С. Н. Боранбаев, Б. Т. Туртбаев Автоматизированная программная система обеспечения информационной безопасности

С.Н. Боранбаев, Б.Т. Туртбаев

Автоматизированная программная система обеспечения информационной безопасности

(Евразийский национальный университет имени Л.Н.Гумилева, г.Астана)
Разработана автоматизированная система, в которой реализован алгоритм шифрования AES (Advanced Encryption Standard – улучшенный стандарт шифрования), являющаяся в настоящее время стандартом блочного симметричного шифрования США. Система предоставляет простой и надежный способ криптографической защиты конфиденциальной информации, имеет удобный и наглядный интерфейс, малый объем и не требует инсталляции перед использованием.

Изобретение компьютера и дальнейшее бурное развитие информационных технологий сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества.

Наглядными примерами, иллюстрирующими необходимость защиты информации и обеспечения информационной безопасности, являются участившиеся сообщения о компьютерных "взломах" банков, росте компьютерного пиратства, распространений компьютерных вирусов. Убытки ведущих компаний в связи с нарушениями безопасности информации составляют огромные суммы.

Особенно актуально вопрос защиты информации стоит в области секретной информации государства и частной коммерческой информации. В бизнесе добросовестная конкуренция предполагает соперничество, основанное на соблюдении законодательства и общепризнанных норм морали. Однако нередко предприниматели, конкурируя между собой, стремятся с помощью противоправных действий получить информацию в ущерб интересам другой стороны и использовать ее для достижения преимущества на рынке. Это заставляет представителей бизнеса принимать меры для адекватного противостояния имеющим место негативным процессам, наносящим ущерб конфиденциальной информации фирмы.

Главной целью любой системы обеспечения информационной безопасности является создание условий функционирования предприятия, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации.

Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.

В настоящей работе предложено программное средство защиты информации, а именно, автоматизированная система, реализующая криптографический алгоритм шифрования информации AES, позволяющая шифровать и дешифровать файлы

Множество и разнообразие возможных средств защиты информации определяется, прежде всего, возможными способами воздействия на дестабилизирующие факторы или порождающие их причины, причем воздействия в направлении, способствующем повышению значений показателей защищенности или (по крайней мере) сохранению прежних (ранее достигнутых) их значений.

Рассмотрим основное содержание представленных методов защиты информации, которые составляют основу механизмов защиты. [1-4]

Препятствия - методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом - метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
разрешение и создание условий работы в пределах установленного регламента;
регистрацию (протоколирование) обращений к защищаемым ресурсам;
регистрацию (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка - метод защиты информации путем ее криптографического закрытия. Этот метод широко применяется за рубежом, как при обработке, так и при хранении информации. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.

Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение - метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение - метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты. Их можно разделить на две группы – формальные и неформальные. К формальным относятся такие средства, которые выполняют свои функции по защите информации формально, то есть преимущественно без участия человека. К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей.

Формальные средства делятся на технические (физические, аппаратные) и программные.

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. К несомненным достоинствам технических средств относятся широкий круг задач, достаточно высокая надежность, возможность создания развитых комплексных систем защиты, гибкое реагирование на попытки несанкционированных действий, традиционность используемых методов осуществления защитных функций.

Основными недостатками являются высокая стоимость многих средств, необходимость регулярного проведения регламентированных работ и контроля, возможность подачи ложных тревог.

Системную классификацию технических средств защиты удобно провести по следующей совокупности показателей:

1) функциональное назначение, то есть основные задачи защиты объекта, которые могут быть решены с их применением;

2) сопряженность средств защиты с другими средствами объекта обработки информации;

3) сложность средства защиты и практического его использования;

4) тип средства защиты, указывающий на принципы работы их элементов;

5) стоимость приобретения, установки и эксплуатации.

Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки). Для защиты от утечки по техническим каналам используются генераторы шума.

Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач по защите информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защите от вирусов и др. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;
определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей;
контроль работы технических средств и пользователей;
регистрация работы технических средств и пользователей при обработке информации ограниченного использования;
уничтожения информации в запоминающем устройстве после использования;
сигнализации при несанкционированных действиях;
вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

Кодирование – метод защиты информации, преследующий цель скрыть от нарушителя содержание защищаемой информации и заключающийся в преобразовании с помощью кодов открытого текста в условный при передаче информации по каналам связи, направлении письменного сообщения, когда есть угроза, что оно может попасть в чужие руки, а также при обработке и хранении информации в средствах вычислительной техники.

Для кодирования используются обычно совокупность знаков (символов, цифр и др.) и система определенных правил, при помощи которых информация может быть преобразована (закодирована) таким образом, что прочесть ее можно будет, только если пользователь располагает соответствующим ключом (кодом) для ее раскодирования. Кодирование информации может производиться с использованием технических средств или вручную.

Шифрование – метод защиты информации, используемый чаще при передаче сообщений с помощью различной радиоаппаратуры, направлении письменных сообщений и в других случаях, когда есть опасность перехвата этих сообщений. Шифрование заключается в преобразовании открытой информации в вид, исключающий понимание его содержания, если перехвативший не имеет сведений (ключа) для раскрытия шифра.

Шифрование может быть предварительное (шифруется текст документа) и линейное (шифруется разговор). Для шифрования информации может использоваться специальная аппаратура. [1]

Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны. Криптография занимается поиском и исследованием математических методов преобразования информации. Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей.

Современная криптография включает в себя 4 крупных раздела.

Симметричные криптосистемы.
Криптосистемы с открытым ключом.
Системы электронной подписи.
Управление ключами.

Основные направления использования криптографических методов -передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Криптосистемы разделяются на симметричные и с открытым ключом.

В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ.

В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.

Криптостойкостъю называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа. Имеется несколько показателей криптостойкости, среди которых:

количество всех возможных ключей;
среднее время, необходимое для криптоанализа.

Алгоритмы с использованием ключа делятся на два класса: симметричные (или алгоритмы с секретным ключом) и асимметричные (или алгоритмы с открытым ключом). Разница в том, что симметричные алгоритмы используют один и тот же ключ для шифрования и для дешифрования (или же ключ для дешифровки просто вычисляется по ключу шифровки). В то время как асимметричные алгоритмы используют разные ключи, и ключ для дешифровки не может быть вычислен по ключу шифровки.

Симметричные алгоритмы подразделяют на потоковые шифры и блочные шифры. Потоковые позволяют шифровать информацию побитово, в то время как блочные работают с некоторым набором битов данных (обычно размер блока составляет 64 бита) и шифруют этот набор как единое целое.

Асимметричные шифры (также именуемые алгоритмами с открытым ключом или - в более общем плане - криптографией с открытым ключом) допускают, чтобы открытый ключ был доступен всем. Это позволяет любому зашифровать сообщение. Однако расшифровать это сообщение сможет только нужный человек (тот, кто владеет ключом дешифровки). Ключ для шифрования называют открытым ключом, а ключ для дешифрования - закрытым ключом или секретным ключом.

В разработанной автоматизированной системе реализован алгоритм шифрования AES (Advanced Encryption Standard – улучшенный стандарт шифрования), который в настоящее время является стандартом блочного симметричного шифрования США.

Алгоритм AES представляет блок данных в виде двумерного байтового массива размером 4 X 4. Все операции производятся над отдельными байтами массива, а также над независимыми столбцами и строками.

1. Операция SubBytes, представляющая собой табличную замену каждого байта массива данных согласно таблице Sbox.

2. Операция ShiftRows, которая выполняет циклический сдвиг влево всех строк массива данных, за исключением нулевой. Сдвиг i-й строки массива (для i = 1, 2, 3) производится на i байт.

3. Операция MixColumns. Выполняет умножение каждого столбца массива данных, который рассматривается как полином в конечном поле GF(2⁸), на фиксированный полином a(x):

a(x) = 3x³ + x² + x + 2.

Умножение выполняется по модулю x⁴ + 1.

4.Операция AddRoundKey выполняет наложение на массив данных материала ключа. А именно, на i-й столбец массива данных (i = 0…3) побитовой логической операцией «исключающее или» (XOR) накладывается определенное слово расширенного ключа W₄_r₊_i, где r – номер текущего раунда алгоритма, начиная с 1 (процедура расширения ключа будет описана ниже).

Количество раундов алгоритма R зависит от размера ключа следующим образом:

Размер ключа, бит	R
128	10
192	12
256	14

Перед первым раундом алгоритма выполняется предварительное наложение материала ключа с помощью операции AddRoundKey, которая выполняет наложение на открытый текст первых четырех слов расширенного ключа W₀…W₃.

Последний же раунд отличается от предыдущих тем, что в нем не выполняется операция MixColumns.

AES использует ключи шифрования трех фиксированных размеров: 128, 192, и 256 бит. В зависимости от размера ключа, конкретный вариант алгоритма AES может обозначаться как AES-128, AES-192 и AES-256 соответственно.

Задача процедуры расширения ключа состоит в формировании нужного количество слов расширенного ключа для их использования в операции AddRoundKey. Как было сказано выше, под «словом» здесь понимается 4-байтный фрагмент расширенного ключа, один из которых используется в первичном наложении материала ключа и по одному – в каждом раунде алгоритма. Таким образом, в процессе расширения ключа формируется 4*(R+1) слов.

Расширение ключа выполняется в два этапа, на первом из которых производится инициализация слов расширенного ключа (обозначаемых как W_i): первые Nk (Nk – размер исходного ключа шифрования K в словах, т.е. 4, 6 или 8) слов W_i (т.е. i = 0…Nk-1) формируются их последовательным заполнением байтами ключа.

Последующие слова W_i формируются следующей последовательностью операций для каждого i = Nk…4*(R+1)-1:

Шаг 1. Инициализируется временная переменная T:

T = W_i-1.

Шаг 2. Данная переменная модифицируется следующим образом:

a. если i кратно Nk, то:

T = SubWord(RotWord(T)) Å RC_ëi/Nkû;

операции SubWord, RotWord будут описаны ниже, а константы RC_n

представляют собой слова, в которых все байты, кроме первого являются нулевыми, а первый байт имеет значение 2ⁿ^-1 mod 256;

b. если Nk = 8 и (i mod Nk) = 4, то:

T = SubWord(T);

c. в остальных случаях модификация переменной T не выполняется.

Шаг 3. Формируется i-е слово расширенного ключа:

W_i = W_i-Nk Å T.

Операция SubWord выполняет над каждым байтом входного значения табличную замену, которая была описана выше – см. операцию SubBytes.

Операция RotWord побайтно вращает входное слово на 1 байт влево.

Как видно, процедура расширения ключа является достаточно простой по сравнению со многими другими современными алгоритмами шифрования. Процедура расширения ключа имеет также несомненное достоинство в том, что расширение ключа может быть выполнено «на лету» (on-the-fly), т.е. параллельно с шифрованием данных.

Расшифрование выполняется применением обратных операций в обратной последовательности. Соответственно, перед первым раундом расшифрования выполняется операция AddRoundKey (которая является обратной самой себе), выполняющая наложение на шифртекст четырех последних слов расширенного ключа, т.е. W_4R…W_4R+3.

Затем выполняется R раундов расшифрования, каждый из которых выполняет следующие преобразования:

1. Операция InvShiftRows выполняет циклический сдвиг вправо трех последних строк массива данных на то же количество байт, на которое выполнялся сдвиг операцией ShiftRows при зашифровании.

2. Операция InvSubBytes выполняет побайтно обратную табличную замену, которая определена таблицей InvSBox.

3. Операция AddRoundKey, как и при зашифровании, выполняет наложение на обрабатываемые данные четырех слов расширенного ключа W₄_r…W₄_r₊₃. Однако, нумерация раундов r при расшифровании производится в обратную сторону – от R-1 до 0.

4. Операция InvMixColumns выполняет умножение каждого столбца массива данных аналогично прямой операции MixColumns, однако, умножение производится на полином a^-1(x), определенный следующим образом:

a^-1(x) = Bx³ + Dx² + 9x + E.

Аналогично зашифрованию, последний раунд расшифрования не содержит операцию InvMixColumns. [2]

Разработанная автоматизированная система предоставляет криптографическую защиту для конфиденциальной информации от несанкционированного доступа посторонних лиц. Система предоставляет простой и надежный способ криптографической защиты конфиденциальной информации, имеет удобный и наглядный интерфейс, малый объем и не требует инсталляции перед использованием. Основные функции, которые выполняет продукт: шифрование файлов; дешифрование файлов. Автоматизированная система разработана для использования в ОС Windows начиная с WindowsXP и в более поздних. Она обеспечивает максимально надежную и стабильную работу для обеспечения хранения конфиденциальной информации. Программный продукт стабильно работает на всех окончательных версиях предъявленных операционных систем, не снижая надежность хранения в зависимости от каких-либо настроек системы, установленных приложений или действий пользователя во время работы приложения. В качестве языка программирования был выбран язык C#, средой программирования - Microsoft Visual Studio 2008. Программный продукт направлен на массовое использование и не требует каких-либо специфических знаний в области криптографии и может использоваться любым человеком, имеющим базовые навыки работы с компьютером в операционной системе MS Windows.
ЛИТЕРАТУРА
1.Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей:учеб. пособие. - М.: ИД "ФОРУМ": ИНФРА-М, 2008.

2.Галатенко В.А. Основы информационной безопасности. Курс лекций. Учебное пособие. - Интернет-Университет Информационных Технологий: Москва, 2004.

3.Андрончик А.Н. Защита информации в компьютерных сетях. Практический курс.- Екатеринбург: УГТУ-УПИ, 2008.

4. Н. Смарт. Криптография. - Москва: Техносфера, 2005.

Боранбаев С.Н., Туртбаев Б.Т.

Ақпараттық қауіпсізсікті қамтамасыз ететін автоматтандырылған бағдарламалық жүйе.

(Advanced Encryption Standard - шифрлаудың жақсартылған стандарты) AES-тың шифрлау алгоритмі жүзеге асырылған автоматтандырылған жүйе жасалды, ол қазіргі кезде АҚШ-тағы блоктық симметриялы шифрлеудің стандарты болып табылады. Аталған жүйе құпия ақпараттың криптографиялық қорғауының қарапайым және сенімді тәсілдерін ұсынады, оның интерфейсі ыңғайлы және көрнекі, әрі шағын көлемі қолданар алдында инсталляция жасауды талап етпейді.

Boranbayev S.N., Turtbayev B.T.

The automated programming system of maintenance of information security.

The automated system is developed, in which the algorithm of enciphering AES (Advanced Encryption Standard – the improved standard of enciphering), nowadays realized by the standard of block symmetric enciphering of the USA. The system gives a simple and reliable way of cryptographic protection of the confidential information, has the convenient and evident interface, small volume and doesn't demand installation before use.