Электронная подпись. Защита информации
Хошимова Чарос Саидаминовна, ассистент
Ташкентский государственный технический университет имени Ислама Каримова (Узбекистан)
В статье рассматривается вопрос об электронной цифровой подписи, криптостойкости, о целях защиты информации.
Ключевые слова: электронная, цифровая, подпись, криптостойкость, защита.
Достоверность документа может быть установлена на основе двух процедур, определяющих его: аутентичность — целостность документа, идентификацию — авторство документа. Для бумажного документа аутентичность и идентификация обеспечивается неразрывно за счет экспертизы подписи и печати ввиду неразрывности документа с бумажным носителем. Для электронных документов данная проверка обеспечивается механизмом электронной подписи.
Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
– сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
– подтверждена подлинность электронной цифровой подписи в электронном документе;
– электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Владелец сертификата ключа подписи — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).
Средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
Сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
Закрытый ключ электронной цифровой подписи — уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;
Открытый ключ электронной цифровой подписи — уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
Сертификат ключа подписи — документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
Подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
Пользователь сертификата ключа подписи — физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи.
Симметричный ключ — кодирование и раскодирование документа производится одинаково. Этим ключом владеет определенная группа людей, доверяющих друг другу и несущих единую, равную ответственность за сохранность ключа.
Несимметричный ключ — данные шифруются одним ключом, а расшифровываются другим. Клиент обладает ключом для расшифровки. Головная организация имеет два ключа. Каждый клиент имеет свой ключ.
Криптостойкость средств электронно-цифровой подписи.
Симметрии |
Несимметрии |
Время (скорость) |
56 |
384 |
1–2 сек. |
128 |
2304 |
30 сек. |
1024 |
10000 |
10 мин. |
2048 |
30000 |
сутки |
4096 |
100000 |
не вскрывается |
Продолжительность реконструкции (подбора или взлома) ключа определяется производительностью компьютера и длиной ключа.
ЗАЩИТА ИНФОРМАЦИИ
Целями защиты информации являются:
– предотвращение утечки, хищения, утраты, искажения, подделки информации;
– предотвращение угроз безопасности личности, общества, государства;
– предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
– защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
– сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
– обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Обеспечение достаточной защиты информации.
Никакие средства шифрования не могут быть абсолютными.
Сообщения являются достаточно зашифрованы и защищены, если затраты на его раскрытие превышает цену информации.
Если сегодня защита достаточна, это не значит, что она будет достаточна завтра.
Виды нарушений сетевой безопасности: удаленное администрирование, угроза активного содержания, обладающего разрушающими свойствами, перехват и подмена данных, угроза вмешательства в личную жизнь.
Компьютерным вирусом принято называть специальную программу, способную самопроизвольно присоединяться к другим программам (т. е. «заражать» их) и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов, искажение результатов вычислений, засорение или стирание памяти и т. п.
Рубежи защиты информации от компьютерных вирусов: предотвращение поступления; предотвращения вирусной атаки; предотвращение последствий вируса.
Методы защиты: программные, аппаратные, организационные.
Под программным способом защиты данных и программного обеспечения понимается разработка специального программного обеспечения, которое не позволяло бы постороннему человеку, не знакомому с этим видом защиты, получать информацию из системы. Таким видом защиты может служить система различных паролей. Примеры программных методов защиты информации: создание образа жесткого диска; регулярное сканирование и поиск компьютерных вирусов; контроль размеров основных файлов; контроль обращения к жесткому диску. Под криптографическим способом защиты данных подразумевается предварительная их зашифровка до ввода в компьютер. Для борьбы с вирусами создаются специальные антивирусные программы, которые позволяют выявить вирусы и очищать от них вычислительную систему.
Под аппаратной или технической защитой информации (данных и программного обеспечения) понимаются различные аппаратные способы защиты информации, например, экранирование помещений, в которых установлены компьютеры или дисплей, установка различных генераторов шумов. Однако следует заметить, что только техническим способом защитить информацию от несанкционированного доступа практически невозможно.
Основой организационных методов защиты информации является ее правовая защита, как комплекс административно-правовых или уголовно-правовых норм, устанавливающих ответственность за несанкционированное использование данных или программных средств.
Этикет переписки, как пример организационной защиты:
– для пересылки сообщения необходимо заполнение всех полей, в том числе и поля Тема,
– сообщение должно быть кратким,
– при электронной переписки нельзя требовать иных встреч или связи,
– сроки ответа на сообщение — 24 часа. Если полный ответ не может быть дан, то надо кратко об этом уведомить,
– при служебной переписки сообщения повторно посылаются не более двух раз в течение недели,
– почтовые вложения осуществляются с личного согласия тех, кто получает,
– все не затребованные вложения требует удалять без предупреждения, как бы партнер не был надежен,
– допустимым является вложение до 100 килобайт.
В практике обычно используются комбинированные способы защиты информации от несанкционированного доступа.
Литература:
- Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 года № 1-ФЗ
- Электронная подпись и шифрование // МО ПНИЭИ