Оглавление
- Другая проблема: если злоумышленник захочет выдать себя за вашего собеседника? Anchor link
- Использование программы VeraCrypt для защиты
- Особенности эксплуатации защищенных каналов связи в рамках сервисной модели
- Характеристики защищенности ГОСТ VPN
- Что такое шифрование данных
- Придумайте надёжный пароль
- Как работает сквозное шифрование?
- В чем преимущества сервисной модели ГОСТ VPN
- 15.4. Какие существуют методы шифрования
- Насколько вы можете доверять вашему сервису обмена сообщениями? Anchor link
- Криптография как сервис — а как же compliance?
- Шифрование по ГОСТу: свой проект или подписка на сервис?
- Риски шифрования базы данных
- Для кого вы шифруете? Является ли он тем, кем представился? Anchor link
- Шифрование на уровне файловой системы
- История
- Шифрование – один ответ на много вопросов
- Основы шифрования
Другая проблема: если злоумышленник захочет выдать себя за вашего собеседника? Anchor link
В нашем примере с Юлией и Сезаром посредники постоянно способны получать метаданные.
Допустим, что один из посредников оказался злоумышленником. Под злоумышленником мы будем подразумевать любого, кто намеревается нанести вам урон, пытаясь украсть либо подменить ваши данные. И по какой-либо причине наш злоумышленник желает узнать о содержимом сообщения Юлии для Сезара.
Допустим, этот злоумышленник смог обмануть Юлию, и она получила подложный файл открытого ключа «Сезара». Юлия не заметила, что это на самом деле не открытый ключ Сезара. Злоумышленник получает сообщение Юлии, просматривает его и передает дальше Сезару.
Злоумышленник может даже изменить содержимое сообщения (файла) перед тем, как передать его Сезару.
В большинстве случаев злоумышленник не изменяет содержимое сообщения. Он пересылает сообщение Юлии Сезару как будто бы ничего и не произошло. Сезар узнаёт, что они с Юлией должны встретиться в саду, но к их удивлению там оказывается и злоумышленник.
Это называется «атакой посредника», где посредником может оказаться человек либо компьютер.
К счастью, использование шифрования с открытым ключом способно предотвратить атаку посредника.
Шифрование с открытым ключом позволяет осуществить двойную проверку соответствия цифрового ключа и личности собеседника посредством так называемой «проверки отпечатков». Лучше всего такую проверку осуществлять при личной встрече. Ваш собеседник сравнит каждый символ отпечатка открытого ключа, предоставленного вами, с отпечатком вашего открытого ключа, находящегося у собеседника. Немного утомительно, но это действительно стоит сделать.
Приложения, использующие сквозное шифрование, также могут проверять отпечатки ключей, хотя и существуют некоторые вариации в названиях и способах реализации. В некоторых случаях необходимо очень внимательно прочитать каждый символ отпечатка, убедившись в том, что отпечаток на вашем экране совпадает с тем, что собеседник видит на своём. Другим способом проверки отпечатка является сканирование QR-кода с экрана телефона собеседника для подтверждения ключа его устройства. В приведённом ниже примере Юлия и Сезар могут встретиться лично, чтобы проверить отпечатки ключей своих телефонов, отсканировав QR-коды друг друга.
Если же роскошь личной встречи вам недоступна, вы можете отправить свой отпечаток по другому безопасному каналу связи, например с помощью другого мессенджера, чата или HTTPS-сайта, использующего сквозное шифрование.
В данном примере Сезар отправляет отпечаток своего открытого ключа Юлии с помощью смартфона, используя при этом другое приложение со сквозным шифрованием.
Напомним:
- Атака посредника – перехват злоумышленником сообщения, предназначенного вашему собеседнику. Атакующий может внести изменения в это сообщение, а может переслать его дальше, просто ознакомившись с содержимым.
- Криптография (шифрование) с открытым ключом позволяет противостоять атаке посредника с помощью проверки личностей отправителя и получателя. Это делается с помощью проверки отпечатков ключей.
- Открытый ключ вашего собеседника используется для шифрования сообщений, отправляемых ему. У каждого открытого ключа есть сокращенная версия — так называемый «отпечаток открытого ключа». Вы можете использовать его для проверки личности вашего собеседника.
- Закрытый ключ используется для шифрования сообщений в качестве цифровой подписи, подтверждающей ваше авторство.
Использование программы VeraCrypt для защиты
Криптографический модуль есть не на каждом ПК, но шифрование системного диска можно осуществить с помощью других программ, которые не требуют этой опции. Например, утилиты VeraCrypt.
Для начала нужно загрузить ее из интернета и установить. Программа имеет английский интерфейс, поэтому придется следовать инструкции:
Запускаем утилиту.
Переходим во вкладку System и выбираем пункт «Encrypt System Partition/Drive».
Программа может сделать подставной раздел, в котором не будет ничего важного. Если злоумышленники потребуют у вас пароль, вы можете дать код от такого раздела
Чтобы сделать это, нужно далее выбрать «Hidden».
Если вам не нужен скрытый раздел, тогда выбираете Normal настройку.
Далее нужно выбрать полное шифрование винчестера или скрытие отдельных файлов. Надежнее «прятать» весь диск, поэтому выбираем «Encrypt the whole disk».
В следующем пункте лучше отказаться от шифрования Host protected area, поскольку программа не всегда корректно это делает.
Если на ПК установлена только одна операционная система, выбираем пункт «Single».
Далее настраиваем тип шифрования. Лучше остановить свой выбор на AES. В этом случае снижение производительности будет незначительным.
Вводим дважды придуманный пароль, который нужно будет вводить при каждой загрузке ПК.
В следующем окне нужно просто перемещать хаотично курсор, пока внизу полоса полностью не заполнится.
После кликаем «Далее» и нужно поставить галочку в самом низу, если на вашем ПК нет рекордера, на который можно было бы записать образ.
Образ можно будет закинуть по указанному адресу, например, на пару флешек или в облако.
Следующий пункт можно пропустить и перейти к тестированию, во время которого компьютер перезагрузится. После можно будет завершить процесс шифрования.
Во время новой загрузки система будет просить пароль, который вы настроили.
Особенности эксплуатации защищенных каналов связи в рамках сервисной модели
Провайдер услуги осуществляет работы на каждом этапе жизненного цикла сервиса: от закупки и построения до эксплуатации системы криптозащиты. Заказчику не обязательно выбирать производителя СКЗИ — по его запросу все требуемые действия выполнит поставщик услуги. Сервис-провайдер самостоятельно поддерживает версию СКЗИ в актуальном состоянии (приобретение новой версии, удаленное или локальное обновление), обеспечивает работоспособность аппаратной части (пул запасного оборудования, выезды на объекты, перенос конфигурации), ведет журнал учета СКЗИ и другую документацию. При этом осуществляет актуализацию политик безопасности и обновление ключей, круглосуточный мониторинг работоспособности и устранение инцидентов.
Заказчик получает услугу «под ключ», в отчетный период ему предоставляется статистика по работоспособности и запросам. При этом размер ежемесячного платежа остается неизменным, если не меняются параметры получаемой услуги, например, связанные, с появлением у клиента новых офисов или повышением пропускной способности каналов связи, — комментирует Александр Веселов. |
После установки СКЗИ у заказчика за их эксплуатацию полностью отвечает команда квалифицированных ИБ-специалистов «Ростелеком-Солар», что гарантирует:
- производительность и отказоустойчивость сервиса (в соответствии с соглашением об уровне услуг SLA);
- применение актуальных настроек VPN и политик ИБ;
- возможность взаимодействия с другими защищенными сетями;
- быстрое обнаружение и устранение инцидентов безопасности в режиме 24×7.
Важно, что провайдер услуги берет на себя все заботы, связанные с соблюдением законодательства в отношении средств криптозащиты: применение только сертифицированных продуктов лидирующих вендоров, тщательное отслеживание всех изменений нормативной базы – сервис всегда соответствует всем нюансам актуальных законов и регламентов. И это при минимуме бюрократии на стороне клиента и прогнозируемых затратах.
Характеристики защищенности ГОСТ VPN
В рамках сервиса ГОСТ VPN используются СКЗИ, сертифицированные ФСБ России по классу КСЗ. Данный класс наиболее распространён и является де-факто стандартом на российском рынке.
Требования к СКЗИ различных классов не являются общедоступными, но некоторая их часть изложена в Рекомендациях по стандартизации Р 1323565.1.012-2017 «Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации». Основные технические особенности оборудования класса КС3 – разграничение доступа администраторов безопасности, замкнутая программная среда и криптографический контроль целостности компонентов.
СКЗИ данного класса выпускают в виде программно-аппаратных комплексов различной производительности.
В полном соответствии с требованиями регулятора компания «Ростелеком-Солар», предлагающая услуги такого уровня, обладает лицензией ФСБ России на предоставление услуг по шифрованию каналов передачи данных.
Сервис ГОСТ VPN, обеспечивающий защиту каналов связи, реализует эту защиту на канальном и сетевом уровнях (L2/L3) модели OSI. Выбор того или иного механизма защиты зависит от специфики задач клиента. Скажем, конфигурирование управляемой из облака сети, защищенной на уровне L3, обеспечивает возможности практически неограниченного масштабирования. На подобных принципах базируется, в частности, сетевая архитектура Интернета или крупных дата-центров. На сетевом уровне L3 работают протоколы динамической маршрутизации, например, OSPF и др., позволяя строить кратчайшие пути для пакетов данных или отправлять их одновременно по нескольким путям для балансировки загрузки и т.д.
Что такое шифрование данных
Шифрование – это процесс преобразования информации таким образом, чтобы злоумышленник не мог её прочитать, – доверенное лицо может расшифровать данное сообщение и прочитать его в первоначальном виде. Существует много популярных методов шифрования/дешифрования, но ключ безопасности является патентованным алгоритмом. Самое главное – сохранить секретный ключ (пароль) секретным.
Важно различать два понятия – кодирование и шифрование. Кодирование также преобразует информацию, однако, как правило, оно выполняется из-за удобства хранения или передачи – не обязательно для хранения секретов
Широко известным методом кодирования является азбука Морзе и двоичное кодирование в памяти компьютера.
Придумайте надёжный пароль
В первую очередь вы должны придумать хороший пароль, которым будет зашифрован диск. Иначе все нижеописанные действия теряют смысл, а защита данных и шифрование не спасут от взлома. Чтобы создать надёжный пароль, воспользуйтесь следующими советами:
- Используйте не одно слово, а несколько — например небольшую фразу.
- Не используйте для пароля стандартные словарные слова, термины, имена, названия и даты. Можете взять слово и разделить его на части символами, скажем, p@S5w0r&?15D (здесь скрыто слово “password”).
- Пароль должен содержать не менее 8 символов (лучше больше), а также прописные и строчные буквы, цифры и стандартные символы на клавиатуре.
Теперь можно переходить к настройкам шифрования.
Как работает сквозное шифрование?
Сквозное шифрование гарантирует, что никто – даже сервер, который соединяет вас с другими пользователями – не может получить доступ к вашим данным. Речь идет о чем угодно: от обычного текста и электронных писем до файлов и видеозвонков.
Сквозным шифрованием данные защищены в таких приложениях, как Whatsapp, Signal и (вероятно) Google Duo, так что расшифровать их могут только отправители и предполагаемые получатели. Сквозное шифрование начинается с так называемого обмена ключами.
Как работает обмен ключами в протоколе Диффи-Хеллмана?
Идея обмена ключами Диффи-Хеллмана была предложена криптографами Уитфилдом Диффи, Мартином Хеллманом и Ральфом Мерклом. Это ставший революционным криптографический протокол, по которому стороны могут генерировать общий секретный ключ в открытой уязвимой среде.
Другими словами, генерация ключа может происходить на небезопасных ресурсах (даже при возможном прослушивании канала) без ущерба для последующих сообщений. В век информации это особенно ценно, поскольку сторонам не нужно физически обмениваться ключами для связи.
Сам обмен заключается в использовании случайных больших чисел и криптографической магии. Мы не будем вдаваться в подробности. Вместо этого воспользуемся популярной аналогией с красками. Предположим, что Алиса и Боб находятся в разных гостиничных номерах на противоположных концах коридора и хотят использовать вместе краску определенного цвета. Они не хотят, чтобы кто-то еще знал, какую именно.
К сожалению, этаж находится под наблюдением шпионов. Предположим, что Алиса и Боб не могут входить в комнаты друг друга, поэтому могут взаимодействовать только в коридоре. В коридоре они могут выбрать общую краску, например, желтую. Затем они берут банку с желтой краской, отливают себе часть и возвращаются в комнаты.
В своих комнатах им нужно подмешать в желтую краску секретный цвет – такой, о котором никто не знает. Алиса использует синий, а Боб – красный
Важно, что шпионам эти секретные цвета неизвестны. Теперь Алиса и Боб выходят из комнат со своими сине-желтыми и красно-желтыми смесями – результат смешивания известен шпионам
Алиса и Боб меняются смесями в открытую
Неважно, что шпионы это видят – они не могут определить точный оттенок добавленных цветов. Помните, что это всего лишь аналогия – настоящая математика, лежащая в основе этой системы, делает еще труднее подбор секретного “цвета”
Алиса берет смесь Боба, Боб берет смесь Алисы, и они снова возвращаются в комнаты. Теперь они еще раз подмешивают свои секретные цвета.
- Алиса смешивает свою секретную синюю краску с красно-желтой смесью Боба, получая красно-желто-синий цвет
- Боб смешивает свою секретную красную краску с сине-желтой смесью Алисы, получая сине-желто-красный цвет
В обеих комбинациях одинаковые цвета, поэтому они выглядят одинаково. Алиса и Боб успешно получили уникальный цвет, неизвестный шпионам.
Такова схема создания общего секрета в открытой среде. Разница в том, что в реальности мы имеем дело не с коридорами и красками, а с небезопасными каналами передачи, открытыми и закрытыми ключами.
Обмен сообщениями
Полученный общий секрет стороны могут использовать как основу для асимметричного шифрования. Популярные реализации обычно включают в себя дополнительные методы для более надежной защиты, но все они являются абстракцией для пользователя. После того, как вы установите с собеседником связь в приложении с E2EE, шифрование и дешифрование могут выполняться только на ваших устройствах (если не учитывать любые серьезные уязвимости программного обеспечения).
Неважно, являетесь ли вы хакером, оператором связи или даже представителем правоохранительных органов. Если приложение действительно использует сквозное шифрование, любое перехваченное сообщение будет выглядеть непонятным набором байт
В чем преимущества сервисной модели ГОСТ VPN
Оплата фактически потребляемого сервиса дает прямую экономию:
- снижаются затраты на оборудование и персонал — капитальные издержки переходят в операционные;
- совокупная стоимость владения сервисами значительно дешевле традиционной схемы, включающей покупку, внедрение и последующую поддержку ИБ-решений;
- благодаря распределенной отказоустойчивой инфраструктуре и квалифицированной команде эксплуатации минимизируются издержки на подключение к сервисам, ремонты и простои оборудования по причине аварий или инцидентов ИБ;
- простая масштабируемость услуги позволяет оперативно менять ее параметры, что тоже сокращает затраты на модернизацию;
- заключение единого договора на услуги связи и шифрования также дает определенную экономию заказчику.
Экономия на стоимости услуг высококвалифицированного ИБ-персонала:
- устраняется зависимость от дорогостоящих кадров узкой специализации.
- нет необходимости создавать еще один отдел в составе своего ИБ-департамента.
Как правило, физической границей разделения зон ответственности между заказчиком и поставщиком сервиса являются внутренние порты предоставляемого оборудования. Поскольку оно устанавливаются у клиента, тот должен заботиться о сохранности аппаратных решений и соблюдать ряд условий: по электропитанию, климат-контролю, свободным сетевым интерфейсам, при необходимости — местам в стойке.
15.4. Какие существуют методы шифрования
Рассмотрим еще одну классификацию шифров. Множество современных методов
защитных преобразований можно разделить на четыре группы:
- в шифре перестановки все буквы открытого текста остаются без изменений,
но перемещаются с их исходных позиций на другие места. Перестановки получаются
в результате записи исходного текста и чтения шифрованного текста по разным
путям некоторой геометрической фигуры. - в шифре замены наоборот, позиции букв в шифровке остаются теми же, что и у
открытого текста, но символа заменяются символами другого алфавита. - в аддитивном методe буквы алфавита заменяются числами, к которым
затем добавляются числа секретной псевдослучайной последовательности.
Ее состав меняется в зависимости от использованного ключа.
Этот метод широко используется в военных криптографических системах. -
комбинированные методы предполагают использование для шифрования
сообщения сразу нескольких методов. (например, сначала замена символов, а потом их перестановка).
Насколько вы можете доверять вашему сервису обмена сообщениями? Anchor link
Сквозное шифрование сможет защитить вас от слежки со стороны правительств, хакеров и самого сервиса обмена сообщениями. Но все упомянутые стороны могут незаметно для вас внести такие изменения в используемое вами приложение, что вместо использования сквозного шифрования ваши данные будут отправляться с использованием ослабленного шифрования, либо вовсе незашифрованными.
Многие группы, включая EFF, занимаются изучением популярных приложений (WhatsApp, принадлежащий Facebook, или Signal), чтобы убедится в том, что они действительно используют обещанное сквозное шифрование. Но если вас беспокоят возможные риски, связанные с использованием подобных приложений, то вы могли бы использовать независимые от транспортных систем инструменты, использующие общеизвестные и проверенные методы шифрования. Примером таких инструментов являются OTR и PGP. Эти системы, основанные на пользовательском опыте, зачастую менее удобны в использовании и являются старыми протоколами, не использующими все лучшие и современные методы шифрования.
Off-the-Record (OTR) — протокол сквозного шифрования в режиме реального времени при обмене текстовыми сообщениями. Его можно использовать совместно с множеством служб обмена мгновенными сообщениями. Некоторые инструменты, использующие OTR:
- Pidgin (для Windows/Linux)
- Adium (для macOS)
- Jitsi (для Linux, Windows, macOS)
PGP (Pretty Good Privacy) является стандартом сквозного шифрования для электронной почты. Подробные инструкции по установке и использованию PGP-шифрования вашей корреспонденции:
- Руководство по PGP для Mac
- Руководство по PGP для Windows
- Руководство по PGP для Linux
Использовать PGP-шифрование для электронной почты лучше всего при переписке с такими же технически подкованными пользователями, осведомлёнными о сложностях и ограничениях PGP.
Криптография как сервис — а как же compliance?
Существует ошибочное мнение, что сервисная модель в области шифрования каналов связи противоречит требованиям регуляторов и пройти в этом случае оценку соответствия (в т.ч. в форме аттестации) информационной системы требованиям безопасности информации невозможно. Однако это не так, и ряд федеральных органов исполнительной власти, государственных учреждений, государственных корпораций, крупных банков, компании из газовой и нефтяной промышленности, а также иные представители различных отраслей экономики, которые уже используют сервис ГОСТ VPN — яркое тому подтверждение. Данная модель никак не противоречит требованиям законодательства по защите информации.
В рамках сервиса шифрования каналов связи используются сертифицированные ФСБ России СКЗИ соответствующего класса. А, как известно, СКЗИ должны быть сертифицированы ФСБ России при их использовании в таких типах информационных систем, как информационные системы персональных данных, государственные информационные системы, объекты критической информационной инфраструктуры, информационные системы финансовых организаций и т.д.
Процедура оценки соответствия требованиям безопасности информации (в т.ч. в форме аттестации) заключается в проведении комплекса организационно-технических мероприятий, в результате которых подтверждается соответствие объекта исследований требованиям стандартов или иных нормативно-методических документов по безопасности информации.
Применение сервиса ГОСТ VPN допустимо для реализации требований compliance в случае, если средства защиты, используемые для оказания таких услуг, соответствуют предъявляемым требованиям, соблюдаются лицензионные требования и условия эксплуатационной и технической документации к данным средствам защиты. Кроме того, использование сторонних сервисов для обеспечения безопасности информации или администрирование средств защиты информации внешними организациями не должно быть запрещено в явном виде стандартами и нормативно-методическими документами по защите информации.
В случае с сервисом ГОСТ VPN в техническом паспорте информационной системы, в которой применяется данный сервис, учитываются подробные данные об используемых криптошлюзах (наименование СКЗИ, заводские номера, сведения о сертификации и месте размещения, реквизиты договора). Эти сведения провайдер услуг предоставляет по требованию заказчика.
Учитывая вышеперечисленное, сервис шифрования каналов связи может применяться для обеспечения соответствия требованиям нормативных правовых актов регуляторов в области защиты информации, если запрет не указан в явном виде. А информационные системы, в которых защита информации реализована с использованием сервиса ГОСТ VPN, могут пройти оценку соответствия требованиям безопасности информации (в том числе в форме аттестации) с положительным заключением.
Шифрование по ГОСТу: свой проект или подписка на сервис?
Есть два основных варианта реализации защиты информации, передаваемой через внешние каналы связи, с применением СКЗИ: комплексный проект (собственными силами или с привлечением интегратора) и приобретение данной услуги по сервисной модели.
Сервис шифрования каналов связи ГОСТ VPN уже зарекомендовал себя на рынке за счет ряда преимуществ по сравнению с традиционной схемой владения СКЗИ. Среди них снижение затрат на оборудование и обслуживающий персонал, минимизация издержек на подключение к сервисам, ремонт и простои оборудования по причине аварий или инцидентов информационной безопасности, сокращение затрат на модернизацию оборудования, возможность экономии за счет заключения единого договора на услуги связи и шифрования, перенос ответственности за выполнение требований нормативных правовых актов по эксплуатации СКЗИ на сторону провайдера услуг.
Соотношение экономической эффективности сервисной модели и традиционной схемы владения СКЗИ на отрезке времени в 7 лет
Основные затраты при традиционной схеме владения СКЗИ (помимо ежегодных расходов на обслуживание системы защиты каналов связи), которые отражены на графике:
Закупка и внедрение СКЗИ: проект потребует разработки архитектуры решения, закупки оборудования, логистики и внедрения на местах.
Обновление ПО СКЗИ: сертификат ФСБ России на СКЗИ выдается на 3 года и может быть продлен примерно на 1,5 года, а дальше потребуется переход на новую сертифицированную версию. Обновление мажорной версии ПО СКЗИ происходит в среднем на четвертый год эксплуатации и составляет 50% стоимости оборудования.
Обновление аппаратной части: наработка на отказ аппаратных платформ составляет в среднем 50 тыс. часов, то есть среднее время жизни устройства — примерно 5-6 лет. В примере расчета рассмотрен вариант, в котором обновление аппаратной части СКЗИ происходит на шестой год эксплуатации. Затраты на закупку аналогичны изначальным (хотя с учетом инфляции — обычно увеличиваются). Проектирование и внедрение как таковые не требуются, однако может потребоваться дополнительное обучение сотрудников службы эксплуатации.
Традиционная проектная модель подразумевает капитальные единоразовые вложения на старте проекта. Существенные затраты на поддержание актуального состояния оборудования приходятся на четвертый и шестой годы эксплуатации.
В сервисной модели затраты операционные и они распределены равномерно на весь период использования сервиса. Провайдер самостоятельно осуществляет закупку оборудования, подменного фонда, поддержку версии и настроек СКЗИ в актуальном состоянии. Этот вариант позволяет клиенту решить специфическую задачу по защите каналов связи как минимум не дороже проектной, сконцентрировавшись на своем основном виде деятельности.
Риски шифрования базы данных
При обсуждении темы шифрования базы данных обязательно осознавать риски, связанные с этим процессом. Первый набор рисков связан с управлением ключами. Если закрытые ключи не управляются в «изолированной системе», системные администраторы со злонамеренными намерениями могут иметь возможность расшифровать конфиденциальные данные с помощью ключей, к которым у них есть доступ. Фундаментальный принцип ключей также порождает потенциально разрушительный риск: если ключи потеряны, то и зашифрованные данные, по сути, также теряются, поскольку дешифрование без ключей практически невозможно.
Для кого вы шифруете? Является ли он тем, кем представился? Anchor link
Теперь у вас может возникнуть вполне резонный вопрос: «Понятно, что мой открытый ключ позволяет кому-то отправлять мне зашифрованное сообщение, а мой закрытый ключ позволяет прочитать это зашифрованное сообщение. Но что, если кто-то притворяется мной? Что, если кто-то создаст новые открытый и закрытый ключи и станет выдавать себя за меня?»
Именно здесь и раскрывается польза шифрования с открытым ключом. Вы можете подтвердить свою личность и проверить личность собеседника. Давайте подробно рассмотрим возможности использования закрытого ключа.
Помимо того, что ваш закрытый ключ позволяет читать сообщения, зашифрованные с помощью вашего открытого ключа, с его помощью вы также можете оставлять в отправляемых вами сообщениях цифровую подпись, которую невозможно подделать. Таким образом вы подтверждаете авторство своих сообщений.
Получатель увидит вашу цифровую подпись вместе с сообщением и сравнит её с данными, указанными в вашем открытом ключе.
Давайте посмотрим, как это работает на практике.
Шифрование на уровне файловой системы
Шифрованная файловая система (EFS)
Важно отметить, что традиционные методы шифрования базы данных обычно шифруют и дешифруют содержимое базы данных. Базы данных управляются «системами управления базами данных» (СУБД), которые работают поверх существующей операционной системы (ОС)
Это создает потенциальную угрозу безопасности, поскольку зашифрованная база данных может работать в доступной и потенциально уязвимой операционной системе. EFS может шифровать данные, которые не являются частью системы базы данных, что означает, что объем шифрования для EFS намного шире по сравнению с такой системой, как TDE, которая способна только шифровать файлы базы данных. Хотя EFS расширяет объем шифрования, он также снижает производительность базы данных и может вызвать проблемы с администрированием, поскольку системным администраторам требуется доступ к операционной системе для использования EFS. Из-за проблем, связанных с производительностью, EFS обычно не используется в приложениях для создания базы данных, которые требуют частого ввода и вывода базы данных. Чтобы компенсировать проблемы с производительностью, часто рекомендуется использовать системы EFS в средах с небольшим количеством пользователей.
История
Использовавшийся в Древней Греции шифр «скитала», чья современная реконструкция показана на фото, вероятно был первым устройством для шифрования *Скитала — древний принцип шифровки данных при помощи бумаги. Палку обворачивали бумагой, писали слово на свёртке, и заполняли пустые места случайными символами Роторная шифровальная машина Энигма, разные модификации которой использовались немецкими войсками с 1929 года до конца Второй мировой войны Основная статья: История криптографии
История криптографии насчитывает около 4 тысяч лет. В качестве основного критерия периодизации криптографии возможно использовать технологические характеристики используемых методов шифрования.
Первый период (приблизительно с 3-го тысячелетия до н. э.) характеризуется господством моноалфавитных шифров (основной принцип — замена алфавита исходного текста другим алфавитом через замену букв другими буквами или символами). Второй период (хронологические рамки — с IX века на Ближнем Востоке (Ал-Кинди) и с XV века в Европе (Леон Баттиста Альберти) — до начала XX века) ознаменовался введением в обиход полиалфавитных шифров. Третий период (с начала и до середины XX века) характеризуется внедрением электромеханических устройств в работу шифровальщиков. При этом продолжалось использование полиалфавитных шифров.
Четвёртый период — с середины до 70-х годов XX века — период перехода к математической криптографии. В работе Шеннона появляются строгие математические определения количества информации, передачи данных, энтропии, функций шифрования. Обязательным этапом создания шифра считается изучение его уязвимости для различных известных атак — линейного и дифференциального криптоанализа. Однако, до 1975 года криптография оставалась «классической», или же, более корректно, криптографией с секретным ключом.
Современный период развития криптографии (с конца 1970-х годов по настоящее время) отличается зарождением и развитием нового направления — криптография с открытым ключом. Её появление знаменуется не только новыми техническими возможностями, но и сравнительно широким распространением криптографии для использования частными лицами (в предыдущие эпохи использование криптографии было исключительной прерогативой государства). Правовое регулирование использования криптографии частными лицами в разных странах сильно различается — от разрешения до полного запрета.
Современная криптография образует отдельное научное направление на стыке математики и информатики — работы в этой области публикуются в научных журналах, организуются регулярные конференции. Практическое применение криптографии стало неотъемлемой частью жизни современного общества — её используют в таких отраслях как электронная коммерция, электронный документооборот (включая цифровые подписи), телекоммуникации и других.
Шифрование – один ответ на много вопросов
Существует много опасностей для ваших личных данных, однако, существуют и универсальные методы защиты, например, отделение вашего домашнего персонального компьютера от любопыства посторонних и несовершеннолетних, или использование PIN-кода для разблокирования экрана вашего телефона.
Существует и другой эффективный метод – создание сообщения таким образом, чтобы его мог прочитать только человек, к которому оно обращено. Вы можете заранее защитить себя от неловких ситуаций и ошибок, сохранив информацию в зашифрованном виде.
Вы можете иметь дело с шифрованием, даже если об этом не думаете – например, просматривая письма в Gmail или банковские сайты с помощью HTTPS, или общаясь со своими друзьями через популярные сотовые сети GSM.
Но, мы хотели бы сосредоточиться на ещё одном важном аспекте – шифровании ваших данных, которые вы храните на своем компьютере и телефоне
Основы шифрования
Во-первых, шифрование — это способ скрытия данных. Только те, кто может расшифровать информацию, могут увидеть ее содержимое. Если у кого-то нет ключа дешифрования, он не сможет расшифровать данные.
Ваши устройства постоянно используют различные формы шифрования. Например, когда Вы заходите на веб-сайт онлайн-банкинга — или любой другой веб-сайт, использующий HTTPS, который в наши дни используется на большинстве веб-сайтов, — обмен данными между Вами и этим веб-сайтом зашифрован, так что Ваш сетевой оператор, провайдер и все остальные, кто отслеживает Ваш трафик, не увидит Ваш банковский пароль и финансовые данные.
Wi-Fi тоже использует шифрование. Вот почему Ваши соседи не могут увидеть, что Вы делаете в своей сети Wi-Fi, если Вы используете современный стандарт безопасности.
Шифрование также используется для защиты Ваших данных. Современные устройства, такие как iPhone, телефоны Android, iPad, Mac, Chromebook и системы Linux (но не все ПК с Windows), хранят свои данные на локальных устройствах в зашифрованном виде и расшифровываются после входа в систему с помощью PIN-кода или пароля.