2. Цель доклада - ознакомить участиников конференции с
современными тенденциями криптографической защиты
информации (КЗИ) и практическим применением средств
КЗИ для компаний в Украине.
Уровень слушателей - требуются базовые знания по криптографии,
информационной безопасности.
Формат доклада - обзорное повестование, для максимального охвата темы.
Вопросы во время доклада – лучше потом.
3. место КЗИ - является составной частью информационной
безопасности.
Основные факторы, влияющие на защиту информации
средствами КЗИ:
- стойкость алгоритмов шифрования
- корректность реализации алгоритмов шифрования
- правильность использования средств и систем КЗИ
4. В средстве или системе КЗИ должен быть реализован известный
алгоритм шифрования, признанный мировым криптографическим
сообществом и, желательно, выбранный каким-либо государством в
качестве национального стандарта.
Примеры: 3DES, AES, RSA, IDEA, ГОСТ, ....
5. Современные Тенденции КЗИ
- изменилась процедура - уход от схемы авторизация/аутентификация -
потом шифрование
- уход от SHA1, MD5, DES, предпочтение AES
- GOST добавлен в бибдлиотеку OPENSSL
- предпочтение алгоритмам на эллиптических кривых (достижение
эквивалентной стойкости при меньшей длине ключа)
- формирование классов стойких криптоалгоритмов в национальных
масштабах государств
- апаратная поддержка выполнения криптографических преобразований на
процессорах пользователей, использование криптомодулей и блоков
(TPM, Intel AES - команды)
- широкое использование HSM, смарт-карт
(пример МТС Украина - помогла всему рынку )
- контроль компаниями https - траффика - real - time подмена сертификатов
6. Тенденции использования сертификатов
- все по https, взаимная аутентификация как сервера, так и клиента;
- удешевление стоимости (пример - GoDaddy, правда без EV для
СНГ);
- переход на EV (зеленая полоска в браузере).
- при большом объеме - решения с промежуточным СА
компании, подписанным мировым СА.
- удешевление использования сертификатов * .domian.com с учетом
рисков (WildCard);
7. PKI, СА - современные реализации
А.
Root сертификат корпоративного СА подписан одним из мировых вендоров и
выступает как промежуточный СА, а далее Вы своим СА выпускаете и подписываете
сертификаты для своих нужд, приложение и база сертификатов развернуты в самой
компании
стоимость - каждый сертификат - 5-20$ пример RSA certificate manager, Geotrust,
есть встроенные системы контроля целостности БД сертификатов, системы контроля
доступа на смарт-картах, токенах, встроенная поддержка основных механизмов типа
OCSP, HSM.
Б.
Получаете аккаунт у мирового вендора и работаете через WEB интерфейс
стоимость как обычные сертификаты - только с дисконтом
это хорошое решение для компаний с небольшим кол-вом сертификатов
В.
OpenSSL бесплатное решение
широкие возможности гибкость настройки
“-” не во всех решениях есть встроенный контроль целостности БД сертификатов
Г.
EJBCA - бесплатное решение уровня компании (кросплатформенность (на Java),
графический интерфейс, поддержка всех базовых механизмов).
Д. Комбинации выше перечисленного
8. Современные угрозы криптографии и защита от них
Возросшие вычислительные мощности по перебору ключей/паролей:
- облачные вычисления - длина пароля и криптографического ключа на его
основе не имеет значения - обязательное ограничение числа неправильных
попыток ввода;
- даже зашифрованные секретные ключи должны безопасно храниться с
исключением возможности несанкционированного копирования (смарт-
карты, HSM).
9. Post - quantum cryptography -это криптосистемы, которые не смогут
взломать квантовые компютеры, когда они будут изобретены.
FHE - предложена в 2009 году, IBM.
- практически трудно применима.
- неполные схемы существуют и сейчас
криптография для облаков - FHE - (просто шифрованный backup не
нужен)
- конвертация PUBLIC cloud to PRIVATE cloud
серьезность темы - инвестиции (мин обороны США DARFA -
$20M инвестиций, IBM открыла центр исследований)
прикладные применения - биллинговые системы, системы
биржевой и финансовой отчетности
10. Законодательное регулирование использования средств
КЗИ.
Хорошая новость - гармонизация с международными стандартами и
упрощение - не нужно разрешения на ввоз средств КЗИ.
Требования украинского законодательства -
все ср-ва КЗИ, которые используються должны иметь или сертификат
соответствия или положительный вывод государственной экспертизы в
сфере КЗИ (сейчас на практике только экспертиза).
Вендоры международного уровня будут иметь приимущество при продаже
продукции, готовой к эксплуатации.
Регулирующие органы -
Державна служба спеціального зв'язку
та захисту інформації України
www.dstszi.gov.ua
Реалии жизни - экспертиза специализированных средств и систем КЗИ.
11. Источники:
1.Wikipedia.org
2.Державна служба спеціального зв'язку
та захисту інформації України www.dstszi.gov.ua
3. rada.gov.ua
4. National Institute of Standards and Technology (USA) www.nist.gov
Transitions Recommendation for Transitioning the Use of Cryptographic Algorithms
and Key Lengths - NIST 800-131A
Мой блог www.lte-umts-gsm-security.blogspot.com
e-mail: dekravchenko@mts.com.ua
kravchenko.denys@gmail.com
Tel.: +38 050 410 2957