Практическая работа №5 АПМДЗ Криптон-замок инициализация системного администратора, инициализация пользователя, проверка целостности среды
Цель работы: изучить возможности реализации защищенных систем с применением аппаратно программного модуля доверенной загрузки «Криптон – замок». Научиться программировать ключи доступа пользователя.
Crypton-замок(М-526) это типичный электронный замок, обеспечивающий:
- аутентификацию и идентификацию пользователя до загрузки ОС;
- защиту от загрузки ОС со съемных носителей.
- контроль целостности выбранных объектов.
Имеется несколько модификаций:
Crypton-замок/к обеспечивает загрузку ПК с индивидуальными настройками для каждого пользователя.
Crypton-замок/м для работы со сменными носителями. В этой модификации в плате хранится список зарегистрированных сменных дисков.
Crypton-замок/у реализована функция удалённого управления крипто-замка.
Совместно с аппаратным криптон-замком может работать программная система защиты Crypton-щит, которая имеет сертификаты: 3 класс(СВТ), 2 (HDB). Реализует дискретное и мандатное разграничение.
«Аппаратно программный модуль доверенной загрузки «Криптон – замок/К Инициализация»»
Задание:
Прослушать обучающий курс преподавателя.
Изучить техническую документацию:
«Изделие «криптон – замок/К» Руководство администратора КБДЖ.468243.039/20 РЭ 2
назначение прибора
Условие применения
Режим работы АПМДЗ
Режим инициализации изделия
Режим сервисного администратора
Выполнить самостоятельную работу.
Режим регистрации пользователей
Оформить отчет по результатам выполнения практической работы.
Ход работы:
Изучить техническую документацию на АПМЗД.
Выключить компьютер, установить SW6 в положение «ON». Включить компьютер.
Настроить параметры инициализации.
Зарегистрировать администратора.
Выключить компьютер. Установить переключатель SW6 в положение «OFF».
Включить компьютер. Войти в систему администратором, используя собственный ключевой носитель и пароль «password».
Добавить нового пользователя «safikanov», задать ему пароль. Сохранить все данные. Выключить компьютер.
Вставить ключ пользователя. Включить компьютер. Зайти в систему пользователем. Продемонстрировать преподавателю.
Для того чтобы компьютерной системе можно было полностью доверять, её необходимо аттестовать, а именно определить множество выполняемых функций, доказать конечность этого множества и определить свойства всех функций.
Система защиты от НСД строится на базе аппаратно-программного модуля доверенной загрузки (АПМДЗ). Модуль АПМДЗ устанавливается в рабочее место (РМ) вычислительной сети и обеспечивает контроль доступа пользователя к РМ и контроль устанавливаемой в составе РМ операционной системы (ОС).
Владение скрытой для посторонних информацией (запоминаемая либо хранящаяся конфиденциальная информация). Примерами могут служить пароль, персональный идентификационный код (PIN), секретные ключи и т.п.
Обладание материальным носителем информации (карта с магнитной полосой, электронные ключи классов touch memory и eToken, смарт-карта, дискета и т.д.).
Биометрические характеристики субъекта (отпечатки пальцев, голос, геометрия лица, особенности сетчатки и радужной оболочки глаз и т.п.).
Аппаратно- программный модуль доверенной загрузки «Криптон-Замок/К»
Цель: 1) изучить возможности реализации защищенных систем с применением аппаратно программного модуля доверенной загрузки «Криптон-замок».
2) изучить возможности реализации управления аппаратно- программным модулем доверенной загрузки «Криптон-замок». Научиться программировать ключи доступа пользователя
Задание: 1) прослушать обучающий курс преподавателя в лекционном классе
2) Изучить техническую документацию.
Назначение прибора:
«Криптон-замок/К»- это аппаратно-программный модуль доверенной загрузки, устанавливаемый на компьютер, и обеспечивающий разграничение и контроль доступа пользователей к техническим, программным и информационным ресурсам компьютера, а также контроль целостности установленной на компьютере программной среды при запуске компьютера, на котором обрабатывается информация различного уровня конфиденциальности.
Режимы работы АПМДЗ:
режим инизиализации- служит для начальной инициализации изделия и обеспечивает выполнение следующих функций: назначение имён файлов, установка флагов, регистрация временного администратора, изменение времени передачи управления
режим управления- режим работы, при котором обеспечиваются дополнительные возможности
режим пользователя- обеспечивабт основные функции, установленные администратором.
Ответы на контрольные вопросы:
«Частично контролируемые компьютерные системы»- все современные Windows и Linux подобные ОС относятся к частично контролируемым системам, из-за большого кол-ва программного кода, который невозможно проверить за реальное время.
Для защиты средств от НСД по режиму Гос. Тайны используют программные средства для уровня конфиденциальной информации и программно-аппаратные средства для уровня Гос. Тайны
Методы идентификации пользователей в защищенных компьютерных системах
Поле <�Идентификатор>- ввести свою фамилию,
<�Права пользователя>- разрешить читать журнал,
<�Серийный номер АНП>- получить,
<�Текущий статус>- не блокирован,
<�Контур> <�Выбрать>- не изменяя <�Ок>,
<�Ок>
Ввести сгенерированный пароль
Контрольные вопросы и ответы:
Что означает понятие «Частично контролируемые компьютерные системы»
Как организуется защита средств вычислительной техники от НСД по режиму гос-тайна.
Методы идентификации пользователей в защищенных компьютерных системах.
Условия применения изделия АПМДЗ в качестве средства защиты от НСД к техническим, программным и информационных ресурсам ПЭВМ.
Практическая работа №6 Аппаратные средства шифрования Криптон4,8 настройка, эксплуатация
Цель работы: Изучить возможности использования пакета КРИПТОН Шифрование для защиты электронных документов от несанкционированного доступа (НСД). Получить представление об особенностях работы и выполняемых функциях пакета.
Криптон IDE (М-545) предназначен для ЗИ на винчестере, обеспечивает прозрачность шифрования информации, записываемой на винчестер. Скорость шифрования 70Мбит/с. Ключи шифрования вводятся с электронного идентификатора iButton. Представляет собой плату котоая крепится на винчестере. Имеется 2 интерфейса: 1- к винту, 2-ой контроллеру винта на матплате. Имеет свой криптон замок.
Модификация криптон SATA (М-573)- скорость шифрования до 240Мбит/с. Так же есть модификация для usb носителей, Криптон М591.
RuToken.
Электронный идентификатор, используется для аутентификации пользователя при входе в ОС. Обеспечивается генерация случайных 256 битных ключей. Шифрование различается способами, в том числе на ГОСТе. Есть возможность программного шифрования всеё хранимой в идентификаторе информации.
Сетевой шифратор – ArcNet Pro – обеспечивает шифрование информации, передаваемой локальной сетью и из неё. Имеется 2 криптопроцессора – для входящей и исходящий информации. Скорость 9Мбайт/с .
КРИПТОН-Дозор
Система мониторинга событий на рабочих станциях с Windows/Linux, на которых установлены криптон-замки.
Основные ключевые элементы ПО КРИПТОН.
В ГОСТе 28147-89 имеется 2 секретных элемента: сам 256 битный ключ и таблица замен, представляющая собой набор из 8 узлов замены. Таблица замены является одинаковой для всех компьютеров защищенных систем, хранится в файле uz.db3 и загружается в шифратор при инициализации компа. Смена узлов замены ведет к смене всех ключей и необходимости перешифровке всей информации.
В Криптоне вместо 256 битного ключа используется сложная иерархическая ключевая система. Её появление связан с необходимостью решения проблем:
Причины использования сложной ключевой системы.
Наработка на ключ. Постоянное шифрование на одном и том же ключе может облегчить задачу криптоаналитикам. Чтобы не было этого используются 256 битовые сеансовые (файловые) ключи. Каждый файл шифруется на своём ключе, который формируется датчиком случайных чисел.
Применение файловых ключей ускоряет операцию перешифрования .
При общении пользователя с несколькими абонентами ему необходимо использовать несколько узловых ключей. Для безопасности смены их предусмторено шифрование на главном ключе.
Условные ключи могут храниться на винте, зашифрованные на главном ключе. Для защиты главного ключа его дополнительно шифруют паролем, который вводится администратором. (Ф-ФК-УК-ГК-пароль). УК бывают 2-х видов:
1) если шифруете для себя то это называется архивным шифрованием(.key)
2) Сетевое шифрование.
Сетевая таблица – хранится в каталоге сетевых ключей, зашифрованная на Ключе Сетевой Таблицы(КСТ), который хранится там же. КСТ м.б. зашифрован на любой ключевой системе.
Узел замены – замены УЗ требует расшифрования всей зашифрованной на скомпрометированном УЗ информации и зашифрования с новым УЗ. Посколько УЗ должен быть одинаков для всех абонентов, ведущих обмен зашифрованной информацией эту работу придется проделать всем пользователям защищаемого контура. Поэтому рекомендуется провести эту операцию только 1 раз - при установке системы.
Таблица замен является вектором, содержащим восемь узлов замены.
Перешифрование файла.
Перешифровку можно выполнить 2-мя способами: полной их расшифровки и последующей зашифровке на новой ключевой информации, либо специальной командой «Перешифровать».(Последнее значительно быстрее, но неприменимо в ряде ситуаций: 1) смена УЗ. 2) смена ГК, в случае если файлы зашифрованы на ГК или на ГК+пароле.)
Базовые ключи – ГК и УЗ. (Должны храниться в защищенном месте, например дискета)
Таблица замен является матрицей размером 8 на 16 из 4-битовых элементов. Строки таблицы, называемые узлами замен, содержат различные значения, при этом каждый узел содержит 16 различных чисел от 0 до 15 (делаем выводы о размере).
В ГОСТ 28147-89: 4 прохода шифрования. Есть так называемый основной шаг и три базовых цикла (базовый цикл представляет собой многократное повторение основного шага).
ГК – это ключ на котором шифруются все остальные ключи.
Узел замены содержится в таблице замен, это строка состоящая из 16-ти значений, каждое значение 4-битное, общий размер 64 бита.
Сетевая таблица – это таблица в которой хранится топология сети, т.е. описываются все компьютеры которые входят в эту сеть (они могут находиться даже на разных континентах).
Сетевой набор строится на базе сетевой таблицы, и он создается для каждого компьютера в сети свой. В нем записано значение всех остальных компов сети и главного компа на котором делалась сетевая таблица (типо того).
Семейство «Криптон».
Достоинства аппаратного шифрования:
Аппаратная реализация криптоалгоритма гарантирует его целостность.
Шифрование производится и ключи хранятся в криптоплате, а не в оперативе.
Аппаратный датчик случ. чисел дествительно случайные числа, что обеспечивает формирование надежных (сеансовых) ключей шифрования.
Ключи загружаются с внешних носителей непосредственно в криптоплату минуя операвку и системную шину.
На базе УКЗД формируется система защиты от НСД, который наряду с шифрованием будет реализовать разграничение доступа к ЗИ.
Собственный шифропроцессор освобождает от операций шифрования процессор самого компьютера.
Спец. архитектура криптоплат, альфа электромагнитное излучение и не позволяет перехватывать ключи с помощью спец средст.
Основные элементы криптоплат:
Блок управления – управляет работой всех сетевых блоков.
Контроллер системной шины ПК – обеспечивает связь криптоплаты с ПК.
Энергонезависимое ЗУ, где хранится ПО шифратора. Реализован на базе влеш-памяти.
Память журнала регистрации событий.
Шифропроцессор, который выполнен на базе программируемых микросхем ASK. Реализован на базе двух микросхем.
Генератор случайных чисел – шумовой диод, дающий статистически случайный сигнал «белый шум». Перед использованием он преобразуется в цифровой фон.
Блок ввода ключевой информации.
Блок коммутации – позволяет отключать порты и внешние устройства ПК, что необходимо для реализации функций системы защиты от НСД.
Плата КРИПТОН не использует прерываний и каналов прямого доступа, используется прерывание ЧС.
В КРИПТОН имеет 2 режима работы:
Режим начальной загрузки – соответствует включению компьютера. При этом шифратор при загрузке ПК перехватывает управление на себя, выполняет загрузку главного ключа и узла замены, выполняет инициализацию устройств.
Режим нормальной работы – соответственно шифрование.
Crypton API обеспечивает работу с разными типами шифраторов через специальные драйверы. Это обеспечивает работу как с аппаратной платой Crypton 9, так и с программным эмулятором криптоплаты.
При обращении программы к устройствам криптографической защиты данных (УКЗД) любая команда проходит 4 уровня:
Уровень приложения.
Уровень интерфейса между приложением и драйвером УКЗД(уровень Crypton API).
Уровень интерфейса между приложением и драйвером ядра ОС, на котором работает драйвер УКЗД.
Аппаратный уровень, который реализуется микропрограммами, прошитыми в шифраторе.
Программные средства шифрования. Защищенные контейнеры. Криптон-шифрование
Практическая работа
«Шифрование. Создание контейнеров для хранения данных. Использование электронных ключей».
Цель: изучить возможности шифрования и надежного хранения информации.
Задание:
Прослушать обучающий курс преподавателя в лекционном классе
Изучить возможности программ шифрования информации.
Программа Steganos security
Программа TrueCrypt
Электронные ключи RuToken.
Выводы по работе
Шифрование файлов:
Для шифрования файлов используется программа Steganos security. Эта программа позволяет шифровать файлы и засекречивать их собственным паролем, также позволяет расшифровать этот файл на любом другом компьютере, на котором присутствует данная программа и не забыт пароль.
Хранение информации в зашифрованных контейнерах:
Программа TrueCrypt позволяет создавать зашифрованный контейнер-том на любом носителе. Данные на этом томе, будут зашифрованы и получить к ним доступ можно только введя пароль. Этот пароль может выглядеть как :
Обычный пароль, набираемый с клавиатуры
Ключевой файл, выбранный пользователем из любых файлов, либо сгенерированный случайно компьютером.
Ключевой файл на носителе RuToken, это такой же ключевой файл только находящийся на носителе RuToken. Чтобы воспользоваться им, нужно не только иметь этот носитель, но и знать его PIN-код
В зашифрованные тома можно помещать не только обычные файлы, но также можно создавать системные тома, в которых будет храниться зашифрованная система и чтобы получить доступ к опциям системы нужно ввести код любым из перечисленных способов.
Также существует возможность создания скрытых томов, а наличие, которых будет знать только тот кто и создал.
Дополнительные воозможности программы TrueCrypt:
В зашифрованные тома можно помещать не только обычные файлы, но также можно создавать системные тома, в которых будет храниться зашифрованная система и чтобы получить доступ к опциям системы нужно ввести код любым из перечисленных способов. Также существует возможность создания скрытых томов, а наличие которых будет знать только тот кто и создал.
Использование Пакета КРИПТОН Шифрование
Цель работы
Изучить возможности использования пакета КРИПТОН Шифрование для защиты электронных документов от несанкционированного доступа (НСД). Получить представление об особенностях работы и выполняемых функциях пакета.
Порядок работы
Последовательно, в течение отведенного расписанием занятий времени, отработать следующие вопросы:
изучить теоретический материал;
оформить конспект к работе, получить допуск к выполнению работы;
выполнить упражнения из практической части работы;
оформить отчет по лабораторной работе и защитить его.
Теоретическое введение
Основные термины
Зашифрование
Процесс преобразования открытых данных в закрытые (зашифрованные). В данном программном продукте используется алгоритм шифрования ГОСТ 28147-89. Это симметричный алгоритм, что означает, что для шифрования и расшифрования используется одинаковый ключ.
Расшифрование
Процесс преобразования закрытых данных в открытые (расшифрованные).
Ключ, ключевая система
Конкретное секретное значение криптографического преобразования, определяющее ход процесса преобразования данных. В данном пакете программ в качестве ключей шифрования могут использоваться:
Ключ Пользователя;
Сетевой ключ.
При работе с ключами всегда производится анализ имитоприставки.
Узел Замены (УЗ)
Долговременный элемент ключевой системы ГОСТ 28147-89. Обычно хранится в файле uz.db3 на ключевом носителе и является первым ключевым элементом, вводимым в устройство шифрования при инициализации. Все компьютеры, между которыми предполагается обмен зашифрованной информацией (например, локальная сеть), должны использовать один и тот же УЗ, т. к. несоответствие Узлов Замены приведет к невозможности расшифрования файлов с другой машины.
Главный Ключ (ГК)
Секретный ключ, используется для шифрования других ключей. Обычно хранится в файле gk.db3 на ключевом носителе. Может быть зашифрован на пароле. Создается администратором. При инициализации устройства шифрования загружается в него и находится там до выключения питания ЭВМ.
Пароль
Последовательность символов, вводимых с клавиатуры. Пароль защищает ключи от несанкционированного использования в случае их хищения или потери. В пакете КРИПТОН Шифрование максимальная длина пароля для ключей шифрования - 37 символов; минимальная длина - 4 символа. Длина пароля определяет стойкость системы. Поэтому рекомендуется использовать длинные пароли с неповторяющимися символами. Символы разных регистров (прописные и строчные буквы) различаются. Использовать символы с кодами меньше 32 и больше 127 (управляющие символы, псевдографику и русские буквы) не рекомендуется.
Ключ пользователя (ПК)
Секретный ключ, используется для шифрования файлов и других ключей. Хранится в файле с расширением ".KEY", обычно в зашифрованном виде.
Сетевой ключ
Секретный ключ, используется для шифрования файлов с целью передачи их между узлами криптографической сети. Все узлы сети нумеруются. Для каждого узла, с которым планируется обмен информацией, необходимо иметь свой сетевой ключ. Задача обеспечения сетевыми ключами возлагается на администратора сети. Сетевые ключи хранятся в Сетевом Наборе.
Имитовставка, имитоприставка
Применяется для обеспечения защиты системы шифрования от навязывания ложных данных. Имитовставка представляет собой отрезок информации фиксированной длины, полученный из открытых данных и ключа. Создается при зашифровании данных и добавляется к ним. При расшифровании данных также вычисляется имитовставка и сравнивается с хранимой. В случае несовпадения можно выделить следующие причины:
изменен Узел Замены;
изменен ключ, на котором были зашифрованы данные;
изменены сами зашифрованные данные;
если для зашифрования использовался пароль, то при расшифровании он был неверно введен;
неисправно устройство шифрования.
Сетевая Таблица
Для обмена зашифрованной информацией между N узлами необходимо N*(N-1) ключей (каждый с каждым). Фактически, это таблица, где в заголовках строк и столбцов проставлены номера узлов, а в ячейках хранятся ключи. Эта матрица симметрична, т.е. ключ для передачи от узла А узлу Б (сетевой ключ А-Б) в точности равен сетевому ключу Б-А. Сетевая Таблица при создании зашифровывается на Ключе Сетевой Таблицы (КСТ).
Сетевой Набор
Из полной Сетевой Таблицы необходимо для каждого из узлов сформировать набор ключей для связи с другими узлами. Фактически, такой набор представляет собой одну из строк таблицы. Сетевой Набор хранится в файле NNNNN.SYS в каталоге сетевых ключей, где NNNNN - пятизначный десятичный номер данного узла. Он всегда зашифрован на Ключе Сетевого Набора (КСН), хранящемся в файле NNNNN.KEY в каталоге сетевых ключей. КСН получают вместе с Сетевым Набором от администратора криптографической сети. При получении КСН обычно незашифрован, поэтому рекомендуется перешифровать его.
Назначение КРИПТОН Шифрование
Пакет КРИПТОН Шифрование предназначен для защиты электронных документов (файлов) от несанкционированного доступа при хранении их на персональном компьютере или передаче по открытым каналам связи. Защита документов осуществляется путем их шифрования по ГОСТ 28147-89.
Иерархическая структура ключей
На рисунке 4.1 приведена иерархическая структура ключей, использующаяся в пакете КРИПТОН Шифрование.
Рисунок 4.1 - Иерархическая структура ключей
Практическая часть
Изучить возможности шифрования пакета КРИПТОН Шифрование. [2]
Создать отдельную папку Lab4. В ней создать следующие папки:
Keys – для хранения пользовательских ключей
Source – для исходных тестовых файлов
Crypt – для зашифрованных файлов
Создать два ключа пользователя в каталоге Keys
Скопировать тестовые файлы в папку Source. Занести размеры файлов в таблицу 1 (приложение А).
Сжать тестовые файлы при помощи WinRAR с максимальной степенью сжатия. Занести размеры полученных архивов в таблицу 1 приложения А.
Зашифровать тестовые файлы. Занести размеры зашифрованных файлов в таблицу 1 приложения А.
Сжать зашифрованные файлы при помощи WinRAR с максимальной степенью сжатия. Занести размеры полученных архивов в таблицу 1 приложения А.
Сделать выводы о закономерностях изменения размера файла.
Изучить возможности гарантированного удаления (уничтожения выбранных файлов без возможности их восстановления) пакета КРИПТОН Шифрование.
Уничтожить все архивы и зашифрованные файлы.
В режиме командной строки (в пакетном режиме) выполнить задание своего варианта согласно таблице 2 (приложение А). Команды включить в отчет.
Контрольные вопросы
Способы решения задачи защиты электронных документов от НСД методами криптографии.
Функции и состав пакета КРИПТОН Шифрование.
Иерархия ключей в пакете КРИПТОН Шифрование
Понятие сетевого набора и сетевой таблицы.
Особенности использования гарантированного удаления.
Приложение А
Таблица 1 – Оформление результатов выполнения практической части
Название файла
|
Размер до зашифрования
|
Размер после сжатия исходного файла(WinRAR)
|
Размер после зашифрования
|
Размер после сжатия зашифрованного файла (WinRAR)
|
|
|
|
|
|
Таблица 2 – Варианты упражнения 11 практической части
Номер
варианта
|
Задание
|
|
Зашифровать тестовый файл на пароле с удалением исходного файла
Расшифровать тестовый файл с указанием явного имени результирующего файла
Уничтожить тестовый файл без подтверждения
|
|
Зашифровать тестовый файл на главном ключе с копированием дат и атрибутов файла
Расшифровать тестовый файл с указанием каталога размещения результирующих файлов
Уничтожить тестовый файл с выводом максимальной информации.
|
|
Зашифровать тестовый файл на ключе пользователя, запретив использование сложных имен
Расшифровать тестовый файл с указанием переписывать файл новым (расшифрованным)
Уничтожить тестовый файл с выводом минимальной информации.
|
|
Зашифровать тестовый файл, с явным указанием каталога размещения результирующих файлов
Расшифровать тестовый файл с указанием оставлять старый файл
Уничтожить тестовый файл с выводом информации в режиме B3
|
|
Зашифровать тестовый файл на пароле без удаления исходного файла
Расшифровать тестовый файл с указанием делать запрос пользователю для каждого такого файла
Уничтожить тестовый файл с указанием прерывать выполнение команды по любой ошибке
|
|
Зашифровать тестовый файл на пароле и Главном Ключе с удалением исходного файла
Расшифровать тестовый файл с указанием автопереименовывать файл по схеме file.txt, file(2).txt, file(3).txt и т. д.
Уничтожить тестовый файл с выводом информации в режиме B1
|
|
Зашифровать тестовый файл на Ключе Пользователя с указанием каталога ключей пользователя
Расшифровать тестовый файл с указанием оставлять старый файл.
Уничтожить тестовый файл с выводом информации в режиме A2
|
|
Зашифровать тестовый файл на пароле, без явного указания каталога размещения результирующих файлов, запретив использование сложных имен
Расшифровать тестовый файл с указанием копировать даты и атрибуты файла
Уничтожить тестовый файл без подтверждения
|
|
Зашифровать тестовый файл на главном ключе с копированием дат и атрибутов файла
Расшифровать тестовый файл с указанием переписывать файл новым (расшифрованным)
Уничтожить тестовый файл с выводом минимальной информации.
|
|
Зашифровать тестовый файл на ключе пользователя с указанием явного имени результирующего файла
Расшифровать тестовый файл с указанием делать запрос пользователю для каждого совпадющего файла
Уничтожить тестовый файл с выводом информации в режиме A3.
|
|
