Защита информации1
Работа добавлена на сайт samzan.net:
среда, 19 января 2011 г.
Новые ГОСТы по ИБ http://lukatsky.blogspot.com/2011/01/blog-post_19.html
В конце декабря ТК 362 "Защита информации" направил в Ростехрегулирование 5 новых стандартов по информационной безопасности, который скоро должны получить статус национальных стандартов (ГОСТов):
- ГОСТ Р ИСО/МЭК 27033-1 "Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции". Разработчики - ФГУ "ГНИИИ ПТЗИ ФСТЭК России", ООО "Кристалл", "Газпромбанк". Это перевод международного стандарта - ISO/IEC 27033-1:2009 (прямое применение)
- ГОСТР ИСО/МЭК 27004 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения". Разработчики - ФГУ "ГНИИИ ПТЗИ ФСТЭК России", ООО "Кристалл", "Газпромбанк". Это перевод международного стандарта - ISO/IEC 27004:2009 (прямое применение).
- ГОСТР ИСО/МЭК ТО 15443-1 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 1. Обзор и основы". Разработчики - ФГУ "ТНИИИ ПТЗИ ФСТЭК России", ООО "ЦБИ". Это перевод международного стандарта - ISO/IEC TR 15443-1:2005 (прямое применение).
- ГОСТ Р ИСО/МЭК ТО 15443-2 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий- Часть 2. Методы доверия ". Разработчики - ФГУ "ГНИИИ ПТЗИ ФСТЭК России", ООО "ЦБИ". Это перевод международного стандарта - ISO/IЕС TR 15443-2:2005 (прямое применение).
- ГОСТ Р ИСО/МЭК ТО 15443-3 "Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия". Разработчики - ФГУ "ГНИИИ ПТЗИ ФСТЭК России", ООО "ЦБИ". Это перевод международного стандарта IS0/1EC TR 15443-3:2007 (прямое применение).
http://cryptofaq.ru/index.php/2010-12-23-18-20-21/2010-12-23-18-22-09/89-crypt-general-2010
Значимые события в российской криптографии в 2010 году
В статье рассмотрены основные и самые значимые события, которые произошли в отечественной криптографии и информационной безопасности в 2010 году. Рассмотрены вопросы стандартизации российских алгоритмов в международных организациях, ситуация вокруг стандарта на шифрованиеШифрование: Термин, объединяющий термины зашифрование и расшифрование. и вопросы защиты персональных данных
Стандартизация российских алгоритмов подписи и шифрования в ИСО
Одним из главных событий 2010 года стало формальное признание российских криптографических алгоритмов в мировом сообществе. Конечно, о российских алгоритмах шифрования, подписи и хэш-функции криптографический мир знал давно, однако, теперь часть этих алгоритмов стали международными стандартами. Организация ИСО (Международная организация по стандартизации) является крупнейшей организации по принятию стандартов в самых различных областях, в том числе и в информационной безопасности (27 подкомитет комитета по Информационным технологиям). И до 2010 года ни один российский алгоритм или протоколПротокол: Описание распределенного алгоритма, в процессе выполнения которого два участника (или более) последовательно выполняют определенные действия и обмениваются сообщениями. там представлен не был.
Согласно информационному сообщению компании Инфотекс, которая является секретарской компанией Технического комитета по стандартизации №26 «Криптографическая защита информации» (www.tc26.ru), инициирован процесс включения алгоритма шифрования ГОСТ 28147-89 в стандарт ISO 18033-3:2005. При этом, в июле 2010 года российский алгоритм ЭЦП ГОСТ Р 34.10-2001 уже официально стал частью стандарта ISO/IEC 14888-3:2006/Amd 1:2010.
А теперь о том что это значит и зачем это нужно. Ну, во-первых, данное включение наших алгоритмов в международные стандарты является признанием их достаточной криптографической стойкости. Во-вторых, это событие, очевидно, усилит международный интерес к российским алгоритмам, что, в свою очередь, позволит эффективней развиваться криптографической науке в нашей стане. Третье, и, наверно, самое значимое с точки зрения практики следствие, это возможность выхода российских компаний с отечественными, а теперь международными стандартами на мировой рынок.
Однако посмотрим на все это с другой стороны. Российскую подпись приняли - это хорошо. Но составной частью любого алгоритма подписи является алгоритм хэширования. А российского стандарта на хэш-функцию ГОСТ Р 34.11-94 в ИСО нет и, видимо, уже не будет. Поскольку польские и австрийские специалисты в 2008 году опубликовали работу, в которой выявили криптографическую слабость алгоритма. Таким образом, согласно ИСО российскую подпись можно использовать, но с какой-либо другой хэш-фукцией, подходящей по размеру и входящей в стандарт ИСО (например SHA-256). Согласитесь, это уже не совсем российский алгоритм получается.
Далее шифрование. Пока официально его не включили в ИСО, но, заметим, что данный алгоритм шифрования принят в России (CCCР) как стандарт еще в 1989 году. Хороший алгоритм, спору нет, однако, с тех пор многие страны обновили свои стандарты на шифрование. Все это делали по разным причинам, и, видимо, в России данный процесс тоже не за горами. Так что может получиться, что пока алгоритм ГОСТ 28147-89 будут принимать в ИСО (а это, наверно, еще пару лет), мы уже будем пользоваться чем-то другим. Подробнее про наш алгоритм шифрования поговорим ниже.
Суета вокруг ГОСТа
В 2010 году внимание к алгоритму шифрования ГОСТ 28147-89 уделялось не только в связи с вопросами стандартизации в ИСО но и в свете зарубежных работ по криптографической стойкости ГОСТа. В 2009 году была опубликована статья, в которой авторы утверждают, что с помощью бумеранг атаки на основе 4-х связанных ключей можно определить 8 бит секретного ключа. Остальные биты ключа определяются тотальным перебором. Если это так, то можно сделать вывод о криптографической слабости алгоритма ГОСТ. Однако с атаками на основе связанных ключей не все так просто.
В 2010 году на сайте eprint.iacr.org опубликована статья Владимира Рудского , в которой автор указывает на существенные неточности в работе и тот факт, что итоговая трудоемкость представленного метода совпадает с тотальным перебором. Более того, автор предложил более общий метод анализа на основе связанных ключей. В результате трудоемкость метода оценивается как 2^225+2^17 для 4 связанных ключей и 2^26 при 18 связанных ключах. Однако не следует пугаться (ну или, наоборот, радоваться) данным цифрам. Для алгоритма AES, например, известна атака с применением связанных ключей, которая оценивается значением 2^119 при 4 связанных ключах, при этом алгоритм AES считается криптографически стойким. Дело в том, что наличие, так называемых связанных ключей означает очень сильные предположения о возможностях противника. Вероятность успеха данной атаки крайне мала, так что практическая значимость данных методов анализа считается близкой к нулю.
Следует обратить внимание на довольно быструю реакцию российского криптографического сообщества на публикацию статьи о ГОСТе. Видимо, это как раз связано с работой по стандартизации наших криптографических алгоритмов в ИСО, но все равно подобная оперативность достойна уважения.
Будет ли новый хэш?
Вернемся к вопросам стандартизации наших алгоритмов. Как мы уже говорили, вместе с алгоритмом ЭЦП нужно стандартизировать и алгоритм хэш-функции. Однако действующий алгоритм на хэш-функцию ГОСТ Р 34.11-94 не подходит на эту роль. Согласно уже упомянутой статьи (Cryptanalysis of the GOST Hash Function), стойкость нахождения коллизии алгоритма ГОСТ Р 34.11-94 снижена до 2^105, а это означает теоретическую слабость. Понятно, что на практике это все равно недостижимая трудоемкость, однако данная слабость не позволит стандартизировать наш алгоритм хэширования.
Таким образом, остро назрела необходимость в новом алгоритме, тем более что и мировое криптографическое сообщество активно ищет новые алгоритмы хэширования (О данных работах в рамках конкурса SHA-3 наш сайт регулярно вас информирует) И, видимо, это понимаем не только мы. Согласно одному из докладов на конференции РусКрипто 2010 специалистами Матюхиным Д.В. из ФСБ и, уже известным нам Рудским В. из МГУ представлены “принципы построения, общая схема и эксплуатационные характеристики новой функции хеширования, которая может быть использована в качестве основы для обновления национального стандарта ГОСТ Р 34.11-94”. Мы будем внимательно следить за информацией о новом стандарте на хэш-функцию.
Персональные данные. Отсрочка еще на полгода
Далее рассмотрим вопрос, который на прямую не связан с криптографией, однако, может оказать сильное влияние на процессы в информационной безопасности в стране. Речь идет о выполнении требования федерального закона РФ N 152-ФЗ "О персональных данных". Напомним, что согласно данному закону еще в 2009 году все операторы должны были завершить работы по защите персональных данных (ПД) и привести свои ИСПДн в соответствие закону. Однако в декабре 2009 Государственная Дума РФ отсрочила выполнения данного требования на 1 год в связи с явной не готовностью как операторов ПД так и регуляторов.
Казалось, что отсрочки больше не будет, и за 2010 год все успеют подготовится. Однако в декабре 2010 года отсрочка опять была предоставлена. Правда, на этот раз на полгода, до 1 июля 2011 года. В чем же сложность данного вопроса?
Прежде всего это крайняя запутанность законодательства в области информационной безопасности. Например, на сайте ispdn.ru можно увидеть список из 49 пунктов различных законов, постановлений правительства, приказов ФСТЭК, ФСБ и т.д., которые относятся к вопросам защиты ПД. Большинство небольших компаний, которые тоже являются операторами ПД, зачастую просто теряются в этом большом списке. И им остается только один путь - обращаться к сторонним организациям, что, конечно, дорого. Данный вопрос очень объемный, и мы постараемся осветить его в отдельной статье.
Изменения правил на ввоз устройств, содержащих криптографию
С вступлением в силу Таможенного Союза Белоруссии, России и Казахстана изменились некоторые порядки ввоза устройств, содержащих криптографические алгоритмы в сторону ослабления. На сайте Таможенного Союза можно ознакомиться с материалами по данному вопросу. Согласно Положению 2.19 появился перечень из 11 пунктов, попав в которые, товары могут ввозиться по упрощенной схеме путем нотификации и без процедуры получения лицензии. Среди данных пунктов отметим слабую криптографию (длинна ключа менее 56 бит), шифровальные средства в составе ОС, портативные и мобильные устройства, устройства, где шифрование используется только для защиты служебного канала. Так же отметим, что не требуется лицензии, если оборудование ввозиться для собственных нужд (п.8). Правда для использования шифровальных средств даже для собственных нужд соответствующая лицензия ФСБ у компании должна быть обязательно.
2. Тема 3. Капітал. Виробничі фонди та нематеріальні ресурси Сутність структура і класифікація основних фо
3. Виборчі системи України
4. так растет ваше умение.
5. Гроно нездоланих співців (М. Зеров, М. Вороний, М. Драй-Хмара, М. Куліш, Лесь Курбас, Є. Плужник)
6. единого индустриального общества является Р
7. нового журнализма
8. либо значения для нас
9. ПРАКТИЧЕСКОЙ КОНФЕРЕНЦИИ МГИМО У МИД РОССИИ ~ ЯРГУ ИМ
10. то момент настойчивые трели телефонного звонка перекрыли шум волн и уже в следующее мгновение он проснулся
11. на тему- Роль международных организаций в международном частном праве Исполнитель- студент очной форм.html
12. А ВАСИЛИЯ НИКОЛАЕВИЧА ДЕНИСОВА 11 декабря 2009 года в 12 часов дня в своей квартире в Москве скончался ветера
13. ПарусМенеджмент и Маркетинг
14. Реформирование отчетности
15. Times New Romn Работа должна быть напечатана одним цветом черным
16. Учрежденный 8 февраля 1726 года Верховный Тайный Совет как при Екатерине I так и в особенности при Петре II фа
17. Реферат- Решение задач по химии
18. Австралия
19. Особенность построения судебной системы Российской Федерации
20. Статья 1 Судебная власть 1