใช้จะต้องถูกจัดเก็บในรูปแบบที่เข้ารหัส คีย์ที่เข้ารหัสข้อมูลคีย์เรียกว่าคีย์หลัก ผู้ใช้แต่ละคนจะต้องรู้มาสเตอร์คีย์ด้วยใจ ห้ามเก็บไว้ในสื่อที่จับต้องได้

เพื่อความมั่นใจในความปลอดภัยของข้อมูล จำเป็นต้องอัปเดตข้อมูลสำคัญในระบบสารสนเทศเป็นระยะ ในกรณีนี้ ทั้งคีย์ปกติและคีย์หลักจะถูกกำหนดใหม่

เมื่อแจกจ่ายกุญแจ ต้องปฏิบัติตามข้อกำหนดต่อไปนี้:

— ประสิทธิภาพและความถูกต้องแม่นยำในการกระจายสินค้า

— ความลับของการกระจายคีย์

อีกทางเลือกหนึ่งคือให้ผู้ใช้สองคนขอรับคีย์ที่ใช้ร่วมกันจากหน่วยงานกลาง นั่นคือ Key Distribution Center (KDC) ซึ่งพวกเขาสามารถสื่อสารได้อย่างปลอดภัย เพื่อจัดระเบียบการแลกเปลี่ยนข้อมูลระหว่าง CRC และผู้ใช้ ส่วนหลังจะได้รับการจัดสรรคีย์พิเศษระหว่างการลงทะเบียน ซึ่งจะเข้ารหัสข้อความที่ส่งระหว่างกัน ผู้ใช้แต่ละคนจะได้รับการจัดสรรคีย์แยกต่างหาก

การจัดการคีย์ตามระบบคีย์สาธารณะ

ก่อนที่จะใช้ระบบเข้ารหัสคีย์สาธารณะเพื่อแลกเปลี่ยนคีย์ส่วนตัวปกติ ผู้ใช้จะต้องแลกเปลี่ยนคีย์สาธารณะของตนก่อน

คีย์สาธารณะสามารถจัดการผ่านบริการไดเร็กทอรีออนไลน์หรือออฟไลน์ หรือผู้ใช้สามารถแลกเปลี่ยนคีย์ได้โดยตรง

1. การติดตามและควบคุมการใช้ CIPF

เพื่อเพิ่มระดับความปลอดภัยเมื่อใช้งาน CIPF ควรใช้ขั้นตอนการตรวจสอบในระบบที่บันทึกเหตุการณ์สำคัญทั้งหมดที่เกิดขึ้นระหว่างการแลกเปลี่ยนข้อความอิเล็กทรอนิกส์และเหตุการณ์ความปลอดภัยของข้อมูลทั้งหมด คำอธิบายและรายการขั้นตอนเหล่านี้จะต้องจัดทำขึ้นในเอกสารการปฏิบัติงานของ CIPF

การควบคุมการใช้การปกป้องข้อมูลการเข้ารหัสช่วยให้:

• การตรวจสอบการปฏิบัติตามข้อกำหนดของการตั้งค่าและการกำหนดค่าเครื่องมือรักษาความปลอดภัยข้อมูล ตลอดจนฮาร์ดแวร์และซอฟต์แวร์ที่อาจส่งผลต่อการปฏิบัติตามข้อกำหนดสำหรับเครื่องมือรักษาความปลอดภัยข้อมูล เอกสารด้านกฎระเบียบและทางเทคนิค
• ติดตามการปฏิบัติตามกฎสำหรับการจัดเก็บข้อมูลการเข้าถึงแบบ จำกัด ที่ใช้ในการดำเนินการเครื่องมือรักษาความปลอดภัยข้อมูล ( โดยเฉพาะข้อมูลคีย์ รหัสผ่าน และข้อมูลการตรวจสอบสิทธิ์);
• การควบคุมความเป็นไปได้ในการเข้าถึงบุคคลที่ไม่ได้รับอนุญาตในวิธีการรักษาความปลอดภัยข้อมูลตลอดจนฮาร์ดแวร์และซอฟต์แวร์ที่อาจส่งผลต่อการปฏิบัติตามข้อกำหนดสำหรับวิธีการรักษาความปลอดภัยข้อมูล
• ติดตามการปฏิบัติตามกฎเกณฑ์ในการตอบสนองต่อเหตุการณ์ข้อมูล ( เกี่ยวกับข้อเท็จจริงของการสูญหาย การประนีประนอมของข้อมูลคีย์ รหัสผ่าน และการรับรองความถูกต้อง ตลอดจนข้อมูลอื่นใดที่มีการเข้าถึงอย่างจำกัด);
• การควบคุมการปฏิบัติตามข้อกำหนดของเครื่องมือฮาร์ดแวร์และซอฟต์แวร์ของ CIPF และเอกสารประกอบสำหรับเครื่องมือเหล่านี้พร้อมตัวอย่างอ้างอิง ( การรับประกันหรือกลไกการควบคุมของซัพพลายเออร์ที่ช่วยให้คุณสามารถสร้างการปฏิบัติตามดังกล่าวได้อย่างอิสระ);
• การตรวจสอบความสมบูรณ์ของฮาร์ดแวร์และซอฟต์แวร์ของ CIPF และเอกสารประกอบสำหรับเครื่องมือเหล่านี้ระหว่างการจัดเก็บและการทดสอบการใช้งานเครื่องมือเหล่านี้ ( การใช้กลไกการควบคุมทั้งสองที่อธิบายไว้ในเอกสารประกอบสำหรับ CIPF และการใช้องค์กร).

ดาวน์โหลดไฟล์ ZIP (43052)

หากเอกสารมีประโยชน์ โปรดกดไลค์: