№ 2 1.1 В законодательстве всех развитых индустриальных стран предусмотрены нормы, определяющие информацию как объект гражданско-правовых отношений и реальный материальный ресурс, подлежащий использованию, учету и защите. В России такие нормы содержатся в ряде основополагающих законодательных актов. В частности, в Гражданском кодексе Российской Федерации (ст. 139. Служебная и коммерческая тайна, ст. 857. Банковская тайна) и в Федеральном законе "Об информации, информатизации и защите информации" от 20 февраля 1995 г. № 24-ФЗ, в котором определено, что информационные ресурсы, т.е. отдельные документы или их массивы, в том числе в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника (ст. 4.1, ст. 6.1). В соответствии с этим законом информация разделяется на общедоступную и документированную информацию с ограниченным доступом (ст. 10.2), которая по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию (персональные данные, коммерческая, служебная, банковская и иные тайны, определенные Указом Президента Российской Федерации от 6 марта 1997 г. № 188 "О перечне сведений конфиденциального характера"). При этом защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты информации устанавливается (ст. 21.1): 1. в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации "О государственной тайне"; 2. в отношении конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона; 3. в отношении персональных данных - специальным законом. Уголовная ответственность за неправомерные действия по отношению к охраняемой законом информации определена в Уголовном кодексе Российской Федерации (ст, 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну, ст. 272. Неправомерный доступ к компьютерной информации, ст. 273. Создание, использование и распространение вредоносных программ для ЭВМ, ст. 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети). Кроме указанных документов действуют и другие нормативные правовые акты, входящие в юридический базис информационной безопасности [14]. Таким образом, информация является объектом правовой охраны. При этом основная цель обеспечения безопасности информации заключается в защите прав собственности на нее. Это подразумевает решение комплекса задач, заключающихся в защите информации от утраты, разрушения, незаконного получения (утечки) и использования.
Источником информации является некая упорядоченная структура, несущая в различии своих элементов информацию. Носителем информации является некоторый материальный объект (устройство, изделие), содержащий или отражающий в каком-либо виде источник информации и обеспечивающий его передачу в пространстве и во времени. объект защиты информации, или просто -защищаемый объект, под которым следует понимать любой материальный объект, на который направлены усилия по его защите.
1. Электронная цифровая подпись по алгоритму RSA.
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр на основании государственной лицензии.
Электронная цифровая подпись (ЭЦП)— реквизит электронного документа, предназначенный для удостоверения источника данных и защиты данного электронного документа от подделки.
Общая суть электронной подписи заключается в следующем. С помощью криптографической хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца — результатом является подпись документа. Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.
Цифровая подпись обеспечивает:
* Удостоверение источника документа. В зависимости от деталей определения «документа» могут быть подписаны такие поля как автор, внесённые изменения, метка времени и т. д. * Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно подпись станет недействительной. * Невозможность отказа от авторства. Так как создать корректную подпись можно лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.
Возможны следующие угрозы цифровой подписи:
* Злоумышленник может попытаться подделать подпись для выбранного им документа. * Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. * Злоумышленник может попытаться подделать подпись для хоть какого-нибудь документа.
При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как у подлинного. Однако, эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.
Тем не менее, возможны ещё такие угрозы системам цифровой подписи:
* Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа. * Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи. * Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.
Хеширование — преобразование входного массива данных в короткое число фиксированной длины (которое называется хешем или хеш-кодом) таким образом, чтобы с одной стороны, это число было значительно короче исходных данных, а с другой стороны, с большой вероятностью однозначно им соответствовало. Преобразование выполняется при помощи хеш-функции. Ясно, что в общем случае однозначного соответствия между исходными данными и хеш-кодом быть не может. Обязательно будут возможны массивы данных, дающих одинаковые хеш-коды, но вероятность таких совпадений в каждой конкретной задаче должна быть сведена к минимуму выбором хеш-функции. Среди множества существующих хеш-функции принято выделять криптографически стойкие, применяемые в криптографии.
Криптографическая хеш-функция должна обеспечивать:
* стойкость к коллизиям (два различных набора данных должны иметь различные результаты преобразования) * необратимость (невозможность вычислить исходные данные по результату преобразования)
Хеш-функции также используются в некоторых структурах данных - хеш-таблицаx и декартовых деревьях. Требования к хеш-функции в этом случае другие:
* хорошая перемешиваемость данных * быстрый алгоритм вычисления