Алгоритмы защиты информации / CAZGB6N0
.pdf
21
• имя каталога, где находится ключевой файл и выберите функцию 4 - «Начать обработку».
При перешифровании вам необходимо указать имя и старого ключа, который должен находиться с новым в одном каталоге.
Для выхода из режима работы с дисками в меню файлов укажите функцию "4 - Работа с файлами". Для завершения работы с программой, т.е. для выхода в ДОС, укажите функцию "5 - Выход из программы".
Для |
выхода из |
системы CRYPTO TOOLS перейдите в ме- |
ню файлов |
и нажмите |
функциональную клавишу F10 ("Выход из |
программы").
2.5.3 Система генерации ключей "КРИПТОМЕНЕДЖЕР"
Система "КРИПТОМЕНЕДЖЕР" обеспечивает генерацию, под-
готовку |
и сопровождение главных, индивидуальных и се- |
|||||
тевых ключей, |
используемых для закрытия |
информации |
в |
|||
СКЗД, |
для |
всех |
пользователей СКЗД, |
в |
соответствии |
с |
реализованными ключевыми системами. |
Система позволяет ге- |
|||||
нерировать |
ключи пользователей в соответствии со следую- |
|||||
щими ключевыми системами: |
|
|
|
|||
0 |
(GK+PW+UK) - главный ключ, пароль, ключи |
|||||
пользователей; |
- главный ключ, ключи пользователей; |
|
||||
1 |
(GK+UK) |
|
||||
4 |
(PW+UK) - пароль, ключи пользователей; |
|
||||
5 |
(UK) |
- ключи пользователей; |
|
|
|
|
7 |
(GK+NET) |
- главный ключ, сетевые ключи. |
|
|||
Система выработки и перешифрования |
ключей "КРИПТО- |
||
МЕНЕДЖЕР" |
CRSMNG.ЕХЕ работает на базе |
устройства |
шиф- |
рования |
"Криптон". |
|
|
Поведение и сообщения криптоменеджера при запуске |
|||
аналогично |
программе crtools.exe. Только, если не инициа- |
||
лизирован «Криптон», программа переходит в режим тестовой генерации ключей. При нормальном запуске программы перед Вами появится "Главное меню" системы.
Генерация нового Главного ключа
Для генерации нового Главного ключа выберите функцию "1 - Смена Главного ключа (GK)". Осуществляется переход в подменю "Работа с Главным ключом", имеющее вид:
1 - Генерация Главного ключа (GK)
2 - Смена Пароля Главного ключа
22
3 - Перешифровать ключи на новый GK
4 - Перешифровать Файловые ключи на новый GK
5 - Удалить Старый Главный ключ
6 - Сменить Главный ключ
7 - Генерация Узла замены (UZ)
8 - Устройство с Главным ключом
9 - Раздел пользователя
0 - Выход в Главное меню
В данном режиме осуществляется генерация нового главного ключа на Устройстве с Главным ключом, либо смена
пароля |
главного ключа, |
а |
также |
перешифрование |
ключей |
||||||||||||||
пользователя на новом главном |
ключе в Разделе пользовате- |
||||||||||||||||||
ля или файловых |
ключей (при использовании ключевой систе- |
||||||||||||||||||
мы 3 - (GK)), генерация нового |
Узла замены, и ввод |
ново- |
|||||||||||||||||
го Главного ключа |
|
в устройство шифрования |
с дискеты. |
|
|||||||||||||||
Задайте с помощью функции 8 устройство(флоппи диско- |
|||||||||||||||||||
вод) с Главным ключом(ключевой дискетой). |
|
|
|
|
|
|
|||||||||||||
Выберите функцию "1- Генерация |
Главного ключа (GK)", |
||||||||||||||||||
введите |
по |
запросу |
пароль |
(желательно |
не |
менее |
12 |
непо- |
|||||||||||
вторяющихся |
символов |
без |
использования |
функциональных |
|||||||||||||||
клавиш), |
на |
котором |
|
будет |
после |
создания |
|
зашифрован |
|||||||||||
Главный ключ. |
нажатие |
клавиши |
ENTER означает |
отсутствие |
|||||||||||||||
Простое |
|||||||||||||||||||
пароля. |
|
|
|
|
|
|
|
|
|
|
|
|
Главный |
|
ключ |
||||
После ввода пароля система генерирует |
|
||||||||||||||||||
и после |
завершения |
генерации выдает |
сообщение |
о |
созда- |
||||||||||||||
нии GK |
|
|
|
Главный |
ключ |
сохраняется |
в |
файле |
GK. OLD.- |
||||||||||
Старый |
|||||||||||||||||||
DB3. Для уничтожения |
старого Главного ключа выбирите фун- |
||||||||||||||||||
кцию |
"5 - Удалить Старый Главный ключ". |
|
|
|
|
|
|
||||||||||||
Смена пароля производится с помощью функции 2- «Смена |
|||||||||||||||||||
Пароля |
|
Главного |
ключа". при |
предварительном |
определении |
||||||||||||||
устройства |
с |
главным |
ключом |
и помещении |
в |
него |
ключевой |
||||||||||||
дискеты |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Для ввода нового Главного ключа в устройство шифро- |
||||||||||||||||||
вания с дискеты (без |
выключения |
питания |
ПК)укажите |
||||||||||||||||
функцию |
"6 |
- |
Сменить |
|
Главный ключ". |
|
При |
этом Главный |
|||||||||||
ключ |
будет считан |
с |
Устройства |
с |
Главным |
ключом |
из |
||||||||||||
файла |
GK.DB3 |
и введен в устройство шифрования. При |
вы- |
||||||||||||||||
ходе из программы CRSMNG.ЕХЕ после Смены Главного |
ключа |
||||||||||||||||||
происходит "холодная" |
перезагрузка компьютера |
для |
|
уда- |
|||||||||||||||
ления |
секретных |
остатков |
из |
оперативной памяти ПК. |
|||||||||||||||
Для генерации узла замены выберите функцию "7 - Гене- |
|||||||||||||||||||
рация |
Узла |
замены (UZ)" |
При |
этом Узел |
замены |
будет |
создан |
||||||||||||
23
на Устройстве с Главным ключом и записан в файл UZ.DB3.
Старый Узел |
замены |
при |
этом не |
сохраняется. |
Для |
ввода |
||
нового UZ в устройство шифрования требуется полная пере- |
||||||||
инициализация устройства. |
|
рекомендуется |
прово- |
|||||
дить |
Генерацию и смену |
Узла замены |
||||||
лишь в |
особо |
экстренных |
случаях, т.к. |
UZ |
должен |
|||
быть |
одинаков для |
всех |
абонентов, |
предполагающих |
вести |
|||
между собой |
обмен закрытой информацией. |
|
|
|||||
ном |
Для перешифрования ключей пользователя на новом глав- |
|||||||
ключе определите с |
помощью |
функции 9 - |
«Раздел по- |
|||||
льзователя» каталог с ключами и затем выбирите функцию "3 - Перешифровать ключи на новый GK". Все ключи, расположенные в данном разделе, будут перешифрованы на новом главном ключе.
Перешифрование файловых ключей на новом главном ключе производится аналогично, но с использованием функции
"4 |
Перешифровать файловые ключи на новый GK". |
клю- |
||
че |
При |
перешифровании |
ключей на новом главном |
|
плата |
"Криптон" должна |
быть инициализирована со |
ста- |
|
рым Главным ключом, а на дискете должен существовать новый
Главный ключ. |
|
- Вы- |
Для выхода в главное меню укажите функцию "0 |
||
ход в Главное меню". |
ключей необходимо |
заново |
После перешифрования |
||
провести инициализацию шифроустройства на новом Главном ключе посредством выключения и включения питания ПК.
Генерация ключей пользователя.
Для этого в главном меню, выберите режим Генерации рабочих ключей".
Появится меню, имеющее вид:
1 - Ключевая система
2 - Раздел с ключами
3 - Создать ключ
4 - Выход в Главное меню
Внем
•Задайте ключевую систему, ( 0 (GK + PW + UK), 1 (GK
+UK), 4 (PW + UK), 5 (UK), 7 (GK + NET). в соответствии с
которой |
будут генерироваться ключи пользователя. В |
по- |
||
следнем |
случае непосредственно |
генерации |
ключа |
не |
происходит. Секретный ключ должен |
быть подготовлен ранее. |
|||
24
При выборе ключевых систем 0 (GK + PW + UK) и 4 (PW + UK) будет запрашиваться пароль.
• Задайте раздел с ключами, в который будут записаны подготовленные ключи.
• Создайте ключ, указав имя ключевого файла.
Генерация сетевых ключей
С помощью функции «Генерация ключей для сети» главного меню осуществляется генерация полной матрицы ключей парновыборочной связи сети из заданного числа абонентов. При этом появляется меню
1 - Число узлов в сети
2 - Формировать сетевые ключи
3 - Раздел с сетевыми ключами
4 - Выход в Главное меню
В нем задайте |
предполагаемое число |
узлов |
в |
||
1) |
задайте |
максимально |
|||
сети; |
задайте |
раздел, для |
будущих системных |
таблицы |
с |
2) |
|||||
сетевыми ключами;
3) cформируйте матрицу ключей, выбрав функцию 2 и указав имя файла системного сетевого ключа, на котором будет зашифрована матрица секретных ключей. В случае, если для закрытия данной таблицы не предполагается использование специального пользовательского ключа (нажатие только клавиши ENTER), либо заданный ключ не будет найден, системой выдается сообщение «Ключ не найден». «Будет создан!". Системный сетевой ключ будет создан автоматически с стандартным именем.
Системный сетевой ключ, на котором будет шифроваться массив с секретными ключами узлов связи, должен создаваться на дисководах А: или В:.
Для формирования ключей отдельных узлов сети из системной матрицы ключей в главном меню выберите функцию "Генерация ключей для узлов сети". Появится меню
1 - Создать для узла -
2 - Всего создать ключей -
3 - Формировать сетевые ключи
4 - Системное устройство с ключами -
5 - Устройство с сетевыми ключами узлов -
6 - Раздел с системными таблицами -
7 - Выход в Главное меню
|
|
25 |
• Задайте номер узла, для которого будут готовиться |
||
сетевые ключи с |
помощью |
функции "1 - Создать для узла". |
При подготовке |
сетевых |
ключей одновременно для несколь- |
ких узлов связи данный номер используется в качестве но-
мера |
первого узла. Сетевые ключи будут также выраба- |
|||||
тываться для |
узлов с последующими по порядку номерами. |
|||||
торых |
• Задайте |
количество |
узлов |
связи, |
для |
ко- |
предполагается формировать сетевые ключи. |
Ключи |
|||||
для узлов будут формироваться системой в порядке следования их номеров. Выберите функцию "2 - Всего создать ключей"
•Задайте устройство, в которое будет установлена дискета с системным сетевым ключом и ключевая дискета пользователя.
•Задайте раздел (каталог), в котором содержатся системная матрица ключей.
• |
Выберите |
функцию "3 - Формировать сетевые ключи". |
• |
Установите |
дискету, на которой хранится сис- |
темная матрица ключей.
• При успешном прохождении контроля системной ключевой информации на экран дисплея выдается сообщение "Вставьте ключевую дискету N узла в устройство Х: и так для всех узлов. Ключи записываются на дискету в открытом виде".
После этого необходимо выполнить для каждой дискеты с ключами перешифрование сетевых ключей узла связи на главном ключе узла. Для этого выберите в главном меню функцию "2 - Генерация рабочих ключей" и установите тип ключевой системы "7 (GK+NET)". Этот пункт выполняется для каждой дискеты с ключами. В общем случае этот пункт может быть выполнен на компьютерах, исполняющих функции узлов связи (при этом плата "Криптон" должна быть инициализирована с главным ключом для данного узла связи). Имя файла с ключом, необходимое для выполнения
этого пункта, представляет |
собой |
пятизначный номер уз- |
||
ла связи, дополненный слева нулями. |
могут |
|||
Полученные таким |
образом |
ключевые дискеты |
||
быть использованы для работы с пакетом CRYPTO-LINK. |
|
|||
Генерация и работа с тестовыми ключами. |
инициа- |
|||
В случае, если устройство шифрования не было |
||||
лизировано при начальной |
загрузке ПЭВМ, системой |
выдает- |
||
ся сообщение "Шифратор |
не |
найден" и программа перехо- |
||
26
дит в режим тестовой генерации ключей. Перед вами появится следующее меню:
1 - Генерация тестовых GK и UZ
2 - Выход из программы
Если у Вас нет Главного ключа и Узла замены и Вы не можете проинициализировать устройство шифрования, то выбрав 1 пункт меню и вставив дискету в дисковод, КРИПТОМЕ-
НЕДЖЕР |
сформирует |
тестовый Главный |
ключ (GK) и |
Узел |
|
замены |
(UZ) (файлы GK.DB3 и UZ.DB3 соответственно). |
Раз- |
|||
меры |
этих файлов |
отличаются |
от |
размеров файлов реаль- |
|
ного GK и UZ. |
|
|
|
|
|
• |
Проинициализируйте устройство шифрования, исполь- |
||||
зуя тестовые ключи. |
|
на |
реальные, осуществив |
||
• |
Смените тестовые ключи |
||||
их генерацию. Для этого Выберите 1 пункт "Главного меню" - Генерация Главного ключа (GK). Вставьте дискету в устройство с Главным ключом, сформируйте узел замены (пункт 7 меню "Работа с Главным ключом" - Генерация Узла замены
(UZ)). Сформируйте Главный |
ключ ( пункт |
1 |
меню "Работа с |
|
Главным ключом" - Генерация |
Главного ключа |
(GK)). |
ис- |
|
• Проинициализируйте |
устройство |
шифрования, |
||
пользуя реальные ключи. |
|
|
|
|
Выход из системы КРИПТОМЕНЕДЖЕР
В главном меню задайте функцию "5 - Выход из программы". Если в ходе работы в системе генерировался новый главный ключ, либо сгенерированные ключи пользователей записывались на магнитный диск в открытом виде, система автоматически передает управление на перезагрузку ПК.
2.5.4 Пакет криптографической защиты данных "CRYPTO BATCH"
|
Пакет |
позволяет осуществлять |
шифрование файлов в |
||||
пакетном |
режиме |
|
(в |
режиме |
командной строки). Пакет |
||
"CRYPTO |
BATCH" полностью совместим с пакетом "CRYPTO |
||||||
TOOLS" по формату используемых |
файлов и ключевых систем. |
||||||
|
Имеется возможность работы с системой нескольких по- |
||||||
льзователей с разграничением |
доступа между ними к фай- |
||||||
лам |
благодаря использованию ими различных ключей. |
||||||
|
При запуске программы CRBAT.EXE, если устройство |
||||||
шифрования |
не |
было инициализировано при начальной заг- |
|||||
рузке |
ПК или ,если |
программа |
при хранении на диске была |
||||
искажена, |
либо |
в |
нее |
были внесены |
несанкционированные |
||
27
изменения, выдается соответсвующее сообщение и программа завершает работу.
После успешного запуска программы CRBAT.EXE на экран дисплея появятся краткие сведения о способе работы с пакетом:
CRYPTO Batch V2.12 (C) Copyright 1991-93, ANCUD Ltd., Moscow, RF
CRBAT [options] Input_File [Output_Dir] [Key_File] /k=N -тип ключевой системы (N=0-7), по умолчанию N=3; /n=N - зашифровать для узла с номером N;
/d |
- автоматическое удаление исходного файла; |
|
/e |
- |
расшифровать; |
/h |
- |
вывести коды ошибок. |
Input_File - имя входного файла который будет зашифрован/расшифрован пакетом.
[Output_Dir]- имя директории, в которой будет храниться зашифрованная/расшифрованная информация.
[Key_File] - имя файла с ключем шифрования.
Файлы с расширением "CRY" - pасшифpовываются автоматически.
Файлы с расширением "KEY" - ключевые. Пример:
CRBAT /d *.exe a:\out b:\aaa.key - зашифровать c уда-
лением на ключе AAA
CRBAT *.cry b:\*.key - расшифровать на ключе с диска
B:\
Генерация и подготовка ключей для работы с системой "CRYPTO BATCH" осуществляется пакетом "КРИПТОМЕНЕДЖЕР" (CRSMNG.EXE).
2.6 Программа шифрования с закрытым ключом Diskreet
Утилита Diskreet входит в состав пакета Norton Utilities. Обеспечивает:
•шифрование отдельных файлов;
•создание защищенной от несанкционированного доступа области на одном из логических дисков
28
2.6.1 Шифрование отдельных файлов
Индивидуальное кодирование файлов предполагает отдельный пароль для каждого защищаемого файла. Оно используется, если вы предпочитаете
• индивидуальный пароль для каждого кодируемого фай-
ла;
• невозможность автоматического раскодирования;
•копирование, резервирование, телекоммуникация файлов в закодированном виде.
Для данного режима необходимо в меню Options/File выбрать необходимые опции:
•стирание исходных файлов после их шифрования(Delete original files after encryption);
•запрос стирания исходных файлов(Ask whether to delete original files);
•установка для зашифрованного файла атрибутов Readonly и Hidden;
•использование одного пароля для шифрования группы файлов(use same password for entily session);
•подтверждать успешность шифрования/дешифрования
(confirm successful encryption/decryption).
и |
определить режим шифрования (fast prorpietary |
|
method или DES). Большую надежность обеспечивает DES. |
||
В |
пункте Options/Global |
определите режим стирания |
исходных файлов (overwrite(перезапись), goverment wipe(на-
иболее надежное стирание), none (отсутствие уничтожения исходных файлов).
Для шифрования файла необходимо выбрать опцию File /Encrypred, выбрать имя шифруемого файла (или общую маску для группы файлов), имя закодированного файла и ввести пароль.
Для расшифровки используется опция File/ Decrypt. Необходимо набрать имя расшифровываемого файла и его пароль.
2.6.2 Создание защищенной от НСД области логического диска
Ndisk
Ndisk представляет собой зашифрованный файл, который ведет себя как логический диск. Когда Ndisk открыт, вы можете ссылаться к нему, как к логическому диску. При этом доступны все файловые операции, как и с обычным логическим
29
диском. Шифрование и дешифрирование информации будет осуществляться на лету. Для создания Ndisk необходимо включение в файл config.sys строки
device=diskreet.sys.
Когда Ndisk закрыт, то доступ к записанной на нем информации становится невозможным.
Перед созданием Ndisk необходимо выбрать Option/Driver и в открывающемся окне:
•указать буквы, зарезервированные для обозначения логических дисков, в роли которых выступают Ndisk;
•при необходимости установить опцию Auto-close
timeout, обеспечивающую автоматическое закрытие Ndisk, если он не используется в течение указанного времени;
• при необходимости установить опцию быстрого закрытия Ndisk(Quick Close All), при этом необходимо определить соответствующие “горячие” клавиши и можно включить опцию блокирования по данным “горячим” клавишам также клавиатуры и дисплея (вплоть до набора пароля(master password)).
Создание Ndisk производится с помощью пункта Ndisk- /Create. При этом вы задаете его имя, место(диск), где он будет расположен, размер, способ шифрования
Редактирование параметров Ndisk осуществляется с помощью пункта Ndisk/ Edit. С его помощью вы можете задать режим автоматического(Auto-Drive) конфигурирования Ndisk (без необходимости ручного запуска Ndisk) при запуске компьютера(пароль по-прежнему будет запрашиваться).
Открытие и закрытие Ndisk производится соответствен-
но с помощью пунктов Ndisk/Open, Ndisk/Close.
Для смены пароля необходимо выбрать опцию Ndisk/Password и выбрать режим смены пароля: быстрый (Quick) или безопасный(Secure).
Перешифрование всех файлов на новый пароль(режим Secure) занимает достаточно много времени (скорость в районе 3 МB/ceк). Поэтому вы можете изменить старый пароль на новый без перешифровки(режим Quick). Но каждый, кто знает старый пароль, Disk Editor и алгоритм шифрования возможно сможет расшифровать старые файлы.
Необходимо учитывать, что сбой питания при перешифровки файлов может привести к потери доступа к вашим данным. Поэтому рекомендуется перед дешифровкой сделать копию ваших файлов.
Вы можете уничтожить Ndisk, когда в нем нет необходимости больше необходимости. Необходимо выбрать опцию Ndisk/Delete. Для большей безопасности, особенно, если вы
30
думаете, что пароль раскрыт, не уничтожайте Ndisk, а сотрите его, выбрав соответствующую опцию в Option/Global.
Ndisk может располагаться и на дискетах. При запуске Diskreet высвечивается список имен Ndisk, которые находятся на жестком диске. Для информации о Ndisk на дискетах необходимо выбрать пункт NDisk/ search
Вы можете перемещать или копировать Ndisk подобно другим файлам. Используйте имена DOS с расширением @#1.
2.7. Программа шифрования с закрытым ключом Enigma
Программа ориентирована на работу в среде Windows, обладает протымм и наглядным интерфейсом. В главном окне вы можете указать имена входных и выходных файлов программы, используемый алгоритм шифрования(DES или S-Rotor), информация о входном файле(размер,дата создания, вид (обычный, зашифрованный)) Параметры программы вы можете определить с помощью пиктограммы Setuo или пункта меню Options- /Setup.
Вы можете
•допустить возможность восстановления стертых фай-
лов(Delete files with a simple delete instead of using Wipe);
•удалить пустые директории после затирания удаленных файлов(remove empty directories when deleting trees);
•воссоздавать структуру каталогов при расшифровке
(create necessory directories while deciphering);
•осуществлять шифрование и затирание файлов без до-
полнитиельных |
запросов (encrypt, wipe out |
all marked |
files without |
futher questions); |
|
•использовать сетевые диски для хранения временных файлов(use available network drives for temporary files);
•использовать расширение en2 для зашифрованных фалйов(use file extension [en2]);
•запрашивать подтверждение при затирании и перезапи-
си файлов(prompt before wiping(overwriting) a file).
2.8Программа шифрования с закрытым ключом DESShell
Программа ширования файлов в среде MS-DOS. Обеспечивает шифрование в двух режимах DESCipher Block Chaining- (CBC) и Electronic Code Book(ECB) с коротким (стандартным,