Մենյու
տունՆավիգացիա

Ինչպես տեղադրել կոդավորման ալգորիթմ համակարգչում: Տվյալների կոդավորման ալգորիթմ. Փաստաթղթերի պաշտպանության ընտրանքներ

3 պատասխան

կարո՞ղ է որևէ մեկը ստանալ իրական տվյալները կամ ինչ-որ բան անել, եթե գաղտնագրման ալգորիթմը հայտնի է

Եթե ​​հարձակվողը գիտի գաղտնագրման ալգորիթմը, այն սկսում է գործել, քանի որ այժմ նրանց մնում է միայն պարզել, թե ինչ բանալի է օգտագործվել այն գաղտնագրելու համար: Սակայն հաստատված գաղտնագրման ալգորիթմները, ինչպիսին է AES-ը, հայտնի թույլ կողմեր ​​չունեն: Այսպիսով, հարձակվողը ստիպողաբար կօգտագործի այն տվյալներին հասանելիություն ստանալու համար:

Եթե ​​դուք օգտագործում եք համապատասխան չափի ստեղներ (օրինակ՝ AES 256 բիթ կամ ավելի), դա շատ բարդ խնդիր կլինի։ DES-ը նույնպես հայտնի թույլ կողմեր ​​չունի, բայց նրա ստեղնաշարի փոքր չափը (56 բիթ) թույլ է տալիս կոպիտ ուժային հարձակում գործել ողջամիտ ժամկետում (օրինակ՝ օրեր): Այդ պատճառով DES-ն այլևս չի օգտագործվում:

նույնիսկ եթե հաքերը չգիտի մասնավոր բանալիների, հանրային բանալու կամ PV-ի մասին:

Նկատի ունեցեք, որ հանրային բանալիները կիրառելի են միայն ասիմետրիկ գաղտնագրման համատեքստում: Այս դեպքում հանրային բանալին սովորաբար հանրային է (այստեղից էլ «հանրային բանալին» անվանումը): Բայց ասիմետրիկ գաղտնագրումը նախագծված է այնպես, որ նույնիսկ եթե դուք գիտեք հանրային բանալին, չեք կարող վերծանել այն, եթե չունեք անձնական բանալի.

Այսպիսով, գաղտնագրման ալգորիթմները, ինչպիսին է AES-ը, անցել են ժամանակի փորձությունը և ապացուցել, որ բավականին անվտանգ են: Ինչպես Դեյվիդ Շվարցն է նշում իր պատասխանում, եթե դուք խնդիր ունեք, ապա դա (սովորաբար) ձեր իրականացումն է մեղավոր, ոչ թե կոդավորման ալգորիթմը:

Գրեթե ըստ սահմանման, եթե գաղտնագրումը ճիշտ է իրականացվում և ողջամտորեն նախագծված համակարգի մի մասն է, Ոչ. Դա է գաղտնագրման ամբողջ իմաստը:

Նկատի ունեցեք, որ կոդավորումը կախարդական չէ: Այն պետք է ճշգրիտ օգտագործվի օգտակար պաշտպանություն ապահովելու համար: Սխալ անելու բազմաթիվ եղանակներ կան:

Եթե ​​դուք չեք օգտագործում արտադրանքը մեծ հարգանքով (օրինակ՝ TrueCrypt-ը, Firefox-ը կամ GPG-ն) և օգտագործում եք այն ճիշտ այնպես, ինչպես նախատեսված է օգտագործել, մեծ հավանականություն կա, որ իրական անվտանգություն չստանաք: Օրինակ, Dropbox-ն օգտագործում էր AES-ը, սակայն նրանց համակարգի մեկ այլ մասի անվտանգության թերությունը թույլ տվեց մեկ օգտվողին վերծանել այլ օգտվողի տվյալները: Այսպիսով, դա չօգնեց, որ այն ծածկագրված էր:

Այո, ալգորիթմի գաղտնիության պահպանումը թույլ է տալիս անվտանգությանը: Եթե ​​հարձակվողը գիտի, որ դուք օգտագործում եք DES (որն այնքան էլ դժվար չէ կոտրել), նա կարող է ավելի հավանական էփորձեք կոտրել այն:

Կարծում եմ, որ ձեր հարցի առանցքը վիճակագրական հարձակումներն են, որոնք փորձում են գաղտնագրման միջոցով տեսնել տվյալների բնույթը վերծանելու համար: Ցանկացած ողջամիտ ժամանակակից ալգորիթմ մաթեմատիկորեն նախագծված է կանխելու ցանկացած փորձ՝ գուշակելու, թե ինչ տվյալներ են:

Այնուամենայնիվ, Դավիթը շատ լավ կետ է նշում. Նույնիսկ կատարյալ կոդավորումը (եթե այն գոյություն ունենար) խոցելի կլիներ մարդկային սխալի համար: Այս ալգորիթմներն անօգուտ են, քանի դեռ դուք չեք բաժանվում ձեր «ես»-ից և չեք հատում ձեր t-երը և բացարձակ (և արդարացված) հավատք չունեք նրանց նկատմամբ, ովքեր կարող են վերծանել տվյալները:

21.06.2011 Վլադիմիր Բեզմալի

Շատ է գրվել Office 2010-ին անցնելու առավելությունների մասին, և կարծում եմ չարժե կրկնել բոլոր փաստարկները։ Այսօր ես կցանկանայի խոսել գաղտնագրված փաստաթղթերի անվտանգության առումով նման անցման առավելությունների մասին:

Նախ հիշենք, թե ինչպես է իրականացվել պաշտպանությունը Microsoft-ի փաստաթղթերբառը մեջ Microsoft Office.

Office-ում գաղտնագրման անցյալն ու ներկան

Office-ում, մինչև 6.0 տարբերակը ներառյալ, կոդավորման առաջին ալգորիթմը պարզ XOR-ն էր: Իհարկե, այդպիսին ամենապարզ ալգորիթմըգաղտնագրումը պաշտպանություն չէր ապահովում, և բոլոր գաղտնաբառերը վերականգնվեցին գրեթե անմիջապես: Միանգամայն բնական է, որ Microsoft Word-ը կոտրելու համար համապատասխան ծրագրերը և Microsoft Excelհայտնվեց գրեթե անմիջապես: Ավելին, ինչպես նշել է նման հաղորդումների հեղինակներից մեկը, անվտանգության կեղծ զգացումը շատ ավելի վատ է, քան դրա բացակայությունը։ Եվ նա Microsoft-ին խնդրեց բարելավել պաշտպանությունը Office-ում:

Սա արվել է Microsoft Office 97-ի և 2000-ի հետագա տարբերակներում: Այս արտադրանքներն օգտագործում էին ուժեղ MD5 և RC4 ծածկագրման ալգորիթմներ: Այնուամենայնիվ, Միացյալ Նահանգներում այն ​​ժամանակ գործող ուժեղ կրիպտոգրաֆիայի արտահանման սահմանափակումների պատճառով Միացյալ Նահանգներից դուրս օգտագործվող գաղտնագրման ալգորիթմները չէին կարող օգտագործել 40 բիթից ավելի ստեղներ։ Սա հանգեցրեց RC4 ստեղների արհեստական ​​սահմանափակմանը մինչև 40 բիթ, և, հետևաբար, MD5-ի ելքում ստացված 16 բայթից 11-ը պարզապես վերագրվեց 0-ի, իսկ RC4 ստեղնը ձևավորվեց 5 նշանակալի բայթից և 11 զրոյից: Դա հանգեցրեց բիրտ ուժային հարձակում կազմակերպելու հնարավորությանը։ MS Word/Excel 97/2000 ֆայլը վերծանելու համար հարկավոր է թվարկել առավելագույնը 240 բանալի:

Հաշվի առնելով հիմնական աղյուսակների տեսքը (Rainbow աղյուսակներ), ցանկալի հարձակումը կարող է իրականացվել սահմանափակ ժամանակում (մի քանի վայրկյանից մինչև մի քանի րոպե): Ավելին, հայտնվել են այնպիսի ծառայություններ մատուցող ինտերնետային կայքեր, ինչպիսիք են www.decryptum.com (մեկ ֆայլի վերծանման արժեքը 29 դոլար է); ծրագրային ապահովումԵրաշխավորված Word Decrypter (GuaWord) 1.7, Երաշխավորված Excel Decryptor (GuaExcel) 1.7 (PSW-soft), Advanced Office Գաղտնաբառ կոտրիչ(AOPB), Advanced Office Password Recovery (AOPR) (Elcomsoft):

Microsoft Office XP/2003-ում նույն ալգորիթմը 40-բիթանոց բանալիով մնացել է որպես լռելյայն գաղտնագրման ալգորիթմ: Այնուամենայնիվ, կատարվել են հետևյալ փոփոխությունները.

  • Հեշինգի ալգորիթմ SHA1 (MD5-ի փոխարեն);
  • RC4 ստեղնը կարող է լինել մինչև 128 բիթ;
  • գաղտնաբառի երկարությունը 16-ից դարձել է 255 նիշ:

Մեկ այլ բան այն է, որ ցանկացած դեպքում գաղտնագրման և գաղտնաբառի ստուգման սխեման թույլ է տալիս բարձր կոպիտ ուժի արագություն (մինչև 1,000,000 գաղտնաբառ վայրկյանում), ինչպես ցույց է տրված Նկար 1-ում:

Դիմել է Office 2007 նոր սխեմակոդավորումը, որը նախատեսված է պայքարելու համար բարձր արագությունկոպիտ ուժի գաղտնաբառեր. Այն պարունակում է հիմնարար տարբերություններնախորդ տարբերակից.

  • RC4 ալգորիթմը փոխարինվել է AES կոդավորման ալգորիթմով, որի երկարությունը 128 բիթ է.
  • մեկ անգամ հաշելու փոխարեն գաղտնաբառը ցիկլային կերպով հեշվում է 50 հազար անգամ.
  • հնարավոր է երրորդ կողմի գաղտնագրման ալգորիթմների օգտագործումը:

Որպես արդյունք ձեռնարկված միջոցներգաղտնաբառերի թվարկման արագությունը վայրկյանում 200 գաղտնաբառից ոչ ավելի է, ինչը թույլ է տալիս ողջամիտ ժամկետում գուշակել 5-6 նիշից ոչ ավելի գաղտնաբառեր:

Միևնույն ժամանակ, հարկ է ընդգծել, որ վիդեո քարտի ռեսուրսներն օգտագործող ծրագրաշարի հայտնվելով, բիրտ ուժի արագությունը բարձրանում է մինչև 5 հազար գաղտնաբառ վայրկյանում, ինչը ամեն դեպքում ակնհայտորեն բավարար չէ լիարժեք բիրտի համար: ուժային հարձակում (էկրան 2):
Նկար 2. Գրաֆիկական քարտի ռեսուրսների հիման վրա կոպիտ ուժային հարձակում

Ինչ վերաբերում է պաշտպանված ֆայլերի ձևաչափին, ապա այն չի կարելի անվանել պարզ և հասկանալի։ Ի վերջո, եթե գաղտնաբառով սահմանված է ֆայլ բացելու համար, ապա իրականում ֆայլը OLE կոնտեյներ է, որը բաղկացած է գաղտնագրման, կոդավորված հոսքի և օժանդակ տեղեկություններից: Այնուամենայնիվ, չնայած այն հանգամանքին, որ, ինչպես Office XP/2003-ի կոդավորման բլոկը, այն պարունակում է կրիպտո մատակարարի անունը, հեշինգի և կոդավորման ալգորիթմների անունները, ինչպես նաև գաղտնաբառի ստուգման և վերծանման բանալիների երկարությունը և տվյալները, Հետևյալ պարամետրերը կոշտ կոդավորված են Office 2007-ում.

  • AES գաղտնագրման ալգորիթմ 128 բիթ երկարությամբ բանալիով;
  • SHA-1 հեշավորման ալգորիթմ:

Միևնույն ժամանակ, գաղտնագրումը և հեշինգը տրամադրվում են Microsoft Enhanced RSA-ի և AES Cryptographic Provider-ի կողմից: Միաժամանակ պետք է հաշվի առնել, որ բիրտ ուժի հարձակման ժամանակ բիրտ ուժի արագությունը աղետալիորեն նվազում է։

Գաղտնաբառերի ստուգման ալգորիթմ՝ փաստաթուղթը միայն կարդալու հասանելիությամբ փոփոխություններից պաշտպանելու համար, ինչպես նաև գրքեր և Excel թերթիկներ. Նախկինում գաղտնաբառի հեշը պահվում էր փաստաթղթում՝ բաղկացած 2 բայթից: Համապատասխանաբար, հնարավոր եղավ այն հակադարձել առաջին հարմար գաղտնաբառին: Այժմ հեշինգի ալգորիթմը սահմանվում է XML ֆայլի մուտքագրմամբ և այնտեղ նույնպես սահմանվում է հեշերի կրկնությունների քանակը։

Փաստաթղթերի պաշտպանության ընտրանքներ

Փաստաթղթերի պաշտպանության կարգավորումները թույլ են տալիս փոխել ֆայլերի և տեքստի գաղտնագրման եղանակը՝ օգտագործելով գաղտնաբառի պաշտպանության գործառույթը: Փաստաթղթերի պաշտպանության երկու տեսակ կա.

  • գլոբալ կարգավորումները կիրառելի են Office Excel 2007, Office PowerPoint 2007 և Office Word 2007թ. Փաստաթղթերի անվտանգության երկու գլոբալ տարբերակներ նկարագրված են Աղյուսակ 1-ում;
  • Ծրագրին հատուկ կարգավորումներ, որոնք վերաբերում են միայն Microsoft Office OneNote 2007-ին:

Այս կարգավորումները կարելի է գտնել կամ Կենտրոնի «Խմբագրել օգտվողի կարգավորումները» էջում Գրասենյակային տեղակայումներ, 2007 թվականի Microsoft Office համակարգում, Անվտանգության կարգավորումներում կամ Օբյեկտի խմբագրիչի Օգտագործողի կազմաձևման/ադմինիստրատիվ ձևանմուշների հանգույցում խմբի քաղաքականություն», 2007 թ. Microsoft Office System/Security Settings բաժնում:

Գաղտնիության կարգավորումներ

Գաղտնիության կարգավորումներն օգնում են պաշտպանել անձնական և զգայուն տեղեկությունները: Office 2007-ում մենք կարող ենք օգտագործել գաղտնիության կարգավորումների չորս հիմնական կատեգորիաներ: Կարգավորումները կարող են կազմաձևվել OCT-ում կամ Խմբային քաղաքականության միջոցով: Գաղտնիության կարգավորումների չորս կատեգորիաները նկարագրված են ստորև:

Փաստաթղթերի տեսուչի կարգավորումը ներկայացված է Աղյուսակ 2-ում:

Տեսուչի մոդուլի CLSID-ը կարելի է գտնել ռեեստրի գրառումներում, որոնք գտնվում են հետևյալ ռեեստրի բանալիներում.

HKEY_LOCAL_MACHINE/Ծրագրաշար/ Microsoft/Office/12.0/Excel/ Փաստաթղթերի տեսուչներ HKEY_LOCAL_MACHINE/Ծրագրաշար/ Microsoft/Office/12.0/PowerPoint/ Փաստաթղթերի տեսուչներ HKEY_LOCAL_MACHINE/Software/ Microsoft/OfficeWord

Փաստաթղթերի տեսուչ տարբերակը կարելի է գտնել Office Customization Tool-ի «Edit User Options» էջում՝ 2007 Microsoft Office System (Computer)/Other:

Որպես այլընտրանք, դուք կարող եք գտնել այս պարամետրը Group Policy Object Editor՝ Computer Configuration/Administrative Templates/Microsoft Office 2007 (Computer)/Other:

Կոդավորումը Office 2010-ում: Microsoft Office 2010-ում օգտագործվող գաղտնագրման ալգորիթմները կախված են Windows օպերացիոն համակարգի API-ների միջոցով հասանելի ալգորիթմներից: Office 2010-ը, բացի Cryptography API-ին (CryptoAPI) աջակցելուց, աջակցում է նաև CNG (CryptoAPI: Next Generation) ինտերֆեյսին, որն առաջին անգամ հասանելի է դարձել Microsoft Office 2007 Service Pack 2-ում (SP2):

Հարկ է նշել, որ օգտագործելով CNG, դուք կարող եք հասնել ավելի դինամիկ կոդավորման և կիրառել մոդուլներ երրորդ կողմի արտադրողներ. Երբ Office-ն օգտագործում է CryptoAPI-ն, գաղտնագրման ալգորիթմները կախված են այն ալգորիթմներից, որոնք հասանելի են Cryptographic Service Provider-ում (CSP), որը ներառված է Windows օպերացիոն համակարգում:

Համակարգչում տեղադրված գաղտնագրման ծառայություններ մատուցողների ցանկը պարունակվում է հետևյալ ռեեստրի բանալիում.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider

Office 2010-ում և Office 2007 SP2-ում կարող եք օգտագործել հետևյալ CNG գաղտնագրման ալգորիթմները և ձեր համակարգում տեղադրված այլ CNG ծածկագրման ընդլայնումներ՝ AES, DES, DESX, 3DES, 3DES_112 և RC2: CNG հեշ ալգորիթմները և այլ CNG ծածկագրային ընդլայնումները կարող են օգտագործվել՝ MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 և SHA512:

Բաց XML ձևաչափով փաստաթղթերը (DOCX, XSLX, PPTX և այլն) գաղտնագրելիս լռելյայն գաղտնագրման ալգորիթմը AES-ն է (Ազգային անվտանգության գործակալության (ԱԱԳ) կողմից ընտրված գաղտնագրման ալգորիթմը, որպես ԱՄՆ կառավարության ստանդարտ, աջակցվում է գործողության մեջ: Windows համակարգեր XP SP2, Windows Vista, Windows 7, Windows Server 2003 և Windows Server 2008) հիմնական երկարությունը 128 բիթ է, հեշավորման ալգորիթմը SHA1 է:

Գաղտնագրման և գաղտնագրման տարբերակներ: Աղյուսակ 3-ում թվարկված են այն տարբերակները, որոնք թույլ են տալիս փոխել գաղտնագրման ալգորիթմները Microsoft Office-ի այն տարբերակներն օգտագործելիս, որոնք օգտագործում են CryptoAPI:

Office 2010-ում, եթե ցանկանում եք փոխել գաղտնագրման տեսակը գաղտնաբառով պաշտպանված Office Open XML ֆայլերի համար, նախ պետք է միացնեք Set Encryption Compatibility տարբերակը և ընտրեք Օգտագործեք Legacy Format տարբերակը: Սահմանել գաղտնագրման համատեղելիություն տարբերակը հասանելի է Access 2010, Excel 2010, PowerPoint 2010 և Word 2010 տարբերակներում:

Աղյուսակ 4-ում ներկայացված են այն տարբերակները, որոնք թույլ են տալիս փոխել գաղտնագրման ալգորիթմները Office 2010-ն օգտագործելիս: Այս ընտրանքները կիրառվում են Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 և Word 2010 համար:

Բացի նախորդ աղյուսակում թվարկված CNG ընտրանքներից, Excel 2010-ի, PowerPoint 2010-ի և Word 2010-ի համար կարող եք կարգավորել «Օգտագործել» անունով CNG տարբերակ նոր բանալիգաղտնաբառը փոխելու ժամանակ», որը թույլ է տալիս նշել՝ գաղտնաբառի փոփոխման ժամանակ օգտագործե՞լ նոր կոդավորման բանալի: Լռելյայնորեն, գաղտնաբառը փոխելիս նոր բանալին չի օգտագործվում:

Անջատել գաղտնաբառը՝ բացել UI տարբերակը կարող է օգտագործվել փաստաթղթերում գաղտնաբառերի ավելացումը կանխելու և այդպիսով փաստաթղթերի կոդավորումն անջատելու համար: Այս պարամետրը վերահսկում է, թե արդյոք Office 2010-ի օգտատերերը կարող են գաղտնաբառեր ավելացնել փաստաթղթերին: Լռելյայնորեն օգտվողները կարող են գաղտնաբառեր ավելացնել:

Համատեղելի է Office-ի նախորդ տարբերակների հետ: Եթե ​​ցանկանում եք գաղտնագրել Office փաստաթղթերը, խորհուրդ ենք տալիս դրանք պահել Open XML ձևաչափով (DOCX, XLSX, PPTX և այլն) Office 97-2003 ձևաչափի փոխարեն (DOC, XLS, PPT և այլն): Երկուական փաստաթղթերը (DOC, XLS, PPT) գաղտնագրելիս օգտագործվում է RC4 ալգորիթմը, որը խորհուրդ չի տրվում: Քանի որ վերանայման ցիկլերի լռելյայն թիվը 100,000 է, գաղտնաբառի կոպիտ ուժի լռելյայն գործակիցը կեսն է, քան Office 2007 փաստաթղթերին անօրինական մուտքի գործակիցը:

Այսպիսով, մենք կարող ենք պարզ եզրակացություն անել. կոպիտ ուժի հարձակումներին դիմակայելու առումով Microsoft Office 2010-ի փաստաթղթերի գաղտնաբառերը շատ ավելի արդյունավետ են:

Վլադիմիր Բեզմալի ( [էլփոստը պաշտպանված է]) - անվտանգության մասնագետ, MVP Consumer Security, Microsoft Security Trusted Advisor



Գաղտնագրման հիմնական պահանջները

Կոդավորված հաղորդագրությունը պետք է ընթեռնելի լինի միայն այն դեպքում, երբ բանալին առկա է:

· գաղտնագրված հաղորդագրության հատվածից և համապատասխան պարզ տեքստից օգտագործված գաղտնագրման բանալին որոշելու համար անհրաժեշտ գործողությունների քանակը չպետք է պակաս լինի հնարավոր բանալիների ընդհանուր թվից.

Բոլոր հնարավոր բանալիների միջոցով գաղտնազերծելու համար անհրաժեշտ գործողությունների քանակը պետք է ունենա խիստ ավելի ցածր գնահատական ​​և դուրս գա ժամանակակից համակարգիչների հնարավորություններից (հաշվի առնելով ցանցային հաշվարկների օգտագործման հնարավորությունը).

Գաղտնագրման ալգորիթմի իմացությունը չպետք է ազդի պաշտպանության հուսալիության վրա

բանալու աննշան փոփոխությունը պետք է հանգեցնի գաղտնագրված հաղորդագրության ձևի զգալի փոփոխության, նույնիսկ երբ նույն աղբյուրի տեքստը գաղտնագրված է.

սկզբնաղբյուր տեքստի աննշան փոփոխությունը պետք է հանգեցնի գաղտնագրված հաղորդագրության ձևի զգալի փոփոխության նույնիսկ նույն բանալի օգտագործելիս.

Գաղտնագրման ալգորիթմի կառուցվածքային տարրերը պետք է լինեն անփոփոխ.

գաղտնագրման գործընթացում հաղորդագրության մեջ ներմուծված լրացուցիչ բիթերը պետք է ամբողջությամբ և ապահով կերպով թաքնված լինեն ծածկագրման մեջ.

Գաղտնագրման երկարությունը պետք է հավասար լինի սկզբնական տեքստի երկարությանը.

· Գաղտնագրման գործընթացում հաջորդաբար օգտագործվող բանալիների միջև չպետք է լինեն պարզ և հեշտությամբ հաստատված կախվածություններ.

հնարավորների շարքից ցանկացած բանալին պետք է ապահովի տեղեկատվության հուսալի պաշտպանություն.

Ալգորիթմը պետք է թույլ տա և՛ ծրագրային, և՛ ապարատային ներդրում, մինչդեռ բանալու երկարությունը փոխելը չպետք է հանգեցնի գաղտնագրման ալգորիթմի որակական վատթարացման:

Ծածկագրերի ծրագրային ներդրում

Ծրագրային ապահովման ներդրման հնարավորությունը պայմանավորված է նրանով, որ կրիպտոգրաֆիկ փոխակերպման բոլոր մեթոդները ֆորմալ են և կարող են ներկայացվել որպես վերջավոր ալգորիթմական ընթացակարգ:

ԱռաքինություններինԾրագրային ապահովման ներդրումը կարելի է վերագրել դրա ճկունությանը և շարժականությանը: Այլ կերպ ասած, մեկ օպերացիոն համակարգի համար գրված ծրագիրը կարող է փոփոխվել ցանկացած տեսակի օպերացիոն համակարգի համար: Բացի այդ, դուք կարող եք թարմացնել ծրագրաշարը ավելի քիչ ժամանակով և ծախսերով: Բացի այդ, կրիպտոգրաֆիկ արձանագրությունների ոլորտում շատ ժամանակակից ձեռքբերումներ հասանելի չեն ապարատային տեսքով իրականացման համար:

Դեպի մինուսներ ծրագրային գործիքներԿրիպտոգրաֆիկ պաշտպանությունը պետք է ներառի գաղտնագրման ալգորիթմների աշխատանքին միջամտելու և հանրային հիշողության մեջ պահվող հիմնական տեղեկատվության հասանելիության հնարավորությունը: Այս գործողությունները սովորաբար կատարվում են ծրագրային գործիքների պարզ հավաքածուի միջոցով: Այսպես, օրինակ, շատերի մեջ օպերացիոն համակարգերՎթարի աղբավայրը կատարվում է HDD, մինչդեռ հիշողության մեջ կարող են լինել բանալիներ, որոնք դժվար չէ գտնել։

Այսպիսով, ծրագրային ապահովման թույլ ֆիզիկական անվտանգությունը գաղտնագրման ալգորիթմների ներդրման նման մեթոդների հիմնական թերություններից մեկն է:

Սարքավորումների և ծրագրային ապահովման ներդրում

Վերջերս սկսել են հայտնվել համակցված կոդավորման գործիքներ, այսպես կոչված. ծրագրային ապահովման և ապարատային. Այս դեպքում համակարգչում օգտագործվում է մի տեսակ «կրիպտոգրաֆիկ համապրոցեսոր»՝ հաշվողական սարք, որը կենտրոնացած է կրիպտոգրաֆիկ գործողություններ կատարելու վրա (մոդուլի ավելացում, տեղաշարժ և այլն): Փոխելով նման սարքի ծրագրակազմը, կարող եք ընտրել գաղտնագրման այս կամ այն ​​եղանակը:

Սարքավորումների ծրագրաշարին վերապահված հիմնական գործառույթները. ապարատային համալիրՏեղեկատվության ծածկագրային պաշտպանությունը սովորաբար հիմնական տեղեկատվության ստեղծումն է և դրա պահպանումը ներխուժողի կողմից չարտոնված մուտքից պաշտպանված սարքերում: Բացի այդ, օգտագործելով այս տեսակի տեխնիկան, հնարավոր է նույնականացնել օգտատերերին՝ օգտագործելով գաղտնաբառերը (ստատիկ կամ դինամիկ փոփոխվող, որոնք կարող են պահվել հիմնական տեղեկատվության տարբեր կրիչների վրա) կամ յուրաքանչյուր օգտագործողի համար եզակի կենսաչափական բնութագրերի հիման վրա: Նման տեղեկատվության ընթերցման սարքը կարող է լինել տեղեկատվական անվտանգության գործիքների ծրագրային ապահովման և ապարատային ներդրման մաս:

Microsoft Office 2010-ը պարունակում է ընտրանքներ, որոնք թույլ են տալիս վերահսկել, թե որ տվյալներն են կոդավորված, երբ օգտագործում եք Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 և Microsoft Word 2010: Այս հոդվածը քննարկում է գաղտնագրումը և գաղտնագրումը Office 2010-ում՝ նկարագրելով տվյալների կոդավորման հնարավորությունների տարբերակները և տրամադրելով համատեղելիության տեղեկատվություն նախորդների հետ: Microsoft-ի տարբերակներըգրասենյակ.

Երբ պլանավորում եք ձեր գաղտնագրման տարբերակները, հաշվի առեք հետևյալ ուղեցույցները.

  • Խորհուրդ ենք տալիս փոփոխություններ չանել լռելյայն գաղտնագրման կարգավորումներում, քանի դեռ ձեր կազմակերպության անվտանգության մոդելը չի ​​պահանջում գաղտնագրման կարգավորումներ, որոնք տարբերվում են կանխադրվածներից:
  • Մենք խորհուրդ ենք տալիս օգտագործել գաղտնաբառի երկարությունը և բարդությունը՝ տվյալների գաղտնագրման ժամանակ ուժեղ գաղտնաբառեր օգտագործելու համար:
  • Մենք ձեզ խորհուրդ ենք տալիս Ոչօգտագործել RC4 կոդավորումը:
  • Չկա որևէ վարչական կարգավորում, որը թույլ է տալիս օգտատերերին ստիպել կատարել փաստաթղթերի գաղտնագրում: Այնուամենայնիվ, կա վարչական կարգավորում, որը թույլ է տալիս հեռացնել փաստաթղթերի համար գաղտնաբառեր ավելացնելու հնարավորությունը և այդպիսով կանխել փաստաթղթերի կոդավորումը:
  • Փաստաթղթերը վստահելի վայրերում պահելը չի ​​ազդում գաղտնագրման կարգավորումների վրա: Եթե ​​փաստաթուղթը գաղտնագրված է և պահվում է անվտանգ վայրում, օգտվողը պետք է գաղտնաբառ տրամադրի փաստաթուղթը բացելու համար:

Այս հոդվածում.

Office 2010-ում ծածկագրման և ծածկագրման մասին

Office-ի հետ օգտագործելու համար հասանելի կոդավորման ալգորիթմները կախված են այն ալգորիթմներից, որոնց հասանելի է Windows օպերացիոն համակարգի API-ի (Application Programming Interface) միջոցով: Office 2010-ը, բացի Cryptography API-ին (CryptoAPI) աջակցություն տրամադրելուց, ներառում է նաև CNG-ի (CryptoAPI: Next Generation) աջակցությունը, որն առաջին անգամ ներդրվել է Microsoft համակարգ Office 2007 Service Pack 2 (SP2):

CNG-ը թույլ է տալիս ավելի ճկուն գաղտնագրում, որտեղ դուք կարող եք նշել ալգորիթմներ, որոնք աջակցում են տարբեր կոդավորումներ և հեշեր հյուրընկալող համակարգչի վրա՝ փաստաթղթերի գաղտնագրման գործընթացում օգտագործելու համար: CNG-ը նաև թույլ է տալիս ավելի լավ ընդարձակել կոդավորումը, որտեղ կարող են օգտագործվել երրորդ կողմի գաղտնագրման մոդուլներ:

Երբ կառավարումն օգտագործում է CryptoAPI-ն, գաղտնագրման ալգորիթմները կախված են նրանցից, ովքեր մատակարարում են CSP (Cryptography Service Provider), որը Windows օպերացիոն համակարգի մի մասն է: Հետևյալ ռեեստրի բանալին պարունակում է համակարգչում տեղադրված CSP-ների ցանկ.

HKEY_LOCAL_MACHINE/ծրագրային ապահովում/Microsoft/գաղտնագրում/կանխադրված/մատակարար

Հետևյալ CNG գաղտնագրման ալգորիթմները կամ համակարգում տեղադրված ցանկացած այլ CNG ընդլայնման ծածկագրերը կարող են օգտագործվել Office 2010 կամ 2007 Office SP2 համակարգի հետ.

AES, DES, DESX, 3DES, 3DES_112 և RC2

Հետևյալ CNG հեշ ալգորիթմները կամ համակարգում տեղադրված ցանկացած այլ CNG ծածկագրման ընդլայնումներ կարող են օգտագործվել Office 2010-ի կամ 2007-ի Office համակարգի SP2-ի հետ.

MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 և SHA512

Թեև կան Office 2010-ի տարբերակներ՝ կոդավորումը փոխելու համար, բաց XML ձևաչափի ֆայլերը (.docx, .xslx, .pptx և այլն) գաղտնագրելիս լռելյայն արժեքներն են՝ AES (Advanced Encryption Standard), 128 բիթ երկարությամբ բանալի: , SHA1 և CBC (գաղտնագրման բլոկների շղթա) - ապահովում են ուժեղ գաղտնագրում և պետք է լավ լինեն կազմակերպությունների մեծ մասի համար: AES կոդավորումը հասանելի ամենաուժեղ ստանդարտ ալգորիթմն է և ընտրվել է Ազգային անվտանգության գործակալության (NSA) կողմից՝ որպես ստանդարտ օգտագործելու Միացյալ Նահանգների կառավարության կողմից: AES կոդավորումն աջակցվում է Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 և Windows Server 2008 համակարգերում:

Գաղտնագրման և գաղտնագրման ընտրանքներ

Հետևյալ աղյուսակը թվարկում է այն տարբերակները, որոնք հասանելի են գաղտնագրման ալգորիթմները փոխելու համար, երբ օգտագործում եք Microsoft Office-ի այն տարբերակը, որը հասանելի է CryptoAPI-ի համար: Սա ներառում է Office տարբերակները մինչև Office 2010 և ներառյալ:

Կարգավորում

Նկարագրություն
Կոդավորման տեսակը գաղտնաբառով պաշտպանված Office Open XML ֆայլերի համար Այս ընտրանքը թույլ է տալիս սահմանել ծածկագրման տեսակը բաց XML ֆայլերի համար, որոնք հասանելի են Cipher Service Provider-ներից (CSP): Այս պարամետրը պահանջվում է հատուկ COM հավելումների կոդավորումն օգտագործելիս: ստանալու համար լրացուցիչ տեղեկություն, տես «2007 Office System Encryption Developer's Guide»-ը, որը հասանելի է որպես Sharepoint Server 2007 sdk-ի մաս: Այս կարգավորումն անհրաժեշտ է, եթե դուք օգտագործում եք 2007 Office համակարգը SP1 կամ օգտագործում եք Համատեղելիության փաթեթի տարբերակ, որն ավելի հին է, քան Microsoft Office Compatibility Pack-ը Word, Excel և PowerPoint ֆայլերի ձևաչափերի համար և ցանկանում եք փոխել կոդավորման ալգորիթմը ինչ-որ բանի։ բացի լռելյայնից:
Կոդավորման տեսակը գաղտնաբառով պաշտպանված Office 97-2003 ֆայլերի համար Այս տարբերակը թույլ է տալիս սահմանել գաղտնագրման տեսակը Office 97-2003 ֆայլերի համար (երկուական) հասանելի կրիպտոգրաֆիկ ծառայություններից (CSP): Այս տարբերակն օգտագործելիս միակ աջակցվող ալգորիթմը RC4-ն է, որը, ինչպես նշվեց ավելի վաղ, մենք խորհուրդ չենք տալիս:

Office 2010-ում, եթե ցանկանում եք փոխել կարգավորումը գաղտնագրման տեսակը գաղտնաբառով պաշտպանված Office Open XML ֆայլերի համար, նախ պետք է միացնել տարբերակը գաղտնագրման համատեղելիությունը խնդրում ենք նշելև ընտրեք որևէ տարբերակ օգտագործել ժառանգական ձևաչափը. Պարամետր նշեք կոդավորման համատեղելիությունըհասանելի է Access 2010, Excel 2010, PowerPoint 2010 և Word 2010 համար:

Հետևյալ աղյուսակում թվարկված են այն տարբերակները, որոնք հասանելի են Office 2010-ն օգտագործելիս կոդավորման ալգորիթմները փոխելու համար: Այս ընտրանքները վերաբերում են Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 և Word 2010-ին:

Կարգավորում

Նկարագրություն
CNG կոդավորման ալգորիթմի կարգավորում Այս պարամետրը թույլ է տալիս հարմարեցնել CNG կոդավորման ալգորիթմը, որն օգտագործվում է: Կանխադրվածը AES-ն է:
Անհատականացրեք LNG ծածկագրման կալանքի ռեժիմը Այս պարամետրը թույլ է տալիս կարգավորել գաղտնագիրը, օգտագործվող շղթայական ռեժիմը: Լռելյայն է Գաղտնագրման բլոկների շղթա (CBC).
Սահմանեք LNG կոդավորման բանալի երկարությունը Այս տարբերակը թույլ է տալիս կարգավորել բիթերի քանակը, որոնք կօգտագործվեն գաղտնագրման բանալին ստեղծելիս: Նախնական արժեքը 128 բիթ է:
Սահմանել Համատեղելիության կոդավորումը Այս տարբերակը թույլ է տալիս նշել համատեղելիության ձևաչափը: Կանխադրված արժեք - օգտագործել հաջորդ սերնդի ձևաչափը.
Պարամետրերի կարգավորում CNG համատեքստի համար Այս տարբերակը թույլ է տալիս նշել գաղտնագրման տարբերակները, որոնք պետք է օգտագործվեն LNG համատեքստի համար: Այս տարբերակն օգտագործելու համար CNG համատեքստը նախ պետք է ստեղծվի CryptoAPI-ի միջոցով՝ հաջորդ սերունդ (CNG):
Սահմանել LNG հաշինգի ալգորիթմը Այս տարբերակը թույլ է տալիս նշել օգտագործվող հեշավորման ալգորիթմը: Նախնական արժեքը SHA1 է:
Սահմանեք գաղտնաբառ LNG ոլորումների համար Այս տարբերակը թույլ է տալիս նշել գաղտնաբառի ստուգման պտտման (պարաֆրազիայի) քանակը: Կանխադրվածը 100000 է:
Նշեք LNG առաջացման ալգորիթմը պատահական թվեր Այս տարբերակը թույլ է տալիս կարգավորել CNG Պատահական համարների գեներատորը օգտագործելու համար: Կանխադրվածը RNG-ն է (Պատահական թվերի գեներատոր):
Նշեք LNG աղի երկարությունը Այս տարբերակը թույլ է տալիս նշել աղի բայթերի քանակը, որոնք պետք է օգտագործվեն: Նախնական արժեքը 16 է:

Բացի նախորդ աղյուսակում թվարկված CPG ընտրանքներից, CPG տարբերակը, որը նշված է հետևյալ աղյուսակում, կարող է կազմաձևվել Excel 2010, PowerPoint 2010 և Word 2010 համար:

Դուք կարող եք օգտագործել հետևյալ աղյուսակում թվարկված տարբերակները՝ փաստաթղթերին գաղտնաբառեր ավելացնելու հնարավորությունը հեռացնելու և այդպիսով փաստաթղթերի կոդավորումը կանխելու համար:

Համատեղելիություն Office-ի նախորդ տարբերակների հետ

Եթե ​​դուք պետք է գաղտնագրեք Office փաստաթղթերը, խորհուրդ ենք տալիս փաստաթղթերը պահել որպես բաց XML ձևաչափի ֆայլեր (.docx, .xlsx, .pptx և այլն) Office 97-2003 ձևաչափի փոխարեն (.doc, .xls, . ppt և այլն: վրա). Կոդավորումը, որն օգտագործվում է երկուական փաստաթղթերի համար (.doc, .xls, .ppt) օգտագործում է RC4: Սա խորհուրդ չի տրվում, ինչպես նշված է 4.3.2 և 4.3.3 բաժիններում՝ անվտանգության նկատառումներից ելնելով, Office Specification Structure Cryptography փաստաթուղթը: Ավելի հին երկուական Office ձևաչափերով պահված փաստաթղթերը կարող են գաղտնագրվել միայն RC4-ի միջոցով՝ Microsoft Office-ի ավելի վաղ տարբերակների հետ համատեղելիությունը պահպանելու համար: AES-ը, առաջարկվող ալգորիթմը և բաց XML ձևաչափի ֆայլերը գաղտնագրելու լռելյայն:

Office 2010-ը և 2007-ի Office համակարգը թույլ են տալիս պահպանել փաստաթղթերը բաց ձևաչափով XML ֆայլեր. Բացի այդ, եթե ունեք Microsoft Office XP կամ Office 2003, կարող եք օգտագործել Համատեղելիության փաթեթը՝ փաստաթղթերը որպես Open XML ձևաչափի ֆայլեր պահելու համար:

Փաստաթղթերը, որոնք պահվում են որպես բաց XML ձևաչափի ֆայլեր և կոդավորված են Office 2010-ի կողմից, կարող են կարդալ միայն Office 2010, Office 2007 SP2 և Office 2003՝ Office 2007 SP2 Համատեղելիության փաթեթով: Համատեղելիության համար բոլորի հետ: նախորդ տարբերակները Office, դուք կարող եք ստեղծել ռեեստրի բանալի (եթե այն գոյություն չունի) տակ HKCU\Software\Microsoft\Office\14.0\ \Անվտանգություն\Crypto\իրավունք ունեցող CompatModeև անջատեք այն՝ հավասարեցնելով այն 0 . Արժեքներ, որոնց համար կարելի է մուտքագրել ներկայացնում է այս ռեեստրի բանալի կարգավորումը կոնկրետի համար Microsoft հավելվածներգրասենյակ. Օրինակ, կարող եք մուտքագրել Access, Excel, PowerPoint կամ Word: Կարևոր է հասկանալ, որ երբ CompatModeհավասար 0 , Office 2010-ն օգտագործում է Office 2007-ի հետ համատեղելի գաղտնագրման ձևաչափը՝ ուժեղացված անվտանգության փոխարեն, որն օգտագործվում է լռելյայնորեն Office 2010-ը՝ Open XML ֆորմատի ֆայլերը գաղտնագրելու համար: Եթե ​​Ձեզ անհրաժեշտ է կարգավորել այս պարամետրը համատեղելիության համար, խորհուրդ ենք տալիս օգտագործել նաև երրորդ կողմի գաղտնագրման մոդուլ, որը թույլ է տալիս ուժեղացված անվտանգություն, օրինակ՝ AES կոդավորումը:

Եթե ​​ձեր կազմակերպությունն օգտագործում է Microsoft Office Համատեղելիության փաթեթ Word, Excel և PowerPoint ֆայլերի ձևաչափերի համար՝ Open XML ձևաչափի ֆայլերը գաղտնագրելու համար, դուք պետք է հաշվի առնեք հետևյալ տեղեկությունները.

  • Լռելյայնորեն, Համատեղելիության փաթեթը բաց XML ձևաչափով ֆայլերի գաղտնագրման համար օգտագործում է հետևյալ ընտրանքները.
    • ԸնդլայնումըMicrosoft-ըRSAԵվAESկրիպտո մատակարար (նախատիպ),AES 128,128 (Windows XP Professional օպերացիոն համակարգում):
    • ԸնդլայնումըMicrosoft-ըRSAԵվAESգաղտնագրման ծառայություններ մատուցողAES 128,128 (Windows Server 2003 և Windows Vista օպերացիոն համակարգերում):
  • Օգտագործողները ծանուցված չեն, որ Համատեղելիության փաթեթն օգտագործում է գաղտնագրման այս տարբերակները:
  • Գրաֆիկական ինտերֆեյս ավելին վաղ տարբերակները Office-ը կարող է ցուցադրել բաց XML ձևաչափի ֆայլերի կոդավորման սխալ կարգավորումներ, եթե տեղադրված է Համատեղելիության փաթեթը:
  • Օգտագործողները չեն կարող օգտագործել GUI Office-ի ավելի վաղ տարբերակների օգտատերը՝ Open XML ֆորմատի ֆայլերի կոդավորման կարգավորումները փոխելու համար: