Практическая работа "Защита информации в электронных документах путем шифрования и формирования электронной подписи". Методические указания.
1. Теоретические сведения
Техническое обеспечение электронной цифровой подписи основано на использовании методов криптографии.
Любой документ можно рассматривать как уникальную последовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного.
Чтобы последовательность символов, представляющих документ, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.
Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования.
Метод шифрования — это формальный алгоритм, описывающий порядок преобразования исходного сообщения в результирующее.
Ключ шифрования — это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствующие комбинации цифр — это метод шифрования. А конкретное указание, какую букву заменить на какую последовательность цифр, является ключом.
Существуют симметричные и асимметричные методы шифрования.
Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алгоритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удаленного партнера.
Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным (ключ электронной подписи), другой — открытым или публичным (ключ проверки электронной подписи)
Ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи (Ст. 2. Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 23.06.2016) "Об электронной подписи").
Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи) (Ст. 2. Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 23.06.2016) "Об электронной подписи").
Закрытый ключ может быть скомпрометирован различными способами:
- хищение ключа путем копирования в результате несанкционированного
доступа к оборудованию (прямого или удаленного), на котором он хранится;
- получение ключа путем ответа на запрос, использованный с
признаками мошенничества или подлога;
- хищение ключа в результате хищения оборудования, на котором
он хранится;
- хищение ключа в результате сговора с лицами, имеющими право
на его использование (даже рядовой факт увольнения сотрудника, имевшего доступ
к закрытому ключу организации, рассматривается как компрометация ключа).
Незаконность данных традиционных методов компрометации обеспечивает законодательство.
Это не относится к нетрадиционным методам реконструкции закрытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны определенными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных программных и аппаратных средств и огромными затратами вычислительного времени. Существует специальная отрасль науки, называемая криптоанализом, которая позволяет воспроизводить зашифрованную информацию и оценить степень защиты информации.
Поскольку от алгоритмов, на основе которых действует средство ЭП, зависит надежность и устойчивость документооборота, к средствам ЭП предъявляются специальные требования.
Средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи (Ст. 2. Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 23.06.2016) "Об электронной подписи").