Предлагается новый способ рассылки защищенных данных в электронной форме по общедоступным открытым каналам электросвязи, позволяющий точно регулировать моменты доступа получателей рассылаемых данных к отдельным их разделам даже после момента рассылки. При этом достигается защита конкретной порции данных от тех получателей, которым данная порция не предназначена, даже если среди произвольной группы таких получателей данных произойдет сговор. Для обеспечения надежности защиты передаваемых данных получатели снабжаются специальными принтерами, обладающими “интеллектуальным” встроенным микропроцессорным блоком управления, который управляется упрощенной операционной системой, что служит защитой его от воздействия вредоносного программного обеспечения (вирусов, троянов, компьютерных червей и т.п.) даже при подключении через локальную компьютерную сеть к сети интернет без дополнительной защиты в виде сетевых экранов или VPN-серверов.
Кроме того, каждый пользователь системы рассылки имеет специальный персональный компактный аппаратный модуль (токен), который подключается к принтеру через USB-порт и может производить все криптографические преобразования информации, связанные с реализацией технологии электронной подписи и шифрования данных непосредственно в защищенной памяти токена.
Современная криптография позволяет очень эффективно решать многие практические задачи, решение которых до сегодняшнего дня требовало слишком больших материальных и человеческих затрат, если было вообще возможно.
Наглядным и наиболее широко известным примером может служить протокол Диффи-Хеллмана – протокол выработки общего секрета произвольной парой удаленных пользователей сети интернет без предварительного непосредственного контакта между ними, а только посредством обмена открытыми для всех посылками (пакетами данных) по общедоступным каналам связи.
Другими не менее широко известными примерами служат алгоритм шифрования с открытым ключом – алгоритм RSA , а также стандартизованные в РФ алгоритмы электронной подписи ГОСТ Р 34.10–94, ГОСТ Р 34.10–2001 и ГОСТ Р 34.10-2012 и национальные стандарты цифровой подписи США DSA – 1995 и ECDSA – 2001.
Современный тренд развития рынка дистанционных электронных услуг состоит в том, что для удобства их потребления пользователи все шире используют свои персональные мобильные устройства (ПК, планшеты, смартфоны и т. п.). В корпоративной среде несколько лет назад появился и стал весьма распространенным так называемый принцип BYOD (от английского Bring Your Own Device), когда сотрудники компаний используют свои персональные электронные устройства для выполнения служебных заданий и обязанностей.
При таком подходе достигается заметное сокращение расходов компании на приобретение и поддержание эксплуатации электронных устройств для выполнения сотрудниками действий, связанных с выполнением обмена информацией при осуществлении бизнес — процедур.
Но одновременно с этим заметно возрастают риски, связанные с возможностью утечки важной или даже конфиденциальной коммерческой и технической информации, а также персональных данных сотрудников корпорации при передаче ими информации по открытым каналам общедоступных сетей с использованием персональных электронных устройств общего назначения.
[ad name=»Responbl»]
В качестве панацеи от этой опасности обычно считается применение криптографических методов защиты данных при их передаче по каналам общедоступных массовых сетей. Однако, опыт по- следних лет, в частности, информация, раскрытая бывшим сотрудником АНБ США Эдвардом Сноуденом, показывает, что криптография сама по себе еще не гарантирует надежную защиту данных.
В частности, даже при использовании для защиты данных самых надежных современных алгоритмов шифрования и распределения ключей, а для строгой аутентификации данных – алгоритмов электронной подписи, но при реализации этих алгоритмов в виде программных модулей для компьютера или смартфона, возможны практически эффективные атаки на такую защиту посредством вирусов, троянов или другого так называемого «вредоносного ПО».
Поэтому для ситуаций, в которых защита данных, передаваемых по каналам связи, играет особенно важную роль, к таковым относятся системы ДБО, электронных торгов, электронных платежей и т. п., реализация криптографических преобразований выносится на отдельные защищенные аппаратные модули: токены, смарт-карты, HSM-модули и т. д.
Мы рассмотрим одну актуальную практическую задачу: обеспечить центру (центрам) возможность рассылки важной и закрытой от посторонних глаз информации большому числу удаленных получателей по открытым каналам электросвязи таким образом, чтобы он мог точно и относительно просто регулировать моменты доступа конкретного получателя к конкретным разделам полученной от этого центра рассылки информации.
Причем регулировать так, чтобы никакими усилиями любых объединенных групп получателей невозможно было получить доступ к тем разделам уже полученных пользователями данных, доступ к которым им еще не предоставлен центром рассылки.
В такой постановке простым и на первый взгляд достаточно хорошим решением выглядит такое, при котором на сервере центра рассылки и на компьютерах получателей устанавливаются программы электронной подписи и шифрования данных, в комплект последних включаются модули формирования общего ключа шифрования между центром и конкретным пользователем по протоколу Диффи-Хеллмана.
Каждый такой общий ключ служит для шифрования отдельной порции данных, передаваемых центром конкретному получателю (обычно его называют сессионным ключом).
Однако такое решение неудовлетворительно по целому ряду показателей. Во-первых, пользователь может непосредственно по получении блока данных его расшифровать, во-вторых, на компьютере массового пользователя (если это рядовой пользователь сети интернет) практически невозможно обеспечить доверенную среду работы программ электронной подписи и шифрования данных, а это может привести к взлому всей системы защиты.
Поэтому мы в качестве практического решения поставленной задачи предлагаем следующий способ (последовательность действий) рассылки защищенных данных по открытым каналам связи со строгим регулированием доступа получателей к конкретному блоку данных:
Различные конкретные варианты данного способа могут применяться с различными конкретными типами устройств, называемых в общей схеме метода «приемником». Это могут быть принтеры, офисные центры или другие специализированные устройства, ограниченная функциональность которых служит защитой от вирусов, троянов и других атак по сети интернет. Суть предлагаемого способа от этого не зависит.
Чтобы взломать сеть Wi-Fi с помощью Kali Linux, вам нужна беспроводная карта, поддерживающая режим мониторинга…
Работа с консолью считается более эффективной, чем работа с графическим интерфейсом по нескольким причинам.Во-первых, ввод…
Конечно, вы также можете приобрести подписку на соответствующую услугу, но наличие SSH-доступа к компьютеру с…
С тех пор как ChatGPT вышел на арену, возросла потребность в поддержке чата на базе…
Если вы когда-нибудь окажетесь в ситуации, когда вам нужно взглянуть на спектр беспроводной связи, будь…
Elastic Security стремится превзойти противников в инновациях и обеспечить защиту от новейших технологий злоумышленников. В…