Журнал «Компьютерра» №43 от 22 ноября 2005 года - Журнал Компьютерра (читать хорошую книгу TXT) 📗
Переход на безбумажный документооборот, интернет-платежи и онлайн-переписку породил ряд проблем. Одной из главных является замена стандартной подписи цифровым вариантом, аналогичным по своей правомерности традиционному. Во многих случаях он является единственным средством доказательства подлинности и целостности передаваемого по Сети документа. Среди важных свойств собственноручной подписи можно отметить ее аутентичность, неподделываемость, непереносимость, а значит - неоспоримость и неизменность заверенного документа.
Для создания цифровой подписи (ЦП), обладающей всеми вышеперечисленными признаками, используются три основных метода. В первом случае электронный документ шифруется симметричным алгоритмом, а адресат и отправитель документа одинаково доверяют некоему третьему лицу. Под авторизацией здесь понимается шифрование документа секретным ключом и передача его (ключа) посреднику. Во втором случае используются асимметричные алгоритмы, и под подписанием документа понимается шифрование ключом отправителя. Наконец, в третьем случае, самом распространенном, шифрование окончательного результата обработки документа хэш-функцией производится при помощи симметричного алгоритма. Есть и ряд других схем построения ЦП, применяемых для решения специфических задач (например, групповая подпись).
В 1991 году в США появился федеральный стандарт цифровой подписи - DSS (Digital Signature Standard), в основе которого лежит алгоритм DSA. В России тоже разработан стандарт на процедуры выработки и проверки электронно-цифровой подписи - ГОСТ Р 34.10-94. Описанная в нем схема ЦП во многом напоминает DSA. Многие программные приложения, работающие с открытыми сетями, имеют встроенные средства ЦП (например, почтовые клиенты). Кроме того, в настоящее время имеется большой выбор прикладного софта, позволяющего реализовать технологию для различных нужд - от частных до коммерческих.
Но бросим бесплодные попытки объять необъятное и остановимся на нескольких наиболее распространенных утилитах. Выбор рынка редко оказывается случайным, а потому рассматриваемые продукты можно назвать золотой серединой между надежностью/функциональностью и ценой.
Криптотехнология PGP (Pretty Good Privacy), использующая асимметричное шифрование, появилась в 1991 году и стала чрезвычайно популярной благодаря своим богатым возможностям и свободному распространению. В настоящее время доступны для скачивания исходники восьмой версии (последняя - девятая). PGP-софт в основном используется для шифрования электронных писем, передающихся по открытым каналам связи. К тому же технология гарантирует аутентичность сообщения - невозможность его отправки за чужой подписью. Программная линейка, начиная с девятой версии, претерпела некоторые изменения.
Так, бесплатная утилита PGP Freeware обладает минимальной конфигурацией, которой, впрочем, вполне достаточно для «домашних» условий. В продукт включено два базовых компонента: PGPkeys (менеджер ключей) и PGPmail (средство шифрования/подписания/ уничтожения данных). Третий не менее важный элемент - PGPdisk для создания зашифрованного файла-контейнера, о котором мы поговорим чуть ниже, - увы, отсутствует. Кстати, если не оплатить «более профессиональные» версии в течение месяца, то их функциональность будет как раз соответствовать PGP Freeware.
PGP Desktop Home можно отнести к категории SOHO. Помимо базовой функциональности утилита имеет плагины для почтовых клиентов и ICQ, поддерживает в качестве носителей ключей смарт-карты. Кроме того, она включает в себя PGP Virtual Disks (для создания томов, содержание которых кодируется, если они не используются) и ограниченный вариант PGP Satellite Proxy (не умеет работать с почтовыми протоколами MAPI, NAPI[Проприетарные протоколы для корпоративных почтовых сетей]). Это приложение обойдется в 105 евро.
«Венец творения» для рабочих станций - PGP Desktop Professional - вдобавок к вышеописанным возможностям имеет модуль Whole Disk, поддерживающий комплексное шифрование всех жестких дисков, съемных носителей и операционной системы, и полную версию PGP Satellite Proxy. В это приложение включен и интерфейс для работы с серверным комплексом PGP Universal. Калькулятор, подсчитывающий цену программы в зависимости от комплектации, доступен на www1.pgpstore.com.
Инструмент для централизованного управления корпоративной безопасностью - PGP Universal - рассчитан на организации со штатом от 25 пользователей до 50 тысяч (без кластеризации). «Универсальный» вариант работает автономно и формирует политику безопасности в соответствии с изначально заданными критериями (например, шифрование на сервере либо на машинах пользователей). Система имеет три модификации: 100, 200, 500. В первом случае комплекс используется как шлюз для почтового трафика и автоматически шифрует/дешифрует и подписывает проходящие письма. В режиме 200 система автоматически осуществляет политику безопасности для всех установленных на рабочих станциях PGP Desktop или PGP Universal Satellite, а режим 500 совмещает оба варианта. Версия 200 с Whole Disk стоит 159 евро.
Помимо вышеописанных приложений можно купить и отдельные компоненты (например, тот же WholeDisk). Есть и версия для КПК - PGP Mobile, работающая под управлением Windows CE и Palm OS и обеспечивающая базовую функциональность.
Долгое время возможность парольной защиты в популярном архиваторе WinZip можно было назвать скорее маркетинговым ходом, нежели действительно полезной функцией. В Интернете на каждом шагу можно было найти специальные программы, подбирающие пароль в течение нескольких часов. Ситуация изменилась лишь год назад, с выходом последней, девятой версии архиватора. Тогда в WinZip появилась поддержка 128- и 256-битного шифрования по алгоритму Rijndael. Процедура кодирования осталась столь же простой, что и раньше. Требуется только выбрать степень шифрования и дважды ввести пароль. Другое дело, что многие пользователи по-прежнему работают со старыми версиями программы и до сих пор питают иллюзии по поводу защищенности своих архивов.
На рынке криптософта полным-полно утилит для создания на винчестере виртуальных прозрачно зашифрованных дисков-контейнеров, в том числе вышеупомянутая PGPdisk. С ними можно работать как с обычными дисками: совершать операции с файлами, устанавливать ПО и т. д. Контейнер, несмотря на свои особенности, остается файлом, а потому может быть скопирован или перемещен на другой физический носитель, например CD или DVD.
Подобное шифрование может оказаться полезным
при работе за одним компьютером нескольких пользователей для разграничения доступа;
при работе в открытой сети, во избежание хищений данных троянами;
для защиты данных, хранящихся в ноутбуке, в случае его потери или кражи;
при необходимости работать с одними и теми же файлами на работе и дома.
Одним из самых известных продуктов такого типа является пакет утилит от компании Jetico - BestCrypt. Процесс шифрации/дешифрации происходит в фоновом режиме, и пользователь не ощущает разницы при работе с обычным и зашифрованным диском, однако последний, если понадобится, может одним кликом превратиться в закрытый для посторонних файл. Среди утилит можно отметить программу для создания «невидимого» контейнера, который невозможно обнаружить, а также приложение для шифрования своп-файла, хранящего временные данные. Кроме того, в BestCrypt есть утилита BCWipe, удаляющая файлы без возможности восстановления.