Система криптографической защиты информации

Владимир Мешков

Без использования криптографии сегодня немыслимо решение задач по обеспечению безопасности информации, связанных с конфиденциальностью и целостностью, аутентификацией и невозможностью отказа от авторства. Если до 1990 г. криптография обеспечивала защиту исключительно государственных линий связи, то в наши дни использование криптографических методов получило широкое распространение благодаря развитию компьютерных сетей и электронного обмена данными в различных областях: финансах, банковском деле, торговле и т. д.

Управление ключами

Важнейшую роль в криптографии играет управление ключами. Это основа для обеспечения конфиденциальности обмена информацией, идентификации и целостности данных.

Целью управления ключами является нейтрализация таких угроз, как:

n  компрометация конфиденциальности секретных ключей;

n  компрометация аутентичности секретных или открытых ключей. При этом под аутентичностью понимается знание или возможность проверки идентичности корреспондента, для обеспечения конфиденциальной связи с которым используется данный ключ;

n  несанкционированное использование секретных или открытых ключей, например использование ключа, срок действия которого истек.

Для снижения риска компрометации конфиденциальности секретных ключей необходимо ограничить круг лиц, у которых есть доступ к ключевой информации. Работать с ключами должен специально подготовленный персонал, имеющий соответствующие полномочия (допуск).

Исходя из этого требования, разработаем модель системы криптографической защиты информации (СКЗИ), в которой доступ к ключам имеет только администратор системы. Назначение СКЗИ – криптографическое преобразование информации в соответствии с алгоритмом ГОСТ 28147-89, режим гаммирования.

Данная система реализована для операционной системы Linux, версия ядра – 2.4.17, компилятор gcc-2.95.3.

Алгоритм шифрования ГОСТ 28147-89

Алгоритм ГОСТ 28147-89 был разработан в СССР и является стандартом шифрования Российской Федерации, описывает принципы криптографического преобразования данных для передачи в компьютерных сетях, отдельных компьютерных комплексах или компьютерах, их шифрования и создания цифровых подписей.

Алгоритм ГОСТ 28147-89 криптографического преобразования предназначен как для аппаратной реализации, так и для программых реализаций, он удовлетворяет необходимым общемировым стандартам криптостойкости и не определяет ограничений на уровень секретности защищаемой информации.

Этот стандарт является обязательным для организаций и компаний РФ, которые используют шифровальную защиту для данных, загружаемых или передаваемых через компьютерные сети, отдельные компьютерные комплексы.

Стандарт алгоритма ГОСТ 28147-89 для криптографической защиты данных в компьютерных системах был опубликован в 1990 году и в настоящее время широко используется в программном обеспечении. В отличие от его собрата, алгоритма DES, принятого в качестве федерального стандарта США, ГОСТ 28147-89 позволяет достигать большего уровня секретности данных в силу отсутсвия ограничений на уровень секретности защищаемой информации.

Данный алгоритм, подобно DES, работает с блоками размером по 64 бита, но на этом их сходство заканчивается и следуют различия:

n  ГОСТ 28147-89 содержит 32 цикла преобразования, в отличие от 16 циклов DES.

n  Каждый цикл в ГОСТ 28147-89 состоит из более простых операций, чем в DES, что сказывается на скорости работы.

n  В отличие от длины ключа в DES (56 бит), стандарт ГОСТ 28147-89 описывает длину ключа 256 бит.

n  ГОСТ 28147-89 работает на порядок быстрее DES.

Состав СКЗИ и назначение структурных элементов

В состав СКЗИ входят следующие элементы:

n  модуль генерации ключевых данных;

n  драйвер криптографического преобразования (далее драйвер). Непосредственно выполняет операции криптографического преобразования информации. Содержит блок криптографического преобразования (БКП) и блок хранения ключевой информации (БКИ);

n  модуль записи ключевых данных (МКД). Осуществляет запись ключевых данных в БКИ драйвера;

n  модуль взаимодействия с драйвером (МВ). Осуществляет информационный обмен с драйвером при выполнении операций криптографического преобразования.

Алгоритм функционирования СКЗИ

Структурная схема СКЗИ представлена на рис. 1-3.

Информация, подлежащая преобразованию, поступает на вход модуля МВ. МВ, получив блок данных, вызывает системную функцию sys_gost. Данная функция дополнительно вводится в состав ядра ОС Linux. Блок входных данных является параметром вызова sys_gost. Если драйвер не загружен, функция sys_gost никаких преобразований не выполняет и возвращает вызывающему модулю нулевое значение (рис. 1).