Методы и средства защиты компьютерной информации : криптографические методы для защиты информации

Москва  2018

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 
ВЫСШЕГО ОБРАЗОВАНИЯ 
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ «МИСиС»

ИНСТИТУТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ  
И АВТОМАТИЗИРОВАННЫХ СИСТЕМ УпРАВЛЕНИЯ

Кафедра автоматизированного проектированния и дизайна

В.Н. Костин

Методы и средства защиты  
коМпьютерной инфорМации

КриптографичесКие методы  
защиты иНформации

Учебное пособие

Рекомендовано редакционно-издательским 
советом университета

№ 3086

УДК  004.056 
К72

Р е ц е н з е н т 
проф., канд. техн. наук Т.К. Кузищина

Костин В.Н.
К72  
Методы и средства защиты компьютерной информации : 
Криптографические методы для защиты информации : учеб. пособие / В.Н. Костин. – М. : Изд. Дом НИТУ «МИСиС», 2018. – 
40 с.
ISBH 978-5-90695-334-6

В учебном пособии рассмотрены вопросы информационной безопасности 
вычислительных сетей с использованием межсетевых экранов. Представлена архитектура межсетевых экранов и стратегия их использования, описаны 
криптографические методы, используемые для защиты информации, и возможности их применения. 
Предназначено для студентов, обучающихся по направлениям, связанным 
с разработкой компьютерных систем и технологий и обеспечением в них информационной безопасности.
УДК 004.056

 В.Н. Костин, 2018
ISBN 978-5-90695-334-6
 НИТУ «МИСиС», 2018

ОглаВлеНие

Предисловие ..............................................................................................4
1. Компьютерная безопасность вычислительных сетей ........................5
1.1. Службы сети Интернет, доступные пользователям  ..................... 7
1.2. Политика сетевого подключения .................................................... 8
1.3. Стратегия доступа к информации ................................................... 8
1.4. Стратегия построения межсетевого экрана ................................... 9
1.4.1. Применение пакетного фильтра ............................................... 9
1.4.2. Применение двухканального шлюза (узла) .......................... 10
1.4.3. Экранированный узел ............................................................. 10
1.4.4. Экранированная подсеть ..........................................................11
1.5. Этапы маршрутизации ....................................................................11
1.6. Способ работы протоколов маршрутизации ................................ 12
1.7. Вычислительные сети. Адреса ...................................................... 12
2. Криптоалгоритмы. Классификация ...................................................14
2.1. Симметричные криптоалгоритмы ................................................ 15
2.1.1. Скремблеры .............................................................................. 15
2.1.2. Блочные шифры ....................................................................... 17
2.1.3. Сеть Фейштеля ......................................................................... 19
2.2. Помехоустойчивое кодирование информации ............................. 20
3. Криптографические методы защиты информации ..........................22
3.1. Основные понятия и этапы развития криптографии .................. 22
3.2. Классификация криптографических средств .............................. 23
3.3. Основные методы шифрования ..................................................... 24
3.3.1. Шифрование методом замены ................................................ 26
3.3.2. Шифрование методом перестановки ..................................... 28
3.3.3. Аналитические методы ........................................................... 30
3.3.4. Аддитивные методы ................................................................ 32
3.4. Системы шифрования с открытым ключом ................................. 33
3.5. Технология открытого ключа ........................................................ 33
4. Практические работы .........................................................................35
4.1. Апертурное сжатие ......................................................................... 35
4.2. Помехоустойчивое кодирование методом Хэмминга ................. 35
4.3. Шифрование информации криптографическими методами  .... 37
Контрольные вопросы ............................................................................38
Библиографический список ...................................................................39

ПреДислОВие

Предлагаемая работа является третьей частью учебного пособия 
«Методы и средства защиты компьютерной информации». 
В работе рассмотрены вопросы защиты информации в вычислительных сетях с использованием межсетевых экранов. В связи с этим 
описаны основные компоненты межсетевых экранов, их архитектура, 
принципы их использования.
Вторая глава посвящена классификации криптоалгоритмов и их 
использованию в различных устройствах. В качестве примера рассмотрена работа скремблеров. Для блочных шифров рассмотрены 
разнообразные схемы их работы. При передаче информации по вычислительным сетям важное место для защиты информации занимает 
кодирование информации методом Хэмминга. Этот метод позволяет 
не только показать наличие ошибки, но и указать ее место для исправления.
В третьей главе представлены методы шифрования, позволяющие сделать недоступной информацию людям, не имеющим соответствующих полномочий. Среди рассмотренных методов – методы 
замены, перестановки, аддитивные, аналитические и комбинированные. Знакомство с представленными методами позволит будущим 
бакалаврам уметь защищать информацию как различных организаций, так и страны.

1. КОмПьютерНая безОПасНОсть 
ВычислительНых сетей

Средства защиты в компьютерных сетях называются как Firewall 
(англ.) или брандмауэр (нем.). В нашей литературе этот термин называется межсетевой экран (МЭ). Брандмауэр – это огнеупорный 
барьер, разделяющий отдельные блоки в многоквартирном доме, предотвращающий распространение огня. Межсетевой экран работает 
примерно также – помогает избежать риска повреждения систем или 
данных в локальной сети из-за проблем, вызванных взаимодействием 
с другими сетями. Межсетевой экран пропускает разрешенный трафик и блокирует остальное. Термин «межсетевой экран» обозначает 
совокупность компонентов, которые находятся между локальной сетью и внешним миром и образуют защитный барьер. В пособии используются два термина – межсетевой экран и брандмауэр.
В России существует документ Гостехкомиссии, устанавливающий классификацию межсетевых экранов по уровню защищенности 
к информации – «Средства вычислительной техники. Межсетевые 
экраны. Защита от несанкционированного доступа к информации». 
В нем устанавливаются пять классов защищенности МЭ. Самый низкий класс защищенности – пятый, применяемый для безопасного взаимодействия автоматизированной системы (АС) класса 1Д с внешней 
средой, четвертый класс – для системы 1Г, третий класс – 1В, второй класс – 1Б, первый класс – 1А – для безопасного взаимодействия 
АС класса 1А с внешней средой. Для АС в зависимости от важности 
обрабатываемой информации должны применяться МЭ следующих 
классов:
 – при обработке информации с грифом «секретно» – не ниже 3 класса;
 – обработке информации с грифом «особой важности» – не ниже 
1 класса.
В общем случае МЭ ставится для разграничения доступа клиентов 
из одного множества систем к информации, хранящейся на серверах в 
другом множестве.

требования, предъявляемые к мЭ

1. Обеспечение безопасности внутренней (защищаемой) сети 
и полный контроль над внешними подключениями и сеансами связи.
2. Экранирующая система должна обладать мощными и гибкими 
средствами управления.

3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
4. Процессор МЭ должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать все входящие и исходящие потоки в пиковых режимах.
5. Система обеспечения безопасности должна быть сама надежно 
защищена от любых несанкционированных воздействий, так как она 
является ключом к конфиденциальной информации в организации.
6. Межсетевой экран должен иметь средства авторизации доступа 
пользователей через внешние подключения в случае работы сотрудников в командировках.

Основные функции межсетевого экрана

1. Защищать сеть от небезопасных протоколов и служб.
2. Защищать информацию о пользователях, системах, сетевых адресах и выполняемых в сети приложениях от внешнего наблюдения.
3. Обеспечить ведение журнала, содержащего статистические данные и записи о доступе к защищенным ресурсам.
4. Гарантировать централизованное управление безопасностью 
сети по отношению к остальному миру.
Можно указать еще несколько функций, которые, которые дают 
некоторые гарантии безопасности, но в то же время предназначены 
для повышения производительности:
1. Кэширование – это свойство сетей, содержащих web-сервер 
с большим объемом информации, доступной из сети Интернет. Благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшать время реакции на запрос пользователя.
2. Трансляция адреса. Настроенный соответствующим образом 
МЭ позволяет применять для внутренней сети любые IP-адреса. При 
этом снаружи виден только адрес МЭ.
3. Переадресация – эта функция предоставляет МЭ возможность 
изменять, например, запросы НТТР так, чтобы они направлялись серверу не с указанным в пакете запроса IP-адресом, а с другим. Таким 
образом, удается распределять нагрузку между серверами, которые 
для внешнего пользователя выглядят как одиночный сервер.
Вместе с тем МЭ не гарантирует абсолютную защиту сети, и его 
нельзя рассматривать в качестве единственного средства обеспечения 

безопасности. Межсетевой экран не в состоянии уберечь систему от 
взлома изнутри, поэтому для этого надо использовать обычные внутренние средства безопасности. 
Так, межсетевой экран не может защитить:
 – от вирусов, которые могут быть спрятаны в программе;
 – троянских коней (загрузка программы из сети Интернет);
 – социальной инженерии, под которой понимаются методы получения хакерами информации от доверчивых пользователей;
 – некомпетентности сотрудников, которая может привести к небрежности в настройке МЭ;
 – атак изнутри вследствие злонамеренных действий внутри сети.

Основные компоненты межсетевого экрана

Выделяют три основных компонента МЭ, выполняющих такие 
функции как администрирование, сбор статистики и предупреждений 
об атаке и аутентификация:
1. Администрирование касается ошибок настройки МЭ при определении правил доступа, которые могут дать лазейку, через которую 
можно взломать систему. Поэтому в МЭ реализованы сервисные утилиты, облегчающие ввод, удаление и просмотр набора правил.
2. Система сбора статистики и предупреждения об атаке. Информация обо всех событиях накапливается в файлах статистики. В качестве 
событий рассматриваются: отказы, входящие и выходящие соединения, 
количество переданных байт, используемые сервисы и т.д. 
3. Аутентификация вместе с авторизацией – процесс определения, 
какие сервисы разрешены пользователю. Как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы.

1.1. службы сети интернет, доступные 
пользователям 

Политика безопасности для вычислительной сети должна начинаться с определения необходимых служб Интернета для пользователя. При подключении компании к сети могут использоваться следующие службы:
1. FTP (File Transfer Protocol) – протокол передачи удаленных файлов, позволяющий обмениваться файлами с других сайтов.
2. TelNet – служба, которая используется сотрудниками группы 
поддержки пользователей для входа на удаленный компьютер.

3. WWW – обеспечивает присутствие компании в сети Интернет, 
предоставляет связь фирмы с клиентами: новые продукты, службы, 
услуги и т.д.
4. E-mail – позволяет иметь быстрое общение клиентов и сотрудников фирмы.
Политика безопасности должна определять вид взаимодействия 
с указанными службами Интернета. Например, политика безопасности разрешает пользователям получать доступ к внешним компьютерам с помощью TelNet, но запрещает любые входящие подключения 
по данному протоколу. Имеет смысл создавать политику безопасности МЭ на основе политики безопасности компании. В ней определяется, что разрешено и запрещено делать на подключенном компьютере. Политика безопасности должна быть сформирована в одном или 
нескольких документах.

1.2. Политика сетевого подключения

Политикой сетевого подключения должны быть определены типы 
вычислительных устройств, разрешенных для подключения к сети. 
Например, подключая серверы и рабочие станции, можно запретить 
подключения модемных серверов удаленного доступа.
Эта политика может включать в себя следующие разделы:
 – описание процесса установки и настройки операционной системы 
(ОС) и приложений;
 – местоположение в сети (физической подсети) систем определенного типа;
 – требование к установке и регулярном обновлении антивирусного 
программного обеспечения (ПО);
 – описание прав пользователей и защиты ресурсов; 
 – процедуры для создания новой учетной записи;
 – запрет на установку дополнительных аппаратных или программных компонентов без одобрения сетевого администратора ;
 – вопросы подключения непосредственно к сети ноутбуков сотрудников и т.д.

1.3. стратегия доступа к информации

После разработки политики безопасности и выбора сервисов и 
протоколов, разрешенных для брандмауэра, необходимо решить, как 

реализовать эту политику. Для реализации выбирается одна из двух 
стратегий доступа к информации организаций:
1) разрешить любой доступ, не запрещенный правилами;
2) запретить любой доступ, не разрешенный правилами.
Видно, что второй вариант проще и безопаснее (им проще управлять). В первом варианте сложнее создавать всеобъемлющие правила, 
не пропустив какие-то вопросы. Например, если нужно запретить загрузку программ из Интернета, стоит заблокировать в МЭ установку 
входящих соединений FTP. А если полностью заблокировать работу 
с FTP, то к внешней сети можно подключить не всю сеть, а определенный компьютер через модем, что обезопасит информацию организации.

1.4. стратегия построения межсетевого экрана

При создании МЭ используют два основных программно-аппаратных компонента:
1) пакетный фильтр;
2) proxy-сервер.
Можно использовать один из них или сразу два компонента. Способ настройки компонентов МЭ называют архитектурой. Существует несколько архитектур:
 – пакетный фильтр на основе компьютера или маршрутизатора;
 – двухкомпонентный шлюз (узел); 
 – экранированный узел;
 – экранированная подсеть.

1.4.1. Применение пакетного фильтра

Межсетевой экран может состоять из одного или нескольких 
маршрутизаторов или компьютеров с соответствующим ПО, использующих различные методы для разрешения или запрета доступа в локальную сеть или из нее.
Первым типом МЭ стал простой экранирующий маршрутизатор 
(screening router), называемый пакетным фильтром.
маршрутизатор (router) – это сетевое устройство с несколькими интерфейсами, подключенное к нескольким сетям. Для передачи информационного пакета от компьютера одной сети к компьютеру другой сети 
маршрутизатор определяет наилучший метод доставки данных к месту 
назначения на основе адресной информации в заголовке пакета. 

При этом возможны три режима работы маршрутизатора:
1. Сети «откуда и куда передается информация» связаны с маршрутизатором. Это самый простой вариант, и связь сетей осуществляется через интерфейсы маршрутизатора. 
2. Сети не связаны между собой непосредственно. В этом случае 
маршрутизатор может передать данные другому маршрутизатору, который определяет дальнейший маршрут доставки пакета (в следующий hap – сегмент маршрута).
3. Маршрутизатор не находит следующий сегмент, и тогда он отбрасывает пакет и возвращает его источнику с сообщением «адресат 
не доступен».
Экранирующий маршрутизатор вначале находит путь для передачи данных, а затем сверяется с набором правил, заданных в нем, 
проверяя, должен ли он передавать данные. При этом передача информации осуществляется с фильтрацией, причем фильтрация может 
быть с памятью или без нее.
Режим фильтрации с памятью предусматривает обработку информации на основе ее заголовка, а в память заносятся сведения о состоянии текущих сеансов.
рroxy-сервер – это сервер, содержащий программу, которая выполняется на МЭ и перехватывает трафик приложения определенного 
типа. В отличие от пакетного фильтра рroxy-сервер способен пропускать или блокировать трафик на основе информации в области данных пакета, а не только в его заголовке. 

1.4.2. Применение двухканального шлюза (узла)

Маршрутизатор, соединяющий локальную сеть с Интернетом 
и имеющий IP-адрес, должен содержать не менее двух сетевых интерфейсов – один подключается к локальной вычислительной сети 
(ЛВС), а другой – к Интернету, при чем каждый обладает IP-адресом. 
На основе правил маршрутизатор передает или не передает пакеты от 
одного интерфейса другому. Двухканальный узел представляет собой 
компьютер, подключенный к двум сетевым интерфейсам (ЛВС и Интернет), работающий как маршрутизатор за счет того, что многие ОС 
распознают оба установленных адаптера и автоматически передают 
пакеты из одного интерфейса в другой.

1.4.3. Экранированный узел
Маршрутизатор, выполненный в виде экранированного узла, использует защитные возможности пакетного фильтра и proxy-сервера. 

В этой архитектуре для подключения к сети Интернет служит пакетный фильтр, а для обеспечения различных сервисов – proxy-серверы. 
Причем пакетный фильтр пропускает внутрь сети лишь пакеты, адресованные proxy-серверу, а наружу передаются только пакеты, отправляемые proxy-сервером.

1.4.4. Экранированная подсеть

Под экранированной подсетью понимается расширенная концепция экранированного узла. В ней присутствует пакетный фильтр между ЛВС и Интернет плюс один маршрутизатор. Комбинация маршрутизаторов создает дополнительный сегмент сети между Интернет и 
ЛВС. Второй маршрутизатор, связывающий ЛВС с экранированным 
сегментом сети, обеспечивает дополнительную защиту, поскольку 
весь трафик между клиентами в ЛВС и proxy-серверами должен проходить через него.

1.5. Этапы маршрутизации

Передача информации по сети через маршрутизаторы является 
процессом, который реализуется поэтапно. Этапы маршрутизации:
1. На маршрутизаторах запускаются специальные программы, 
которые называются «протоколами маршрутизации». Эти программы служат для приема и передачи маршрутной информации другим 
маршрутизаторам сети.
2. При передаче информации маршрутизаторы используют информацию о маршрутах для заполнения своих таблиц маршрутов, которые связаны с соответствующим протоколом маршрутизации.
3. Маршрутизаторы сканируют таблицы маршрутов различных 
«протоколов маршрутизации», выбирают один или несколько наилучших путей.
4. Маршрутизаторы взаимодействуют при передачи трафика со 
следующими ближайшими устройствами, обладающими адресом канального уровня. В качестве следующего устройства может выступать еще один маршрутизатор или просто удаленный узел, которому 
предназначен пакет.
5. Информация о пересылке – адрес канального уровня и исходящий интерфейс – помещается на маршрутизаторе в таблицу маршрутов пересылки.
6. Когда маршрутизатор принимает пакет, он анализирует заголовок пакета и выделяет адрес получателя.