Средства фирмы «АНКАД» для комплексной защиты информации

Кадровое ядро коллектива фирмы «АНКАД», образованной в 1991 г., составили разработчики отечественных интегральных микропроцессоров завода «Ангстрем» под руководством Ю.В.Романца.
Первым серьезным достижением фирмы стал отечественный 32-разрядный шифрпроцессор «Блюминг», определивший дальнейшую судьбу компании
Фирма по настоящее время успешно действует в области разработки и производства средств защиты информации. Более чем за 10 лет деятельности она существенно расширила ассортимент своих разработок и изделий. Если в начале 90-х здесь предлагались только аппаратные шифраторы серии КРИПТОН, то сейчас компания продвигает на рынок комплексные решения по защите информации на основе собственных разработок, и для специалистов фирмы практически не осталось «белых пятен» в области защиты информации, что позволяет компании создавать решения на основе разнообразных технологий. 
Самыми распространенными средствами защиты информации на основе технологий фирмы стали следующие.
  • Аппаратные шифраторы серии КРИПТОН.
  • Устройства ограничения доступа к компьютеру («электронный замок») КРИПТОН-замок.
  • Программные шифраторы для операционных систем Windows, DOS, UNIX – Crypton Emulator.
  • Программные средства ЭЦП КРИПТОН-подпись.
  • Не имеющие аналогов сетевые адаптеры для сетей Ethernet и FastEthernet – «AncNet 10/100».
  • Сетевые криптомаршрутизаторы КРИПТОН-IP.
  • Средства аутентификации пользователя «ruToken».
Еще одним важным направлением деятельности фирмы стало заказное проектирование средств вычислительной техники. При этом компетенция ее специалистов позволяет выполнять заказы самого широкого профиля – от разработки элементной базы до создания комплексных решений. Показателен в этом смысле кадровый состав фирмы. Из 50 человек общего числа работников 30 являются разработчиками высшей квалификации. Такой уровень позволяет компании выполнять даже самые сложные разработки в сжатые сроки и на самом высоком уровне.
Работа фирмы связана с созданием устройств, предназначенных для зашиты конфиденциальной, а также информации, содержащей сведения, которые составляют государственную тайну. Она обладает целым набором лицензий, обеспечивающих легитимную работу в данной области (ФСБ, Гостехкомиссии, 6 лицензий ФАПСИ).
Проблемы защиты информации в Internet
На данном этапе развития информационных технологий происходит постепенное вытеснение бумажного документооборота электронным практически в организациях любых областей деятельности. Однако, имея неоспоримые достоинства, это новшество «грешит» и недостатками, нуждаясь, например, в защите передаваемых электронных документов.
Наиболее остро вопрос защиты документооборота ощущается в организациях, имеющих территориально распределенную структуру и глобальные вычислительные сети общего пользования, например Internet. А его использование для передачи данных наиболее опасно из-за огромного числа пользователей. Ведь среди них найдутся и те, кому будет исключительно полезной передаваемая вами или для вас информация!
Угрозы со стороны таких пользователей можно разделить на две основные категории. Угроза конфиденциальности информации, т.е. несанкционированное ознакомление с документами. И угроза целостности информации – возможные попытки изменить в процессе передачи электронный документ или навязать ложный его вариант под видом легального. Соответственно существуют и два основных метода защиты от подобных угроз: шифрование для обеспечения конфиденциальности электронных документов и электронная подпись для обеспечения целостности и точного установления авторства документа.
Шифрование
Это процесс преобразования открытых данных в закрытые по определенному криптографическому алгоритму с использованием секретного ключевого элемента – ключа шифрования. Стандартом его в России служит алгоритм ГОСТ 28147-89. Он является симметричным, т.е. для зашифровки и последующей расшифровки информации используется одно и то же криптографическое преобразование.
Секретный элемент криптографического преобразования – ключ шифрования – может храниться, например, в файле на дискете или на каком-либо другом ключевом носителе (смарт-карте, USB-ключе и т.п.). Необходимо, чтобы все пользователи, предполагающие обмениваться зашифрованными документами, получили некий набор ключей шифрования, что позволило бы адресатам расшифровывать документы, предварительно зашифрованные отправителями.
Простейший случай – все абоненты компьютерной сети организации получают один и тот же секретный ключ шифрования. Но, как и все простое, такая схема имеет ряд недостатков.
  • Все абоненты сети имеют один и тот же ключ шифрования. Таким образом, любые зашифрованные этим ключом документы могут быть расшифрованы любым же абонентом сети, т.е. невозможно отправить некий документ какому-либо абоненту лично.
  • При компрометации ключа шифрования (утере, хищении и т.д.) под угрозой нарушения конфиденциальности окажется весь документооборот, и ключи шифрования придется срочно менять.
  • Такие ключи необходимо передавать «из рук в руки», т.е. невозможно, например, переслать их по электронной почте.
  Первые два недостатка устраняются с помощью ключевой системы типа «полная матрица» (рис. 1). Она содержит матрицу ключей для связи «каждый с каждым» (ключи парной связи). Это означает, что каждый из ключей матрицы доступен только двум из абонентов сети. Каждый абонент снабжается строкой ключей из данной матрицы, предназначенных для его связи с остальными абонентами сети. Таким образом, существует возможность посылать документы кому-либо, зашифровав их на ключе парной связи, что делает документ недоступным для остальных. Проще и с компрометацией – при утере какого-либо ключа стоит бояться лишь за те документы, которые посылались владельцами конкретного ключа друг другу. Соответственно новый ключ взамен скомпрометированного необходимо заменить только у двух абонентов, а не у всех.
И снова о недостатках.
  • При необходимости послать один и тот же документ нескольким абонентам в зашифрованном виде следует зашифровывать его несколько раз (по числу адресатов) и не перепутать, кому какой из зашифрованных файлов отсылать.
  • Остается необходимость передачи ключей «из рук в руки».
Проблема передачи ключей решается через схему открытого их распределения. Это означает, что с помощью определенного алгоритма ключ шифрования «делится» на секретную и открытую части. Секретная, называемая «секретным ключом», хранится у его владельца, а открытая часть («открытый ключ») передается остальным абонентам сети. Таким образом, каждый абонент имеет в своем распоряжении собственный секретный ключ и открытые ключи всех остальных абонентов. С помощью «своего» секретного ключа и открытого ключа адресата отправитель вычисляет ключ парной связи и зашифровывает документы, предназначенные для данного получателя. Получатель же, уже с помощью «своего» секретного ключа и открытого ключа отправителя вычисляет тот же ключ парной связи и расшифровывает документы.
Таким образом, использование схемы открытого распределения ключей дает те же положительные моменты, что и «полная матрица». При этом нейтрализуется и недостаток – проблема распределения ключей.
Открытые ключи можно распределять свободно, по открытым каналам связи, поскольку, даже имея полный набор открытых ключей всех абонентов сети, злоумышленник не сможет расшифровать конфиденциальный документ, предназначенный конкретному адресату.
Существенное достоинство открытого распределения ключей состоит в том, что одни и те же ключи могут быть использованы и для шифрования документов, и для электронной подписи. При использовании других ключевых схем это недостижимо.
Электронная подпись
  Электронная цифровая подпись (ЭЦП) – средство, позволяющее на основе криптографических методов установить авторство и целостность электронного документа. В России также существует стандарт ЭЦП – алгоритм ГОСТ Р 34.10 – 94.
Ключевая система данного алгоритма полностью идентична описанной (при шифровании с открытым распределением ключей).
  • Каждый пользователь имеет собственный секретный ключ, с помощью которого подписывает электронные документы таким образом, что, не имея секретного ключа, подделать его подпись невозможно.
  • Парный секретному открытый ключ используется для проверки ЭЦП.
Результатом проверки ЭЦП является установление автора документа и утверждение – верна или нет подпись конкретного документа, т.е. действительно ли она поставлена автором документа, и не был ли документ изменен в процессе его передачи.
Комплексная защита информации
Естественно, для защиты конфиденциальности и целостности информации следует использовать в комплексе шифрование и ЭЦП (что также можно совместить с каким-либо дополнительным сервисом, например, сжатием информации). В качестве примера можно привести алгоритм создания специализированного архива (рис. 2).
Создаваемый таким образом файл-архив можно смело передавать через Internet. При создании архива исходные файлы подписываются на секретном ключе пользователя (по алгоритму ГОСТ 34.10 – 94), затем файлы сжимаются и получаемый в результате сжатия архив шифруется на случайном временном ключе (по алгоритму ГОСТ 28147-89). Абоненты, которым предназначается архив, могут расшифровать его с помощью записанного в архив зашифрованного временного ключа. Он зашифровывается на парно-связном ключе, вычисляемом из секретного ключа отправителя и открытого ключа получателя. Таким образом, достигаются следующие цели.
  • Передаваемые электронные документы снабжаются электронной подписью, которая защищает их от нарушения целостности или подмены.
  • Документы передаются в защищенном виде, что обеспечивает их конфиденциальность.
  • Пользователи-адресаты могут расшифровать документы, используя свой секретный и открытый ключ отправителя.
  • Пользователи, которым не предназначается данный архив, не могут прочитать его содержимое, поскольку не имеют временного ключа и не могут его вычислить.
  • Дополнительный сервис – уменьшение размера, обусловленное архивацией.
Средства комплексной защиты информации от фирмы «АНКАД»
Описанный комплексный метод защиты электронных документов с использованием отечественных криптографических алгоритмов реализуется в следующих продуктах фирмы «АНКАД».
1. Комплекс программ Crypton ArcMail. Предназначен для защиты файлов и каталогов, выбираемых пользователем в главном окне программы. Имеет удобный и знакомый пользователям интерфейс, схожий с интерфейсом проводника Windows (Explorer). Входящая в данный комплекс программа «Мастер ключей» дает возможность генерировать криптографические ключи для всех форматов, поддерживаемых комплексом Crypton ArcMail (и рядом других продуктов фирмы «АНКАД»). Кроме того, Crypton ArcMail автоматически ведет журналы операций, выполняемых его пользователями, что полезно для разбора конфликтных ситуаций, возникновение которых возможно вследствие неосторожности или злого умысла пользователя.
Комплекс Crypton ArcMail является идеальным инструментом подготовки защищенных сообщений для их последующей передачи по открытым канала связи. Crypton ArcMail имеет также интерфейс разработчика (библиотека функций Crypton ArcMail), что позволяет функционально встраивать его в различные пользовательские программы.
Комплекс и библиотека Crypton ArcMail имеют сертификаты ФАПСИ, что подтверждает корректность реализованных в них криптоалгоритмов ГОСТ 28147 – 89 и ГОСТ Р 34.10 – 94.
2. Комплекс программ «Защищенный офис». При инсталляции на компьютер данный комплекс автоматически встраивается в программы Microsoft Word, Microsoft Excel, Microsoft Outlook и позволяет зашифровывать, подписывать документы, обрабатываемые в Microsoft Word и Microsoft Excel, с помощью кнопок дополнительных панелей управления. Кроме того, данный комплекс автоматически защищает сообщения электронной почты, отправляемые с помощью Microsoft Outlook, и их вложения. При получении защищенного письма производятся его автоматическое расшифровывание и проверка ЭЦП. Аналогичные действия ведутся в Microsoft Word и Microsoft Excel при открытии защищенного документа.
Исключительное удобство использования данного комплекса состоит в его интегрированности с популярными офисными программами семейства Microsoft Office, что позволяет выполнять все действия по защите электронных документов, не выходя из программ, в которых защищаемые документы создаются и редактируются.
Комплекс программ «Защищенный офис» разработан с помощью библиотеки Crypton ArcMail, имеет сертифицированное криптоядро.
Кроме него фирма «АНКАД» предлагает комплекс программ Crypton Lite, обеспечивающий электронную подпись файлов, а также их шифрование по ключевой системе «полная матрица». Входящие в комплекс программные средства КРИПТОН® «Подпись» и КРИПТОН® «Шифрование» встраиваются в контекстное меню проводника Windows.
Программный комплекс Crypton LITE также имеет сертификат ФАПСИ.

Дмитрий Дударев,
Сергей Панасенко,

Фирма АНКАД