Πώς να εγκαταστήσετε έναν αλγόριθμο κρυπτογράφησης σε έναν υπολογιστή. Κρυπτογράφηση συστήματος αρχείων (EFS)

Το EDMS "Corporate Document Flow" υποστηρίζει τη χρήση ηλεκτρονικές ψηφιακές υπογραφές (EDS)όταν εργάζεστε με αρχεία συστήματος. Η υποστήριξη EDS παρέχεται στο επίπεδο που είναι ενσωματωμένο στην πλατφόρμα "1C:Enterprise 8.3 / 8.2"μηχανισμούς κρυπτογράφησης και κρυπτογράφησης, καθώς και χρήση πρόσθετων αντικειμένων μεταδεδομένων διαμόρφωσης.

Για να ενεργοποιήσετε τη δυνατότητα χρήσης ψηφιακών υπογραφών στο σύστημα ροής εγγράφων, ανοίξτε τη φόρμα για τη ρύθμιση των παραμέτρων συστήματος «Ρύθμιση παραμέτρων: Σύστημα» (βρίσκεται στο υποσύστημα «Διαχείριση συστήματος»).

Στην καρτέλα «Γενικές ρυθμίσεις», ενεργοποιήστε το πλαίσιο ελέγχου «Χρήση ηλεκτρονικών ψηφιακών υπογραφών» και, στη συνέχεια, κάντε κλικ στο κουμπί «Ρυθμίσεις κρυπτογραφίας».

Στο παράθυρο που ανοίγει, επιλέξτε τον τύπο του παρόχου (για πάροχο CryptoProη τιμή πρέπει να είναι ίση με 75) και άλλες παραμέτρους. Όταν χρησιμοποιείτε τον πάροχο CryptoPro (Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider), οι ακόλουθες τιμές θα εισαχθούν αυτόματα:

• Αλγόριθμος υπογραφής: GOST R 34.10-2001
• Αλγόριθμος κατακερματισμού: GOST R 34.11-94
• Αλγόριθμος κρυπτογράφησης: GOST 28147-89

Εάν η επαλήθευση ψηφιακής υπογραφής εκτελείται σε διακομιστή και το λειτουργικό σύστημα Linux χρησιμοποιείται ως διακομιστής, τότε πρέπει να καθορίσετε τη διαδρομή προς τη μονάδα κρυπτογράφησης.

Ένα παράδειγμα ρύθμισης μιας μονάδας κρυπτογραφίας για το CryptoPro φαίνεται στο παρακάτω σχήμα.

Για να εργαστείτε με ηλεκτρονικές ψηφιακές υπογραφές στο σύστημα διαχείρισης εγγράφων, πρέπει πρώτα να τις αποκτήσετε από τον πάροχο ψηφιακών υπογραφών. Για να δοκιμάσετε τη λειτουργία και να εκπαιδεύσετε τους χρήστες, μπορείτε να αποκτήσετε δοκιμαστικές ψηφιακές υπογραφές από το κέντρο πιστοποίησης δοκιμών CryptoPro. Η επόμενη ενότητα δείχνει ένα βήμα προς βήμα παράδειγμα απόκτησης και εγκατάστασης ηλεκτρονικής υπογραφής.

Λήψη και εγκατάσταση ψηφιακής υπογραφής

Για να αποκτήσετε και να εγκαταστήσετε μια ηλεκτρονική υπογραφή, πρέπει να εγκαταστήσετε το προϊόν λογισμικού "CryptoPro CSP 3.6". Μπορείτε να κατεβάσετε το προϊόν στον ιστότοπο cryptopro.ru στην ενότητα "Προϊόντα CIPF CryptoPro CSP/TLS/JSP", στοιχείο "Λήψη αρχείων".

Πριν κάνετε λήψη της διανομής και ξεκινήσετε τη δημιουργία ηλεκτρονικής υπογραφής, πρέπει να εγγραφείτε στον ιστότοπο και να συνδεθείτε στον λογαριασμό σας.

Ανάλογα με το λειτουργικό σας σύστημα, μπορείτε να κάνετε λήψη της διανομής που χρειάζεστε, ένα παράδειγμα φαίνεται στο παρακάτω σχήμα.

Μετά τη λήψη, εκτελέστε την εγκατάσταση από το πακέτο διανομής, περιμένετε μέχρι να ολοκληρωθεί η εγκατάσταση και επανεκκινήστε τον υπολογιστή σας. Τώρα μπορείτε να προχωρήσετε στη δημιουργία ψηφιακών υπογραφών για τους εργαζόμενους.

Αφού συνδεθείτε στον ιστότοπο του παρόχου Crypto-Pro στον λογαριασμό σας, μεταβείτε στην ενότητα "Υποστήριξη" και επιλέξτε "Αρχή πιστοποίησης δοκιμής" ή χρησιμοποιήστε εμπορική πρόσβαση στη δημιουργία ψηφιακής υπογραφής από αυτόν τον πάροχο.

Ο σχηματισμός ηλεκτρονικής ψηφιακής υπογραφής στον ιστότοπο του Crypto-Pro πρέπει να εκτελείται στο πρόγραμμα περιήγησης InternetExplorer (κατά προτίμηση έκδοση όχι μικρότερη από 9) και πρέπει να επιτρέπεται η εργασία με στοιχεία ActiveX.

Για να ξεκινήσετε τη διαδικασία δημιουργίας ηλεκτρονικής ψηφιακής υπογραφής, επιλέξτε «Δημιουργία κλειδιών και αποστολή αιτήματος πιστοποιητικού».

Στη νέα σελίδα, επιλέξτε «Δημιουργία και υποβολή αιτήματος σε αυτήν την ΑΠ».

Θα ανοίξει η σελίδα εισαγωγής δεδομένων υπαλλήλου. Είναι απαραίτητο να δηλώσετε το πλήρες όνομά του, το email και άλλα στοιχεία.

Στην ενότητα Τύπος απαιτούμενου πιστοποιητικού, καθορίστε "Πιστοποιητικό ελέγχου ταυτότητας πελάτη". Υποδείξτε επίσης ότι πρέπει να δημιουργήσετε ένα νέο σύνολο κλειδιών CSP Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider.

Είναι απαραίτητο να επισημάνετε το κλειδί ως εξαγώγιμο, να επιλέξετε τη μορφή αιτήματος PKCS10 και τον αλγόριθμο κατακερματισμού GOST R 34.11-94 στις πρόσθετες παραμέτρους. Για να ξεκινήσετε τη διαδικασία δημιουργίας πιστοποιητικού EDS, κάντε κλικ στο κουμπί «Πρόβλημα».

Αφού κάνετε κλικ στο κουμπί "Πρόβλημα", θα ανοίξει ένα παράθυρο διαλόγου για να επιλέξετε τη θέση του εξαγόμενου κλειδιού. Συνιστάται να επιλέξετε αφαιρούμενα μέσα. Στο παράδειγμά μας, θα επιλέξουμε μια μονάδα flash με το όνομα MyDrive.

Κατά τη διαδικασία δημιουργίας μιας ηλεκτρονικής ψηφιακής υπογραφής, θα χρειαστεί να εργαστείτε με έναν βιολογικό αισθητήρα τυχαίων αριθμών. Οι τυχαίοι αριθμοί λαμβάνονται με κινήσεις του ποντικιού και πατήματα πλήκτρων.

Εάν πατήσετε τα κουμπιά του ποντικιού, αυτό θα οδηγήσει επίσης στο σχηματισμό τυχαίων τιμών, αλλά μην παρασυρθείτε, καθώς μετά την ολοκλήρωση της δημιουργίας ενός πακέτου τυχαίων αριθμών, αντί για το παράθυρο που εμφανίζεται, θα εμφανιστεί ένα παράθυρο στο οποίο θα χρειαστεί να δημιουργήσετε έναν κωδικό πρόσβασης για την ηλεκτρονική ψηφιακή υπογραφή και θα μπορείτε να κάνετε κατά λάθος κλικ σε ένα περιττό κουμπί στο παράθυρο δημιουργίας κωδικού πρόσβασης.

Μετά την επιτυχή ολοκλήρωση της δημιουργίας πιστοποιητικού, το σύστημα θα προσφερθεί να το εγκαταστήσει στο λειτουργικό σας σύστημα. Κάνοντας κλικ στο σύνδεσμο «Εγκατάσταση αυτού του πιστοποιητικού» θα εγκατασταθεί το πιστοποιητικό ψηφιακής υπογραφής σας.

Τα πιστοποιητικά εγκαθίστανται στην ενότητα πιστοποιητικών του τρέχοντος χρήστη στον κατάλογο «Πιστοποιητικά Προσωπικού Μητρώου».

Μπορείτε να ανοίξετε αυτήν τη λίστα πιστοποιητικών μέσω του μενού "Έναρξη προγραμμάτων", επιλέξτε "Crypto-Pro". Το παρακάτω σχήμα δείχνει ένα παράδειγμα για τα Windows 7.

Μετά τη δημιουργία των πιστοποιητικών, μπορείτε να προχωρήσετε στη χρήση τους στο EDMS «Corporate Document Flow».

Επί του παρόντος, το σύστημα εφαρμόζει τους ακόλουθους μηχανισμούς που σχετίζονται με την ψηφιακή υπογραφή:

• Υπογραφή εγγράφων με ψηφιακή υπογραφή
• Επαλήθευση υπογραφών εγγράφων
• Μεταφόρτωση εγγράφων και υπογραφών σε αρχεία
• Μεταφόρτωση εγγράφων και υπογραφών από αρχεία
• Κρυπτογράφηση αρχείων με δυνατότητα ανοίγματος σε μια καθορισμένη λίστα προσώπων

Οι βασικές ενέργειες μπορούν να εκτελεστούν από την κάρτα αρχείου. Το παρακάτω σχήμα δείχνει μια κάρτα αρχείου στο κάτω μέρος της φόρμας, στην καρτέλα "EDS", μπορείτε να υπογράψετε το έγγραφο. Για να υπογράψετε ένα έγγραφο, κάντε κλικ στο κουμπί "Υπογραφή" και μια λίστα με τις υπογραφές υπαλλήλων που υπάρχουν σε αυτόν τον υπολογιστή θα εμφανιστεί στην οθόνη, επιλέξτε την υπογραφή που θέλετε, εισαγάγετε τον κωδικό πρόσβασης και κάντε κλικ στο κουμπί "Υπογραφή". Το αρχείο θα υπογραφεί.

Στην ενότητα του πίνακα εμφανίζεται μια εγγραφή που περιέχει το πλήρες όνομα του υπαλλήλου που υπογράφει, την ημερομηνία και την ώρα της υπογραφής και ένα σχόλιο.

Ένα υπογεγραμμένο αρχείο μπορεί να έχει μία ή περισσότερες υπογραφές, εάν υπάρχει τουλάχιστον μία υπογραφή, τα κουμπιά επεξεργασίας αρχείων δεν είναι διαθέσιμα.

Οι χρήστες μπορούν να ελέγξουν την κατάσταση της υπογραφής ανά πάσα στιγμή κάνοντας κλικ στο κουμπί «Έλεγχος» ή «Έλεγχος όλων». Εάν η υπογραφή του υπαλλήλου είναι σωστή και το έγγραφο δεν έχει αλλάξει, τότε στη στήλη «Κατάσταση» θα εμφανιστεί η καταχώριση «Σωστό».

Το αρχείο μπορεί να αποθηκευτεί από την κάρτα στο δίσκο του υπολογιστή σας για να το κάνετε αυτό, επιλέξτε από το μενού "EDS και κρυπτογράφηση"Στοιχείο "Αποθήκευση με ψηφιακή υπογραφή".

Υποθέτοντας ότι το αποθηκευμένο αρχείο έχει τροποποιηθεί, μπορείτε να προσθέσετε έναν χαρακτήρα στο περιεχόμενο του αποθηκευμένου αρχείου για έλεγχο. Τώρα ας ανεβάσουμε το αρχείο στο σύστημα διαχείρισης εγγράφων, καθώς και τις ψηφιακές υπογραφές που αποθηκεύτηκαν με αυτό.

Ας δημιουργήσουμε ένα νέο εταιρικό έγγραφο στο EDMS "Corporate Document Flow" και προσθέτουμε το αποθηκευμένο αρχείο σε αυτό, μπορείτε να προσθέσετε ένα αρχείο σύροντας το αρχείο στο πεδίο λίστας αρχείων εγγράφων. Θα ανεβάσουμε τα αρχεία υπογραφής του p7s αργότερα.

Τώρα ανοίξτε την κάρτα του ληφθέντος αρχείου και επιλέξτε «Προσθήκη ψηφιακής υπογραφής από αρχείο» στο μενού «ψηφιακή υπογραφή και κρυπτογράφηση». Επιλέξτε τις αποθηκευμένες υπογραφές εργαζομένων από το δίσκο και κάντε κλικ στο κουμπί "OK". Ένα παράδειγμα λήψης φαίνεται στο παρακάτω σχήμα.

Δεδομένου ότι το αρχείο μας άλλαξε από εμάς, ο έλεγχος των υπογραφών δίνει ένα σφάλμα. Στη στήλη "Κατάσταση", εμφανίζεται η καταχώριση "Λάθος, η τιμή κατακερματισμού είναι εσφαλμένη".

Αυτό το μήνυμα υποδεικνύει ότι η ψηφιακή υπογραφή των εργαζομένων έχει παραβιαστεί και δεν είναι πλέον αξιόπιστη. Αν δεν είχαμε αλλάξει το αρχείο μας στο δίσκο, τότε ο έλεγχος ψηφιακής υπογραφής θα είχε δώσει το σωστό αποτέλεσμα.

Το EDMS "Corporate Document Flow" σάς επιτρέπει να κρυπτογραφείτε αρχεία χρησιμοποιώντας ψηφιακές υπογραφές.
Η κρυπτογράφηση αρχείων σάς επιτρέπει να περιορίσετε την πρόσβαση σε ένα αρχείο μόνο σε εκείνους τους υπαλλήλους που αναφέρονται στη λίστα χρηστών δεν θα μπορούν να διαβάσουν το αρχείο, ακόμη και αν έχουν φυσική πρόσβαση σε αυτό. Το αρχείο αποθηκεύεται σε κρυπτογραφημένη μορφή σύμφωνα με GOST 28147-89.

Μετά την κρυπτογράφηση, η λίστα των χρηστών που μπορούν να δουν το αρχείο βρίσκεται στην καρτέλα "Κρυπτογραφημένο για" της φόρμας κάρτας αρχείου.

Μια προσπάθεια ανοίγματος ενός αρχείου για προβολή του έχει ως αποτέλεσμα την ανάγκη εισαγωγής του κωδικού πρόσβασης για την ηλεκτρονική ψηφιακή υπογραφή.

Για να εργαστείτε με μηχανισμούς ηλεκτρονικής ψηφιακής υπογραφής, απαιτείται η έκδοση πλατφόρμας 1C:Enterprise όχι μικρότερη από την 8.2.14.

21.06.2011 Βλαντιμίρ Μπεζμάλι

Πολλά έχουν γραφτεί για τα οφέλη της μετάβασης στο Office 2010 και δεν νομίζω ότι αξίζει να επαναλάβουμε όλα τα επιχειρήματα. Σήμερα θα ήθελα να μιλήσω για τα οφέλη μιας τέτοιας μετάβασης από την άποψη της ασφάλειας των κρυπτογραφημένων εγγράφων

Αρχικά, ας θυμηθούμε πώς προστατεύονταν τα έγγραφα του Microsoft Word στο Microsoft Office.

Το παρελθόν και το παρόν της κρυπτογράφησης στο Office

Στο Office, μέχρι και την έκδοση 6.0, ο πρώτος αλγόριθμος κρυπτογράφησης ήταν απλός XOR. Φυσικά, ένας τόσο απλός αλγόριθμος κρυπτογράφησης δεν παρείχε καμία προστασία και τυχόν κωδικοί πρόσβασης ανακτήθηκαν σχεδόν αμέσως. Είναι πολύ φυσικό να εμφανίστηκαν σχεδόν αμέσως τα αντίστοιχα προγράμματα για χακάρισμα του Microsoft Word και του Microsoft Excel. Επιπλέον, όπως σημείωσε ένας από τους συντάκτες τέτοιων προγραμμάτων, η ψευδής αίσθηση ασφάλειας είναι πολύ χειρότερη από την απουσία της. Και ζήτησε από τη Microsoft να βελτιώσει την ασφάλεια στο Office.

Αυτό έγινε στις επόμενες εκδόσεις του Microsoft Office 97 και 2000. Αυτά τα προϊόντα χρησιμοποιούσαν ισχυρούς κρυπτογραφικούς αλγόριθμους MD5 και RC4. Ωστόσο, λόγω περιορισμών στην εξαγωγή ισχυρής κρυπτογραφίας που ίσχυαν στις Ηνωμένες Πολιτείες εκείνη την εποχή, οι αλγόριθμοι κρυπτογράφησης που χρησιμοποιούνται εκτός των Ηνωμένων Πολιτειών δεν μπορούσαν να χρησιμοποιήσουν κλειδιά μεγαλύτερα από 40 ψηφία. Αυτό οδήγησε σε έναν τεχνητό περιορισμό των κλειδιών RC4 στα 40 bit και, ως εκ τούτου, από τα 16 byte που ελήφθησαν στην έξοδο MD5, τα 11 απλώς αντικαταστάθηκαν με 0 και ένα κλειδί RC4 σχηματίστηκε από 5 σημαντικά byte και 11 μηδενικά. Αυτό οδήγησε στη δυνατότητα οργάνωσης επίθεσης ωμής βίας. Για να αποκρυπτογραφήσετε ένα αρχείο MS Word/Excel 97/2000, πρέπει να ταξινομήσετε το πολύ 240 κλειδιά.

Λαμβάνοντας υπόψη την εμφάνιση των βασικών πινάκων (πίνακες Rainbow), η επιθυμητή επίθεση μπορεί να πραγματοποιηθεί σε περιορισμένο χρόνο (από μερικά δευτερόλεπτα έως αρκετά λεπτά). Επιπλέον, έχουν εμφανιστεί ιστότοποι στο Διαδίκτυο που παρέχουν παρόμοιες υπηρεσίες, για παράδειγμα www.decryptum.com (το κόστος αποκρυπτογράφησης ενός αρχείου είναι 29 $). Εγγυημένο λογισμικό αποκρυπτογράφησης Word (GuaWord) 1.7, Εγγυημένο αποκρυπτογράφηση Excel (GuaExcel) 1.7 (κατασκευάζεται από την PSW-soft), Advanced Office Password Breaker (AOPB), Advanced Office Password Recovery (AOPR) (κατασκευή Elcomsoft).

Στο Microsoft Office XP/2003, ο προεπιλεγμένος αλγόριθμος κρυπτογράφησης ήταν ο ίδιος αλγόριθμος με κλειδί 40 bit. Ωστόσο, έγιναν οι εξής αλλαγές:

• SHA1 αλγόριθμος κατακερματισμού (αντί για MD5).
• το κλειδί RC4 μπορεί να έχει μήκος έως και 128 bit.
• Το μήκος του κωδικού πρόσβασης έχει αυξηθεί από 16 σε 255 χαρακτήρες.

Ένα άλλο πράγμα είναι ότι σε κάθε περίπτωση, το σχήμα κρυπτογράφησης και επαλήθευσης κωδικού πρόσβασης που χρησιμοποιείται επιτρέπει υψηλή ταχύτητα ωμής βίας (έως 1.000.000 κωδικούς πρόσβασης ανά δευτερόλεπτο), όπως φαίνεται στο Σχήμα 1.

Το Office 2007 εισήγαγε ένα νέο σχήμα κρυπτογράφησης για την καταπολέμηση του υψηλού ποσοστού ωμής δύναμης κωδικού πρόσβασης. Υπάρχουν θεμελιώδεις διαφορές σε αυτό από την προηγούμενη έκδοση:

• ο αλγόριθμος RC4 αντικαταστάθηκε από τον αλγόριθμο κρυπτογράφησης AES με μήκος κλειδιού 128 bit.
• Αντί για κατακερματισμό μία φορά, ο κωδικός πρόσβασης κατακερματίζεται κυκλικά 50 χιλιάδες φορές.
• Είναι δυνατή η χρήση αλγορίθμων κρυπτογράφησης τρίτων.

Ως αποτέλεσμα των μέτρων που ελήφθησαν, ο ρυθμός αναζήτησης κωδικών πρόσβασης δεν υπερβαίνει τους 200 κωδικούς πρόσβασης ανά δευτερόλεπτο, γεγονός που καθιστά δυνατή την επιλογή κωδικών πρόσβασης που δεν υπερβαίνουν τους 5-6 χαρακτήρες σε εύλογο χρονικό διάστημα.

Ταυτόχρονα, αξίζει να τονιστεί ότι με την εμφάνιση λογισμικού που χρησιμοποιεί πόρους κάρτας βίντεο, η ταχύτητα ωμής βίας αυξάνεται σε 5 χιλιάδες κωδικούς πρόσβασης ανά δευτερόλεπτο, κάτι που σε κάθε περίπτωση σαφώς δεν επαρκεί για μια πλήρη επίθεση ωμής βίας ( οθόνη 2).

Οθόνη 2. Επίθεση ωμής βίας λαμβάνοντας υπόψη τους πόρους της κάρτας βίντεο

Όσο για τη μορφή των προστατευμένων αρχείων, δεν μπορεί να ονομαστεί απλή και κατανοητή. Σε τελική ανάλυση, εάν ένας κωδικός πρόσβασης έχει οριστεί για να ανοίγει ένα αρχείο, τότε το αρχείο είναι στην πραγματικότητα ένα κοντέινερ OLE που αποτελείται από πληροφορίες κρυπτογράφησης, μια κρυπτογραφημένη ροή και βοηθητικές πληροφορίες. Ωστόσο, παρά το γεγονός ότι, όπως το μπλοκ κρυπτογράφησης στο Office XP/2003, περιέχει το όνομα του παρόχου κρυπτογράφησης, τα ονόματα των αλγορίθμων κατακερματισμού και κρυπτογράφησης, καθώς και το μήκος του κλειδιού και τα δεδομένα για επαλήθευση και αποκρυπτογράφηση κωδικού πρόσβασης, στο Office 2007 οι ακόλουθες παράμετροι ορίζονται αυστηρά:

• Αλγόριθμος κρυπτογράφησης AES με μήκος κλειδιού 128 bit.
• SHA-1 αλγόριθμος κατακερματισμού.

Σε αυτήν την περίπτωση, η κρυπτογράφηση και ο κατακερματισμός παρέχονται από τον πάροχο κρυπτογράφησης Microsoft Enhanced RSA και AES. Ταυτόχρονα, θα πρέπει να ληφθεί υπόψη ότι όταν επιτίθενται σε διαδοχικές αναζητήσεις κωδικών πρόσβασης, η ταχύτητα της ωμής βίας πέφτει καταστροφικά.

Ο αλγόριθμος για τον έλεγχο των κωδικών πρόσβασης για την προστασία των εγγράφων από αλλαγές με πρόσβαση μόνο για ανάγνωση, καθώς και των βιβλίων εργασίας και των φύλλων του Excel, έχει επίσης αλλάξει. Προηγουμένως, ένας κατακερματισμός κωδικού πρόσβασης αποτελούμενος από 2 byte αποθηκεύτηκε στο έγγραφο. Κατά συνέπεια, ήταν δυνατή η αντιστροφή του στον πρώτο κατάλληλο κωδικό πρόσβασης. Τώρα ο αλγόριθμος κατακερματισμού ορίζεται από μια καταχώρηση στο αρχείο XML και ο αριθμός των επαναλήψεων κατακερματισμού ορίζεται επίσης εκεί.

Επιλογές ασφάλειας εγγράφων

Οι ρυθμίσεις προστασίας εγγράφων σάς επιτρέπουν να αλλάξετε τον τρόπο με τον οποίο κρυπτογραφούνται τα αρχεία και το κείμενο χρησιμοποιώντας τη δυνατότητα προστασίας με κωδικό πρόσβασης. Υπάρχουν δύο τύποι ρυθμίσεων ασφαλείας εγγράφων:

• καθολικές ρυθμίσεις που ισχύουν για το Office Excel 2007, το Office PowerPoint 2007 και το Office Word 2007. Οι δύο καθολικές ρυθμίσεις ασφαλείας εγγράφων περιγράφονται στον Πίνακα 1.
• Ρυθμίσεις για συγκεκριμένες εφαρμογές που ισχύουν μόνο για το Microsoft Office OneNote 2007.

Αυτές οι ρυθμίσεις μπορούν να βρεθούν είτε στη σελίδα Επεξεργασία ρυθμίσεων χρήστη των ΥΧΕ, στο Σύστημα Microsoft Office 2007, Επιλογές ασφαλείας, είτε στον κόμβο Ρύθμιση παραμέτρων χρήστη/Πρότυπα διαχείρισης του Επεξεργαστή αντικειμένου πολιτικής ομάδας, κάτω από το Microsoft System Office 2007/Επιλογές ασφαλείας" .

Ρυθμίσεις απορρήτου

Οι ρυθμίσεις απορρήτου συμβάλλουν στην προστασία προσωπικών και εμπιστευτικών πληροφοριών. Υπάρχουν τέσσερις κύριες κατηγορίες ρυθμίσεων απορρήτου που μπορούμε να χρησιμοποιήσουμε στο Office 2007. Οι ρυθμίσεις μπορούν να διαμορφωθούν στο OCT ή μέσω της Πολιτικής ομάδας. Οι τέσσερις κατηγορίες ρυθμίσεων απορρήτου περιγράφονται παρακάτω.

Η επιλογή Document Inspector εμφανίζεται στον Πίνακα 2.

Το CLSID για τη μονάδα επιθεωρητή μπορεί να βρεθεί στις καταχωρήσεις μητρώου, οι οποίες βρίσκονται στα ακόλουθα κλειδιά μητρώου:

HKEY_LOCAL_MACHINE/Λογισμικό/ Microsoft/Office/12.0/Excel/ Επιθεωρητές εγγράφων HKEY_LOCAL_MACHINE/Λογισμικό/ Microsoft/Office/12.0/PowerPoint/ Επιθεωρητές εγγράφων HKEY_LOCAL_MACHINE/Software/ Microsoft/Office/Inspectors

Η επιλογή Document Inspector βρίσκεται στη σελίδα Επεξεργασία επιλογών χρήστη του Εργαλείου προσαρμογής του Office: 2007 Microsoft Office System (Desktop)/Άλλο.

Ή μπορείτε να βρείτε αυτήν τη ρύθμιση στον Επεξεργαστή αντικειμένου πολιτικής ομάδας: Διαμόρφωση υπολογιστή/Πρότυπα διαχείρισης/Microsoft Office 2007 (Υπολογιστής)/Άλλο.

Κρυπτογράφηση στο Office 2010. Οι αλγόριθμοι κρυπτογράφησης που χρησιμοποιούνται στο Microsoft Office 2010 εξαρτώνται από τους αλγόριθμους στους οποίους είναι δυνατή η πρόσβαση μέσω API στο λειτουργικό σύστημα Windows. Το Office 2010, εκτός από την υποστήριξη του Cryptography API (CryptoAPI), υποστηρίζει επίσης τη διεπαφή CNG (CryptoAPI: Next Generation), η οποία διατέθηκε για πρώτη φορά στο Microsoft Office 2007 Service Pack 2 (SP2).

Αξίζει να λάβετε υπόψη ότι χρησιμοποιώντας το CNG, μπορείτε να επιτύχετε πιο δυναμική κρυπτογράφηση και να χρησιμοποιήσετε μονάδες τρίτων. Όταν το Office χρησιμοποιεί το CryptoAPI, οι αλγόριθμοι κρυπτογράφησης εξαρτώνται από τους διαθέσιμους αλγόριθμους στον πάροχο υπηρεσιών κρυπτογραφίας (CSP) που περιλαμβάνεται στο λειτουργικό σύστημα Windows.

Η λίστα των παρόχων υπηρεσιών κρυπτογραφίας που είναι εγκατεστημένοι στον υπολογιστή περιέχεται στο ακόλουθο κλειδί μητρώου:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider

Στο Office 2010 και στο Office 2007 SP2, μπορείτε να χρησιμοποιήσετε τους ακόλουθους αλγόριθμους κρυπτογράφησης CNG και άλλες κρυπτογραφικές επεκτάσεις CNG που είναι εγκατεστημένες στο σύστημά σας: AES, DES, DESX, 3DES, 3DES_112 και RC2. Οι αλγόριθμοι κατακερματισμού CNG και άλλες κρυπτογραφικές επεκτάσεις CNG που μπορούν να χρησιμοποιηθούν είναι: MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 και SHA512.

Κατά την κρυπτογράφηση εγγράφων σε μορφή Open XML (DOCX, XSLX, PPTX, κ.λπ.), ο προεπιλεγμένος αλγόριθμος κρυπτογράφησης είναι ο AES (ο αλγόριθμος κρυπτογράφησης που επιλέχθηκε από την Εθνική Υπηρεσία Ασφαλείας (NSA) ως πρότυπο για την κυβέρνηση των ΗΠΑ υποστηρίζεται στη λειτουργία συστήματα Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 και Windows Server 2008) με μήκος κλειδιού 128 bit, ο αλγόριθμος κατακερματισμού είναι SHA1.

Επιλογές κρυπτογράφησης και κρυπτογράφησης. Ο Πίνακας 3 παραθέτει τις ρυθμίσεις που σας επιτρέπουν να αλλάζετε αλγόριθμους κρυπτογράφησης όταν χρησιμοποιείτε εκδόσεις του Microsoft Office που χρησιμοποιούν το CryptoAPI.

Στο Office 2010, εάν θέλετε να αλλάξετε τη ρύθμιση Τύπος κρυπτογράφησης για αρχεία Office Open XML που προστατεύονται με κωδικό πρόσβασης, πρέπει πρώτα να ενεργοποιήσετε την επιλογή Ορισμός συμβατότητας κρυπτογράφησης και να επιλέξετε την επιλογή Χρήση μορφής παλαιού τύπου. Η επιλογή Ορισμός συμβατότητας κρυπτογράφησης είναι διαθέσιμη στα Access 2010, Excel 2010, PowerPoint 2010 και Word 2010.

Ο Πίνακας 4 παραθέτει τις ρυθμίσεις που σας επιτρέπουν να αλλάζετε αλγόριθμους κρυπτογράφησης όταν χρησιμοποιείτε το Office 2010. Αυτές οι ρυθμίσεις ισχύουν για Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 και Word 2010.

Εκτός από τις ρυθμίσεις CNG που αναφέρονται στον προηγούμενο πίνακα, για το Excel 2010, το PowerPoint 2010 και το Word 2010, μπορείτε να διαμορφώσετε μια ρύθμιση CNG που ονομάζεται "Χρήση νέου κλειδιού κατά την αλλαγή κωδικού πρόσβασης" που σας επιτρέπει να καθορίσετε εάν θα χρησιμοποιήσετε ένα νέο κλειδί κρυπτογράφησης όταν αλλαγή του κωδικού πρόσβασης. Από προεπιλογή, όταν αλλάζετε τον κωδικό πρόσβασής σας, το νέο κλειδί δεν χρησιμοποιείται.

Η επιλογή Απενεργοποίηση κωδικού πρόσβασης διεπαφής χρήστη μπορεί να χρησιμοποιηθεί για να αποτρέψει την προσθήκη κωδικών πρόσβασης σε έγγραφα, απενεργοποιώντας έτσι την κρυπτογράφηση εγγράφων. Αυτή η ρύθμιση ελέγχει εάν οι χρήστες του Office 2010 μπορούν να προσθέσουν κωδικούς πρόσβασης σε έγγραφα. Από προεπιλογή, οι χρήστες μπορούν να προσθέσουν κωδικούς πρόσβασης.

Συμβατό με προηγούμενες εκδόσεις του Office. Εάν θέλετε να κρυπτογραφήσετε έγγραφα του Office, συνιστούμε να τα αποθηκεύσετε σε μορφή Open XML (DOCX, XLSX, PPTX, κ.λπ.) αντί για τη μορφή του Office 97-2003 (DOC, XLS, PPT, κ.λπ.). Κατά την κρυπτογράφηση δυαδικών εγγράφων (DOC, XLS, PPT), χρησιμοποιείται ο αλγόριθμος RC4, ο οποίος δεν συνιστάται! Επειδή ο προεπιλεγμένος αριθμός ανακατασκευών είναι 100.000, ο προεπιλεγμένος ρυθμός ωμής βίας με κωδικό πρόσβασης είναι ο μισός από αυτόν της παράνομης πρόσβασης σε έγγραφα του Office 2007.

Έτσι, μπορούμε να βγάλουμε ένα απλό συμπέρασμα: από την άποψη της αντίστασης σε επιθέσεις ωμής βίας, οι κωδικοί πρόσβασης εγγράφων στο Microsoft Office 2010 είναι μακράν οι πιο αποτελεσματικοί.

Vladimir Bezmaly ( [email προστατευμένο]) - ειδικός σε θέματα ασφάλειας, έχει τους τίτλους MVP Consumer Security, Microsoft Security Trusted Advisor

3 απαντήσεις

μπορεί κάποιος να πάρει τα πραγματικά δεδομένα ή να κάνει κάτι εάν είναι γνωστός ο αλγόριθμος κρυπτογράφησης

Εάν ο εισβολέας γνωρίζει τον αλγόριθμο κρυπτογράφησης, εκτελείται επειδή τώρα το μόνο που έχει να κάνει είναι να καταλάβει ποιο κλειδί χρησιμοποιήθηκε για την κρυπτογράφηση. Αλλά οι καθιερωμένοι αλγόριθμοι κρυπτογράφησης όπως ο AES δεν έχουν γνωστά ελαττώματα. Έτσι, ο εισβολέας θα το χρησιμοποιήσει αναγκαστικά για να αποκτήσει πρόσβαση στα δεδομένα.

Εάν χρησιμοποιείτε κλειδιά κατάλληλου μεγέθους (π.χ. AES 256 bit ή μεγαλύτερα), αυτό θα είναι πολύ δύσκολο. Το DES επίσης δεν έχει γνωστές αδυναμίες, αλλά το μικρό του μέγεθος κλειδιού (56 bit) επιτρέπει την πραγματοποίηση μιας επίθεσης ωμής βίας σε εύλογο χρονικό διάστημα (π.χ.: ημέρες). Αυτός είναι ο λόγος για τον οποίο το DES δεν χρησιμοποιείται πλέον.

ακόμα κι αν ο χάκερ δεν γνωρίζει τα ιδιωτικά κλειδιά, το δημόσιο κλειδί ή το PV;

Σημειώστε ότι τα δημόσια κλειδιά ισχύουν μόνο στο πλαίσιο της ασύμμετρης κρυπτογράφησης. Σε αυτήν την περίπτωση, το δημόσιο κλειδί είναι συνήθως δημόσιο (εξ ου και το όνομα "δημόσιο κλειδί"). Αλλά η ασύμμετρη κρυπτογράφηση έχει σχεδιαστεί έτσι ώστε ακόμα κι αν γνωρίζετε το δημόσιο κλειδί, δεν μπορείτε να το αποκρυπτογραφήσετε εκτός εάν έχετε το ιδιωτικό κλειδί.

Έτσι, αλγόριθμοι κρυπτογράφησης όπως ο AES έχουν αντέξει στη δοκιμασία του χρόνου και έχουν αποδειχθεί αρκετά ασφαλείς. Όπως επισημαίνει στην απάντησή του ο David Schwartz, αν έχετε πρόβλημα, (συνήθως) φταίει η εφαρμογή σας και όχι ο αλγόριθμος κρυπτογράφησης.

Σχεδόν εξ ορισμού, εάν η κρυπτογράφηση εφαρμόζεται σωστά και αποτελεί μέρος ενός λογικά σχεδιασμένου συστήματος, Οχι. Αυτό είναι όλο το νόημα της κρυπτογράφησης.

Σημειώστε ότι η κρυπτογράφηση δεν είναι μαγική. Πρέπει να χρησιμοποιείται ακριβώς για να παρέχει χρήσιμη προστασία. Υπάρχουν πολλοί τρόποι να γίνει αυτό λάθος.

Αν δεν χρησιμοποιήσετε ένα προϊόν με μεγάλο σεβασμό (όπως TrueCrypt, Firefox ή GPG) και το χρησιμοποιήσετε ακριβώς όπως προορίζεται να χρησιμοποιηθεί, υπάρχει πολύ καλή πιθανότητα να μην έχετε πραγματική ασφάλεια. Για παράδειγμα, το Dropbox χρησιμοποίησε το AES, αλλά ένα ελάττωμα ασφαλείας σε άλλο τμήμα του συστήματός του επέτρεψε σε έναν χρήστη να αποκρυπτογραφήσει άλλα δεδομένα χρήστη. Δεν βοήθησε λοιπόν που ήταν κρυπτογραφημένο.

Ναι, το να κρατάτε μυστικό τον αλγόριθμο βοηθάει ελαφρώς την ασφάλεια. Εάν ένας εισβολέας γνωρίζει ότι χρησιμοποιήσατε DES (το οποίο δεν είναι τρομερά δύσκολο να σπάσει), μπορεί να είναι πιο πιθανό να προσπαθήσει να το σπάσει.

Νομίζω ότι η ουσία της ερώτησής σας είναι οι στατιστικές επιθέσεις που προσπαθούν να δουν μέσα από την κρυπτογράφηση για να αποκρυπτογραφήσουν τη φύση των δεδομένων. Οποιοσδήποτε λογικά σύγχρονος αλγόριθμος είναι μαθηματικά σχεδιασμένος για να εμποδίζει κάθε προσπάθεια να μαντέψουμε ποια είναι τα δεδομένα.

Ωστόσο, ο David κάνει ένα πολύ καλό σημείο. Ακόμη και η τέλεια κρυπτογράφηση (αν υπήρχε) θα ήταν ευάλωτη σε ανθρώπινο λάθος. Αυτοί οι αλγόριθμοι είναι άχρηστοι εκτός κι αν παρατήσετε τον εαυτό σας και διασταυρώσετε τα t και δεν έχετε απόλυτη (και δικαιολογημένη) πίστη σε αυτούς που μπορούν να αποκρυπτογραφήσουν τα δεδομένα.

Το Microsoft Office 2010 περιέχει ρυθμίσεις που σας επιτρέπουν να ελέγχετε εάν τα δεδομένα είναι κρυπτογραφημένα όταν χρησιμοποιείτε Microsoft Access 2010, Microsoft Excel 2010, Microsoft OneNote 2010, Microsoft PowerPoint 2010, Microsoft Project 2010 και Microsoft Word 2010. Αυτό το άρθρο περιγράφει την κρυπτογράφηση και την κρυπτογράφηση στο Office 2010, που περιγράφει τις Ρυθμίσεις για δυνατότητες κρυπτογράφησης δεδομένων και παρέχει πληροφορίες σχετικά με τη συμβατότητα με προηγούμενες εκδόσεις του Microsoft Office.

Καθώς σχεδιάζετε τις επιλογές κρυπτογράφησης, λάβετε υπόψη τις ακόλουθες οδηγίες:

• Συνιστούμε να μην κάνετε αλλαγές στις προεπιλεγμένες ρυθμίσεις κρυπτογράφησης εκτός εάν το μοντέλο ασφαλείας του οργανισμού σας απαιτεί ρυθμίσεις κρυπτογράφησης που διαφέρουν από τις προεπιλεγμένες ρυθμίσεις.
• Συνιστούμε τη χρήση ενός μήκους και πολυπλοκότητας κωδικού πρόσβασης που διασφαλίζει ότι χρησιμοποιούνται ισχυροί κωδικοί πρόσβασης κατά την κρυπτογράφηση δεδομένων.
• Σας προτείνουμε Δενχρησιμοποιήστε κρυπτογράφηση RC4.
• Δεν υπάρχει ρύθμιση διαχείρισης που να σας επιτρέπει να αναγκάζετε τους χρήστες να κάνουν κρυπτογράφηση εγγράφων. Ωστόσο, υπάρχει μια ρύθμιση διαχείρισης που σας επιτρέπει να καταργήσετε τη δυνατότητα προσθήκης κωδικών πρόσβασης για έγγραφα και έτσι να αποτρέψετε την κρυπτογράφηση εγγράφων.
• Η αποθήκευση εγγράφων σε αξιόπιστες τοποθεσίες δεν επηρεάζει τις ρυθμίσεις κρυπτογράφησης. Εάν το έγγραφο είναι κρυπτογραφημένο και αποθηκευμένο σε ασφαλή τοποθεσία, ο χρήστης πρέπει να παράσχει έναν κωδικό πρόσβασης για να ανοίξει το έγγραφο.

Σε αυτό το άρθρο:

Σχετικά με την κρυπτογραφία και την κρυπτογράφηση στο Office 2010

Οι αλγόριθμοι κρυπτογράφησης που είναι διαθέσιμοι για χρήση με το Office εξαρτώνται από τους αλγόριθμους που μπορεί να είναι διαθέσιμοι μέσω του API (διεπαφή προγραμματισμού εφαρμογών) στο λειτουργικό σύστημα Windows. Το Office 2010, εκτός από την παροχή υποστήριξης για το CryptoAPI (CryptoAPI), περιλαμβάνει επίσης υποστήριξη για CNG (CryptoAPI: Επόμενη Γενιά), το οποίο εισήχθη για πρώτη φορά στο σύστημα Microsoft Office SP2 το 2007.

Το CNG επιτρέπει πιο ευέλικτη κρυπτογράφηση, όπου μπορείτε να καθορίσετε αλγόριθμους που υποστηρίζουν διαφορετική κρυπτογράφηση και κατακερματισμό στον υποτελή υπολογιστή για χρήση κατά τη διαδικασία κρυπτογράφησης εγγράφων. Το CNG επιτρέπει επίσης καλύτερη επεκτασιμότητα κρυπτογράφησης, όπου μπορεί να χρησιμοποιηθεί κρυπτογράφηση μονάδας τρίτου κατασκευαστή.

Όταν η Διαχείριση χρησιμοποιεί CryptoAPI, οι αλγόριθμοι κρυπτογράφησης εξαρτώνται από αυτούς που παρέχονται από τον CSP (Παροχέας Υπηρεσιών Κρυπτογραφίας) που αποτελεί μέρος του λειτουργικού συστήματος των Windows. Το ακόλουθο κλειδί μητρώου περιέχει μια λίστα με CSP που είναι εγκατεστημένα στον υπολογιστή:

HKEY_LOCAL_MACHINE/λογισμικό/microsoft/κρυπτογράφηση/προεπιλογή/προμηθευτής

Οι ακόλουθοι αλγόριθμοι κρυπτογράφησης CNG ή οποιοιδήποτε άλλοι κρυπτογράφοι επέκτασης CNG είναι εγκατεστημένοι στο σύστημα, μπορούν να χρησιμοποιηθούν με το Office 2010 ή το Office 2007 Service Pack 2:

AES, DES, DESX, 3DES, 3DES_112 και RC2

Οι ακόλουθοι αλγόριθμοι κατακερματισμού LNG ή οποιεσδήποτε άλλες επεκτάσεις των κρυπτογράφησης LNG που είναι εγκατεστημένοι στο σύστημα, μπορούν να χρησιμοποιηθούν με το σύστημα Office 2010 ή το σύστημα Office 2007 SP2:

MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 και SHA512

Αν και υπάρχουν επιλογές του Office 2010 για να αλλάξετε τον τρόπο με τον οποίο εκτελείται η κρυπτογράφηση, κατά την κρυπτογράφηση αρχείων ανοιχτής μορφής XML (.docx, .xslx, .pptx, κ.λπ.), οι προεπιλεγμένες τιμές είναι AES (Advanced Encryption Standard), μήκος κλειδιού 128 bit , SHA1 και CBC (αλυσίδα μπλοκ κρυπτογράφησης) - παρέχουν ισχυρή κρυπτογράφηση και θα πρέπει να είναι καλό για τους περισσότερους οργανισμούς. Η κρυπτογράφηση AES είναι ο ισχυρότερος τυπικός αλγόριθμος που είναι διαθέσιμος και έχει επιλεγεί από την Εθνική Υπηρεσία Ασφαλείας (NSA) για χρήση ως πρότυπο για την κυβέρνηση των Ηνωμένων Πολιτειών. Η κρυπτογράφηση AES υποστηρίζεται σε Windows XP SP2, Windows Vista, Windows 7, Windows Server 2003 και Windows Server 2008.

Επιλογές κρυπτογράφησης και κρυπτογράφησης

Ο παρακάτω πίνακας παραθέτει τις επιλογές που είναι διαθέσιμες για την αλλαγή αλγορίθμων κρυπτογράφησης κατά τη χρήση της έκδοσης του Microsoft Office που είναι διαθέσιμη για το CryptoAPI. Αυτό περιλαμβάνει εκδόσεις του Office έως και το Office 2010.

Ρυθμίσεις	Περιγραφή
Τύπος κρυπτογράφησης για αρχεία Office Open XML που προστατεύονται με κωδικό πρόσβασης	Αυτή η επιλογή σάς επιτρέπει να ορίσετε τον τύπο κρυπτογράφησης για ανοιχτά αρχεία XML από διαθέσιμους παρόχους κρυπτογραφικών υπηρεσιών (CSP). Αυτή η ρύθμιση απαιτείται όταν χρησιμοποιείτε προσαρμοσμένη κρυπτογράφηση πρόσθετου COM. Για περισσότερες πληροφορίες, ανατρέξτε στον "Οδηγό προγραμματιστών κρυπτογραφικών συστημάτων του Office 2007", ο οποίος είναι διαθέσιμος ως μέρος του sharepoint Server 2007 sdk. Αυτή η ρύθμιση απαιτείται εάν χρησιμοποιείτε το σύστημα Office 2007 SP1 ή χρησιμοποιείτε μια έκδοση του πακέτου συμβατότητας που είναι παλαιότερη από το πακέτο συμβατότητας του Microsoft Office για μορφές αρχείων Word, Excel και PowerPoint και θέλετε να αλλάξετε τον αλγόριθμο κρυπτογράφησης σε κάτι εκτός από την προεπιλογή.
Τύπος κρυπτογράφησης για αρχεία που προστατεύονται με κωδικό πρόσβασης του Office 97-2003	Αυτή η επιλογή σάς επιτρέπει να ορίσετε τον τύπο κρυπτογράφησης για αρχεία του Office 97–2003 (δυαδικά) από διαθέσιμους παρόχους κρυπτογραφικών υπηρεσιών (CSP). Ο μόνος υποστηριζόμενος αλγόριθμος κατά τη χρήση αυτής της επιλογής είναι ο RC4, τον οποίο, όπως αναφέρθηκε προηγουμένως, δεν συνιστούμε.

Στο Office 2010, εάν πρέπει να αλλάξετε τη ρύθμιση τύπος κρυπτογράφησης για αρχεία Office Open XML που προστατεύονται με κωδικό πρόσβασης, πρέπει πρώτα να ενεργοποιήσετε την επιλογή Παρακαλούμε διευκρινίστε τη συμβατότητα κρυπτογράφησηςκαι ορίστε μια επιλογή χρησιμοποιήστε τη μορφή παλαιού τύπου. Παράμετρος καθορίστε συμβατότητα κρυπτογράφησηςΔιαθέσιμο για πρόσβαση το 2010, το Excel 2010, το PowerPoint 2010 και το Word 2010.

Ο παρακάτω πίνακας παραθέτει τις επιλογές που είναι διαθέσιμες για την αλλαγή αλγορίθμων κρυπτογράφησης όταν χρησιμοποιείτε το Office 2010. Αυτές οι επιλογές ισχύουν για Access 2010, Excel 2010, OneNote 2010, PowerPoint 2010, Project 2010 και Word 2010.

Ρυθμίσεις	Περιγραφή
Διαμόρφωση του αλγόριθμου κρυπτογράφησης CNG	Αυτή η επιλογή σάς επιτρέπει να διαμορφώσετε τον αλγόριθμο κρυπτογράφησης CNG που χρησιμοποιείται. Η προεπιλογή είναι AES.
Ρυθμίστε τη λειτουργία συμπλέκτη με κωδικό CNG	Αυτή η επιλογή σάς επιτρέπει να διαμορφώσετε τη λειτουργία κρυπτογράφησης και αλυσίδας που χρησιμοποιείται. Η προεπιλογή είναι Αλυσίδα μπλοκ κρυπτογράφησης (CBC).
Ορίστε το μήκος του κλειδιού κρυπτογράφησης LNG	Αυτή η επιλογή σάς επιτρέπει να διαμορφώσετε τον αριθμό των bit που θα χρησιμοποιήσετε κατά τη δημιουργία του κλειδιού κρυπτογράφησης. Η προεπιλεγμένη τιμή είναι 128 bit.
Ορισμός συμβατότητας κρυπτογράφησης	Αυτή η επιλογή σάς επιτρέπει να καθορίσετε τη μορφή συμβατότητας. Προεπιλεγμένη τιμή - χρήση της μορφής επόμενης γενιάς.
Ρύθμιση παραμέτρων για το περιβάλλον LNG	Αυτή η παράμετρος σάς επιτρέπει να καθορίσετε τις παραμέτρους κρυπτογράφησης που θα πρέπει να χρησιμοποιούνται για το περιβάλλον LNG. Για να χρησιμοποιήσετε αυτήν την επιλογή, το περιβάλλον CNG πρέπει πρώτα να δημιουργηθεί χρησιμοποιώντας το CryptoAPI: Next Generation (CNG).
Ορισμός αλγόριθμου κατακερματισμού LNG	Αυτή η επιλογή σάς επιτρέπει να ορίσετε τον αλγόριθμο κατακερματισμού που χρησιμοποιείται. Η προεπιλεγμένη τιμή είναι SHA1.
Ορισμός κωδικού πρόσβασης κύλισης LNG	Αυτή η επιλογή σάς επιτρέπει να καθορίσετε πόσες φορές θα περιστρέψετε (αναδιατυπώσετε) τον κωδικό πρόσβασης. Η προεπιλογή είναι 100000.
Καθορίστε τον αλγόριθμο LNG για τη δημιουργία τυχαίων αριθμών	Αυτή η επιλογή σάς επιτρέπει να ρυθμίσετε τις παραμέτρους της γεννήτριας τυχαίων αριθμών LNG για χρήση. Η προεπιλογή είναι RNG (γεννήτρια τυχαίων αριθμών).
Καθορίστε το μήκος άλατος LNG	Αυτή η παράμετρος σάς επιτρέπει να καθορίσετε τον αριθμό των byte αλατιού που πρέπει να χρησιμοποιηθούν. Η προεπιλεγμένη τιμή είναι 16.

Εκτός από τις ρυθμίσεις CNG που αναφέρονται στον προηγούμενο πίνακα, η ρύθμιση CNG που παρατίθεται στον παρακάτω πίνακα μπορεί να διαμορφωθεί σε Excel 2010, PowerPoint 2010 και Word 2010.

Μπορείτε να χρησιμοποιήσετε τις επιλογές που παρατίθενται στον παρακάτω πίνακα για να καταργήσετε τη δυνατότητα προσθήκης κωδικών πρόσβασης σε έγγραφα και έτσι να αποτρέψετε την κρυπτογράφηση των εγγράφων.

Συμβατότητα με προηγούμενες εκδόσεις του Office

Εάν έχετε έγγραφα του Office για κρυπτογράφηση, συνιστούμε να αποθηκεύετε έγγραφα ως αρχεία μορφής Open XML (.docx, .xlsx, .pptx, κ.λπ.) αντί για μορφή Office 97-2003 (.doc, .xls, . ppt κ.λπ.) . Η κρυπτογράφηση που χρησιμοποιείται για δυαδικά έγγραφα (.doc, .xls, .ppt) χρησιμοποιεί RC4. Αυτό δεν συνιστάται, όπως αναφέρεται στις ενότητες 4.3.2 και 4.3.3, για λόγους ασφαλείας για την προδιαγραφή δομής κρυπτογράφησης εγγράφων του Office. Τα έγγραφα που είναι αποθηκευμένα σε παλαιότερες δυαδικές μορφές του Office μπορούν να κρυπτογραφηθούν μόνο με χρήση RC4 για να διατηρηθεί η συμβατότητα με προηγούμενες εκδόσεις του Microsoft Office. Ο AES είναι ο προτεινόμενος και προεπιλεγμένος αλγόριθμος για την κρυπτογράφηση αρχείων ανοιχτής μορφής XML.

Το Office 2010 και το σύστημα Office 2007 σάς επιτρέπουν να αποθηκεύετε έγγραφα σε μορφή αρχείου Open XML. Επιπλέον, εάν έχετε Microsoft Office XP ή Office 2003, μπορείτε να χρησιμοποιήσετε το πακέτο συμβατότητας για να αποθηκεύσετε έγγραφα ως αρχεία Open XML.

Τα έγγραφα που αποθηκεύονται ως αρχεία Open XML και είναι κρυπτογραφημένα από το Office 2010 μπορούν να διαβαστούν μόνο από το Office 2010, το Office 2007 Service Pack 2 και το Office 2003 με το πακέτο συμβατότητας του Office 2007 Service Pack 2 Για να διασφαλίσετε τη συμβατότητα με όλες τις προηγούμενες εκδόσεις του Office μπορεί να δημιουργήσει ένα κλειδί μητρώου (αν δεν υπάρχει) κάτω από HKCU\Software\Microsoft\Office\14.0\ \Ασφάλεια\Crypto\με τίτλο CompatModeκαι απενεργοποιήστε το ορίζοντας το ίσο με 0 . Τιμές για τις οποίες μπορείτε να εισαγάγετε αντιπροσωπεύουν τη ρύθμιση αυτού του κλειδιού μητρώου για μια συγκεκριμένη εφαρμογή του Microsoft Office. Για παράδειγμα, μπορείτε να εισαγάγετε Access, Excel, PowerPoint ή Word. Είναι σημαντικό να κατανοήσουμε ότι πότε CompatModeίσος 0 Το Office 2010 χρησιμοποιεί μια συμβατή μορφή κρυπτογράφησης από το Office 2007, αντί της βελτιωμένης ασφάλειας που χρησιμοποιείται από προεπιλογή όταν χρησιμοποιείτε το Office 2010 για την κρυπτογράφηση αρχείων μορφής Open XML. Εάν πρέπει να διαμορφώσετε αυτήν τη ρύθμιση για να διασφαλίσετε τη συμβατότητα, συνιστούμε να χρησιμοποιήσετε επίσης μια μονάδα κρυπτογράφησης τρίτου κατασκευαστή που επιτρέπει βελτιωμένη ασφάλεια, όπως η κρυπτογράφηση AES.

Εάν ο οργανισμός σας χρησιμοποιεί το Microsoft Office Compatibility Pack για μορφές αρχείων Word, Excel και PowerPoint για την κρυπτογράφηση αρχείων μορφής Open XML, θα πρέπει να λάβετε υπόψη τις ακόλουθες πληροφορίες:

• Από προεπιλογή, το πακέτο συμβατότητας χρησιμοποιεί τις ακόλουθες επιλογές για την κρυπτογράφηση αρχείων ανοιχτής μορφής XML:
• ΕπέκτασηMicrosoftRSAΚαιAESπάροχος κρυπτογράφησης (πρωτότυπο),AES 128,128 (σε λειτουργικό σύστημα Windows XP Professional).
• ΕπέκτασηMicrosoftRSAΚαιAESπάροχος υπηρεσιών κρυπτογράφησηςAES 128,128 (σε λειτουργικά συστήματα Windows Server 2003 και Windows Vista).
• Οι χρήστες δεν ειδοποιούνται ότι το πακέτο συμβατότητας χρησιμοποιεί αυτές τις επιλογές κρυπτογράφησης.
• Το GUI σε προηγούμενες εκδόσεις του Office ενδέχεται να εμφανίζει εσφαλμένες επιλογές κρυπτογράφησης για τις μορφές αρχείων Open XML, εάν είναι εγκατεστημένο το πακέτο συμβατότητας.
• Οι χρήστες δεν μπορούν να χρησιμοποιήσουν το GUI σε προηγούμενες εκδόσεις του Office για να αλλάξουν τις ρυθμίσεις κρυπτογράφησης για τις μορφές αρχείων Open XML.

Βασικές απαιτήσεις για κρυπτογράφηση

· Ένα κρυπτογραφημένο μήνυμα πρέπει να είναι αναγνώσιμο μόνο εάν το κλειδί είναι διαθέσιμο.

· Ο αριθμός των απαραίτητων ενεργειών για τον προσδιορισμό του χρησιμοποιημένου κλειδιού κρυπτογράφησης από ένα τμήμα κρυπτογραφημένου μηνύματος και του αντίστοιχου απλού κειμένου δεν πρέπει να είναι μικρότερος από τον συνολικό αριθμό των πιθανών κλειδιών.

· Ο αριθμός των λειτουργιών που απαιτούνται για την αποκρυπτογράφηση πληροφοριών μέσω αναζήτησης σε όλα τα πιθανά κλειδιά πρέπει να έχει ένα αυστηρό κάτω όριο και να υπερβαίνει τις δυνατότητες των σύγχρονων υπολογιστών (λαμβάνοντας υπόψη τη δυνατότητα χρήσης δικτυακών υπολογιστών).

· Η γνώση του αλγόριθμου κρυπτογράφησης δεν πρέπει να επηρεάζει την αξιοπιστία της προστασίας

μια μικρή αλλαγή στο κλειδί θα πρέπει να οδηγήσει σε σημαντική αλλαγή στον τύπο του κρυπτογραφημένου μηνύματος, ακόμη και όταν κρυπτογραφείται το ίδιο κείμενο προέλευσης.

· μια μικρή αλλαγή στο κείμενο προέλευσης θα πρέπει να οδηγήσει σε σημαντική αλλαγή στον τύπο του κρυπτογραφημένου μηνύματος, ακόμη και όταν χρησιμοποιείται το ίδιο κλειδί.

· Τα δομικά στοιχεία του αλγόριθμου κρυπτογράφησης πρέπει να παραμένουν αμετάβλητα.

· Πρόσθετα bits που εισάγονται στο μήνυμα κατά τη διαδικασία κρυπτογράφησης πρέπει να είναι πλήρως και με ασφάλεια κρυμμένα στο κρυπτογραφημένο κείμενο.

· το μήκος του κρυπτογραφημένου κειμένου πρέπει να είναι ίσο με το μήκος του αρχικού κειμένου.

· Δεν πρέπει να υπάρχουν απλές και εύκολα καθιερωμένες εξαρτήσεις μεταξύ των κλειδιών που χρησιμοποιούνται διαδοχικά στη διαδικασία κρυπτογράφησης.

· οποιοδήποτε από τα πολλά πιθανά κλειδιά πρέπει να παρέχει αξιόπιστη προστασία πληροφοριών.

· ο αλγόριθμος πρέπει να επιτρέπει την υλοποίηση λογισμικού και υλικού, ενώ η αλλαγή του μήκους του κλειδιού δεν πρέπει να οδηγεί σε ποιοτική υποβάθμιση του αλγορίθμου κρυπτογράφησης.

Εφαρμογές λογισμικού κρυπτογράφησης

Η δυνατότητα υλοποίησης λογισμικού οφείλεται στο γεγονός ότι όλες οι μέθοδοι κρυπτογραφικού μετασχηματισμού είναι τυπικές και μπορούν να παρουσιαστούν με τη μορφή μιας τελικής αλγοριθμικής διαδικασίας.

Στα πλεονεκτήματαΗ εφαρμογή λογισμικού μπορεί να αποδοθεί στην ευελιξία και τη φορητότητά του. Με άλλα λόγια, ένα πρόγραμμα γραμμένο για ένα λειτουργικό σύστημα μπορεί να τροποποιηθεί για οποιοδήποτε τύπο λειτουργικού συστήματος. Επιπλέον, μπορείτε να ενημερώσετε το λογισμικό με λιγότερο χρόνο και χρήματα. Επιπλέον, πολλές σύγχρονες εξελίξεις στον τομέα των κρυπτογραφικών πρωτοκόλλων δεν είναι διαθέσιμες για εφαρμογή σε υλικό.

Στα μειονεκτήματαΤο λογισμικό κρυπτογραφικής προστασίας θα πρέπει να περιλαμβάνει τη δυνατότητα παρέμβασης σε αλγόριθμους κρυπτογράφησης και πρόσβασης σε βασικές πληροφορίες που είναι αποθηκευμένες στη δημόσια μνήμη. Αυτές οι λειτουργίες συνήθως εκτελούνται χρησιμοποιώντας ένα απλό σύνολο εργαλείων λογισμικού. Για παράδειγμα, σε πολλά λειτουργικά συστήματα, πραγματοποιείται αποθήκευση μνήμης έκτακτης ανάγκης στον σκληρό δίσκο και ενδέχεται να υπάρχουν κλειδιά στη μνήμη που δεν είναι δύσκολο να βρεθούν.

Έτσι, η ασθενής φυσική ασφάλεια του λογισμικού είναι ένα από τα κύρια μειονεκτήματα τέτοιων μεθόδων για την υλοποίηση αλγορίθμων κρυπτογράφησης.

Εφαρμογή λογισμικού και υλικού

Πρόσφατα, άρχισαν να εμφανίζονται συνδυασμένα εργαλεία κρυπτογράφησης, τα λεγόμενα. λογισμικού και υλικού. Σε αυτήν την περίπτωση, ο υπολογιστής χρησιμοποιεί ένα είδος «κρυπτογραφικού συνεπεξεργαστή» - μια υπολογιστική συσκευή που επικεντρώνεται στην εκτέλεση κρυπτογραφικών λειτουργιών (προσθήκη μονάδων, μετατόπιση κ.λπ.). Αλλάζοντας το λογισμικό για μια τέτοια συσκευή, μπορείτε να επιλέξετε μία ή άλλη μέθοδο κρυπτογράφησης.

Οι κύριες λειτουργίες που ανατίθενται στο υλικό του συγκροτήματος λογισμικού-υλισμικού για την προστασία κρυπτογραφικών πληροφοριών είναι συνήθως η παραγωγή βασικών πληροφοριών και η αποθήκευσή τους σε συσκευές που προστατεύονται από μη εξουσιοδοτημένη πρόσβαση από έναν εισβολέα. Επιπλέον, χρησιμοποιώντας τεχνικές αυτού του τύπου, είναι δυνατός ο έλεγχος ταυτότητας των χρηστών χρησιμοποιώντας κωδικούς πρόσβασης (στατικοί ή δυναμικά μεταβαλλόμενοι, οι οποίοι μπορούν να αποθηκευτούν σε διάφορα μέσα βασικών πληροφοριών) ή με βάση βιομετρικά χαρακτηριστικά μοναδικά για κάθε χρήστη. Μια συσκευή για την ανάγνωση τέτοιων πληροφοριών μπορεί να αποτελεί μέρος της εφαρμογής λογισμικού και υλικού των εργαλείων ασφάλειας πληροφοριών.