Юрий Николаевич Городилов, Александр Андреевич Цхай,
АлтГТУ, “АлтайГИС-центр”, г. Барнаул, тел.: (8-385-2) 36-78-64, e-mail: emi@agtu.secna.ru
Сегодня ведущие организации топливно-энергетического комплекса и других базовых отраслей народного хозяйства осознают необходимость защиты ГИС-данных, представляющих коммерческую ценность и имеющих ограниченное распространение. Особенно актуальны эти требования для информационных служб компаний и разработчиков программного обеспечения.
Уже на этапе поставки и внедрения геоинформационной системы встает ряд вопросов: “Не произойдет ли утечка информации от заказчика? Будут ли данные и программное обеспечение использоваться лишь на определенном количестве машин?”. Ситуация еще больше усугубляется в случае, когда пользователь недобросовестно относится к проблеме несанкционированного распространения информации, или же сам хочет ее скопировать и распространить. Стандартные средства защиты информации, предоставляемые операционной системой и продуктами сторонних производителей, часто оказываются недостаточными, а для разработчиков программного обеспечения и вовсе не подходят.
Мы хотим привлечь ваше внимание к программному продукту “КРИПТ-А”, обеспечивающему комплексную защиту информации для разработчиков геоинформационных систем и их пользователей. В нем реализован новый способ защиты данных – криптографическое шифрование файлов на “лету” с "привязкой" к постоянным и уникальным аппаратным характеристикам компьютера (рис. 1). Главными достоинствами данного способа защиты являются возможность его использования для любого существующего программного ГИС- обеспечения и отсутствие электронных ключей.
Рис. 1. Криптографическая защита данных.
Зашифрованные данные привязаны также и к программному обеспечению. При запуске программного обеспечения происходит его авторизация модулем защиты информации. Корректная расшифровка данных будет происходить только для авторизованного программного обеспечения. Кроме того, для авторизованного приложения модуль защиты обеспечивает запрет на запись данных в каталоги и файлы, отличные от защищенных. Это ограничение позволяет избежать случайной утечки информации при выполнении операций сохранения.
Зашифрованные данные можно разделять между несколькими компьютерами в локальной сети. Но расшифровать эти данные смогут только зарегистрированные компьютеры. Каждый зарегистрированный компьютер имеет уникальный идентификатор, без которого дешифрование данных невозможно. Доступ к информации можно получить только с зарегистрированных владельцем информации компьютеров.
Защитить можно любую информацию: шейп-файлы, файлы баз данных, файлы документов, текстовые файлы, файлы растровых изображений, файлы проектов и временные файлы, создаваемые во время работы приложения и удаляемые при их закрытии. “КРИПТ-А” позволяет указывать тип защищаемых данных заданием имен файлов и каталогов, в которых они размещены. Шифроваться могут как целые диски (локальные и сетевые), так и отдельные каталоги.
На рисунке 2 представлены шаги передачи информационной системы от разработчика к пользователю. Передаваемый разработчику идентификатор компьютера и полученный от него уникальный ключ для дешифрации не являются секретными. Более того, они могут быть известны пользователю системы, так как эти ключи уникальны для каждого компьютера. В случае переноса программного продукта и информации или копирования их злоумышленником с одного компьютера на другой работа будет невозможна, так как расшифровка данных будет произведена неправильно.
Рис. 2. Процедура доступа к защищенной системе.
Для разработчика и пользователя одним из важных требований является быстродействие. При создании “КРИПТ-А” особое внимание было уделено скорости шифрования/дешифрования больших объемов данных. Были разработаны новые методы защиты информации, позволившие заметно увеличить скорость чтения, записи и модификации данных. Скорость шифрования/дешифрования файлов на компьютере класса Pentium-III 800МГц составляет 30 Мб/с независимо от размера файла. Таким образом, применение “КРИПТ-А” практически не снижает пропускную способность чтения/записи файлов и не замедляет работы программ.
Приведем десять основных преимуществ и ключевых возможностей “КРИПТ-А”:
- Прозрачное шифрование/дешифрование файлов на “лету”. Пользователь не замечает и может даже не знать о существовании такой системы. Оно проявляется только при несанкционированном копировании и распространении картографической информации на другие компьютеры. В этом случае расшифровка данных будет произведена неверно, а программный продукт работать не будет.
- Привязка информации к аппаратным характеристикам компьютера. При переносе картографической информации с одного компьютера на другой невозможно расшифровать данные без знания ключа для данного компьютера.
- Привязка информации к программному обеспечению. Только указанное ПО может выполнять функции чтения и записи зашифрованных данных. В случае изменения ПО злоумышленником расшифровка данных будет произведена неправильно.
- Возможности резервного копирования. Пользователь системы может осуществлять резервное копирование информации, при этом архив всегда содержит только зашифрованные данные.
- Простая установка и работа системы. При установке “КРИПТ-А” ваша файловая система остается неизменной, не добавляются новые логические диски, не требуется разбивать и форматировать жесткие диски, отсутствие электронных ключей (HASP и пр.).
- Высокая криптографическая надежность: 120 битные ключи в RC4 и MD5.
- Поддержка всех операционных систем от Microsoft: одинаковая работа в операционных системах Windows 95/98/98SE/Me/NT4/2000/XP.
- Интеграция с операционной системой. Криптографический драйвер прозрачного шифрования работает на нулевом кольце защиты процессора. Поэтому доступ к данным со стороны злоумышленника с помощью различных отладчиков и дизассемблеров практически невозможен. Это, в свою очередь, обеспечивает полный контроль над выполняемыми процессами операционной системы и высокий уровень надежности и защиты информации.
- Длительная защита. Отключение питания компьютера, сбой операционной системы, вредоносные программы никогда не приведут к утечке информации — перед сохранением данных на диск все файлы шифруются, они никогда не сохраняются в незашифрованном виде.
- Полный контроль над распространением информации. При распространении коммерческой информации, например, при продаже или передаче информации, баз данных, программного обеспечения, можно быть уверенным, что они будут эксплуатироваться только на одном компьютере. При этом владелец информации будет всегда знать, сколько копий он передал другим пользователям.
В заключении хотелось бы отметить, что программный комплекс “КРИПТ-А” официально зарегистрирован в Роспатенте. Он был неоднократно представлен на Международных конференциях и с успехом использовался для защиты картографической информации в геоинформационных системах.