Криптография и электронная цифровая подпись

Информационная безопасность Криптография и электронная цифровая подпись М.Е. Лагутин Старший преподаватель кафедры ЭИ Определение криптографии Наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), шифрования (кодировка данных). Кодирование: каждому символу в соответствие ставится один или группа других, всегда одна и та же. Примеры: азбука Морзе, двоичный код. Стеганография: криптографическое преобразование, которое изменяет содержимое так, чтобы невозможно было определить факт наличия шифрования. История криптографии 1. 2. 3. 4. Шифр Цезаря. Применялся для шифрования военных депеш. У многих императоров и полководцев были личные шифры, созданные придворными учеными (Веспасиан, Александр Македонский, Рамзес III, Октавиан Август). Европейские полиалфавитные шифры времен эпохи Возрождения. Создавались учеными-математиками в ходе исследований закономерностей. Ньютон, Бэкон и другие ученые того времени, вплоть до Лейбница. Многие шифры названы в честь ученых. Первая половина 20 века. Электромеханические шифровальные устройства (Чарльз Бэббидж, ENIGMA). Современный период - с 1970х годов - научное направление на стыке математики, информатики и инженерии. Для чего применяется 1. 2. 3. 4. Защита информации от несанкционированного доступа. Защита информации от изменения или повреждения. Ускорение передачи данных. Аутентификация автора объекта информации Основные принципы 1. Открытый текст. Данные до преобразования. Должны существовать и процесс получения шифротекста должен быть обратим. Необратимое шифрование - хэширование. 2. Ключ. Данные, необходимые для дешифровки. дешифровка без ключа должна быть невозможна или затруднена. 3. Криптоанализ. Процесс расшифровки без ключа. Криптографическая стойкость должна быть достаточной. 4. Расшифровывание должно быть быстрым и не представлять собой проблемы для тех, у кого есть ключ. Криптография и защита информации Криптография не является защитой от обмана, подкупа или шантажа законных абонентов, кражи ключей и других угроз информации, возникающих в защищённых системах передачи данных. Криптографическим протоколом называется абстрактный или конкретный протокол, включающий набор криптографических алгоритмов. В основе протокола лежит набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационных процессах. Криптоанархизм — философия, которая призывает к криптографии для защиты приватности и личной свободы. использованию сильной Правовое регулирование Правовое регулирование: почему? Позиция государственных органов сводится к желанию сохранить статус-кво. Еще со времен «черных кабинетов» (так называют ведомства, которые специализировались на массовом просмотре корреспонденции) правоохранительные органы по всему миру просматривали корреспонденцию тех, кого они обязаны защищать. Бизнес же заинтересован в шифровании, как в одном из катализаторов развития электронной коммерции. В бизнес-среде шифрование онлайн-коммуникаций воспринимается как инструмент безопасности, который способен обеспечить доверительные взаимоотношения с контрагентами, где обе стороны уверены, что передаваемые по сети данные не попадут в чужие руки. Правовое регулирование: стандартизация ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.» ГОСТ 34.11-2018 «Информационная технология. Криптографическая защита информации. Функция хэширования» NIST Advanced Encryption Standard (придуман группой математиков в ходе конкурса на новый шифровальный стандарт). X.509 — стандарт ITU-T для инфраструктуры открытого ключа (англ. Public key infrastructure, PKI) и инфраструктуры управления привилегиями (англ. Privilege Management Infrastructure) Правовое регулирование: в России В Российской Федерации коммерческая деятельность, связанная с использованием криптографических средств, подлежит обязательному лицензированию. В настоящее время действует также приказ ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз2005)»[2], который определяет порядок разработки и эксплуатации криптографических средств. Импорт криптографических устройств без уведомления (нотификации) ФСБ незаконна и наказывается по статье 226.1 “Контрабанда…” (лишение свободы от 3 до 7 лет). Правовое регулирование: международное В Латвии в ноябре 2015 г. стало известно о готовящихся поправках в уголовный кодекс, которые могут ввести наказание за использование ПО, препятствующего работе спецслужб. Во Франции министр внутренних дел Бернар Казнёв, ссылаясь на террористическую опасность, выступил за ограничение коммуникаций, защищенных end-to-end шифрованием. ОАЭ несколько лет планомерно ведут ужесточение законодательства в данной сфере. Всё началось с запрета на использование таких сервисов, как WhatsApp, Viber, Facebook Messenger и SnapChat. В 2016 г. данная тенденция нашла проявление в новых поправках, направленных на борьбу с киберпреступлениями и предусматривающих штрафы за использование технологий проксирования трафика и виртуальных частных сетей. В Китае с 1 января 2016 г. власти требуют от действующих на территории страны телекоммуникационных компаний предоставлять государственным органам техническую поддержку и помощь по различным вопросам, включая дешифрование данных пользователей. В Великобритании с 2000 г. действует Акт «О правовом регулировании следственной деятельности» (Regulation of Investigatory Powers Act 2000), обязывающий пользователей систем шифрования по требованию властей предоставлять необходимые для расшифровки информации ключи и пароли. Отказ выполнить эти требования влечёт за собой уголовное преследование. Сертификаты электронной цифровой подписи Что такое ЭЦП? Реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость). Анализ возможностей подделки подписей — задача криптоанализа. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака». Подпись выполняется с помощью специализированного программного обеспечения: RightSignature, КриптоПРО. Применение ЭЦП ● ● ● ● ● ● ● Передача электронной отчетности в контролирующие органы; Подача электронной заявки на получение муниципальных услуг; Осуществление операций на электронных торговых площадках; Юридически значимый документооборот между банком и клиентом в системе «Банк — Клиент»; Документооборот внутри одной организации или с ее внешними партнерами; Регистрация сделок с недвижимостью; Оформление трудовых отношений между предприятием и удаленным сотрудником Правовое регулирование ЭЦП в России Федеральным законом № 63 - ФЗ определяются понятие электронной подписи и ее виды: простая, усиленные неквалифицированная и квалифицированная электронные подписи. Простая электронная подпись создается с помощью логинов и паролей, SMS, кодов, USSD-сообщений и иных средств. Она идентифицирует лицо, которое подписало документ, но не способна подтвердить отсутствие изменений документа в последующий период. Без заключенного договора между контрагентами простая ЭЦП не приравнивается к собственноручной подписи, так как она представляет собой соглашения о намерениях и не является твердым обязательством. Усиленная неквалифицированная электронная подпись также, как и простая позволяет установить автора подписи. Вместе с этим, она сохраняет документ в первоначальном виде после его подписания. Данные надежно шифруются и защищены от несанкционированного доступа. ЭП состоит из ключей шифрования и проверки － первый является закрытым, второй открытым. Усиленная квалифицированная ЭП формируется с использованием криптографических средств, которые подтверждены ФСБ РФ. Подлинность подписи гарантирует сертификат, предоставленный аккредитованным удостоверяющим центром. Документ с подписью УКЭП обладает аналогичной юридической силой, как и его бумажный вариант с собственноручной подписью. Получение квалифицированной ЭЦП выступает обязательным условием для предоставления отчетов в налоговые органы, пользования услугами порталов Госуслуг, отправки банковской документации, реализации функций органами государственной и муниципальной власти, а также совершении других юридически значимых действий. Правовое регулирование ЭЦП в мире Типовой закон UNCITRAL "Об электронных подписях". Используется технологически нейтральный подход, который позволяет избежать такого положения, при котором предпочтение отдается использованию каких-либо конкретных технологий или процессов. На практике это означает, что законодательством, в основе которого лежит данный Типовой закон, могут признаваться как цифровые подписи на основе криптографии (например, инфраструктуры публичных ключей - ИПК), так и электронные подписи с использованием других технологий. В ТЗЭП устанавливаются критерии технической надежности, определяющие эквивалентность электронных и собственноручных подписей, а также базовые правила поведения, которые могут служить в качестве руководящих принципов для оценки обязанностей и ответственности в отношениях между подписавшим, полагающейся стороной и доверенными третьими сторонами, участвующими в процессе подписания. Содержатся положения, благоприятствующие признанию иностранных сертификатов и электронных подписей на основе принципа эквивалентности по существу, в соответствии с которым место происхождения иностранной подписи не принимается во внимание. Правонарушения с ЭЦП и криптографией Равенство ЭЦП и физической подписи Кража носителя – преступник крадет usb-ключ, на котором записана электронная подпись, и использует чужую ЭП в своих схемах. Передача ЭЦП другому лицу. Руководители компаний передают свою ЭП, например главному бухгалтеру или своим подчиненным, не понимая всех рисков и последствий. Через ЭЦП также можно подать заявку на регистрацию брака, продать и перерегистрировать автомобиль, квартиру, зарегистрировать юридическое лицо. Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ. Шифрование в преступном мире Криптофоны - смартфоны с сильной криптозащитой. Создавались по заказу преступных группировок. Наиболее известный случай - Phantom Secure, глава которой был арестован в 2017 году. Смартфоны были скомпрометированы сотрудниками Интерпола, продано было более 20 000 устройств. Hydra - знаменитый даркнет-маркет. Использует криптовалюту для совершения сделок. Криптовалю́та — разновидность цифровой валюты, учёт внутренних расчётных единиц которой обеспечивает децентрализованная платёжная система (нет внутреннего или внешнего администратора или какого-либо его аналога), работающая в полностью автоматическом режиме. Сама по себе криптовалюта не имеет какой-либо особой материальной или электронной формы . Незаконные криптографические устройства Криптофоны — это мобильные телефоны с надежными функциями безопасности, которые защищают пользователей от прослушивания разведывательными службами или частными организациями и позволяют избежать большинства мер наблюдения. Криптофоны могут предотвращать перехват звонков, используя сложные алгоритмы шифрования голосовых сигналов. CrypTel, GMSK, Turing Phone - популярные коммерческие бренды. Часто используются злоумышленниками. Использование незаконно в большинстве стран, поскольку алгоритмы неуязвимы для спецслужб. “Круиз-К”, “Атлас”, Iridium-C - специализированные криптофоны для военных и спецслужб. Созданы на тех же принципах. Виды атак на криптографические системы 1. Простой метод “грубой силы” (bruteforce). Ключ к тексту подбирается путем полного слепого перебора комбинаций. 2. Частотный анализ. Алгоритм ищет вхождения популярных слов (артиклей, местоимений) или групп данных (нулей в двоичных файлах). 3. Атака на основе открытых текстов. Сравнивается множество пар закрытых и открытых текстов, ищутся закономерности. 4. Интерполяция. Анализируются смежные факты об объекте шифрования. Закон Шнайера: любой может создать шифр. который сам не сможет взломать. Ответственность граждан Положение о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30). Требуется нотификация и лицензирование в ФСб России ввозимых криптосредств. КоАП РФ Статья 13.12. Нарушение правил защиты информации. Штраф до 2500 рублей. УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ. Лишение свободы до 7 лет. Ответственность организаций Оказание услуг, связанных с криптографией, требует наличие лицензии, выдаваемой ФСБ России (Федеральный закон от 04.05.2011 N 99-ФЗ «О лицензировании отдельных видов деятельности»). Оказание услуг без лицензии может грозить ответственность: 1. 2. Административная. КоАП РФ ст. 13.13 “Незаконная деятельность в области защиты информации”. Штраф до 40 тысяч рублей с конфискацией средств криптозащиты. Лишение лицензий и приостановка ведения бизнеса в области применения криптографии - полномочия Роскомнадзора. Спасибо за внимание Вопросы?