Компьютерная безопасность

Основу обеспечения информационной безопасности в информационно-телекоммуникационных системах составляют криптографические методы и средства защиты информации. Следует учесть, что наиболее надежную защиту можно обеспечить только с помощью комплексного подхода, то есть решение задачи должно представлять собой совокупность организационно-технических и криптографических мероприятий.
В основе криптографических методов лежит понятие криптографического преобразования информации, производимого по определенным математическим законам, с целью исключить доступ к данной информации посторонних пользователей, а также с целью обеспечения невозможности бесконтрольного изменения информации со стороны тех же самых лиц.
Применение криптографических методов защиты обеспечивает решение основных задач информационной безопасности. Этого можно добиться путем реализации следующих криптографических методов защиты как пользовательской и служебной информации, так и информационных ресурсов в целом:
• шифрование всего информационного трафика, передающегося через открытые сети передачи данных, и отдельных сообщений;
• криптографическая аутентификация устанавливающих связь разноуровневых объектов (имеются в виду уровни модели взаимодействия открытых систем);
• защита несущего данные трафика средствами имитозащиты (защиты от навязывания ложных сообщений) и электронно-цифровой подписи с целью обеспечения целостности и достоверности передаваемой информации;
• шифрование данных, представленных в виде файлов либо хранящихся в базе данных;
• контроль целостности программного обеспечения путем применения криптографически стойких контрольных сумм;
• применение электронно-цифровой подписи для обеспечения юридической значимости платежных документов; применение затемняющей цифровой подписи для обеспечения неотслеживаемости действий клиента в платежных системах, основанных на понятии электронных денег.
При реализации большинства из приведенных методов криптографической защиты возникает необходимость обмена некоторой информацией. Например, аутентификация объектов ИТС сопровождается обменом идентифицирующей и аутентифицирующей информации.
В общем случае взаимодействие объектов (субъектов) подобных систем всегда сопровождается соблюдением некоторых договоренностей, называемых протоколом. Формально протоколом будем считать последовательность действий объектов (субъектов) для достижения определенной цели. Она в данном случае определяет структуру и специфику применения протокола.
В свою очередь, криптографическими протоколами будем называть те, в которых участники для достижения определенной цели используют криптографические преобразования информации.
Перечислим основные задачи обеспечения информационной безопасности, которые решаются с помощью криптографических протоколов:
• обмен ключевой информации с последующей установкой защищенного обмена данными. При этом не существует никаких предположений, общались ли предварительно между собой стороны, обменивающиеся ключами (например, без использования криптографических протоколов невозможно было создать системы распределения ключевой информации в распределенных сетях передачи данных);
• аутентификация сторон, устанавливающих связь;
• авторизация пользователей при'доступе к телекоммуникационным и информационным службам.
На сегодняшний день благодаря повсеместному применению открытых сетей передачи данных, таких как Internet, и построенных на их основе сетей intranet и extranet криптографические протоколы находят все более широкое применение для решения разнообразного круга задач и обеспечения постоянно расширяющихся услуг, предоставляемых пользователям таких сетей.
Кроме вышеперечисленных классических областей применения протоколов существует широкий круг специфических задач, также решаемых с помощью соответствующих криптографических протоколов. Это прежде всего раскрытие части сведений без обнародования самого секрета в его подлинном объеме, а также частичное раскрытие секрета. Так, например, участники могут для достижения какой-то общей цели сообщить друг другу часть своей информации или объединить усилия для раскрытия секрета, неизвестного каждому из них в отдельности.
Стремительное развитие криптографических протоколов в большей степени стимулируется развитием систем электронных платежей, интеллектуальных карточек, появлением электронных денег и т.д. По зарубежным оценкам, темпы развития электронной коммерции постоянно ускоряются. Например, судя по прогнозам, количество компаний, занимающихся этим видом коммерции во всем мире, вырастет с 111 тысяч в 1996 году до 435 тысяч в 2000 году. При этом суммарный объем продаж через Internet увеличится с 9,5 до 196 млрд долларов.
Что касается розничных продаж через Internet, то они, по тем лее оценкам, с 500 млн долларов в 1996 году вырастут до 7 млрд в 2000 году. При этом более половины покупок будет оплачено с помощью новых средств платежей - электронных денег. Таким образом, прогнозируется не только увеличение числа компаний, занимающихся бизнесом в сети, и их общего оборота, но и резкое возрастание среднего дохода, приходящегося на одну такую компанию. Поскольку на сегодняшний день основным криптографическим средством защиты информации в Internet являются протоколы, можно констатировать, что развитие подобных средств защиты коммерческих тайн будет продолжаться и в количественном, и в качественном отношении.
Многогранность применения криптографических протоколов в решении задачи обеспечения информационной безопасности как в локальных информационных системах, так и в распределенных информационных системах приводит к необходимости детального рассмотрения их основных типов, вопросов практического применения таких протоколов и построения на их основе специальных информационных систем.
. Учитывая, что основой любого криптопротокола являются так называемые криптоалгоритмы, в рамках данной книги рассматриваются вопросы построения и практического применения основных типов подобных механизмов. Кроме хорошо известных и повсеместно используемых зарубежных криптоалгоритмов, здесь уделяется достаточное внимание отечественным разработкам в области информационной безопасности и стандартов на криптоалгоритмы.