09. Нормативно-правові акти з криптографії та електронного цифрового підпису

Криптографія є одним з найбільш потужних засобів забезпечення конфіденційності і контролю цілісності інформації. У багатьох відношеннях вона займає центральне місце серед програмно-технічних регуляторів інформаційної безпеки. Наприклад, для портативних комп'ютерів, фізично захистити які вкрай важко, тільки криптографія дозволяє гарантувати конфіденційність інформації навіть у випадку крадіжки.

Криптографічні системи (або шифри) класифікуються таким чином: симетричні та асиметричні криптосистеми. Під симетричними криптографічними розуміються такі системи, в яких для шифрування й розшифрування використовується один і той же ключ, що зберігається в секреті.

Симетричне шифрування має таку перевагу як швидкість криптографічних операцій. Воно особливо корисно для шифрування даних, що залишаються у нас. Однак, симетричне шифрування, використане саме по собі як засіб захисту цінних даних, що пересилаються, є досить витратним через складність передачі секретного ключа.

Симетричні алгоритми шифрування були єдиними загально відомими до липня 1976 року, коли новий асиметричний алгоритм запропонували американські вчені У.Діффі і М.Хеллман.

Новим класом криптографічних систем є асиметричні або двохключеві системи (на вдіміну від одноключових симетричних систем). Ці системи характеризуються тим, що для шифрування і для розшифрування використовуються різні ключі, зв'язані між собою деякою залежністю. Застосування таких шифрів стало можливим завдяки Клоду Шеннону, який запропонував будувати шифр таким способом, щоб його розкриття було еквівалентно рішенню математичної задачі, що вимагає виконання обсягів обчислень, що перевершують можливості сучасних ЕОМ.

Один з ключів (наприклад, ключ шифрування) може бути зроблений загальнодоступним, і в цьому випадку проблема отримання загального секретного ключа для зв'язку відпадає. Оскільки один ключ з пари стає загальнодоступним або публічним, такі системи отримали також назву криптосистем з відкритим ключем. Перший ключ не є секретним і може бути опублікований для використання всіма користувачами системи, які зашифровують дані. Розшифрування даних за допомогою відкритого ключа неможливо.

Для розшифрування даних одержувач зашифрованої інформації використовує другий ключ, який є секретним. Зрозуміло, ключ розшифрування не може бути визначений з ключа зашифрування.

Центральним поняттям в асиметричних криптографічних системах є поняття односторонньої функції. Під односторонньої функцією розуміється ефективно обчислювана функція, для звернення якої (тобто для пошуку хоча б одного значення аргументу по заданому значенню функції) не існує ефективних алгоритмів.

У асиметричній криптографії використовуються так звані хеш-функції. Хеш-функції - це односторонні функції, які призначені для контролю цілісності даних. При передачі інформації під час пересилання вона хешується, хеш передається одержувачу разом із повідомленням, і одержувач визначає його хеш цієї інформації повторно. Якщо обидва хеша співпали, то це означає, що інформація була передана без спотворень.

Додаткова перевага від використання криптосистем з відкритим ключем полягає в тому, що вони надають можливість створення електронних цифрових підписів (далі - ЕЦП). ЕЦП дозволяє одержувачу повідомлення переконатися в автентичності джерела інформації (іншими словами, у тім, хто є автором інформації), а також перевірити, чи була інформація змінена (перекручена), поки знаходилася в шляху.

Таким чином, ЕЦП є засобом авторизації і контролю цілісності даних. Крім того, ЕЦП забезпечує принцип незречення, що означає, що відправник не може відмовитися від факту свого авторства підписаної ним інформації. Ці можливості настільки ж важливі для криптографії, як і таємність.

ЕЦП служить тієї ж мети, що печатка або власноручний автограф на паперовому листі. Однак внаслідок своєї цифрової природи ЕЦП перевершує ручний підпис і печатку в ряді дуже важливих аспектів. ЕЦП не тільки підтверджує особистість що підписала, але також допомагає визначити, чи був зміст підписаної інформації змінений. Власноручний підпис і печатка не мають подібної якості, крім того, їх набагато легше підробити.

У той же час, ЕЦП аналогічний фізичній печатці у тому плані, що, як печатка може бути проставлена будь-якою людиною, що одержала в розпорядження печатку, так і цифровий підпис може бути згенерований ким завгодно з копією потрібного закритого ключа.

На даний час в Україні діє державний стандарт ЕЦП ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевірка», який установлює механізм цифрового підписування, оснований на властивостях груп точок еліптичних кривих, та правила застосування цього механізму до повідомлень, що пересилаються каналами зв’язку та/або обробляються у комп’ютеризованих системах загального призначення. Застосування цього стандарту гарантує цілісність підписаного повідомлення, автентичність його автора та неспростовність авторства.

Крім того, використовуються радянський стандарт ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования», який у 2009 році був прийнятий в Україні як національний, і російський стандарт ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования».

З метою вирішення питань криптографічного захисту інформаціїще 22 травня 1998 року Указом Президента України № 505 було затверджено «Положення про порядок здійснення криптографічного захисту інформації в Україні» (далі - Положення), яке визначає порядок здійснення криптографічного захисту інформації з обмеженим доступом, розголошення якої може завдати шкоди державі, суспільству або особі.

Згідно п.3 Положення державну політику у сфері криптографічного захисту інформації (далі - КЗІ) відповідно до закону реалізує Державна служба спеціального зв'язку та захисту  інформації України (далі - Держспецзв'язку).

Згідно п.5 Положення державні органи, підприємства, установи і організації придбавають, вивозять з України, використовують криптосистеми і засоби КЗІ за погодженням з Адміністрацією Держспецзв'язку.

Згідно п.6 Положення з метою визначення рівня захищеності від несанкціонованого доступу до інформації з обмеженим доступом проводяться сертифікаційні випробування криптосистем і засобів криптографічного захисту.

Згідно п.11 Положення діяльність, пов'язану з розробкою, виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів КЗІ, а також з наданням послуг із КЗІ, можуть здійснювати суб'єкти підприємницької діяльності, зареєстровані в порядку, встановленому законодавством.

Крім того, в українському законодавстві щодо КЗІ є Закон «Про електронний цифровий підпис», прийнятий у 2003 році. Він визначає правовий статус ЕЦП та регулює відносини, що виникають при використанні ЕЦП.

У цьому Законі наведені нижче терміни вживаються в такому значенні:
- електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних;
- ЕЦП - вид електронного підпису, отриманого за результатом криптографічного перетворення набору даних, який додається до цього набору або логічно з ним поєднується. ЕЦП дає змогу підтвердити цілісність даних та ідентифікувати підписувача. ЕЦП накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа;
- засіб ЕЦП - програмний засіб, програмно-апаратний або апаратний пристрій, призначені для генерації ключів, накладення та/або перевірки ЕЦП;
- особистий ключ - параметр криптографічного алгоритму формування ЕЦП, доступний тільки підписувачу;
- відкритий ключ - параметр криптографічного алгоритму перевірки ЕЦП, доступний суб'єктам відносин у сфері використання ЕЦП;
- засвідчення чинності відкритого ключа - процедура формування його сертифіката;
- сертифікат відкритого ключа (далі - сертифікат ключа) - документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Сертифікати ключів можуть розповсюджуватися в електронній формі або у формі документа на папері та використовуватися для ідентифікації особи підписувача;
- посилений сертифікат відкритого ключа (далі - посилений сертифікат ключа) - сертифікат ключа, який відповідає вимогам цього Закону, виданий акредитованим центром сертифікації ключів, засвідчувальним центром, центральним засвідчувальним органом;
- акредитація - процедура документального засвідчення компетентності центра сертифікації ключів здійснювати діяльність, пов'язану з обслуговуванням посилених сертифікатів ключів;
- компрометація особистого ключа - будь-яка подія та/або дія, що призвела або може призвести до несанкціонованого використання особистого ключа
- блокування сертифіката ключа - тимчасове зупинення чинності сертифіката ключа;
- підписувач - особа, яка на законних підставах володіє особистим ключем та від свого імені або за дорученням особи, яку вона представляє, накладає ЕЦП під час створення електронного документа;
- послуги ЕЦП - надання у користування засобів ЕЦП, допомога при генерації відкритих та особистих ключів, обслуговування сертифікатів ключів (формування,  розповсюдження, скасування, зберігання, блокування та поновлення), надання інформації щодо чинних, скасованих і блокованих сертифікатів ключів, послуги фіксування часу, консультації та інші послуги, визначені цим Законом;
- надійний засіб ЕЦП - засіб ЕЦП, що має позитивний експертний висновок за результатами державної експертизи у сфері КЗІ. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюється у порядку, визначеному законодавством.

Згідно статті 2 Закону суб'єктами правових відносин у сфері послуг ЕЦП є:
- підписувач;
- користувач;
- центр сертифікації ключів (далі - ЦСК);
- акредитований центр сертифікації ключів (далі - АЦСК);
- центральний засвідчувальний орган (далі - ЦЗО);
- засвідчувальний центр органу виконавчої влади або іншого державного органу (далі - засвідчувальний центр);
- контролюючий орган...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика