Wi-Fi shifrlash - nima bo'ladi va qanday tanlash kerak. Ma'lumotlarni shifrlash tizimini qanday tanlash kerak

Bularning barchasi juda yaxshi ko'rinadi va odatda shifrlashdan foydalanishda amalda o'zini oqlaydi. Shifrlash, shubhasiz, eng muhim xavfsizlik vositasidir. Shifrlash mexanizmlari himoya qilishga yordam beradi maxfiylik va ma'lumotlarning yaxlitligi. Shifrlash mexanizmlari ma'lumot manbasini aniqlashga yordam beradi. Biroq, faqat shifrlash barcha muammolarning echimi emas. Shifrlash mexanizmlari bo'lishi mumkin va bo'lishi kerak qismi to'liq xususiyatli xavfsizlik dasturi. Darhaqiqat, shifrlash mexanizmlari keng qo'llaniladi xavfsizlik mexanizmlari ular yordam berishda yordam berishgani uchungina maxfiylik, yaxlitligi va identifikatsiyalash imkoniyati.

Biroq, shifrlash faqat kechiktiruvchi harakatdir. Ma'lumki, har qanday shifrlash tizimini buzish mumkin. Gap shundaki, shifrlangan ma'lumotlarga kirish uchun juda uzoq vaqt va juda ko'p resurslar talab qilinishi mumkin. Ushbu haqiqatni hisobga olgan holda, tajovuzkor boshqasini topishga va undan foydalanishga urinishi mumkin zaif joylar umuman butun tizimda.

Ushbu ma'ruzada siz shifrlash bilan bog'liq asosiy tushunchalar va axborot xavfsizligini ta'minlash uchun shifrlashdan qanday foydalanish haqida bilib olasiz. Biz shifrlashning matematik asoslari haqida batafsil to'xtamaymiz, shuning uchun o'quvchiga bu sohada juda ko'p ma'lumot kerak bo'lmaydi. Biroq, biz qanday qilib boshqacha ekanligini tushunishga yordam beradigan bir nechta misollarni ko'rib chiqamiz shifrlash algoritmlari yaxshi ishlatilgan xavfsizlik dasturi.

Asosiy shifrlash tushunchalari

Shifrlash ma'lumotlarni yashirish bir vaqtning o'zida vakolatli foydalanuvchilarga kirish huquqini berish paytida ruxsatsiz shaxslardan. Agar ma'lumot parolini ochish uchun tegishli kalit mavjud bo'lsa, foydalanuvchilar vakolatli deb nomlanadi. Bu juda oddiy printsip. Qiyinchilik bu butun jarayon qanday amalga oshirilishida.

Bilish kerak bo'lgan yana bir muhim tushuncha shundaki, har qanday shifrlash tizimining maqsadi, ruxsatsiz shaxslar uchun, agar ular shifrlangan matnga ega bo'lsa ham va ularni shifrlashda ishlatiladigan algoritmni bilsalar ham, iloji boricha qiyinroq bo'ladi. Ruxsatsiz foydalanuvchi kalitga ega bo'lmaguncha, ma'lumotlarning maxfiyligi va yaxlitligi buzilmaydi.

Shifrlash axborot xavfsizligining uchta holatini ta'minlaydi.

• Maxfiylik. Shifrlash uchun ishlatiladi ma'lumotlarni yashirish uzatish yoki saqlash paytida ruxsatsiz foydalanuvchilardan.
• Halollik. Shifrlash ma'lumotni uzatish yoki saqlash paytida o'zgarishini oldini olish uchun ishlatiladi.
• Identifikatsiya. Shifrlash ma'lumot manbasini tasdiqlash va ma'lumot yuboruvchining ma'lumotlarning ularga yuborilganligini inkor etishiga yo'l qo'ymaslik uchun ishlatiladi.

Shifrlash shartlari

Shifrlash haqida batafsil hikoyani boshlashdan oldin, munozarada ishlatiladigan ba'zi atamalarning ta'riflari. Birinchidan, biz shifrlash va parolni hal qilishda ishtirok etadigan tarkibiy qismlarni ko'rsatadigan atamalar bilan shug'ullanamiz. 12.1-rasmda shifrlashning umumiy tamoyili ko'rsatilgan.

Bilish uchun to'rtta atama mavjud:

• Kriptografiya. Shifrlash yordamida ma'lumotlarni yashirish haqidagi fan.
• Kriptograf. Kriptografiya bilan shug'ullanadigan shaxs.
• Kriptanaliz. Zaifliklar uchun kriptografik algoritmlarni tahlil qilish san'ati.
• Kriptanalizator. Kriptografik algoritmlarda zaifliklarni aniqlash va ulardan foydalanish uchun kriptanalizdan foydalanadigan kishi.

Shifrlash hujumlari

Shifrlash tizimlariga uchta usulda hujum qilish mumkin:

• Algoritmning zaif tomonlari orqali.
• Kalitga qo'pollik bilan hujum qilish orqali.
• Atrofdagi tizimdagi zaifliklar orqali.

Algoritmga hujum qilishda kriptanalizator transformatsiya usulida zaifliklarni qidiradi oddiy matn kalitni ishlatmasdan oddiy matnni ochish uchun shifrga. Bunday zaifliklarga ega algoritmlar etarlicha kuchli emas. Sababi shundaki, ma'lum bo'lgan zaiflikdan foydalanish mumkin tez tiklanish manba matni. Bunday holda, tajovuzkor qo'shimcha manbalardan foydalanishi shart emas.

Brute-force hujumlari - bu shifrni oddiy matnga aylantirish uchun har qanday mumkin bo'lgan kalitni qo'pol ravishda ishlatishga urinishlar. O'rtacha, ushbu usuldan foydalanadigan tahlilchi muvaffaqiyatli bo'lishidan oldin barcha kalitlarning 50 foizini to'g'riligini tekshirishi kerak. Shunday qilib, algoritm kuchi faqat tahlilchi sinab ko'rishi kerak bo'lgan tugmalar soni bilan belgilanadi. Shuning uchun, kalit qancha uzoq bo'lsa, shuncha ko'p bo'ladi umumiy raqam to'g'ri tugmachani topishdan oldin tajovuzkor qancha ko'p tugmachalarni sinab ko'rishi kerak. Nazariy jihatdan, qo'pol kuchlar hujumlari doimo kerakli vaqt va resurslar bilan muvaffaqiyatli bo'lishi kerak. Shuning uchun, algoritmlarni qo'pol kuch ishlatgan hujumda ma'lumot xavfsizligini saqlaydigan vaqtga qarab baholash kerak.

Shifrlashning ikkita asosiy turi mavjud: shaxsiy kalit va ochiq kalit. Shaxsiy kalit bilan shifrlash ma'lumotni o'qish huquqiga ega bo'lgan barcha tomonlarning bir xil kalitga ega bo'lishini talab qiladi. Bu bizga axborot xavfsizligining umumiy muammosini kalitlarni himoya qilish muammosigacha kamaytirishga imkon beradi. Ochiq kalitlarni shifrlash eng ko'p ishlatiladigan shifrlash usuli hisoblanadi. Bu beradi maxfiylik ma'lumot va uzatish paytida ma'lumot o'zgarishsiz qolishiga ishonch.

Yashirin kalitlarni shifrlashning mohiyati nimada?

Shaxsiy kalitlarni shifrlash nosimmetrik shifrlash deb ham ataladi, chunki xuddi shu kalit ma'lumotni shifrlash va parolini hal qilish uchun ishlatiladi. 12.2-rasmda maxfiy kalitlarni shifrlashning asosiy printsipi ko'rsatilgan. Rasmdan ko'rinib turibdiki, ma'lumotni yuboruvchi va qabul qiluvchi bir xil kalitga ega bo'lishi kerak.

Shakl: 12.2.

Shaxsiy kalitni shifrlash ta'minlaydi maxfiylik shifrlangan holatdagi ma'lumotlar. Faqat kalitni biladiganlargina xabarning parolini ochishlari mumkin. Xabarni uzatish paytida qilingan har qanday o'zgarish aniqlanadi, chunki bundan keyin xabarni to'g'ri dekodlash mumkin emas. Shaxsiy kalit shifrlash autentifikatsiyani ta'minlamaydi, chunki har qanday foydalanuvchi yaroqli xabarni yaratishi, shifrlashi va yuborishi mumkin.

Umuman olganda, shaxsiy kalitlarni shifrlash apparat yoki dasturiy ta'minot yordamida tez va oson amalga oshiriladi.

O'zgartirish shifrlari

Joker belgilar shifrlari taxminan 2500 yildan beri mavjud. Eng dastlabki misol - Atbash shifridir. Miloddan avvalgi 600 yillarda paydo bo'lgan. va ibroniy alifbosini teskari tartibda ishlatishdan iborat edi.

Yulius Tsezar almashtirish shifridan foydalangan, uni Qaysar shifri deb atashgan. Ushbu shifr har bir harfni shifrlangan harfdan uch harf narida joylashgan alifboda joylashgan boshqa harf bilan almashtirishdan iborat edi. Shunday qilib, A harfi D ga, B E ga, Z esa S ga aylantirildi.

Ushbu misol shuni ko'rsatadiki, joker kod bir vaqtning o'zida bitta harfni qayta ishlaydi oddiy matn... Xabarni har ikkala qo'ng'iroq qiluvchi bir xil almashtirish sxemasidan foydalanib o'qishi mumkin. O'rnini bosish shifridagi kalit - bu siljish harflari soni yoki to'liq tartiblangan alifbo.

Almashtirish shifrlari bitta muhim kamchilikka ega - asl alifboda harflarning doimiy chastotasi. IN ingliz tilimasalan, "E" harfi eng ko'p ishlatiladi. Agar siz uni boshqa harf bilan almashtirsangiz, unda yangi harf ko'pincha ishlatiladi (ko'plab xabarlarni ko'rib chiqishda). Ushbu tahlil yordamida joker kod shifrini buzish mumkin. Harflarning paydo bo'lishi chastotasini tahlil qilishni yanada rivojlantirish sizga ikki va uchta harflarning eng keng tarqalgan kombinatsiyalarini olishga imkon beradi. Ushbu tahlil yordamida, agar tajovuzkor etarli miqdordagi shifrlangan matnni olgan bo'lsa, har qanday joker belgini sindirish mumkin.

Bir martali ishlatiladigan bloknotlar

Bir martalik pad (OTP) - bu nazariy jihatdan buzilmas yagona shifrlash tizimi. Bir martalik pad - bu xabarni kodlash uchun ishlatiladigan raqamlarning tasodifiy ro'yxati (12.1-jadvalga qarang). Tizim nomidan ko'rinib turibdiki, OTP faqat bir marta ishlatilishi mumkin. Agar OTP-dagi raqamlar chindan ham tasodifiy bo'lsa, OTP xabardan uzunroq va faqat bir marta ishlatiladi, shunda shifrlangan matn asl kalitni (ya'ni OTP-ning o'zi) va shuning uchun xabarlarni tiklash mexanizmini ta'minlamaydi.

Axborot muhitida bir martalik tagliklar juda yuqori daraja xavfsizlik (lekin faqat qisqa xabarlar uchun). Masalan, Sovet Ittifoqida OTP Moskva bilan razvedka ma'lumotlarini aloqa qilish uchun ishlatilgan. OTP ning ikkita asosiy kamchiliklari - bu chindan ham tasodifiy daftarlarni yaratish va daftarlarni tarqatish muammosi. Shubhasiz, agar daftar ochilgan bo'lsa, unda u himoya qiladigan ma'lumotlar ham oshkor bo'ladi. Agar daftarlar chindan ham tasodifiy bo'lmasa, duch keladigan belgilar chastotasini tahlil qilish uchun ishlatilishi mumkin bo'lgan naqshlarni aniqlash mumkin.

Ko'pincha savol tug'iladi: qaysi turi wi-Fi shifrlash uy yo'riqchisini tanlang. Bu ahamiyatsiz bo'lib tuyuladi, ammo noto'g'ri parametrlar bilan tarmoqda muammolar paydo bo'lishi mumkin, va hatto chekilgan kabel orqali ma'lumot uzatishda ham.

Shuning uchun bu erda zamonaviy ma'lumotlarni qo'llab-quvvatlaydigan ma'lumotlarni shifrlashning qaysi turlarini ko'rib chiqamiz WiFi routerlari, va AES shifrlash turi mashhur wpa va wpa2 dan qanday farq qiladi.

Simsiz shifrlash turi: xavfsizlik usulini qanday tanlash kerak?

Shunday qilib, shifrlashning 3 turi mavjud:

1. 1. WEP shifrlash

Turi wEP shifrlash uzoq 90-yillarda paydo bo'lgan va birinchi mudofaa varianti bo'lgan Wi-Fi tarmoqlari: u simli tarmoqlarda shifrlash analogi sifatida joylashtirilgan va RC4 shifridan foydalangan. O'tkazilgan ma'lumotlar uchun uchta umumiy shifrlash algoritmi mavjud edi - Neesus, Apple va MD5 - lekin ularning har biri kerakli darajada xavfsizlikni ta'minlamadi. 2004 yilda IEEE standarti eskirgan deb e'lon qildi, chunki u tarmoq ulanishlari uchun xavfsizlikni ta'minlashni to'xtatdi. Ayni paytda wifi uchun ushbu turdagi shifrlash tavsiya etilmaydi, chunki u kriptografik jihatdan xavfsiz emas.

1. 2. WPS ishlatilmaydigan standartdir. Routerga ulanish uchun faqat tegishli tugmani bosishingiz kerak, biz maqolada batafsil muhokama qildik.

Nazariy jihatdan, WPS sakkiz xonali kod yordamida kirish nuqtasiga ulanishga imkon beradi, ammo amalda ko'pincha to'rttasi kifoya qiladi.

Ushbu haqiqatni tezda (3 - 15 soat ichida) buzadigan ko'plab xakerlar xotirjamlik bilan ishlatishadi wi-Fi tarmoqlarishuning uchun ushbu ulanishdan ham foydalanish tavsiya etilmaydi.

1. 3. Turi wPA shifrlash/ WPA2

WPA shifrlash bilan ishlar ancha yaxshi. Zaif RC4 shifrining o'rniga u foydalanadi aES shifrlash, bu erda parol uzunligi ixtiyoriy qiymat (8 - 63 bit). Ushbu turdagi shifrlash xavfsizlik xavfsizligining normal darajasini ta'minlaydi va juda mos keladi oddiy wifi routerlar. Bundan tashqari, uning ikki turi mavjud:

PSK turi (Pre-Shared Key) - kirish nuqtasiga ulanish oldindan belgilangan parol yordamida amalga oshiriladi.
- Enterprise - har bir tugun uchun parol RADIUS serverlarida tekshirish bilan avtomatik ravishda hosil bo'ladi.

WPA2 - bu xavfsizlik yaxshilangan WPA-ning davomi. IN ushbu protokol AES shifrlashga asoslangan RSN ishlatiladi.

WPA shifrlash singari, WPA2 ham ikkita ishlash rejimiga ega: PSK va Enterprise.

2006 yildan beri WPA2 shifrlash turi barcha Wi-Fi uskunalari tomonidan qo'llab-quvvatlanadi, mos keladigan geo har qanday yo'riqnoma uchun tanlanishi mumkin.

WPA-dan WPA2 shifrlashning afzalliklari:

Shifrlash kalitlari yo'riqchiga ulanish paytida hosil bo'ladi (statik o'rniga);
- O'tkazilgan xabarlarning yaxlitligini boshqarish uchun Maykl algoritmidan foydalanish
- ancha uzun uzunlikdagi ishga tushirish vektoridan foydalanish.
Bundan tashqari, Wi-Fi shifrlash turi sizning yo'riqnoma qaerda ishlatilishiga qarab tanlanishi kerak:

WEP, TKIP va CKIP shifrlashdan umuman foydalanmaslik kerak;

Uyga kirish nuqtasi uchun WPA / WPA2 PSK yaxshi;

WPA / WPA2 Enterprise uchun.

1. Shifrlash ikkala tomonda ham sodir bo'ladi. Axir, faqat bitta tomon shifrlangan bo'lsa (masalan, faqat server), boshqa tomondan (mijozdan) trafik shifrlanmaydi. Uni eshitish yoki hatto o'zgartirish mumkin.

Rasmiy ravishda, hech kim kalitni hech kimga bermaydi. TLS-da mijoz va server umumiy sirni yaratishi kerak, ya'ni 48 baytdan iborat. Keyin mijoz va server umumiy sirga asoslanib kalitlarni hisoblashadi: mijoz shifrlash kaliti va server shifrlash kaliti. Umumiy sirdan kalitlarni hisoblash tartibi standart bo'lib, TLS protokolining tavsifida ko'rsatilgan. Server va mijoz 2 ta shifrlash kalitini biladi, bittasi bilan shifrlaydi, ikkinchisi shifrini ochadi. Va endi eng qiziq tomoni shundaki, mijoz va server umumiy sirni qanday hisoblashadi. Bu tanlangan shifr to'plamiga bog'liq:

• TLS_RSA_WITH_: Bu holda mijoz o'zi tomonidan 48 ta tasodifiy baytni yaratib, umumiy sirni yaratadi. Keyin ularni server sertifikatida mavjud bo'lgan ochiq RSA kaliti yordamida shifrlaydi. Server shifrlangan ma'lumotlarni qabul qiladi va shaxsiy RSA kaliti yordamida parolini ochadi. Ushbu sxema kamdan-kam ishlatiladi.
• TLS_DHE_RSA_ / TLS_ECDHE_RSA_ / TLS_ECDHE_ECDSA_: Bunda Diffie-Hellman (DHE) kriptografik sxemasi yoki uning elliptik egri versiyasi (ECDHE) ishlatiladi. Sxemaning mohiyati quyidagicha: server va mijoz tasodifiy katta raqamlarni (shaxsiy kalitlarni) ishlab chiqaradi, ular asosida boshqa raqamlarni (ochiq kalitlarni) hisoblab chiqadi va ularni bir-biriga yuboradi. Siznikiga ega shaxsiy kalit va boshqa tomonning ochiq kaliti, ular umumiy sirni hisoblashadi. Kanalni tinglayotgan uchinchi tomon faqat ikkita ochiq kalitni ko'radi va umumiy sirni aniqlay olmaydi. Shundan so'ng, ushbu kalitni olish uchun mijoz va server o'rtasida almashinadigan barcha ma'lumotlar server sertifikati (RSA yoki ECDSA imzosi) bilan imzolanadi. Agar mijoz server sertifikatiga ishonsa, u ushbu imzoni tasdiqlaydi va agar u to'g'ri bo'lsa, ma'lumotlar almashinuvi boshlanadi. Bu eng ko'p ishlatiladigan sxema.
• Boshqa bir nechta sxemalar mavjud, ammo ular juda kamdan-kam hollarda qo'llaniladi yoki umuman qo'llanilmaydi.

Tutib olish to'g'risida. Yuqorida aytib o'tganimdek, bu erda xabarlarni ushlab qolish foydasiz, chunki birinchi holda uni faqat server shifrini ochishi mumkin, ikkinchisida esa aqlli kriptografik sxema qo'llaniladi.

Server ham, mijoz ham shifrlash algoritmlarini biladi. Axir, agar mijoz shifrlash algoritmi nima ekanligini bilmasa, qanday qilib yuboriladigan ma'lumotlarni shifrlaydi? IN zamonaviy kriptografiya hech kim mulkiy algoritmlardan foydalanmaydi. Ochiq algoritmlar dunyoning eng yaxshi kriptograflari tomonidan doimiy ravishda o'rganilmoqda, zaif tomonlar qidirilmoqda va ularni chetlab o'tish uchun echimlar taklif etilmoqda.

TLS-da biz shartli ravishda algoritmlarning o'zgarishini aytishimiz mumkin, chunki har safar har xil shifrlash kalitlari hosil bo'ladi. Va keyin, agar siz xususiy algoritmdan foydalanmoqchi bo'lsangiz, masalan, veb-sahifani ko'rib chiqish uchun, agar sizning kompyuteringiz / qurilmangiz shifrlash / parolini ochish bo'lsa, ushbu algoritm qanday qilib xususiy bo'lishi mumkin?

Faqatgina asosiy g'oyalarni tavsiflash uchun ba'zi tafsilotlarni qoldirib / soddalashtirdim.

CNews tahlilchilarining aniq ta'rifiga ko'ra, Rossiyada 2005 yil "o'zimizni ichki tahdidlardan himoya qilish" shiori ostida o'tdi. O'tgan yili xuddi shu tendentsiyalar aniq kuzatildi. Ma'lumotlar bazalarini o'g'irlash va ularni keyinchalik bepul sotish bilan bog'liq so'nggi voqealarni hisobga olgan holda, ko'plab kompaniyalar o'zlarining xavfsizligi muammosi haqida jiddiyroq o'ylashni boshladilar. axborot resurslari va maxfiy ma'lumotlarga kirishni farqlash. Ma'lumki, qimmatli ma'lumotlarning xavfsizligini 100% kafolatlash deyarli mumkin emas, ammo texnologik jihatdan bunday xatarlarni minimal darajaga tushirish mumkin va zarur. Ushbu maqsadlar uchun ko'pchilik vositalarni ishlab chiquvchilar axborot xavfsizligi ma'lumotlarni shifrlashni boshqarish bilan birlashtiradigan uchidan uchiga echimlar taklif eting tarmoqqa kirish... Keling, bunday tizimlarni batafsil ko'rib chiqishga harakat qilaylik.

Serverlarni saqlash va qayta ishlash uchun juda ko'p dasturiy ta'minot va apparatni shifrlash tizimlarini ishlab chiquvchilari maxfiy ma'lumotlar (Aladdin, SecurIT, Phystechsoft va boshqalar). Ba'zida har bir taklif qilingan echimning nozik tomonlarini tushunish va eng mosini tanlash qiyin. Afsuski, shifrlash vositalariga bag'ishlangan qiyosiy maqolalar mualliflari ushbu toifadagi mahsulotlarning xususiyatlarini hisobga olmagan holda, ko'pincha foydalanishga yaroqliligi, sozlamalarning boyligi, interfeysning qulayligi va boshqalar jihatidan taqqoslashadi. ammo maxfiy ma'lumotlarni himoya qilish uchun echim tanlashda deyarli qabul qilinmaydi.

Ehtimol, ushbu bayonot bilan biz Amerikani kashf etmaymiz, ammo ishlash, narx va boshqa ko'plab xususiyatlar shifrlash tizimini tanlashda juda muhim emas. Xuddi shu ko'rsatkich barcha tizimlar uchun muhim emas va har doim ham emas. Aytaylik, agar tashkilot o'tkazuvchanlik qobiliyatiga ega bo'lsa mahalliy tarmoq kichik, ammo faqat ikkita xodim shifrlangan ma'lumotdan foydalanish huquqiga ega bo'ladi, foydalanuvchilar shifrlash tizimini umuman sezmaydi, hatto eng "bo'sh" bo'lganini ham.

Bunday apparat va dasturiy ta'minot tizimlarining ko'plab boshqa funktsiyalari va parametrlari ham tanlab olinadi: kimdir uchun ular muhim, ammo boshqalar uchun befarq. Shuning uchun biz ruxsatsiz kirish va maxfiy ma'lumotlarning tarqalishidan himoyani taqqoslash uchun muqobil variantni taklif qilishga harakat qilamiz - bu eng muhim va haqiqatan ham asosiy parametrlarga muvofiq.

Stirlits, sizda shifrlash bor!

Ma'lumotlarni himoya qilish tizimini tanlashda, avvalo, ularda qanday shifrlash algoritmlari qo'llanilishiga e'tibor berishingiz kerak. Nazariy jihatdan, etarlicha kuch sarflab, tajovuzkor har qanday kriptografik tizimni buzishi mumkin edi. Faqat buning uchun u qancha ish qilishi kerakligi savol. Printsipial jihatdan deyarli har qanday kriptografik tizimni buzish vazifasi barcha mumkin bo'lgan variantlarni to'liq sanab chiqish orqali amalga oshirilgan qidiruv bilan miqdoriy jihatdan taqqoslanadi.

Mutaxassislarning fikriga ko'ra, 128-bit xavfsizlik darajasi har qanday zamonaviy kriptografik tizim uchun etarli. Bu shuni anglatadiki, bunday tizimga muvaffaqiyatli hujum qilish uchun kamida 2128 qadam kerak. Mur qonuniga ko'ra, kriptografiyaga moslashtirilgan, hatto 110 yoki 100 bit ham etarli, ammo bunday kalitlarga mo'ljallangan kriptografik algoritmlar mavjud emas.

Algoritmning o'zi iloji boricha kengroq bo'lishi kerak. Noma'lum "o'z-o'zidan yozilgan" algoritmlar kriptografiya sohasidagi mutaxassislar tomonidan tahlil qilinmagan va xavfli zaifliklarni o'z ichiga olishi mumkin. Shuni hisobga olsak, asosiy uzunligi 128, 192 yoki 256 bit bo'lgan GOST, AES, Twofish, Serpent algoritmlari etarlicha ishonchli deb tan olinishi mumkin.

Asimmetrik shifrlash algoritmlari alohida ko'rib chiqishga loyiqdir. Ular shifrlash va parolni hal qilish uchun turli xil tugmachalardan foydalanadilar (shuning uchun nom). Ushbu tugmalar juftlikni tashkil qiladi va odatda foydalanuvchi o'zi tomonidan yaratiladi. Axborotni shifrlash uchun umumiy kalit deb ataladi. Ushbu kalit ommaga ma'lum va har kim o'zi bilan foydalanuvchiga yuborilgan xabarni shifrlashi mumkin. Shaxsiy kalit xabarni parolini hal qilish uchun ishlatiladi va uni faqat foydalanuvchining o'zi biladi, uni sir tutadi.

Foydalanuvchilarning ochiq kalitlarini tarqatish va saqlashning umumiy qabul qilingan usuli bu X.509 raqamli sertifikatlardir. Oddiy holatda, raqamli sertifikat - bu foydalanuvchi to'g'risidagi ma'lumotlarni (ism, identifikator, manzil) o'z ichiga olgan elektron pasport turi. elektron pochta va boshqalar), mijozning ochiq kaliti, sertifikat bergan Sertifikatlash markazi va boshqalar ishlab chiqarish raqami sertifikat, amal qilish muddati va boshqalar.

Sertifikatlashtirish markazi (CA) - bu foydalanuvchilarning yuqori darajadagi ishonchiga ega bo'lgan va ishonchli shaxslar tomonidan sertifikatlardan foydalanish bo'yicha chora-tadbirlar majmuini ta'minlaydigan uchinchi ishonchli shaxs. Aslida, bu subordinatsiya qilingan markazlar va foydalanuvchilarning sertifikatlangan elektron sertifikatlarini yaratish uchun mo'ljallangan sertifikatlarni boshqarish tizimining tarkibiy qismidir elektron raqamli imzo UC. Oddiy holatda, o'z-o'zini imzolagan sertifikatlar, foydalanuvchi o'zi sertifikatlashtirish organi sifatida ish yuritganda qo'llaniladi.

Asimmetrik shifrlash algoritmlaridan foydalanganda kamida 1024 bitli tugmachalar yordamida 128 bitli simmetrik algoritmga teng kuchga erishiladi. Bu shunday algoritmlarni matematik amalga oshirishning o'ziga xos xususiyatlari bilan bog'liq.

Shifrlash algoritmlarining o'ziga qo'shimcha ravishda, ularni amalga oshirish uslubiga ham e'tibor qaratish lozim. Qurilma o'rnatilgan shifrlash algoritmlariga ega bo'lishi yoki tashqi plaginlardan foydalanishi mumkin. Ikkinchi variant uchta sababga ko'ra afzaldir. Birinchidan, yanada mustahkam algoritmlardan foydalangan holda kompaniyangizning o'sib borayotgan ehtiyojlarini qondirish uchun xavfsizlikni yaxshilashingiz mumkin. Shunga qaramay, xavfsizlik siyosatining talablari o'zgargan bo'lsa (masalan, agar kompaniya sertifikatlangan kripto provayderlariga o'tishi kerak bo'lsa), amaldagi shifrlash algoritmlarini operatsiyani sezilarli darajada kechiktirmasdan yoki uzilishlarsiz tezda almashtirish mumkin bo'ladi. O'rnatilgan algoritmda bu ancha murakkab ekanligi aniq.

Tashqi amalga oshirishning ikkinchi plyusi shundaki, bunday kriptografik vosita uni tarqatish, shu jumladan eksport-import bo'yicha tegishli qonunchilik cheklovlariga kirmaydi va uni tarqatish va amalga oshirishda ishtirok etadigan kompaniyaning sheriklaridan tegishli FSB litsenziyalarini talab qilmaydi.

Uchinchidan, shifrlash algoritmini amalga oshirish ahamiyatsiz vazifadan yiroqligini unutmang. To'g'ri amalga oshirish katta tajribani talab qiladi. Aytaylik, shifrlash kaliti hech qachon bo'lmasligi kerak tasodifiy kirish xotirasi kompyuter aniq. Jiddiy mahsulotlarda ushbu kalit bir necha qismlarga bo'linadi va ularning har biriga tasodifiy niqob qo'llaniladi. Shifrlash kaliti bilan barcha operatsiyalar qismlarga bo'linadi va teskari niqob yakuniy natijaga qo'llaniladi. Afsuski, ishlab chiquvchi shifrlash algoritmini mustaqil ravishda amalga oshirishda ushbu barcha nozikliklarni hisobga olganligi haqida aniq ma'lumot yo'q.

Pul joylashgan kvartiraning kaliti

Ma'lumotlarning xavfsizligi darajasiga ta'sir qiluvchi yana bir omil - bu shifrlash kalitlari bilan ishlashni tashkil etish printsipi. Bu erda bir nechta variant mavjud va ma'lum bir shifrlash tizimini tanlashdan oldin, uning qanday ishlashini so'rash tavsiya etiladi: shifrlash kalitlari qaerda saqlanadi, qanday himoyalangan va hokazo. Afsuski, ko'pincha ishlab chiquvchi kompaniya xodimlari tushuntirishga qodir emaslar. asosiy tamoyillar ularning mahsuloti ishi. Ushbu eslatma, ayniqsa savdo menejerlariga taalluqlidir: eng oddiy savollar ko'pincha ularni bezovta qiladi. O'zining maxfiy ma'lumotlarini himoya qilishga qaror qilgan foydalanuvchi uchun barcha nozikliklarni tushunish maqsadga muvofiqdir.

Aniqlik uchun biz ma'lumotlarni shifrlash uchun ishlatiladigan kalitni asosiy kalit deb ataymiz. Ularning avlodlari uchun bugungi kunda quyidagi yondashuvlar ko'pincha qo'llanilmoqda.

Birinchi yondashuv - asosiy kalit ba'zi bir kirish ma'lumotlari asosida yaratiladi va ma'lumotlarni shifrlash uchun ishlatiladi. Keyinchalik, shifrlangan ma'lumotlarga kirish uchun foydalanuvchi yana asosiy kalitni yaratish uchun tizimga bir xil kirish ma'lumotlarini taqdim etadi. Asosiy kalitning o'zi bu erda saqlanmaydi. Kirish ma'lumotlari parol, tashqi muhitda saqlangan fayl va boshqalar bo'lishi mumkin. Ushbu usulning asosiy kamchiligi - bu asosiy kalitning zaxira nusxasini yaratish mumkin emas. Kirish ma'lumotlarining har qanday tarkibiy qismining yo'qolishi ma'lumotlarga kirish huquqini yo'qotishiga olib keladi.

Ikkinchi yondashuv - asosiy kalit generator yordamida yaratiladi tasodifiy raqamlar... Keyin u ba'zi bir algoritm bilan shifrlanadi va undan keyin ma'lumotlar bilan birga yoki tashqi muhitda saqlanadi. Kirish uchun birinchi navbatda asosiy kalit, keyin esa ma'lumotlarning o'zi parolini ochadi. Asosiy kalitni shifrlash uchun ma'lumotlarning o'zi shifrlash bilan bir xil kuchga ega algoritmdan foydalanish maqsadga muvofiqdir. Kamroq kuchli algoritmlar tizim xavfsizligini pasaytiradi va yanada mustahkam algoritmlardan foydalanish befoyda, chunki bu xavfsizlikni oshirmaydi. Ushbu yondashuv asosiy kalitning zaxira nusxalarini yaratishga imkon beradi, bu kelajakda fors-major holatlarida ma'lumotlarga kirishni tiklash uchun ishlatilishi mumkin.

Ma'lumki, umuman kriptografik tizimning ishonchliligi uning eng zaif bo'g'inining ishonchliligi bilan belgilanadi. Tajovuzkor har doim ikkalasining eng kam kuchli algoritmiga hujum qilishi mumkin: ma'lumotlar shifrlash yoki asosiy kalitlarni shifrlash. Asosiy kalit shifrlangan kalit ham ba'zi bir kirish ma'lumotlari asosida olinishini yodda tutib, ushbu muammoni batafsil ko'rib chiqamiz.

Birinchi variant: parol

Foydalanuvchi parolni kiritadi, shu asosda (masalan, xash funktsiyasidan foydalangan holda) shifrlash kaliti hosil bo'ladi (1-rasm). Aslida, bu holda tizimning ishonchliligi faqat parolning murakkabligi va uzunligi bilan belgilanadi. Ammo kuchli parollar noqulay: 10-15 ta belgidan iborat ma'nosiz to'plamni eslab qolish va har biriga ma'lumotlarni kiritish uchun uni kiritish unchalik oson emas va agar bunday parollar bir nechta bo'lsa (masalan, turli xil dasturlarga kirish uchun) bo'lsa, unda bu umuman haqiqiy emas. Parolni himoya qilish qo'pol hujumlarga ham ta'sir qiladi va to'plam keylogger tajovuzkorga ma'lumotlarga kirish huquqini osongina beradi.

Shakl: 1. Asosiy kalitni parol yordamida shifrlash.

Ikkinchi variant: tashqi xotira

Tashqi muhitda shifrlash kalitini yaratish uchun ishlatiladigan ba'zi ma'lumotlar mavjud (2-rasm). Eng oddiy variant - floppi (CD, USB flesh-disk, va hokazo) da joylashgan faylni (kalit fayli deb ataladigan) foydalaning, bu usul parol bilan ta'minlangan variantga qaraganda ancha ishonchli. Kalitni yaratish uchun o'nlab parol belgilaridan emas, balki juda ko'p ma'lumotlardan foydalaniladi, masalan, 64 yoki hatto 128 bayt.

Shakl: 2. Tashqi muhit ma'lumotlari yordamida asosiy kalitni shifrlash.

Asos sifatida kalit fayl kompyuterning qattiq diskiga joylashtirilishi mumkin, ammo uni ma'lumotlardan alohida saqlash ancha xavfsizdir. Har qanday taniqli dasturlar (* .doc, * xls, * .pdf va boshqalar) tomonidan yaratilgan fayllardan kalit fayllar sifatida foydalanish tavsiya etilmaydi, ularning ichki tuzilishi tajovuzkorga qo'shimcha ma'lumot berishi mumkin. Masalan, tomonidan yaratilgan barcha fayllar winRAR arxivlashtiruvchisi, "Rar!" Belgilaridan boshlang. to'rt bayt.

Kamchilik bu usul - tajovuzkorga faylni osongina ko'chirib olish va tashqi ommaviy axborot vositalarining dublikatini yaratish qobiliyati. Shunday qilib, foydalanuvchi, hatto qisqa vaqt ushbu vosita ustidan nazoratni yo'qotib, aslida u endi o'z ma'lumotlarining maxfiyligiga 100% ishonch hosil qila olmaydi. Elektron USB kalitlari yoki smart-kartalar ba'zida tashqi axborot vositasi sifatida ishlatiladi, ammo shifrlash kalitini yaratish uchun ishlatiladigan ma'lumotlar ushbu ommaviy axborot vositalarining xotirasida oddiygina saqlanadi va o'qish uchun ham osonlikcha kirish mumkin.

Uchinchi variant: xavfsiz tashqi xotira

Ushbu usul avvalgisiga juda o'xshash. Uning muhim farqi shundaki, tashqi muhitdagi ma'lumotlarga kirish uchun foydalanuvchi PIN-kodni kiritishi kerak. Jetonlar (elektron USB kalitlari yoki smart-kartalar) tashqi tashuvchi sifatida ishlatiladi. Shifrlash kalitini yaratish uchun foydalaniladigan ma'lumotlar tokenning xavfsiz xotirasida joylashgan va tajovuzkor tomonidan tegishli PIN-kodni bilmasdan o'qib bo'lmaydi (3-rasm).

Shakl: 3. Asosiy kalitni xavfsiz tashqi muhit yordamida shifrlash.

Jetonni yo'qotish ma'lumotning o'zi oshkor qilinishini anglatmaydi. To'g'ridan-to'g'ri PIN-kodni tanlashdan himoya qilish uchun ketma-ket ikki urinish yoki PIN-kodni kiritishga noto'g'ri urinishlar sonidagi apparat cheklovi (masalan, 15) o'rtasida texnik vaqtni kechiktirish belgilanadi, shundan so'ng belgi shunchaki bloklanadi.

Token ichida ishlatilishi mumkinligi sababli turli xil ilovalarva PIN-kod bir xil bo'lsa, foydalanuvchini aldash orqali uning PIN-kodini soxta dasturga kiritib, keyin ma'lumotni yopiq xotira maydonidan kerakli ma'lumotlarni o'qib chiqishingiz mumkin. Ba'zi ilovalar PIN-kod qiymatini bitta seans ichida keshlashadi, bu esa biroz xavf tug'diradi.

To'rtinchi variant: aralash

Shifrlash tugmachasini yaratish uchun bir vaqtning o'zida parol, tashqi muhitdagi kalit fayli va tokenning himoyalangan xotirasidagi ma'lumotlar ishlatilganda variant bo'lishi mumkin (4-rasm). Ushbu usul kundalik foydalanishda juda qiyin, chunki u foydalanuvchidan qo'shimcha harakatlarni talab qiladi.

Shakl: 4. Bir nechta komponentlardan foydalangan holda asosiy kalitni shifrlash.

Ko'pkomponentli tizim, shuningdek, kirish huquqini yo'qotish xavfiga juda moyil: komponentlardan birini yo'qotish kifoya va oldindan yaratilgan tizimdan foydalanmasdan kirish zaxira nusxasi imkonsiz bo'lib qoladi.

Beshinchi variant: assimetrik shifrlash bilan

Tashkilotga bitta yondashuv alohida e'tiborga loyiqdir. xavfsiz saqlash asosiy kalit, yuqorida tavsiflangan variantlarning asosiy kamchiliklaridan mahrum. Aynan shu usul biz uchun maqbul ko'rinadi.

Haqiqat shundaki, zamonaviy belgilar (5-rasm) nafaqat yopiq xotirada ma'lumotlarni saqlashga, balki qo'shimcha qurilmalarda bir qator kriptografik o'zgarishlarni amalga oshirishga imkon beradi. Masalan, o'zlarining hamkasblariga emas, balki to'liq ishlaydigan smart-kartalar bo'lgan smart-kartalar va USB kalitlari assimetrik shifrlash algoritmlarini amalga oshiradi. Shunisi e'tiborga loyiqki, bu holda umumiy - xususiy kalit juftligi apparat tomonidan ham yaratiladi. Smart-kartalardagi shaxsiy kalit faqat yozish uchun saqlanishi muhim, ya'ni smart-karta operatsion tizimi tomonidan kriptografik transformatsiyalar uchun ishlatiladi, lekin foydalanuvchi uni o'qiy olmaydi yoki nusxa ko'chirolmaydi. Aslida, foydalanuvchi o'zi shaxsiy kalitini bilmaydi - u faqat unga ega.

Shifrini ochish kerak bo'lgan ma'lumotlar uzatiladi operatsion tizim smart-kartalar shaxsiy kalit yordamida apparat yordamida parolini ochadi va shifrlangan shaklda qaytarib uzatiladi (6-rasm). Shaxsiy kalit bilan barcha operatsiyalar foydalanuvchi smart-kartaning PIN-kodini kiritgandan keyingina mumkin. Ushbu yondashuv ko'plab zamonaviylarda muvaffaqiyatli qo'llanilmoqda axborot tizimlari foydalanuvchi autentifikatsiyasi uchun. Shifrlangan ma'lumotlarga kirish paytida uni autentifikatsiya qilish uchun ham ishlatishimiz mumkin.

Shakl: 6. Asosiy kalitni assimetrik shifrlash algoritmi yordamida shifrlash.

Asosiy kalit shifrlangan ochiq kalit foydalanuvchi. Ma'lumotlarga kirish uchun foydalanuvchi o'zining smart-kartasini (yoki to'liq ishlaydigan smart-karta bo'lgan USB kalitini) taqdim etadi va uning PIN-kodini kiritadi. Keyinchalik asosiy kalit smart-kartada saqlangan shaxsiy kalit yordamida apparat shifrini ochadi va foydalanuvchi ma'lumotlarga kirish huquqiga ega bo'ladi. Ushbu yondashuv xavfsizlik va qulaylikni birlashtiradi.

Birinchi to'rtta variantda parol va / yoki tashqi muhit ma'lumotlari asosida shifrlash kalitini yaratish usulini tanlash juda muhimdir. Ushbu usul bilan ta'minlangan xavfsizlik darajasi (kriptografik ma'noda) tizimning qolgan qismlarining xavfsizligi darajasidan past bo'lmasligi kerak. Masalan, asosiy kalit tashqi muhitda teskari shaklda saqlanadigan variant juda zaif va xavfli hisoblanadi.

Zamonaviy nishonlar kalit uzunligi 1024 yoki 2048 bit bo'lgan assimetrik algoritmlarni qo'llab-quvvatlaydi va shu bilan asosiy kalitning shifrlash algoritmi va ma'lumotlarning o'zi shifrlash algoritmining ishonchliligini ta'minlaydi. PIN-kodni noto'g'ri kiritishga urinishlar sonining cheklanganligi uning tanlanish xavfini yo'q qiladi va eslab qolish uchun sodda bo'lgan PIN-koddan foydalanishga imkon beradi. Oddiy PIN-kod bilan bitta qurilmadan foydalanish xavfsizlikni buzmasdan qulaylikni oshiradi.

Hatto foydalanuvchining o'zi ham takroriy smart-kartani yarata olmaydi, chunki shaxsiy kalitni nusxalash mumkin emas. Shuningdek, u sizga boshqa har qanday dasturiy ta'minot bilan birgalikda smart-kartadan xavfsiz foydalanishga imkon beradi.

Siz texnik yordamga qo'ng'iroq qildingizmi?

Tez-tez e'tibordan chetda qoladigan, ammo ayni paytda tanqidiy kategoriyaga tegishli bo'lgan yana bitta tanlov mezonlari mavjud. Bu sifat haqida texnik qo'llab-quvvatlash.

Hech qanday shubha yo'qki, himoyalangan ma'lumotlar yuqori ahamiyatga ega. Ehtimol, uning yo'qolishi jamoatchilikka etkazishdan ko'ra ozroq zarar etkazishi mumkin, ammo har qanday holatda ba'zi noqulayliklar bo'ladi. Mahsulot uchun to'lovni amalga oshirayotganda, siz uning normal ishlashi uchun to'lovni amalga oshirasiz va agar nosozlik yuzaga kelsa, sizga zudlik bilan muammoni tushunishga va uni tuzatishga yordam berasiz.

Asosiy qiyinchilik texnik ko'mak sifatini oldindan baholash juda qiyin bo'lganligidadir. Axir, texnik qo'llab-quvvatlash xizmati amalga oshirishning keyingi bosqichlarida, sinov amaliyoti bosqichida va amalga oshirish oxirida tizimni saqlash jarayonida muhim rol o'ynay boshlaydi. Texnik qo'llab-quvvatlashning sifat mezonlari bu so'rovga javob berish vaqti, javoblarning to'liqligi va mutaxassislarning vakolatlari. Keling, ularni batafsil ko'rib chiqaylik.

Bu ko'pincha texnik yordam xizmati sifatiga teng deb hisoblanadigan so'rovga javob tezligi. Shunga qaramay, tezkor, ammo noto'g'ri tavsiyalar oddiy yo'qligidan ko'ra ko'proq zarar etkazishi mumkin.

Rossiya voqealariga yoki hech bo'lmaganda Rossiyadagi vakolatxonasi bo'lgan xorijiy firmalarga ustunlik berish oqilona ko'rinadi. O'zingizning ona tilingizda mutaxassis bilan suhbatlashsangiz, siz bir-biringizni yaxshi tushunasiz. Agar mahsulot xorijiy bo'lsa, mumkin bo'lgan kechikishlarga tayyor bo'ling. Bunday bo'lishi mumkin, chunki sizning savollaringiz, masalan, ingliz tiliga tarjima qilinadi va ishlab chiquvchining javoblari yana rus tiliga tarjima qilinadi. Biz tarjima sifatini texnik ko'mak mutaxassislarining vijdoniga yuklaymiz. Shuni yodda tutish kerakki, chet el etkazib beruvchisi bo'lmasligi mumkin 24/7 qo'llab-quvvatlashva natijada, vaqt farqi tufayli, masalan, savol berish uchun kuniga atigi bir soat kerak bo'ladi.

Tez-tez so'raladigan savollar (FAQ) ro'yxatlari manba bo'lishi mumkin qo'shimcha ma'lumot nafaqat mahsulotning o'zi, balki kompaniyada ishlaydigan mutaxassislarning vakolatlari haqida ham. Masalan, bunday bo'limning yo'qligi ushbu mahsulot ommabop emasligini yoki tashkilotda texnik yordam bilan shug'ullanadigan va foydalanuvchi so'rovlari asosida bilimlar bazasini yozishga qodir mutaxassislar yo'qligini taxmin qiladi. Bu kulgili, ammo ba'zi saytlarda javoblarda tss xatolar mavjud, shu jumladan mahsulotning o'zi ham.

Yo'lda yolg'iz chiqaman ...

Ko'rib turganingizdek, tanlov jarayoni etarlicha o'tishi mumkin. Shubhasiz, hamma uchun uning o'ziga xos, muhim taqqoslash mezonlari bo'ladi. Oxir-oqibat, hech kim kafolat muddati, qadoqlash sifati va muvofiqligini taqqoslashni taqiqlamaydi ranglar tashkilotingizning korporativ uslubiga ishlab chiqarish kompaniyasining brendi. Eng asosiysi, vazn koeffitsientlarini to'g'ri joylashtirishdir.

Qanday bo'lmasin, birinchi navbatda, siz tahdidlarni va ma'lumotlarning tanqidiyligini ehtiyotkorlik bilan baholashingiz kerak va ular o'zlarining asosiy vazifalari - ruxsatsiz kirishdan himoyani ta'minlash bilan qanchalik muvaffaqiyatli kurashishlariga asoslanib, xavfsizlik vositalarini tanlash tavsiya etiladi. Aks holda, pulni Internetdan yuklab olish menejeri yoki "pasyans" ga sarflash yaxshiroqdir.