Міжнародні стандарти в сфері КЗІ

 

Міжнародна стандартизація - стандартизація, участь у якій відкрита для відповідних органів усіх країн. Під стандартизацією розуміється діяльність, спрямована на досягнення упорядкування в певній галузі шляхом встановлення положень для загального і багаторазового застосування щодо реально існуючих і потенційних завдань. Ця діяльність виявляється у розробці, опублікуванні та застосування стандартів. Міжнародний стандарт - стандарт, прийнятий міжнародною організацією. Стандартом називається документ, в якому встановлюються характеристики продукції, експлуатації, зберігання, перевезення, реалізації та утилізації, виконання робіт або надання послуг. Стандарт також може містити вимоги до термінології, символіку, пакування, маркування або етикеток і правилам їх нанесення. На практиці під міжнародними стандартами часто мають на увазі також регіональні стандарти і стандарти, розроблені науково-технічними товариствами та прийняті в якості норм різними країнами світу. Окрім міжнародної стандартизації є також регіональна та стандартизація наукового товариства.

Регіональна стандартизація - стандартизація, участь у якій відкрита для відповідних органів країн лише одного географічного або економічного регіону світу. Регіональний стандарт - стандарт, прийнятий регіональною організацією зі стандартизації.

Стандарт науково-технічного, інженерного товариства - стандарт, прийнятий науково-технічним, інженерним суспільством або іншим громадським об'єднанням[29].

Основне призначення міжнародних стандартів - це створення на міжнародному рівні єдиної методичної основи для розробки нових і вдосконалення діючих систем якості та їх сертифікації. Науково-технічне співробітництво в галузі стандартизації спрямовано на гармонізацію національної системи стандартизації з міжнародною, регіональними та прогресивними національними системами стандартизації.

У розвитку міжнародної стандартизації зацікавлені як індустріально розвинені країни, так і країни, що розвиваються і створюють власну національну економіку.

Цілі міжнародної стандартизації:

зближення рівня якості продукції, що виготовляється в різних країнах;

забезпечення взаємозамінності елементів складної продукції;

сприяння міжнародній торгівлі;

сприяння взаємному обміну науково-технічною інформацією та прискорення науково-технічного прогресу.

Основними завданнями стандартизації є:

встановлення вимог до технічного рівня і якості продукції, сировини, матеріалів, напівфабрикатів і комплектуючих виробів, а також норм, вимог і методів у галузі проектування і виробництва продукції, що дозволяють прискорювати впровадження прогресивних методів виробництва продукції високої якості і ліквідувати нераціональне різноманіття видів, марок і розмірів;

розвиток уніфікації і агрегатування промислової продукції як найважливішої умови спеціалізації виробництва;

комплексної механізації та автоматизації виробничих процесів, підвищення рівня взаємозамінності, ефективності експлуатації і ремонту виробів;

забезпечення єдності та достовірності вимірювань в країні, створення і вдосконалення державних еталонів одиниць фізичних величин, також методів і засобів вимірювань вищої точності;

розробка уніфікованих систем документації, систем класифікації та кодування техніко-економічної інформації;

прийняття єдиних термінів і позначень у найважливіших галузях науки, техніки, галузях економіки;

формування системи стандартів безпеки праці, систем стандартів у галузі охорони природи і поліпшення використання природних ресурсів;

створення сприятливих умов для зовнішньоторговельних, культурних і науково-технічних зв'язків.

Міжнародні стандарти не мають статусу обов'язкових для всіх країн-учасниць.

Будь-яка країна світу вправі застосовувати чи не застосовувати їх. Вирішення питання про застосування міжнародного стандарту ІСО пов'язане, в основному, зі ступенем участі країни в міжнародному поділі праці і станом зовнішньої торгівлі.

Керівництво ІСО/МЕК 21:2004 передбачає пряме і непряме застосування міжнародного стандарту. Пряме застосування - це застосування міжнародного стандарту незалежно від її прийняття в будь-якому іншому нормативному документі.

Непряме застосування - застосування міжнародного стандарту за допомогою іншого нормативного документа, в якому цей стандарт був прийнятий.

Керівництво ІСО/МЕК 21 встановлює систему класифікації для прийнятих і адаптованих міжнародних стандартів:

Ідентичні (IDT): Ідентичні з технічних змістом і структурою, але можуть містити мінімальні редакційні зміни.

Змінені (MOD): Прийняті стандарти містять технічні відхилення, які ясно ідентифіковані і пояснені.

Чи не еквівалентний (NEQ): регіональний чи національний стандарт не еквівалентний міжнародним стандартам. Зміни ясно не ідентифіковано, і не встановлено чітка відповідність.

Існує ряд міжнародних організацій, що займаються міжнародною стандартизацією:

Міжнародна організація стандартизації(ISO). Міжнародна організація ISO почала функціонувати 23 лютого 1947 як добровільна, неурядова організація. Вона була заснована на основі досягнутої на нараді в Лондоні в 1946 р. угоди між представниками 25-ти індустріально розвинених країн про створення організації, що володіє повноваженнями координувати на міжнародному рівні розробку різних промислових стандартів і здійснювати процедуру прийняття їх в якості міжнародних стандартів[31].Electrotechnical Commission (Міжнародна електротехнічна комісія).

Організація IEC (МЕК), утворена в 1906 р., є добровільною неурядовою організацією. Її діяльність, в основному, пов'язана зі стандартизацією фізичних характеристик електротехнічного і електронного обладнання. Основна увага IEC приділяє таким питанням, як, наприклад, електровимірювання, тестування, утилізація, безпека електротехнічного і електронного обладнання. Членами IEC є національні організації (комітети) стандартизації технологій у відповідних галузях, що представляють інтереси своїх країн у справі міжнародної стандартизації. Мова оригіналу стандартів МЕК - англійська.Telecommunication Union (Міжнародний Союз Електрозв'язку) ITU - міжнародна міжурядова організація в галузі стандартизації електрозв'язку. Організація об'єднує більше 500 урядових і неурядових організацій. До її складу входять телефонні, телекомунікаційні та поштові міністерства, відомства та агентства різних країн, а також організації-постачальники устаткування для забезпечення телекомунікаційного сервісу. Основне завдання ITU полягає в координації розробки гармонізованих на міжнародному рівні правил і рекомендацій, призначених для побудови і використання глобальних телемереж і їх сервісів. У 1947 р. ITU отримала статус спеціалізованого агентства Організації Об'єднаних Націй (ООН).

До ряду міжнародних стандартів, прийнятих ISO/IEC відносяться:/IEC 29192-1:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 1: Загальні положення";/IEC 29192-2:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 2: Блочні шифри";/IEC 29192-3:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 3: Групові шифри";/IEC 29192-4:2012 "Інформаційні технології - Методи забезпечення безпеки - Легка криптографія - Частина 4: Механізм використання відкритого ключа в криптографії";/IEC 13157-2:2010 "Інформаційні технології - Телекомунікації та обмін інформацією між системами - NFC безпеки. Частина 2: NFC-SEC криптографічний стандарт, що використовує ECDH і AES"./IEC 11702-2:2008 "Інформаційні технології - Методи забезпечення безпеки - Управління ключами - Частина 2: Механізми, що використовують симетричні методи"./IEC 17090-1:2013 "Інформатика в охороні здоров'я - інфраструктура відкритих ключів - Частина 1: Огляд цифрових послуг сертифікатів"./IEC 10118-1:2000 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 1: Загальні відомості"./IEC 10118-2:2010 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 2: Хеш-функції з використанням n-бітним блоковим шифром"./IEC 10118-3:2004 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 3: Виділені хеш-функції"./IEC 10118-4:1998 "Інформаційні технології - Методи забезпечення безпеки - Хеш-функції - Частина 4: Хеш-функції з використанням модульної арифметики"./IEC 9797-3:2011 "Інформаційні технології - Методи забезпечення безпеки - коди перевірки автентичності повідомлень (MAC) - Частина 3: Механізми, що використовують універсальну хеш-функцію"./IEC 9797-2:2011 "Інформаційні технології - Методи забезпечення безпеки - коди перевірки автентичності повідомлень (MAC) - Частина 2: Механізми, що використовують спеціальні хеш-функції" та інші[33].

Слід зазначити, що дані стандарти включають в себе криптографічний алгоритми та шифри, що були прийняті урядами в якості національних стандартів. Так, наприклад, стандарт ISO/IEC 13157-2:2010 включає стандарт симетричного алгоритму шифрування AES, що прийнятий в якості національного стандарту американським урядом. Цей алгоритм добре проаналізований і зараз широко використовується, як це було з його попередником DES.

Національний інститут стандартів і технологій США (NIST) опублікував специфікацію AES 26 листопада 2000 р. після п'ятирічної періоду, в ході якого були створені і оцінені 15 кандидатур. 26 травня 2002 р. AES був оголошений стандартом шифрування. Станом на 2009 рік AES є одним з найпоширеніших алгоритмів симетричного шифрування. Підтримка AES (і тільки його) введена фірмою Intel в сімейство процесорів x86 починаючи з Intel Core i7-980X Extreme Edition, а потім на процесорах Sandy Bridge.

Іншим криптографічним стандартом, який широко використовується багатьма системами є 3DES(Triple DES) - симетричний блоковий шифр, створений Уітфілд Діффі, Мартіном Хеллманом і Уолтом Тачманом в 1978 році на основі алгоритму DES, з метою усунення головного недоліку останнього - малої довжини ключа (56 біт), який може бути зламаний методом повного перебору ключа. Швидкість роботи 3DES в 3 рази нижче, ніж у DES, але крипостійкість набагато вище - час, необхідний для криптоаналізу 3DES, може бути в мільярд разів більше, ніж час, потрібний для взлому DES. 3DES використовується частіше, ніж DES, який легко зламуються за допомогою сьогоднішніх технологій (в 1998 році організація Electronic Frontier Foundation, використовуючи спеціальний комп'ютер DES Cracker, розкрила DES за 3 дні). 3DES є простим способом усунення недоліків DES. Алгоритм 3DES побудований на основі DES, тому для його реалізації можливо використовувати програми, створені для DES.

Окрім алгоритмів шифрування існують стандарти хеш-функцій такі як MD5 та сімейство хеш функцій SHA. MD5 - один із серії алгоритмів з побудови дайджесту повідомлення, розроблений професором Рональдом Л. Рівестом з Массачусетського технологічного інституту. Був розроблений в 1991 році, як більш надійний варіант попереднього алгоритму MD4. Пізніше Гансом Доббертіном були знайдені недоліки алгоритму MD4. Наприкінці 2008 року US-CERT закликав розробників програмного забезпечення, власників веб-сайтів і користувачів припинити використовувати MD5 в будь-яких цілях, так як дослідження продемонстрували ненадійність цього алгоритму.

Хеш-функції SHA-2 розроблені Агентством національної безпеки США і опубліковані Національним інститутом стандартів і технологій у федеральному стандарті обробки інформації FIPS PUB 180-2 в серпні 2002 року. У цей стандарт також увійшла хеш-функція SHA-1, розроблена в 1995 році. У лютому 2004 року в FIPS PUB 180-2 була додана SHA-224. У жовтні 2008 року вийшла нова редакція стандарту - FIPS PUB 180-3. У липні 2006 року з'явився стандарт RFC 4634 "Безпечні хеш-алгоритми США (SHA і HMAC-SHA)", що описує SHA-1 і сімейство SHA-2.

Агентство національної безпеки від особи держави випустило патент на SHA-2 під ліцензією Royalty Free.

У зв’язку з бурхливим розвитком технологій зв’язку та мобільних пристроїв виникла необхідність у створенні криптосистем, що потребують малу кількість апаратних ресурсів для своєї роботи. Саме тому був затверджений ISO/IEC 29192, який являє собою стандарт на легку криптографію для застосування в обмежених середовищах.

В основі даного стандарту лежить шифр під назвою Enocoro. Enocoro досягає процесу шифрування при однієї десятої потужності, яка потрібна для поліпшеного стандарту шифрування (AES), сучасного стандарту для шифрування даних.

Він здатний забезпечити основні функції безпеки для компактного керуючого обладнання та датчиків, що використовуються в необхідній інфраструктурі при низьких витратах.

Сьогодні підвищена безпека необхідна для компактних пристроїв типу приладу для ідентифікації радіочастоти (RFID) і датчиків з бездротовими комунікаційними функціями, так як вони з'єднують все більшу кількість ПК, мобільних телефонів і персональних цифрових помічників (PDA) до Інтернету. Однак ці компактні прилади мають обмежені ресурси для обробки інформації в своїх центральних процесорах або пам'яті, тому життєво необхідна економічна за потужністю технологія, що сприяє шифруванню даних та ідентифікації приладів, а також низька ресурсна потреба для виконання цих функцій.

МЕК та ISO створили ISO/IEC 29192 як міжнародний стандарт на легку криптографію для застосування в обмежених середовищах і випустили ISO/IEC 29192, Частина 3, що стосується групових шифрів, прийнявши Enocoro в якості міжнародного еталона.

Сімейство групових шифрів Enocoro складається з двох алгоритмів, Enocoro-80, який має довжину ключа 80 біт, і Enocoro-128v2 з довжиною ключа 128 біт. Enocoro, заснований на високошвидкісному груповому шифрі MUGI, стандарт ISO/IEC, досягає свого скороченого розміру в апаратній схемі шляхом радикального скорочення кількості регістрів, необхідних для підтримки внутрішнього стану[36].

Далі, задіявши функцію перемішування структури 2-х ітерацій SPN, він здатний змішувати дані на регістрі більш ефективно, одночасно підвищуючи, тим самим, безпеку і скорочуючи споживану потужність.

Цей шифр є розширеним розвитком результатів дослідної роботи, дорученої NICT Японії в рамках проекту фінансового року 2005-2007 під назвою "Дослідження з безпечної передачі та зберігання масових даних".

Реально, якщо Enocoro-128v2 з ключем довжиною 128 біт порівняти з легким застосовуваним шифром AES-128, який пропонує такий же рівень безпеки, то в першому випадку швидкість обробки даних досягалася в 2 - 10 разів швидше, тобто шифрування даних виконувалося навіть з меншою обробкою. Далі, коли FPGA (польова програмована матриця логічних елементів) використовувалася для вимірювання споживаної потужності для шифрування одного біта, то AES вимагав 1.16 nW/s (нановат в секунду), а Enocoro - 128 v2 - 0.103 nW/s. Це підтверджує, що Enocoro-128v2 споживає приблизно одну десяту потужності іншого шифру для шифрування такої ж кількості даних.