Содержание к диссертации
ВВЕДЕНИЕ 7
ГЛАВА 1. СРАВНИТЕЛЬНЫЙ АНАЛИЗ МЕТОДОВ И СРЕДСТВ
ЗАЩИТЫ ДАННЫХ 16
1.1. Методы применения криптографических алгоритмов 16
-
Системы автоматической защиты данных 17
-
Средства защиты данных прикладного уровня 26
1.2. Методы противодействия угрозам 28
-
Шифрование 28
-
Электронная цифровая подпись 37
-
Комплексный метод защиты 40
-
Проблемы распределения и хранения ключей 41
-
Постановка задачи 43
-
Выводы по главе 1 44
ГЛАВА 2. РАЗРАБОТКА МЕТОДИКИ ВСТРАИВАНИЯ СИСТЕМ
КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В ПРОГРАММЫ
ОБРАБОТКИ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ 45
-
Обоснование необходимости защиты электронных документов 45
-
Проблема защиты информации, обрабатываемой с использованием пакета программ Microsoft Office 47
-
Встроенная система защиты информации пакета программ Microsoft Office 47
-
Выводы по подсистеме безопасности Microsoft Word 61
-
Требования к методике встраивания систем криптографической защиты информации 62
-
Описание методики встраивания систем криптографической защиты информации 63
2.4.1. Этапы методики встраивания 63
-
Формализация задачи встраивания систем криптографической защиты информации в программы обработки электронных документов 67
-
Решение задачи разработки пользовательского интерфейса 71
-
Структура системы криптографической защиты информации 75
-
Особенности встраивания макросов и пользовательского интерфейса в целевое приложение 79
2.4. Выводы по главе 2 86
ГЛАВА 3. ВЫБОР ПАРАМЕТРОВ И РАЗРАБОТКА СИСТЕМЫ
КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ «ЗАЩИЩЕННЫЙ
ОФИС» НА ОСНОВЕ МЕТОДИКИ ВСТРАИВАНИЯ 87
3.1. Уточнение объектов защиты 87
-
Выбор метода защиты электронных документов Microsoft Word относительно структуры документа 87
-
Выбор метода защиты электронных документов Microsoft Excel относительно структуры документа 90
-
Выбор объекта защиты Microsoft Outlook 90
3.2. Использование криптографических алгоритмов 90
-
Выбор методов защиты электронных документов 96
-
Комплексное применение криптографических алгоритмов 96
3.3. Ключевая система 99
-
Решение проблемы защиты открытых ключей от подмены 99
-
Использование персонального ключевого носителя 102
3.4. Структурная схема и реализация программных модулей системы
«Защищенный офис» 103
-
Пользовательский интерфейс и макросы Crypton Word 104
-
Пользовательский интерфейс и макросы Crypton Excel 105
-
Пользовательский интерфейс и макросы Crypton Outlook 106
-
Библиотека функций Crypton ArcMail 107
-
Буферная динамическая библиотека 108
-
Программа «Защищенный офис - Конфигурация» 109
-
Интерфейс подключения шифраторов Crypton API и применяемые шифраторы ПО
-
Интерфейс подключения ключевых носителей SCApi Ill
-
Дополнительные замечания 113
3.5. Генерация дистрибутивов, установка и удаление системы
«Защищенный офис» 114
-
Генератор дистрибутивов системы «Защищенный офис» 114
-
Программа инсталляции 115
-
Программы деинсталляции 119
3.6. Выводы по главе 3 120
ГЛАВА 4. РАЗРАБОТКА АЛГОРИТМОВ СОПРЯЖЕНИЯ МОДУЛЕЙ
СИСТЕМЫ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
«ЗАЩИЩЕННЫЙ ОФИС». ВЕРИФИКАЦИЯ РЕЗУЛЬТАТОВ 121
4.1. Описание экспортируемых функций библиотеки АО 1 Buffer.dll 121
-
Функция OGBOpenFile 122
-
Функция OGBCloseFile 124
-
Функция OGBConfigLib 125
-
Функция OGBGetHelp 125
-
Функция OLAddText ; 126
-
Функция OLAddAttach 128
-
Функция OLCloseArchive 128
-
Функция OLGetText 128
-
Функция OLGetFile 130
4.1.10. Функция OLGetPath 131
4.2. Алгоритмы работы Crypton Word и Crypton Excel 131
-
Макрос OGOpen 132
-
Макрос OGClose 132
-
Макрос OGConfig 132
-
Макрос OGHelp 132
4.3. Алгоритмы работы Crypton Outlook 134
-
Макрос Application_ItemSend 135
-
Макрос Application_NewMail 135
4.3. Алгоритмы работы программ инсталляции системы «Защищенный
ОФИС» 137
-
Алгоритмы работы программ деинсталляции системы «Защищенный офис» 140
-
Содержание эксплуатационной документации системы «Защищенный офис» 141
-
Верификация результатов 141
-
Сравнительный анализ криптостойкости 142
-
Выводы по главе 4..... 143
ЗАКЛЮЧЕНИЕ 145
ОСНОВНЫЕ ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ 147
ЛИТЕРАТУРА 151
ПРИЛОЖЕНИЕ 1. ИСХОДНЫЙ ТЕКСТ МОДУЛЯ VBA «CRYPTON
WORD MACROS» 163
ПРИЛОЖЕНИЕ 2. ОПИСАНИЕ ПРОЦЕССА ВЫПОЛНЕНИЯ
ОСНОВНЫХ ОПЕРАЦИЙ СИСТЕМЫ CRYPTON WORD 168
П2.1. Процесс создания защищенного документа 168
П2.2. Процесс открытия защищенного документа 171
ПРИЛОЖЕНИЕ 3. ТЕКСТ МОДУЛЯ VBA ПРОГРАММЫ
ИНСТАЛЛЯЦИИ CRYPTON EXCEL 174
ПРИЛОЖЕНИЕ 4. ИСХОДНЫЙ ТЕКСТ МОДУЛЯ VBA «CRYPTON
EXCEL MACROS» 176
ПРИЛОЖЕНИЕ 5. ИСХОДНЫЙ ТЕКСТ МОДУЛЯ VBA СКЗИ CRYPTON
OUTLOOK 180
ПРИЛОЖЕНИЕ 6. ОПИСАНИЕ ПРОЦЕССА ВЫПОЛНЕНИЯ
ОСНОВНЫХ ОПЕРАЦИЙ СКЗИ CRYPTON OUTLOOK 185
П6.1. Защита отправляемых сообщений 185
П6.2. Получение защищенного сообщения 188
ПРИЛОЖЕНИЕ 7. ОПИСАНИЕ НАСТРОЙКИ КОНФИГУРАЦИИ СКЗИ
CRYPTONWORD 190
ПРИЛОЖЕНИЕ 8. СОДЕРЖАНИЕ ДОКУМЕНТА «РУКОВОДСТВО
ПОЛЬЗОВАТЕЛЯ» СКЗИ CRYPTON WORD 196
ПРИЛОЖЕНИЕ 9. ПРОТОКОЛ ФИНАЛЬНОГО ТЕСТИРОВАНИЯ СКЗИ
«ЗАЩИЩЕННЫЙ ОФИС» 197
»
Введение к работе
Актуальность работы. Одним из наиболее распространенных в настоящее время пакетов программ обработки электронных документов (ЭД) является пакет программ Microsoft Office. Microsoft Office представляет собой набор программных средств, позволяющих, прежде всего, автоматизировать документооборот организаций. В различные варианты поставки Microsoft Office могут входить следующие компоненты: текстовый процессор Microsoft Word; программа обработки электронных таблиц Microsoft Excel;
СУБД Microsoft Access; диспетчер задач, контактов и почтовых сообщений Microsoft Outlook; программа создания презентаций Microsoft PowerPoint; графический редактор Microsoft PhotoDraw; - редактор HTML (Hypertext Markup Language - язык разметки гипертекстовых документов) Microsoft FrontPage.
Рассмотрим, прежде всего, текстовый процессор Microsoft Word, являющийся ключевым элементом пакета Microsoft Office и получивший наибольшее распространение. По оценке, приведенной в [98], Microsoft Word занимает около 80% рынка текстовых процессоров в мире. Согласно [139] в мире продано более 120 миллионов экземпляров Microsoft Office.
Такой успех объясняется, прежде всего, огромной функциональностью Microsoft Word, обладающего целой гаммой встроенных средств обработки текстовой и графической информации в различных форматах. Кроме того, Microsoft Word содержит встроенный язык программирования VBA (Visual Basic for Applications), позволяющий исключительно гибко менять как собственную функциональность, так и пользовательский интерфейс. Огромные возможности VBA позволяют строить целые системы управления масштаба предприятия,
8 базирующиеся на использовании Microsoft Word и других программ комплекса Microsoft Office [16, 88, 98, 129-131].
Широкое использование Microsoft Word в России началось с версии 6.0, работающей под операционными системами семейства Microsoft Windows 3.x. Данная версия, а также последующая за ней версия Microsoft Word 7.0 для Microsoft Windows 95 еще не имела поддержки языка VBA. Вместо этого использовался язык Word Basic, обладающий существенно меньшими, по сравнению с VBA, возможностями. Тем не менее, поддержка языка Word Basic существует и в современных версиях Microsoft Word, что позволяет использовать в них программы, написанные на Word Basic под более старые версии [98].
В настоящий момент широко используются версии Microsoft Word 97 и 2000. Кроме того, в мае 2001 года фирма Microsoft начала продажи новой версии - Microsoft Word 2002, входящей в Microsoft Office ХР, которая еще не получила достаточного распространения [139].
Несмотря на импортное производство, ввиду нераспространенности и/или недостаточной функциональности аналогичных отечественных средств, Microsoft Word является де-факто основным средством обработки ЭД в РФ. Однако, Microsoft Word и другие программы пакета Microsoft Office имеют существенный недостаток: слабость встроенной системы защиты информации (СЗИ), предполагающей парольную защиту ЭД от несанкционированного ознакомления или модификации. В связи с этим, для обработки с помощью Microsoft Word ЭД, содержащих информацию различной степени конфиденциальности или требующих сохранения целостности, требуется применение дополнительных средств защиты — систем криптографической защиты информации (СКЗИ), в основе которых лежат сильные криптографические алгоритмы. Для Государственных организаций РФ актуальны СКЗИ, основанные именно на отечественных криптографических алгоритмах [52, 57].
9 Следует учесть, что из широкой распространенности Microsoft Word и Microsoft Office вытекает факт использования данных программных средств персоналом с различной квалификацией. Отсюда следует необходимость встраивания интерфейса СКЗИ непосредственно в Microsoft Word, что позволит существенно сократить временные и материальные затраты на обучение персонала использованию СКЗИ, поскольку работа с СКЗИ будет производиться в известном операторам интерфейсе текстового процессора Microsoft Word. Это требование относится и к другим программам пакета.
Таким образом, обеспечение защиты ЭД, основанной на сильных отечественных криптографических алгоритмах и имеющей пользовательский интерфейс, встроенный непосредственно в программы пакета Microsoft Office, является важной и насущной задачей.
Поскольку проблема недостаточной защиты обрабатываемой информации встроенными СЗИ актуальна и для других программ обработки информации (прежде всего, других программ пакета Microsoft Office), важной и актуальной является задача разработки универсальной методики сопряжения ключевых криптографических алгоритмов и стандартных пакетов программ обработки информации, прежде всего, обработки ЭД.
Целью диссертационной работы является разработка комплексной СКЗИ на основе криптостойких алгоритмов, встроенной в программы обработки ЭД пакета Microsoft Office, обеспечивающей защиту ЭД в Microsoft Word и Microsoft Excel, а также защиту сообщений электронной почты и их вложений (в качестве последних могут быть, в том числе, ЭД Microsoft Word и Microsoft Excel) в Microsoft Outlook.
Основные задачи работы:
1) Анализ существующих технологий защиты информации, в т. ч. защиты ЭД.
2) Разработка требований к универсальной методике сопряжения и встраивания СКЗИ в программы обработки ЭД, имеющие внутренний объектно-ориентированный язык профаммирования и средства внешнего профаммного управления.
Разработка методики встраивания на основе сформулированных требований.
Формализация решения задачи разработки пользовательского интерфейса СКЗИ, представленного в целевых профаммах обработки ЭД.
Разработка структуры СКЗИ, встроенной согласно разработанной методике.
Разработка алгоритмов межпрофаммного взаимодействия модулей СКЗИ.
Разработка профаммной реализации СКЗИ на основе методики встраивания.
Верификация результатов.
Методы исследования. Для решения поставленной задачи использовался математический аппарат теории множеств и теории предикатов.
Достоверность основных результатов подтверждается используемым в работе математическим аппаратом, экспериментальным тестированием и промышленной эксплуатацией разработанного профаммного обеспечения.
Научная новизна работы состоит в следующем:
Разработана СКЗИ «Защищенный офис» на основе отечественных криптофафических алгоритмов, обеспечивающая защиту ЭД Microsoft Word и Microsoft Excel, а также защиту сообщений элекфонной почты и их вложений в Microsoft Outlook.
В рамках проведенных исследований получены новые научные результаты:
Предложена универсальная методика встраивания СКЗИ в стандартные пакеты программ обработки ЭД, имеющие внутренний объектно-ориентированный язык программирования и средства внешнего программного управления.
Предложена структура комплексной СКЗИ, базирующейся на применении методики встраивания.
Предложены формальные требования к пользовательскому интерфейсу СКЗИ, представленному в целевом приложении.
Формализовано решение задачи разработки пользовательского интерфейса.
Разработаны требования к модулям инсталляции комплексной СКЗИ.
Практическая значимость результатов заключается в обеспечении защиты ЭД, обрабатываемых с помощью имеющего широкое распространение пакета программ Microsoft Office, с помощью сильных отечественных криптографических алгоритмов шифрования (ГОСТ 28147-89) и электронной цифровой подписи (ЭЦП - комплексное применение ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94), что позволяет использовать программы пакета Microsoft Office для обработки документов, имеющих различную степень конфиденциальности [57, 59].
Внедрение результатов работы. Результаты диссертационной работы используются в следующем виде: - Разработанная методика встраивания СКЗИ в программы комплекса Microsoft Office использовалась при разработке программных СКЗИ Crypton Word, Crypton Excel, Crypton Outlook, а также комплексной СКЗИ
12 "Защищенный офис", которые являются коммерческими программными продуктами ООО Фирма «АНКАД». - Программные продукты Crypton Word, Crypton Excel, Crypton Outlook, и "Защищенный офис" эксплуатируются в в/ч 54939 (г. Москва), в/ч 1120 (г.
Москва), подразделениях Департамента информационных систем Центрального
Банка РФ, подразделениях Министерства путей сообщения РФ и др., что подтверждено соответствующими документами.
На защиту выносятся:
Исследования, направленные на создание универсальной методики встраивания СКЗИ или аналогичных программных продуктов в программы пакета Microsoft Office, расширяемой на другие стандартные пакеты программ, имеющие средства внешнего программного управления и встроенные объектно-ориентированные языки программирования.
Формализованное решение задачи разработки пользовательского интерфейса СКЗИ на основе методики встраивания.
Алгоритмы межпрограммного взаимодействия модулей СКЗИ.
СКЗИ «Защищенный офис», обеспечивающая на основе криптостойких алгоритмов защиту ЭД в текстовом процессоре Microsoft Word и редакторе электронных таблиц Microsoft Excel, а также защиту электронных сообщений диспетчера Microsoft Outlook.
Апробация работы. Результаты диссертационной работы докладывались и обсуждались на семинаре «Сертифицированные средства криптографической защиты информации», Зеленоград, 2001, на семинаре «Интегрированные системы безопасности» в рамках форума «Технологии безопасности», Москва, 2003, а также неоднократно обсуждались на научно-технических совещаниях фирмы АНКАД.
СКЗИ «Защищенный офис» была представлена фирмой АНКАД на ряде отраслевых выставок, проходивших в 2001 - 2003 гг, в частности: - «Связь-Экспокомм» 2001 (данная выставка проходила в апреле 2001 г., на выставке была представлена только СКЗИ Crypton Word). - Выставка информационных технологий SofTool (2001 г.).
Выставка систем обеспечения безопасности Государственных структур «Интерполитех» (2001 и 2002 г.). «Корпоративные системы и сети» (2001 г.). «Технологии безопасности» (2002 и 2003 гг.). (Бангалор, Индия, 2002 г.).
Российско-Корейский симпозиум, посвященный Российским IT- * технологиям (Сеул, Корея, 2003 г.).
Публикации. Материалы, отражающие основное содержание работы, опубликованы в 26 печатных работах [1, 4, 9,10, 26, 36, 47-65, 67].
Структура и объем диссертации. Диссертация. изложена на 200 страницах, включая введение, 4 главы, заключение и список литературы из 145 наименований, содержит 42 рисунка, 2 таблицы и 9 приложений.
Первая глава диссертационной работы посвящена обзору современных методов защиты информации, криптографических алгоритмов и основных принципов построения СКЗИ. Приведены схемы основных алгоритмов шифрования и ЭЦП, подробно описаны присущие различным методам и алгоритмам достоинства и недостатки.
Вторая глава содержит описание встроенной СЗИ программ пакета Microsoft Office и анализ ее недостатков. Основная часть второй главы содержит подробное описание универсальной методики встраивания СКЗИ в программы
14 обработки ЭД, имеющие внутренний объектно-ориентированный язык программирования и средства внешнего программного управления. В качестве основного примера приводится пакет программ Microsoft Office, приложения которого имеют внутренний язык программирования VBA и позволяют осуществлять внешнее программное управление посредством механизма OLE Automation (Object Linking and Embedding - технология обмена и встраивания данных между Windows-приложениями).
Повышенное внимание уделено также следующим вопросам:
Принципы разработки пользовательского интерфейса с точки зрения максимальной эффективности внедрения СКЗИ, разработанной на основе данной методики.
Эталонная модульная структура результирующей СКЗИ, подробное описание назначения модулей.
Различные варианты использования средств внешнего программного управления для инсталляции пользовательского интерфейса и модулей обработки действий пользователя в программы обработки ЭД.
Третья глава посвящена разработке СКЗИ на базе описанной в главе 2 методики встраивания. Глава содержит подробное описание криптографических алгоритмов, которые легли в основу встраиваемой СКЗИ. Кроме того, в главе обосновывается выбор следующих параметров СКЗИ: алгоритмов и методов защиты ЭД, используемых криптографических ключей и защищенных документов, способов защиты конфиденциальности и целостности криптографических ключей в процессе эксплуатации СКЗИ.