Криптография с публичным ключом и электронная цифровая подпись

Защита информации особенно актуальна в электронном бизнесе. Здесь возникают проблемы не только защиты данных при передаче по каналам связи от перехвата, подделки или уничтожения, но и задачи аутентификации деловых партнеров, подтверждения подлинности передаваемых документов, а также их юридической силы. Криптография является надежным способом решения перечисленных задач.

Криптография (от греческого kripto – тайна) представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать зашифрованные данные бесполезными для злоумышленника. Шифрование (необходимо отличать от кодирования) – это многократное однотипное математическое преобразование текста по определенному алгоритму с помощью ключа шифрования. Ключ шифрования – это конкретное состояние алгоритма из множества возможных состояний. В качестве алгоритмов используют замены, перестановки или их сочетание, осуществляемые по определенным законам. Например, в качестве алгоритма можно выбрать матрицу размерностью M x N. Исходный текст записывается по строкам, а зашифрованный считывается по столбцам. Здесь ключом шифрования будет размерность матрицы.

Существует два метода шифрования – симметричный и асимметричный или метод шифрования с публичным ключом. Последний метод и позволяет решить задачи обеспечения конфиденциальности, целостности передаваемого документа и аутентификации лица, передавшего документ.

При симметричном методе шифрование и расшифровка документа осуществляется одним ключом, сгенерированным по заданному алгоритму специальным генератором (программой). Одним из существенных недостатков этого метода является трудность в передаче ключа. Однако, в современных информационных системах этот метод широко используется совместно со специальными методами передачи ключей для канального (поточного) шифрования данных, передаваемых в сети Интернет. Для этих целей используются сеансовые ключи, которые действуют непродолжительное время, что делает бесполезным их определение для злоумышленника даже в случае перехвата зашифрованного сообщения. В России алгоритм симметричного шифрования утвержден государственным стандартом ГОСТ 28147 – 89.

Метод несимметричного шифрования является основой коммерческой криптографии. В этом методе специальной программой генерируется два ключа – публичный (открытый для всех пользователей информационной системы) и закрытый ключ, хранящийся в секрете у пользователя, сгенерировавшего эти ключи. Математической основой метода шифрования с публичным ключом служит утверждение о том, что в настоящее время отсутствуют математические доказательства какого-либо способа нахождения сомножителей двух простых чисел по известному их произведению. Впервые это было показано американскими математиками Райвестом, Шамилем и Адельманом. Поэтому в их честь один из алгоритмов шифрования называется RSA.

В России для асимметричного шифрования используется алгоритм, усложненный по отношению к алгоритму RSA и утвержденный государственным стандартом ГОСТ Р3410 –10.

Электронная цифровая подпись. В традиционном бумажном документообороте авторство документа и его подлинность (аутентификация) подтверждаются рукописной подписью и печатью, поскольку текст документа и удостоверяющие реквизиты жестко связаны с материальным носителем. В электронных документах такой связи нет.

Поэтому для установления подлинности автора электронного документа и отсутствия изменений, в полученном по каналу связи документе, используется электронная цифровая подпись (ЭЦП). Согласно Закона РФ «Об электронной цифровой подписи» от 10.01.02 ¾ электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и, позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Электронная цифровая подпись признается равнозначной собственноручной подписи на бумажном носителе.

ЭЦП выполняет следующие функции:

· удостоверяет, что подписанный текст исходит от лица, поставившего подпись;

· не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным текстом;

· гарантирует целостность (неизменность) подписанного документа.

ЭЦП представляет собой несколько буквенно-цифровых символов, передаваемых вместе с электронным документом.

Технология получения и проверки ЭЦП включает в себя следующие процедуры:

1) процедуру вычисления дайджеста (хэш – функции) сообщения;

2) процедуру зашифрования дайджеста закрытым ключом отправителя;

3) процедуру вычисления дайджеста сообщения (хэш – функции) получателем;

4) проверку полученного дайджеста, путем расшифрования его открытым ключом;

 

5) сравнение вычисленного получателем дайджеста с полученным в результате расшифрования (верификация).

«Сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и, которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи» (Закон РФ «Об электронной цифровой подписи»). Таким образом, на основании закона, сертификация ключей будет производиться специальными удостоверяющими центрами, которые будут являться посредниками между пользователями информационных систем, использующими ЭЦП. Главная роль удостоверяющего центра заключается в подтверждении факта (в случае возникновения спорной ситуации), что данный ключ подписи принадлежит именно тому лицу, которое отправило ключ в сертификационный центр.

При использовании ЭЦП в деловом обороте необходимо помнить, что юридическая сила электронного документа признается лишь при использовании сертифицированных специальными лабораториями (здесь сертификация понимается как соответствие утвержденным стандартам) программно – технических средств для генерации ключей.

Технология использования ЭЦП является надежным средством обеспечения безопасности при ведении электронного бизнеса.

Правовая защита информации

Среди различных методов защиты информации, особая роль отводится правовой защите. При всех своих возможностях и обязательности использования, физические и программно-технические способы защиты не смогут обеспечить безопасность информационных систем, если отсутствует адекватная правовая база, регламентирующая деятельность в информационной сфере. Под адекватной правовой базой понимается совокупность правовых норм, содержащихся в законах и других источниках, признаваемых государством, и являющихся общеобязательным критерием дозволенного, предписанного и запрещенного поведения пользователей информационных технологий. Нарушение норм влечет юридическую ответственность: дисциплинарную, гражданскую, административную и уголовную.

К настоящему времени насчитывается свыше 1000 нормативных актов различного уровня, регулирующих правоотношения в области создания, распространения, обработки, хранения и использования информации и правоотношения в области создания и эксплуатации информационных систем.

Виды защищаемой информации. Статья 21 Закона РФ "Об информации, информатизации и защите информации" определяет, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Однако требования к системам защиты и нормы ответственности зависят от категории защищаемой информации. Закон подразделяет информацию по уровню доступа на следующие категории: общедоступная, открытая информация, информация о гражданах (персональные данные) и конфиденциальная информация. Конфиденциальная информация ¾ документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. В свою очередь, документированная информация с ограниченным доступом по условиям её защиты подразделяется на информацию, отнесённую к государственной тайне и конфиденциальную. К конфиденциальной информации относятся сведения, определяемые общим понятием ¾ тайна. В действующих сегодня законах встречается 32 вида тайн. Это обстоятельство затрудняет применение норм права и вызывает противоречия при их применении. С целью упорядочения, сделана попытка, систематизировать перечень сведений, отнесённых к разряду конфиденциальных, подзаконным актом ¾ Указом Президента РФ №188 от 6.03.97 г.

Ррежим защиты различается в зависимости от категории информации по уровню доступа к ней. Так, в отношении сведений, отнесенных к государственной тайне, режим защиты устанавливается уполномоченными органами на основании Закона РФ «О государственной тайне». В отношении конфиденциальной документированной информации режим защиты устанавливается собственником этой информации на основании соответствующих законов. Так, согласно ст.139 Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам. Здесь же определено, что обладатель коммерческой тайны должен сам предпринимать меры к её сохранности. Поэтому, с точки зрения обладателя коммерческой тайны, необходимо обеспечить защиту как документированной, так и недокументированной информации.

Законом предусмотрена юридическая ответственность (дисциплинарная, административная и уголовная) в случае нарушения порядка использования информации и информационных технологий, незаконный сбор и разглашение коммерческой тайны, нарушение системы защиты.

Так, Трудовой Кодекс РФ согласно ст. 81 п. в) предусматривает расторжение трудового договора по инициативе работодателя в случае разглашения работником охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.

Согласно Статье 13.14 Кодекса РФ об административных правонарушениях, разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц ¾ от сорока до пятидесяти минимальных размеров оплаты труда.

В случае, если разглашение коммерческой или банковской тайны причинило ее обладателю крупный материальный ущерб, согласно ст. 183 Уголовного Кодекса РФ к лицу, виновному в совершении преступления, могут быть применены наказания от штрафа до двухсот минимальных зарплат и даже лишения свободы на срок до десяти лет.

Особенности защиты сведений, составляющих коммерческую тайну. По неофициальным оценкам сотрудников ФСБ России практически каждая крупная отечественная фирма крадет информацию у своих конкурентов и одновременно страдает от аналогичных действий с их стороны. Поэтому предприниматели должны обращать особое внимание на защиту коммерческой тайны. Прежде всего, необходимо определить какая информация требует защиты, выяснить возможные внешние и внутренние угрозы безопасности и разработать соответствующую угрозам систему защиты.

К информации, имеющей коммерческую значимость, относят сведения о количестве выпускаемой продукции и объемах продаж, сведения о поставщиках и производителях, продавцах и дилерах, договорах и клиентах. Планы фирмы, предельные цены, себестоимость продукции, имена и адреса сотрудников, маркетинговые и аналитические исследования. Финансовое состояние фирмы, размеры оплаты труда, денежный наличный оборот, особенно каналы движения денежной массы.

Для обеспечения режима коммерческой тайны весьма важными являются организационно-правовые меры. При приеме на работу, с будущими сотрудниками проводится соответствующий инструктаж, а в контракте (заявлении о приеме на работу) должны быть предусмотрены соответствующие пункты о неразглашении конфиденциальных сведений.

Прежде всего, должен быть организован конфиденциальный документооборот. Каждый документ, содержащий сведения, отнесенные к коммерческой тайне должен иметь соответствующий гриф (конфиденциально, КТ и т.п.). Гриф «секретно» используется только для документов, содержащих сведения, относимые к государственной тайне. Должен быть определен круг лиц, которые имеют доступ к соответствующим документам и базам данных, разработаны правила разграничения доступа в информационную систему, порядок хранения, учета и уничтожения материальных носителей, заведен журнал учета движения конфиденциальных документов.

 

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Аллен, Р. Коэн. Курс MBA по менеджменту [Текст]. Серия: Portable MBA. – Ответы на вопросы лидерства, опти мизации структуры организации, стратегии ведения переговоров, управления. – М.: - Альпина Бизнес Букс, - 2004. – 508 с.

2. Баронов, В.В. Информационные технологии и управление предприятием [Текст] / В.В. Баронов, Г.Н. Каля- нов, Ю.Н. Попов. – М.: - Компания АйТи, - 2004. – 328 с.

4. ГОСТ 34.601–90 Информационная технология. Ком- плекс стандартов на автоматизированные системы. Стадии создания [Текст]. – М.: - Изд-во стандартов, - 1991.

5. ГОСТ Р ИСО/МЭК 12207–99 Информационная тех- нология. Процессы жизненного цикла программных средств [Текст]. – М.: - Изд-во стандартов, - 2003.

6. Гринберг, А.С. Информационный менеджмент [Текст]: Учеб. пособие. – М.: - ЮНИТИ, - 2003. – 415 с.

7. Гринберг, А.С. Информационные технологии управления [Текст]: Учеб. пособие для вузов. – М.: - ЮНИТИ- ДАНА, - 2004. – 479 с.

8. Гришин, В.Н. Информационные технологии в профессиональной деятельности [Текст]: Учебник. – М.: - Форум: ИНФРА-М, - 2005. – 416 с.