5. Использование криптографии

5.1. Использование PGP

PGP – Pretty Good Privacy – (почти полная приватность) – это семейство программных продуктов, которые используют самые стойкие из существующих криптографических алгоритмов. В основу их положен алгоритм RSA. PGP реализует технологию, известную как "криптография с открытыми ключами". Она позволяет как обмениваться зашифрованными сообщениями и файлами по каналам открытой связи без наличия защищенного канала для обмена ключами, так и накладывать на сообщения и файлы цифровую подпись.

PGP была разработана американским программистом и гражданским активистом Филиппом Циммерманном, обеспокоенным эрозией личных прав и свобод в информационную эпоху. В 1991 г. в США существовала реальная угроза принятия закона, запрещающего использование стойких криптографических средств, не содержащих "чёрного хода", используя который, спецслужбы могли бы беспрепятственно читать зашифрованные сообщения. Тогда Циммерманн бесплатно распространил PGP в Интернет. В результате, PGP стал самым популярным криптографическим пакетом в мире (свыше 2 млн. используемых копий), а Циммерманн подвергся трёхлетнему преследованию властей по подозрению в "незаконном экспорте вооружений".

В настоящее время PGP распространяется на коммерческих началах основанной Циммерманном фирмой "PGP, Inc". Кроме того, бесплатная версия распространяется MIT. PGP в виде исполняемого кода запрещена к экспорту из США, поэтому во всем остальном мире используются "международные релизы" этой программы, которые обходят данный запрет. Самой свежей версией на сегодня является PGP 5.5. Есть версии для всех популярных платформ.

Дополнительная информация

С подробностями о PGP, её историей, биографией Циммерманна и другими относящимися к вопросу данными можно ознакомиться на сайте фирмы: http://www.pgp.com/.

Ф.Циммерман. Особенности модели безопасности и уязвимые места Глава из книги Ф.Циммермана, содержащая вводную и базовую информацию о криптографии.

5.2. Правила приобретения и эксплуатации криптосистем

Дополнительная информация к разделу 5.2.

А.Н.Лебедев, президент "ЛАН Крипто". О регулировании деятельности в области защиты информации в России Рассматриваются юридические вопросы о применении законодательства в области криптографической защиты информации и лицензирования такой деятельности. Автор пытается доказать незаконность большинства применяемых актов и даёт пути возможного обхода установленных ограничений.

5.3. Правила обращения с секретной информацией и ключами

• Очень часто люди, не надеясь на память (точнее, ленясь её напрягать), записывают пароли где-то в пределах своего рабочего места.
• Другой благоприятный с точки зрения "взлома" защиты вариант – когда неаккуратно подходят к выбору пароля. Чаще всего в качестве пароля выбирают что-то крепко сидящее в голове: имя, номер телефона или автомашины. Люди с бедной фантазией назначают паролем то, что попадается им на глаза на рабочем месте: марку монитора, название книги, номер комнаты и т.п. Перепробовать все такие варианты можно вручную, и часто это приносит результаты.
• Набираемый пароль можно не только найти на бумажке или угадать, его можно подсмотреть, подслушать, вынудить человека проговориться, наконец, вытянуть обманом или угрозами.

5.4. Простые методы преодоления защиты

Не слишком стойкая криптозащита может быть "взломана" на обычном компьютере с использованием специализированного ПО. Такое ПО можно приобрести через Интернет как бесплатно, так и за небольшие деньги.

Что касается стойких с точки зрения криптографии систем, то их, как правило, удаётся преодолевать иными методами.

Вот один из них. В один прекрасный день все абоненты некоего провайдера получают письмо якобы от системного администратора. В письме предлагается какая-то дополнительная (бесплатная, естественно!) услуга. Чтобы подписаться на неё, пользователям следует прислать письмо с указанием своего логина и пароля. Из нескольких сотен обязательно находится десяток-другой людей, мягко выражаясь, недалёких, которые отправляют данные, не обратив внимания на такие мелочи, что системному администратору вовсе нет необходимости знать пароль пользователя, и что адрес, на который они отправляют письма, вовсе не администраторский. Таким образом, злоумышленник в одночасье становится владельцем нескольких паролей. Самая меньшая неприятность, которая после этого ожидает доверчивых "чайников" – то, что их счёт у провайдера будет до дна вычерпан. А может случиться и кое-что похуже.

Другой пример "иного метода" получения пароля позаимствован из практики моего коллеги. Он был приглашён в качестве специалиста для проведения обыска. Когда дошла очередь до осмотра компьютера, специалист вступил в дело. Он включает компьютер и обнаруживает, что имеется пароль в CMOS. "Какой пароль?" – оборачивается он к хозяину помещения. "Не скажу!" – уверенно отвечает тот. Специалист пожимает плечами, открывает корпус машины и откусывает кусачками батарейку. CMOS обнуляется, пароль исчезает. "Вот ваш пароль!" – замечает специалист, кидая под ноги батарейку, и продолжает загрузку. На компьютере обнаруживается Windows-NT – система достаточно надёжная с точки зрения защиты данных. "Пароль администратора?" – снова поворачивается специалист к хозяину. "Не скажу:" – отвечает тот уже гораздо менее уверенно. "И как вам не жалко своего компьютера?" – вздыхает специалист, достаёт дрель и нацеливается на жёсткий диск. "Что вы делаете!" – восклицает хозяин, и без того удручённый столь бесцеремонным обращением со своей машиной. "Всё просто, – отвечает специалист. – Пароль в Windows-NT хранится в строго определённом месте на жёстком диске. Сейчас я просверлю этот сектор, и ваш пароль – тю-тю!", – и включает дрель. "Не надо! – сдаётся хозяин. – Скажу пароль"

Итак, еще раз напомним читателям, что самым слабым звеном в системе защиты информации является человек. Здесь и надо в первую очередь искать брешь в защите.

5.5. Непрофессиональное ПО для защиты информации

К таким программным средствам мы относим ПО, доступное (бесплатно или за небольшую цену) всем пользователям, не требующее специальной лицензии на использование и не имеющее авторитетных подтверждений своей стойкости (сертификаций).

PGP freeware

Файловые системы с разграничением доступа

Архивация с паролем

Парольная защита в MS Office

Как уже говорилось выше, криптозащита, встроенная в MS Office, не выдерживает никакой серьёзной критики. Её можно использовать лишь для защиты от "чайников". Если у вас уже используется какая-либо нормальная система ЗИ, то шифровка документов "Word" и "Excel" ничего к ней не добавит кроме неудобств, связанных с вводом пароля.

Шифрованные разделы на диске

5.6. Сертифицированные средства защиты

В данном разделе перечислены наиболее распространённые профессиональные средства ЗИ, имеющие сертификаты той или иной степени солидности.

СКЗИ "Верба"

На вегодняшний день, система криптографической защиты информации "Верба" (есть несколько видов – "Верба-О", "Верба-ОВ") – единственная сертифицированная ФАПСИ система ЗИ, доступная обычному пользователю. С одной стороны, такой солидный сертификат даёт гарантию о недоступности ваших секретов вероятному противнику. Но с другой стороны, гарантии недоступности для самого ФАПСИ никто вам не даст. Более того, в версии, предназначенной для государственных учреждений пары ключей (и открытый, и секретный) генерируются не владельцем системы, а её разработчиком! Понятно, что законопослушному гражданину скрывать от государства нечего. К тому же, "Верба" в основном решает задачу не столько защиты информации, сколько защиты хозяина этой информации от возможных претензий со стороны контролирующих органов. Поэтому СКЗИ "Верба" может быть рекомендована всем государственным организациям, имеющим дело с информацией, содержащей гостайну.

Криптон

Файловый крипто-менеджер

(Техинформконсалтинг)

"Лексикон-Верба"

Данный "гибрид" популярного текстового процессора и сертифицированного средства ЗИ обладает всеми прелестями интегрированного решения. Избавляет от многих проблем настройки и сопряжения. Поставляется в комплекте со всеми необходимыми документами для оформления сертификации.

5.7. Дополнительная информация к главе 5

Страничка про безопасность в Интернет, анонимность и криптографию.

Анатолий Лебедев. "Коды и шифры" – "КомпьюТерра", 1998, #7(235). Другие материалы этого номера также представляют интерес с точки зрения изучения криптографии.

Криптографический ликбез. Коллекция ссылок на различные материалы в Сети по криптографии и связанным вопросам.