EDMS „Corporate Document Flow” acceptă utilizarea semnături digitale electronice (EDS) atunci când lucrați cu fișiere de sistem. Suportul EDS este oferit la nivelul încorporat în platformă „1C: Enterprise 8.3 / 8.2” criptografie și mecanisme de criptare, precum și utilizarea obiectelor de metadate de configurare suplimentare.
Pentru a activa posibilitatea de a utiliza semnături digitale în sistemul de flux de documente, deschideți formularul de setare a parametrilor sistemului „Setarea parametrilor: sistem” (situat în subsistemul „Administrare sistem”).
În fila „Setări generale”, activați caseta de selectare „Utilizați semnături digitale electronice”, apoi faceți clic pe butonul „Setări de criptare”.
În fereastra care se deschide, selectați tipul de furnizor (pentru furnizor CryptoPro valoarea ar trebui să fie egală cu 75) și alți parametri. Când utilizați furnizorul CryptoPro (Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider), următoarele valori vor fi introduse automat:
- Algoritm de semnătură: GOST R 34.10-2001
- Algoritm hash: GOST R 34.11-94
- Algoritm de criptare: GOST 28147-89
Dacă verificarea semnăturii digitale este efectuată pe un server și sistemul de operare Linux este utilizat ca server, atunci trebuie să specificați calea către modulul său de criptare.
Un exemplu de configurare a unui modul de criptare pentru CryptoPro este prezentat în figura de mai jos.
Pentru a lucra cu semnături digitale electronice în sistemul de management al documentelor, trebuie mai întâi să le obțineți de la furnizorul de semnături digitale. Pentru a testa funcționarea și a instrui utilizatorii, puteți obține semnături digitale de testare de la centrul de certificare de testare CryptoPro. Următoarea secțiune prezintă un exemplu pas cu pas de obținere și instalare a unei semnături electronice.
Primirea și instalarea semnăturii digitale
Pentru a obține și instala o semnătură electronică, trebuie să instalați produs software„CryptoPro CSP 3.6”. Produsul poate fi descărcat de pe site-ul cryptopro.ru în secțiunea „Produse CIPF CryptoPro CSP/TLS/JSP”, punctul „Descărcare fișiere”.
Înainte de a descărca distribuția și de a începe să generați o semnătură electronică, trebuie să vă înregistrați pe site și să vă conectați la contul dvs.
În funcție de sistemul dvs. de operare, puteți descărca distribuția de care aveți nevoie, un exemplu este prezentat în figura de mai jos.
După descărcare, rulați instalarea din pachetul de distribuție, așteptați până când instalarea este finalizată și reporniți computerul. Acum puteți trece la generarea semnăturilor digitale pentru angajați.
După conectarea la site-ul web al furnizorului Crypto-Pro sub contul dvs., accesați secțiunea „Asistență” și selectați „Autoritatea de certificare de testare” sau utilizați accesul comercial la generarea semnăturii digitale de la acest furnizor.
Formarea unei semnături digitale electronice pe site-ul Crypto-Pro trebuie efectuată în browser-ul InternetExplorer (de preferință versiunea nu mai mică de 9) și trebuie să permiteți lucrul cu elemente ActiveX.
Pentru a începe procesul de generare a unei semnături digitale electronice, selectați „Generează chei și trimite o cerere de certificat”.
Pe noua pagina selectați „Creați și emiteți o solicitare către această CA”.
Se va deschide pagina de introducere a datelor angajaților. Este necesar să se indice numele complet, e-mail si alte date.
În secțiunea Tip de certificat necesar, specificați „Certificat de autentificare client”. Indicați, de asemenea, că trebuie să creați un nou set de chei CSP Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider.
Este necesar să marcați cheia ca exportabilă, să selectați formatul de solicitare PKCS10 și algoritmul de hashing GOST R 34.11-94 în parametrii suplimentari. Pentru a începe procesul de generare a unui certificat EDS, faceți clic pe butonul „Problemă”.
După ce faceți clic pe butonul „Problemă”, se va deschide un dialog pentru a selecta locația cheii exportate. Se recomandă selectarea suporturi amovibile. În exemplul nostru, vom selecta o unitate flash numită MyDrive.
În procesul de formare a semnăturii digitale electronice, va fi necesar să se lucreze cu un senzor biologic numere aleatorii. Numerele aleatorii sunt obținute prin mișcări ale mouse-ului și apăsări de taste.
Dacă apăsați butoanele mouse-ului, acest lucru va duce, de asemenea, la formarea de valori aleatorii, dar nu vă lăsați duși de cap, deoarece la finalizarea creării unui pachet de numere aleatorii, în loc de fereastra afișată, va fi afișată o fereastră în care veți va trebui să creați o parolă pentru semnătura digitală electronică și puteți face clic accidental pe un buton inutil din fereastra de generare a parolei.
După finalizarea cu succes a generării certificatului, sistemul vă va oferi să îl instalați pe sistemul dvs. de operare. Făcând clic pe linkul „Instalați acest certificat”, veți instala certificatul de semnătură digitală.
Certificatele sunt instalate în secțiunea de certificate a utilizatorului curent din directorul „Certificate de registru personal”.
Deschide această listă certificatele pot fi obținute prin meniul „Start Programs”, elementul „Crypto-Pro”. Figura de mai jos prezintă un exemplu pentru Windows 7.
După generarea certificatelor, puteți trece la utilizarea lor în EDMS „Corporate Document Flow”.
În prezent, sistemul implementează următoarele mecanisme legate de semnătura digitală:
- Semnarea documentelor cu semnătură digitală
- Verificarea semnăturilor documentelor
- Încărcarea documentelor și semnăturilor în fișiere
- Încărcarea documentelor și semnăturilor din fișiere
- Criptarea fișierelor cu posibilitatea de a se deschide către o listă specificată de persoane
Acțiunile de bază pot fi efectuate de pe cardul de fișiere. Figura de mai jos prezintă un card de fișier în partea de jos a formularului, în fila „EDS”, puteți semna documentul. Pentru a semna un document, faceți clic pe butonul „Semnați” și pe ecran va fi afișată o listă cu semnăturile angajaților existente pe acest computer, selectați semnătura dorită, introduceți parola și faceți clic pe butonul „Semnați”. Dosarul va fi semnat.
În secțiunea tabelară apare o înregistrare care conține numele complet al angajatului semnatar, data și ora semnării și un comentariu.
Un fișier semnat poate avea una sau mai multe semnături, dacă există cel puțin o semnătură, butoanele de editare a fișierului devin indisponibile.
Utilizatorii pot verifica oricând starea semnăturii făcând clic pe butonul „Verificați” sau „Verificați totul”. Dacă semnătura angajatului este corectă și documentul nu a fost modificat, atunci în coloana „Stare” va apărea intrarea „Corect”.
Fișierul poate fi salvat de pe card pe discul computerului dvs. pentru a face acest lucru, selectați din meniu „EDS și criptare” Elementul „Salvare cu semnătură digitală”.
Presupunând că fișierul salvat a fost modificat, puteți adăuga un caracter la conținutul fișierului salvat pentru a verifica. Acum să încărcăm fișierul în sistemul de gestionare a documentelor și, de asemenea, să încărcăm semnăturile digitale care au fost salvate cu acesta.
Să creăm un nou document corporativ în EDMS „Corporate Document Flow” și să adăugăm fișierul salvat la acesta, puteți adăuga un fișier trăgând fișierul în câmpul pentru lista de fișiere de document. Vom încărca fișierele de semnătură p7s mai târziu.
Acum deschideți cardul fișierului descărcat și selectați „Adăugați semnătură digitală din fișier” în meniul „EDS și criptare”. Selectați semnăturile angajaților salvate de pe disc și faceți clic pe butonul „OK”. Un exemplu de descărcare este prezentat în figura de mai jos.
Deoarece fișierul nostru a fost modificat de noi, verificarea semnăturilor dă o eroare. În coloana „Stare”, apare intrarea „Incorectă, valoarea Hash este incorectă”.
Acest mesaj indică faptul că semnătura digitală a angajaților a fost compromisă și nu mai este de încredere. Dacă nu ne-am fi schimbat fișierul de pe disc, atunci verificarea semnăturii digitale ar fi dat rezultatul corect.
EDMS „Corporate Document Flow” vă permite să criptați fișiere folosind semnături digitale.
Criptarea fișierelor vă permite să limitați accesul la un fișier numai acelor angajați care sunt listați în lista de utilizatori nu vor putea citi fișierul, chiar dacă au acces fizic la acesta; Fișierul este stocat în formă criptată conform GOST 28147-89.
După criptare, lista utilizatorilor care pot vizualiza fișierul se află în fila „Criptat pentru” a formularului cardului de fișier.
Încercarea de a deschide un fișier pentru a-l vizualiza are ca rezultat necesitatea introducerii parolei pentru semnătura digitală electronică.
Pentru a lucra cu mecanisme de semnătură digitală electronică, este necesară versiunea platformei 1C:Enterprise nu mai mică de 8.2.14.
Criptarea sistemului de fișiere
Criptare sistem de fișiere este un serviciu strâns integrat cu NTFS, situat în Nucleul Windows 2000. Scopul său: protejarea datelor stocate pe disc împotriva accesului neautorizat prin criptarea acestora. Apariția acestui serviciu nu este întâmplătoare și este așteptată de mult timp. Cert este că sistemele de fișiere care există astăzi nu asigură protecția necesară a datelor împotriva accesului neautorizat.
Un cititor atent ar putea obiecta la mine: ce zici de Windows NT cu NTFS? La urma urmei, NTFS oferă controlul accesului și protecția datelor împotriva accesului neautorizat! Da, este adevărat. Dar dacă accesul la Partiție NTFS Se realizează nu folosind sistemul de operare Windows NT, ci direct, la nivel fizic? La urma urmei, acest lucru este relativ ușor de implementat, de exemplu, pornind de pe o dischetă și rulând program special: de exemplu, ntfsdos foarte comune. Un exemplu mai sofisticat este produsul NTFS98. Desigur, puteți asigura această posibilitate și puteți seta o parolă pentru a porni sistemul, dar practica arată că o astfel de protecție este ineficientă, mai ales când mai mulți utilizatori lucrează pe același computer. Și dacă un atacator poate extrage hard disk de pe computer, atunci nicio parolă nu va ajuta aici. Prin conectarea unității la un alt computer, conținutul acesteia poate fi citit cu aceeași ușurință ca și acest articol. Astfel, un atacator poate intra liber în posesia informațiilor confidențiale stocate pe hard disk.
Singura modalitate de a vă proteja împotriva citirii fizice a datelor este criptarea fișierelor. Cel mai simplu caz al unei astfel de criptări este arhivarea unui fișier cu o parolă. Cu toate acestea, există o serie de dezavantaje serioase. În primul rând, utilizatorul trebuie să cripteze și să decripteze manual (adică, în cazul nostru, arhivarea și dezarhivarea) datele de fiecare dată înainte de a începe și după terminarea lucrului, ceea ce în sine reduce securitatea datelor. Utilizatorul poate uita să cripteze (arhivează) fișierul după ce a terminat lucrul sau (și mai obișnuit) pur și simplu să lase o copie a fișierului pe disc. În al doilea rând, parolele create de utilizator sunt de obicei ușor de ghicit. În orice caz, există un număr suficient de utilitare care vă permit să despachetați arhivele protejate prin parolă. De regulă, astfel de utilitare efectuează ghicirea parolelor căutând prin cuvintele scrise în dicționar.
Sistemul EFS a fost dezvoltat pentru a depăși aceste deficiențe. Mai jos vom analiza mai detaliat detaliile tehnologiei de criptare, interacțiunea EFS cu utilizatorul și metodele de recuperare a datelor, ne vom familiariza cu teoria și implementarea EFS în Windows 2000 și, de asemenea, vom analiza un exemplu de criptare a unui director folosind EFS.
Tehnologia de criptare
EFS utilizează arhitectura Windows CryptoAPI. Se bazează pe tehnologia de criptare cu cheie publică. Pentru a cripta fiecare fișier, o cheie de criptare a fișierului este generată aleatoriu. În acest caz, orice algoritm de criptare simetrică poate fi utilizat pentru a cripta fișierul. În prezent, EFS utilizează un algoritm, DESX, care este o modificare specială a standardului DES utilizat pe scară largă.
Chei Criptare EFS sunt stocate într-un pool de memorie rezident (EFS însuși se află în nucleul Windows 2000), ceea ce împiedică accesul neautorizat la ele prin fișierul de paginare.
Interacțiunea utilizatorului
În mod implicit, EFS este configurat astfel încât utilizatorul să poată începe să utilizeze imediat criptarea fișierelor. Criptarea și operațiunile inverse sunt acceptate pentru fișiere și directoare. Dacă un director este criptat, toate fișierele și subdirectoarele din acest director sunt criptate automat. Trebuie remarcat faptul că, dacă un fișier criptat este mutat sau redenumit dintr-un director criptat într-unul necriptat, acesta va rămâne în continuare criptat. Operațiunile de criptare/decriptare pot fi efectuate în două moduri diferite - folosind Windows Explorer sau utilitarul Cipher consola.
Pentru a cripta un director din Windows Explorer, utilizatorul trebuie pur și simplu să selecteze unul sau mai multe directoare și să bifeze caseta de criptare din fereastra de proprietăți avansate a directorului. Toate fișierele și subdirectoarele create ulterior în acest director vor fi, de asemenea, criptate. Astfel, puteți cripta un fișier prin simpla copiere (sau mutare) într-un director „criptat”.
Fișierele criptate sunt stocate pe disc în formă criptată. Când citiți un fișier, datele sunt decriptate automat, iar când scrieți, sunt criptate automat. Utilizatorul poate lucra cu fișiere criptate în același mod ca și cu fișiere obișnuite, adică deschideți și editați în editor de text Microsoft Documente Word, editați imagini în Adobe Photoshop sau editor grafic Vopsea, și așa mai departe.
Trebuie reținut că în niciun caz nu trebuie să criptați fișierele care sunt utilizate la pornirea sistemului - în acest moment cheia personală a utilizatorului, cu care se realizează decriptarea, nu este încă disponibilă. Acest lucru poate face imposibilă pornirea sistemului! EFS oferă protecție simplă împotriva unor astfel de situații: fișierele cu atributul „sistem” nu sunt criptate. Cu toate acestea, aveți grijă: acest lucru poate crea o gaură de securitate! Verificați dacă atributul fișierului este setat la „sistem” pentru a vă asigura că fișierul va fi de fapt criptat.
De asemenea, este important să rețineți că fișierele criptate nu pot fi comprimate folosind Windows 2000 și invers. Cu alte cuvinte, dacă un director este comprimat, conținutul său nu poate fi criptat, iar dacă conținutul directorului este criptat, atunci nu poate fi comprimat.
În cazul în care este necesară decriptarea datelor, trebuie pur și simplu să debifați casetele de criptare pentru directoarele selectate în Windows Explorer, iar fișierele și subdirectoarele vor fi decriptate automat. Trebuie remarcat faptul că această operațiune de obicei nu este necesară, deoarece EFS oferă utilizatorului o experiență „transparentă” cu date criptate.
Recuperarea datelor
EFS oferă suport încorporat pentru recuperarea datelor în cazul în care trebuie să le decriptați, dar din anumite motive acest lucru nu se poate face în mod normal. În mod implicit, EFS va genera automat o cheie de recuperare, va instala un certificat de acces în cont administrator și salvați-l prima dată când vă conectați. Astfel, administratorul devine un așa-numit agent de recuperare și va putea decripta orice fișier din sistem. Desigur, politica de recuperare a datelor poate fi modificată și o persoană specială responsabilă cu securitatea datelor, sau chiar mai multe astfel de persoane, poate fi numită agent de recuperare.
Puțină teorie
EFS criptează datele utilizând o schemă de chei partajate. Datele sunt criptate rapid algoritm simetric folosind cheia de criptare a fișierelor FEK (cheia de criptare a fișierelor). FEK este o cheie generată aleatoriu de o anumită lungime. Lungimea cheii în versiunea nord-americană a EFS este de 128 de biți, versiunea internațională a EFS utilizează o lungime redusă a cheii de 40 sau 56 de biți.
FEK este criptat cu una sau mai multe chei de criptare partajate, rezultând o listă de chei FEK criptate. Lista cheilor FEK criptate este stocată într-un atribut special EFS numit DDF (câmp de decriptare a datelor). Informațiile utilizate pentru criptarea datelor sunt strâns legate de acest fișier. Cheile publice sunt extrase din perechile de chei utilizator certificat X509 cu oportunitate suplimentară folosind „Criptarea fișierelor”. Cheile private de la aceste perechi sunt utilizate în decriptarea datelor și FEK. Partea privată a cheilor este stocată fie pe carduri inteligente, fie într-o altă locație securizată (de exemplu, în memorie, a cărei securitate este asigurată folosind CryptoAPI).
FEK este, de asemenea, criptat folosind una sau mai multe chei de recuperare (derivate din certificatele X509 înregistrate în politica de recuperare a datelor criptate a computerului, cu o opțiune opțională „Recuperare fișiere”).
Ca și în cazul precedent, partea publică a cheii este utilizată pentru a cripta lista FEK. O listă de chei FEK criptate este, de asemenea, stocată împreună cu fișierul într-o zonă specială a EFS numită DRF (câmp de recuperare a datelor). DRF folosește doar partea comună a fiecărei perechi de chei pentru a cripta lista FEK. Pentru operațiuni normale cu fișiere, sunt necesare doar cheile de recuperare partajate. Agenții de recuperare își pot stoca cheile private într-o locație sigură în afara sistemului (de exemplu, pe carduri inteligente). Figura prezintă diagrame ale proceselor de criptare, decriptare și recuperare a datelor.
Proces de criptare
Fișierul necriptat al utilizatorului este criptat folosind un FEK generat aleatoriu. Această cheie este scrisă împreună cu fișierul, iar fișierul este decriptat folosind cheia publică a utilizatorului (stocată în DDF), precum și cheia publică a agentului de recuperare (stocat în DRF).
Proces de decriptare
În primul rând, cheia privată a utilizatorului este utilizată pentru a decripta FEK - acest lucru se face folosind versiunea criptată a FEK care este stocată în DDF. FEK-ul decriptat este folosit pentru a decripta fișierul bloc cu bloc. Dacă în dosar mare blocurile nu sunt citite secvenţial, apoi sunt decriptate numai blocurile care pot fi citite. Fișierul rămâne criptat.
Proces de recuperare
Acest proces este similar cu decriptarea, cu diferența că cheia privată a agentului de recuperare este utilizată pentru a decripta FEK, iar versiunea criptată a FEK este preluată din DRF.
Implementare în Windows 2000
Figura prezintă arhitectura EFS:
EFS constă din următoarele componente:
Driver EFS
Această componentă este localizată logic deasupra NTFS. Interacționează cu serviciul EFS, primește chei de criptare a fișierelor, DDF, câmpuri DRF și alte date de gestionare a cheilor. Driverul transmite aceste informații către FSRTL (biblioteca de rulare a sistemului de fișiere) pentru a executa în mod transparent diverse fișiere operațiuni ale sistemului(de exemplu, deschiderea unui fișier, citirea, scrierea, adăugarea de date la sfârșitul fișierului).
Biblioteca EFS Runtime (FSRTL)
FSRTL este un modul din interiorul driverului EFS care efectuează apeluri externe către NTFS pentru a efectua diverse operațiuni ale sistemului de fișiere, cum ar fi citirea, scrierea, deschiderea fișierelor și directoarelor criptate, precum și operațiuni de criptare, decriptare, recuperare a datelor atunci când scrieți pe disc și citiți de pe disc. . Deși driverul EFS și FSRTL sunt implementate ca o singură componentă, nu interacționează niciodată direct. Ei folosesc mecanismul de apel NTFS pentru a schimba mesaje între ei. Acest lucru asigură că NTFS este implicat în toate operațiunile cu fișiere. Operațiunile implementate folosind mecanisme de gestionare a fișierelor includ scrierea datelor în atributele fișierului EFS (DDF și DRF) și transmiterea FEK-urilor calculate prin EFS către biblioteca FSRTL, deoarece aceste chei trebuie setate în contextul fișierului deschis. Acest context deschis al fișierului permite apoi criptarea și decriptarea discretă a fișierelor, pe măsură ce fișierele sunt scrise și citite de pe disc.
Serviciul EFS
Serviciul EFS face parte din subsistemul de securitate. Utilizează portul de comunicare LPC existent între LSA (Autoritatea de securitate locală) și monitorul de securitate în modul kernel pentru a comunica cu driverul EFS. În modul utilizator, serviciul EFS interacționează cu CryptoAPI pentru a furniza chei de criptare a fișierelor și pentru a oferi generarea DDF și DRF. În plus, serviciul EFS acceptă API-ul Win32.
Win32 API
Oferă o interfață de programare pentru criptare deschide fișiere, decriptarea și recuperarea fișierelor închise, recepția și transmiterea fișierelor închise fără a le decripta mai întâi. Implementat ca standard biblioteca de sistem advapi32.dll.
Puțină practică
Pentru a cripta un fișier sau un director, urmați acești pași:
- Lansați Windows Explorer, faceți clic dreapta pe director, selectați Proprietăți.
- În fila General, faceți clic pe butonul Avansat.
- Bifați caseta de lângă „Criptați conținutul pentru a securiza datele”. Faceți clic pe OK, apoi faceți clic pe Aplicare în caseta de dialog Proprietăți. Dacă ați ales să criptați un fișier individual, va apărea suplimentar o casetă de dialog care arată astfel:
Sistemul oferă să cripteze și directorul în care se află fișierul selectat, deoarece în caz contrar criptarea va fi anulată automat la prima modificare a unui astfel de fișier. Țineți întotdeauna cont de acest lucru atunci când criptați fișiere individuale!
În acest moment, procesul de criptare a datelor poate fi considerat finalizat.
Pentru a decripta directoare, pur și simplu debifați opțiunea „Criptați conținutul pentru a securiza datele”. În acest caz, directoarele, precum și toate subdirectoarele și fișierele conținute în acestea, vor fi decriptate.
Concluzii
- EFS din Windows 2000 oferă utilizatorilor posibilitatea de a cripta directoarele NTFS folosind o schemă criptografică puternică, cu chei partajate, iar toate fișierele din directoarele private vor fi criptate. Criptare fișiere separate acceptat, dar nu este recomandat din cauza comportamentului imprevizibil al aplicației.
- EFS acceptă, de asemenea, criptarea fișiere șterse, care sunt accesate ca resurse partajate. Dacă există profiluri de utilizator pentru conectare, se folosesc cheile și certificatele profilurilor de la distanță. În alte cazuri, sunt generate profiluri locale și sunt folosite cheile locale.
- Sistemul EFS vă permite să setați o politică de recuperare a datelor astfel încât datele criptate să poată fi recuperate folosind EFS dacă este necesar.
- Politica de recuperare a datelor este integrată în politica generală de securitate Windows 2000. Aplicarea politicii de recuperare poate fi delegată persoanelor autorizate. Fiecare unitate organizațională poate avea propria politică de recuperare a datelor configurată.
- Recuperarea datelor în EFS este o operațiune închisă. Procesul de recuperare decriptează datele, dar nu cheia utilizatorului cu care au fost criptate datele.
- Lucrul cu fișiere criptate în EFS nu necesită ca utilizatorul să facă niciun pas special pentru a cripta și decripta datele. Decriptarea și criptarea apar neobservate de utilizator în timpul procesului de citire și scriere a datelor pe disc.
- Sistemul EFS acceptă backupși recuperarea fișierelor criptate fără a le decripta. NtBackup acceptă backup-ul fișierelor criptate.
- EFS este integrat în sistemul de operare în așa fel încât scurgerea de informații prin fișierele swap este imposibilă, asigurând în același timp că toate copii create va fi criptat
- Sunt furnizate numeroase măsuri de precauție pentru a asigura siguranța recuperării datelor, precum și protecția împotriva scurgerilor și pierderii datelor în cazul unor defecțiuni fatale ale sistemului.
Cerințe de bază pentru cifruri
· un mesaj criptat trebuie să poată fi citit numai dacă cheia este disponibilă;
· numărul de operațiuni necesare pentru a determina cheia de criptare utilizată dintr-un fragment dintr-un mesaj criptat și textul simplu corespunzător trebuie să fie cel puțin numărul total posibile chei;
· numărul de operațiuni necesare pentru decriptarea informațiilor prin căutarea prin toate cheile posibile trebuie să aibă o limită inferioară strictă și să depășească limitele posibilităților calculatoare moderne(ținând cont de posibilitatea utilizării calculului în rețea);
· cunoașterea algoritmului de criptare nu ar trebui să afecteze fiabilitatea protecției
o ușoară modificare a cheii ar trebui să conducă la o schimbare semnificativă a tipului de mesaj criptat, chiar și atunci când se criptează același text sursă;
· o ușoară modificare a textului sursă ar trebui să conducă la o schimbare semnificativă a tipului de mesaj criptat, chiar și atunci când se utilizează aceeași cheie;
· elementele structurale ale algoritmului de criptare trebuie să rămână neschimbate;
· biții suplimentari introduși în mesaj în timpul procesului de criptare trebuie să fie complet și sigur ascunși în textul cifrat;
· lungimea textului cifrat trebuie să fie egală cu lungimea textului original;
· nu ar trebui să existe dependențe simple și ușor de stabilit între cheile utilizate secvenţial în procesul de criptare;
· orice cheie din setul de posibile trebuie să furnizeze protecţie fiabilă informaţii;
· algoritmul trebuie să permită implementarea atât software cât și hardware, în timp ce modificarea lungimii cheii nu ar trebui să conducă la o deteriorare calitativă a algoritmului de criptare.
Implementări software ale cifrurilor
Posibilitatea implementării software se datorează faptului că toate metodele de transformare criptografică sunt formale și pot fi prezentate sub forma unei proceduri algoritmice finale.
La avantaje implementarea software-ului poate fi atribuită flexibilității și portabilității sale. Cu alte cuvinte, un program scris pentru un sistem de operare poate fi modificat pentru orice tip de sistem de operare. De asemenea, actualizați software posibil cu mai puțin timp și bani. În plus, multe progrese moderne în domeniul protocoalelor criptografice nu sunt disponibile pentru implementare în hardware.
Spre dezavantaje software protecţie criptografică Ar trebui luată în considerare posibilitatea de a interfera cu algoritmii de criptare și de a obține acces la informațiile cheie stocate în memoria publică. Aceste operații sunt de obicei efectuate folosind un set simplu instrumente software. Deci, de exemplu, în multe sisteme de operare O descărcare de urgență a memoriei este efectuată pe hard disk și pot exista chei în memorie care nu sunt greu de găsit.
Astfel, securitatea fizică slabă a software-ului este unul dintre principalele dezavantaje ale unor astfel de metode de implementare a algoritmilor de criptare.
Implementare software și hardware
ÎN în ultima vreme Au început să apară instrumente de criptare combinate, așa-numitele. software și hardware. În acest caz, computerul folosește un fel de „coprocesor criptografic” - un dispozitiv de calcul axat pe efectuarea de operațiuni criptografice (adăugarea de module, schimbarea etc.). Schimbând software-ul pentru un astfel de dispozitiv, puteți alege una sau alta metodă de criptare.
Principalele funcții atribuite hardware-ului complexului software-hardware pentru protecția informațiilor criptografice sunt de obicei generarea de informații cheie și stocarea acesteia în dispozitive protejate de accesul neautorizat de către un atacator. În plus, folosind tehnici de acest tip, este posibilă autentificarea utilizatorilor folosind parole (statice sau schimbătoare dinamic, care pot fi stocate pe diverse medii de informații cheie), sau pe baza caracteristicilor biometrice unice pentru fiecare utilizator. Un dispozitiv pentru citirea unor astfel de informații poate face parte din implementarea software și hardware a instrumentelor de securitate a informațiilor.
Microsoft Office 2010 conține opțiuni care vă permit să controlați ce date sunt criptate atunci când utilizați Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 și Microsoft Word 2010. Acest articol discută despre criptarea și criptarea în Office 2010, descriind opțiunile caracteristicilor de criptare a datelor și oferind informații despre compatibilitatea moștenită versiuni Microsoft Birou.
Pe măsură ce vă planificați opțiunile de criptare, luați în considerare următoarele linii directoare:
- Vă recomandăm să nu faceți modificări la setările implicite de criptare decât dacă modelul de securitate al organizației dvs. necesită setări de criptare care diferă de setările implicite.
- Vă recomandăm să utilizați o lungime și o complexitate a parolei care să asigure că sunt folosite parole puternice atunci când criptați datele.
- Vă recomandăm Nu utilizați criptarea RC4.
- Nu există nicio setare administrativă care să vă permită să forțați utilizatorii să cripteze documentele. Cu toate acestea, există o setare administrativă care vă permite să eliminați posibilitatea de a adăuga parole pentru documente și astfel preveniți criptarea documentelor.
- Salvarea documentelor în locații de încredere nu afectează setările de criptare. Dacă documentul este criptat și stocat într-o locație sigură, utilizatorul trebuie să furnizeze o parolă pentru a deschide documentul.
În acest articol:
Despre criptare și criptare în Office 2010
Algoritmii de criptare disponibili pentru utilizare cu Office depind de algoritmii care pot fi disponibili prin API (interfața de programare a aplicației) în sistemul de operare Windows. Office 2010, pe lângă faptul că oferă suport pentru CryptoAPI (CryptoAPI), include și suport pentru CNG (CryptoAPI: Next Generation), care a fost introdus pentru prima dată în Microsoft Office System SP2 din 2007.
CNG permite o criptare mai flexibilă, unde puteți specifica algoritmi care acceptă diferite criptări și hashing pe computerul slave pentru a fi utilizați în timpul procesului de criptare a documentului. CNG permite, de asemenea, o mai bună extensibilitate a criptării, unde poate fi utilizată criptarea modulelor terță parte.
Atunci când Autoritatea utilizează CryptoAPI, algoritmii de criptare depind de cei furnizați de CSP (furnizorul de servicii de criptare) care face parte din sistemul de operare Windows. Următoarea cheie de registry conține o listă de CSP instalate pe computer:
HKEY_LOCAL_MACHINE/software/microsoft/encryption/default/vendor
Următorii algoritmi de criptare CNG sau orice alte cifruri de extensie CNG instalate pe sistem pot fi utilizați cu Office 2010 sau Office 2007 Service Pack 2:
AES, DES, DESX, 3DES, 3DES_112 și RC2
Următorii algoritmi de hash LNG sau orice alte extensii ale cifrurilor LNG instalate pe sistem pot fi utilizați cu sistemul Office 2010 sau cu sistemul Office 2007 SP2:
MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 și SHA512
Deși există opțiuni Office 2010 pentru a modifica modul în care se realizează criptarea, la criptarea fișierelor în format Open XML (.docx, .xslx, .pptx etc.) valorile implicite sunt AES (Advanced Encryption Standard), lungimea cheii de 128 de biți , SHA1 și CBC (cipher block chain) - oferă o criptare puternică și ar trebui să fie bune pentru majoritatea organizațiilor. Criptarea AES este cel mai puternic algoritm standard disponibil și a fost selectat de Agenția Națională de Securitate (NSA) pentru a fi utilizat ca standard pentru guvernul Statelor Unite. Criptarea AES este acceptată pe Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 și Windows Server 2008.
Opțiuni de criptare și criptare
Următorul tabel listează opțiunile disponibile pentru modificarea algoritmilor de criptare atunci când utilizați versiunea Microsoft Office disponibilă pentru CryptoAPI. Aceasta include versiuni de Office până la și inclusiv Office 2010.
|
Setări |
Descriere |
| Tip de criptare pentru Fișiere Office Deschide XML, protejat prin parolă | Această opțiune vă permite să setați tipul de criptare pentru fișierele Open XML de la furnizorii de servicii criptografice (CSP) disponibili. Această setare este necesară atunci când utilizați criptarea personalizată a suplimentului COM. A primi Informații suplimentare Consultați „2007 Office Encryption System Developers Guide”, care este disponibil ca parte a sharepoint Server 2007 SDK. Această setare este necesară dacă utilizați 2007 Office System SP1 sau utilizați o versiune a pachetului de compatibilitate care este mai veche decât pachetul de compatibilitate Microsoft Office pentru formatele de fișiere Word, Excel și PowerPoint și doriți să schimbați algoritmul de criptare în ceva altele decât cele implicite. |
| Tip de criptare pentru fișierele Office 97-2003 protejate cu parolă | Această opțiune vă permite să setați tipul de criptare pentru fișierele Office 97–2003 (binare) de la furnizorii de servicii criptografice (CSP) disponibili. Singurul algoritm acceptat atunci când utilizați această opțiune este RC4, pe care, așa cum am menționat mai devreme, nu îl recomandăm. |
În Office 2010, dacă trebuie să modificați setarea tip de criptare pentru fișierele Office Open XML protejate cu parolă, mai întâi trebuie să activați opțiunea Compatibilitatea criptării vă rugăm să specificațiși selectați o opțiune utilizați formatul moștenit. Parametru specificați compatibilitatea de criptare Disponibil pentru acces în 2010, Excel 2010, PowerPoint 2010 și Word 2010.
Următorul tabel listează opțiunile disponibile pentru modificarea algoritmilor de criptare atunci când utilizați Office 2010. Aceste opțiuni se aplică pentru Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 și Word 2010.
|
Setări |
Descriere |
| Configurarea algoritmului de criptare CNG | Această opțiune vă permite să configurați algoritmul de criptare CNG care este utilizat. Valoarea implicită este AES. |
| Configurați modul ambreiaj cod CNG | Această opțiune vă permite să configurați modul de criptare și lanț utilizat. Implicit este Cipher block chaining (CBC). |
| Setați lungimea cheii de criptare LNG | Această opțiune vă permite să configurați numărul de biți de utilizat la crearea cheii de criptare. Valoarea implicită este de 128 de biți. |
| Setați compatibilitatea de criptare | Această opțiune vă permite să specificați formatul de compatibilitate. Valoarea implicită - utilizarea formatului de generație următoare. |
| Setarea parametrilor pentru contextul GNL | Acest parametru vă permite să specificați parametrii de criptare care ar trebui utilizați pentru contextul GNL. Pentru a utiliza această opțiune, contextul CNG trebuie mai întâi creat folosind CryptoAPI: Next Generation (CNG). |
| Setați algoritmul de hashing LNG | Această opțiune vă permite să setați algoritmul de hashing utilizat. Valoarea implicită este SHA1. |
| Setați parola de defilare LNG | Această opțiune vă permite să specificați de câte ori se rotește (reformula) parola. Implicit este 100000. |
| Specificați algoritmul LNG pentru generarea numerelor aleatorii | Această opțiune vă permite să configurați generatorul de numere aleatoare LNG pe care să îl utilizați. Valoarea implicită este RNG (generator de numere aleatoare). |
| Specificați lungimea sării GNL | Acest parametru vă permite să specificați numărul de octeți de sare care ar trebui să fie utilizați. Valoarea implicită este 16. |
În plus față de setările CNG care au fost listate în tabelul anterior, setarea CNG care este listată în tabelul următor poate fi configurată în Excel 2010, PowerPoint 2010 și Word 2010.
Puteți utiliza opțiunile enumerate în tabelul următor pentru a elimina posibilitatea de a adăuga parole la documente și, astfel, pentru a preveni criptarea documentelor.
Compatibilitate cu versiunile anterioare de Office
Dacă aveți documente Office de criptat, vă recomandăm să salvați documentele ca fișiere în format Open XML (.docx, .xlsx, .pptx etc.) în loc de formatul Office 97-2003 (.doc, .xls, .ppt și așa mai departe) . Criptarea care este utilizată pentru documentele binare (.doc, .xls, .ppt) utilizează RC4. Acest lucru nu este recomandat, așa cum se precizează în secțiunile 4.3.2 și 4.3.3, din motive de securitate pentru specificația structurii de criptare a documentelor Office. Documente salvate în fișiere binare vechi Formate de birou poate fi criptat numai folosind RC4 pentru a menține compatibilitatea cu versiunile anterioare ale Microsoft Office. AES este algoritmul recomandat și implicit pentru criptarea fișierelor în format Open XML.
Office 2010 și sistemul Office 2007 vă permit să salvați documente în format Open fișiere XML. În plus, dacă aveți Microsoft Office XP sau Office 2003, puteți utiliza Pachetul de compatibilitate pentru a salva documente ca fișiere Open XML.
Documente care sunt salvate ca fișiere Open XML și sunt criptate cu folosind Office 2010 poate fi citit numai de Office 2010, Office 2007 Service Pack 2 și Office 2003 cu Office 2007 Service Pack 2 Compatibility Pack Pentru a asigura compatibilitatea cu toate versiunile anterioare Office, puteți crea o cheie de registry (dacă nu există) sub HKCU\Software\Microsoft\Office\14.0\
Dacă organizația dvs. utilizează pachetul de compatibilitate Microsoft Office pentru formatele de fișiere Word, Excel și PowerPoint pentru a cripta fișierele în format Open XML, ar trebui să luați în considerare următoarele informații:
- În mod implicit, pachetul de compatibilitate utilizează următoarele setări pentru a cripta fișierele în format Open XML:
- ExtensieMicrosoftRSAŞiAESfurnizor de cripto (prototip),AES 128,128 (pe sistemul de operare Windows XP Professional).
- ExtensieMicrosoftRSAŞiAESfurnizor de servicii de criptareAES 128,128 (în sălile de operație sisteme Windows Server 2003 și Windows Vista).
- Utilizatorii nu sunt notificați că pachetul de compatibilitate utilizează aceste opțiuni de criptare.
- Interfață grafică cu utilizatorul de mai devreme Versiuni Office poate afișa opțiuni de criptare incorecte pentru formatele de fișiere Open XML dacă este instalat pachetul de compatibilitate.
- Utilizatorii nu pot utiliza GUI în versiunile anterioare ale Office pentru a modifica setările de criptare pentru formatele de fișiere Open XML.
3 raspunsuri
poate cineva să obțină datele reale sau să facă ceva dacă algoritmul de criptare este cunoscut
Dacă atacatorul cunoaște algoritmul de criptare, acesta rulează pentru că acum tot ce trebuie să facă este să descopere ce cheie a fost folosită pentru a-l cripta. Dar algoritmii de criptare consacrați, cum ar fi AES, nu au puncte slabe cunoscute. Astfel, atacatorul îl va folosi cu forță pentru a obține acces la date.
Dacă utilizați chei de dimensiunea adecvată (de exemplu, AES 256 biți sau mai mare), aceasta va fi o sarcină foarte dificilă. DES nu are, de asemenea, puncte slabe cunoscute, dar dimensiunea sa mică a cheii (56 de biți) permite ca un atac cu forță brută să fie efectuat într-o perioadă rezonabilă de timp (de exemplu: zile). Acesta este motivul pentru care DES nu mai este folosit.
chiar dacă hackerul nu știe despre cheile private, cheile publice sau PV?
Rețineți că cheile publice sunt aplicabile numai în contextul criptării asimetrice. În acest caz cheie publică este de obicei public (de unde și numele „cheie publică”). Dar criptarea asimetrică este concepută astfel încât, chiar dacă cunoașteți cheia publică, nu o puteți decripta decât dacă aveți cheie privată.
Astfel, algoritmii de criptare precum AES au trecut testul timpului și s-au dovedit a fi destul de siguri. După cum subliniază David Schwartz în răspunsul său, dacă aveți o problemă, (de obicei) implementarea dvs. este de vină, nu algoritmul de criptare.
Aproape prin definiție, dacă criptarea este implementată corect și face parte dintr-un sistem conceput în mod rezonabil, Nu. Acesta este scopul criptării.
Vă rugăm să rețineți că criptarea nu este magică. Trebuie folosit tocmai pentru a oferi o protecție utilă. Există multe modalități de a face acest lucru greșit.
Dacă nu folosiți un produs cu mare respect (cum ar fi TrueCrypt, Firefox sau GPG) și îl utilizați exact așa cum este destinat să fie utilizat, există șanse foarte mari să nu obțineți nicio securitate reală. De exemplu, Dropbox a folosit AES, dar o defecțiune de securitate într-o altă parte a sistemului lor a permis unui utilizator să decripteze alte date ale utilizatorului. Deci nu a ajutat că a fost criptat.
Da, păstrarea secretului algoritmului ajută puțin la securitate. Dacă un atacator știe că ați folosit DES (care nu este îngrozitor de greu de spart), este mai probabil să încerce să-l spargă.
Cred că miezul întrebării tale sunt atacurile statistice care încearcă să vadă prin criptare pentru a descifra natura datelor. Orice algoritm rezonabil de modern este proiectat matematic pentru a împiedica orice încercare de a ghici care sunt datele.
Cu toate acestea, David face foarte mult punct bun. Chiar și criptarea perfectă (dacă ar exista) ar fi vulnerabilă la erorile umane. Acești algoritmi sunt inutili dacă nu renunți la sine și nu-ți încrucișezi t-urile și nu ai încredere absolută (și justificată) în cei care pot descifra datele.