Исторический экскурс. История криптографии насчитывает несколько тысяч лет

История криптографии насчитывает несколько тысяч лет. Потребность скрывать написанное появилась у человека почти сразу, как только он научился писать. По некоторым теориям, сам язык возник не тогда, когда появилась потребность общаться (передавать информацию можно и так), а именно тогда, когда древние люди захотели соврать, то есть, скрыть свои мысли.

Широко известным историческим примером криптосистемы является так называемый шифр Цезаря, который представляет из себя простую замену каждой буквы открытого текста третьей следующей за ней буквой алфавита (с циклическим переносом, когда это необходимо). Например, "A" заменялась на "D", "B" на "E", "Z" на "C".

Несмотря на значительные успехи математики за века, прошедшие со времён Цезаря, тайнопись вплоть до середины 20 века не сделала существенных шагов вперёд. В ней бытовал дилетантский, умозрительный, ненаучный подход.

Например, в 20 веке широко применялись профессионалами "книжные" шифры, в которых в качестве ключа использовалось какое-либо массовое печатное издание. Надо ли говорить, как легко раскрывались подобные шифры! Конечно, с теоретической точки зрения, "книжный" шифр выглядит достаточно надёжным, поскольку множество его ключей - множество всех страниц всех доступных двум сторонам книг, перебрать которое вручную невозможно. Однако, малейшая априорная информация резко суживает этот выбор.

Кстати, об априорной информации. Во время Великой Отечественной войны, как известно, у нас уделяли значительное внимание организации партизанского движения. Почти каждый отряд в тылу врага имел радиостанцию, а также то или иное сообщение с "большой землёй". Имевшиеся у партизан шифры были крайне нестойкими - немецкие дешифровщики "раскалывали" их достаточно быстро. А это, как известно, выливается в боевые поражения и потери. Партизаны оказались хитры и изобретательны и в этой области тоже. Приём был предельно прост. В исходном тексте сообщения делалось большое количество грамматических ошибок, например, писали: "прошсли тры эшшелона з тнками". При верной расшифровке для русского человека всё было понятно. Но криптоаналитики противника перед подобным приёмом оказались бессильны: перебирая возможные варианты, они встречали невозможное для русского языка сочетание "тнк" и отбрасывали данный вариант как заведомо неверный. Этот, казалось бы, доморощенный приём, на самом деле, очень эффективен и часто применяется даже сейчас. В исходный текст сообщения подставляются случайные последовательности символов, чтобы сбить с толку криптоаналитические программы, работающие методом перебора или изменить статистические закономерности шифрограммы, которые также могут дать полезную информацию противнику. Но в целом всё же можно сказать, что довоенная криптография была крайне слаба и на звание серьёзной науки не тянула.

Однако жёстокая военная необходимость вскоре заставила учёных вплотную заняться проблемами криптографии и криптоанализа. Одним из первых существенных достижений в этой области была немецкая пишмашинка "Энигма", которая фактически являлась механическим шифратором и дешифратором с достаточно высокой стойкостью.

Тогда же, в период второй мировой войны появились и первые профессиональные службы дешифровки. Самая извесная из них - "Блечли-парк", подразделение английской службы разведки "МИ-5"

Все методы шифровки можно разделить на две группы: шифры с секретным ключом и шифры с открытым ключом. Первые характеризуются наличием некоторой информации (секретного ключа), обладание которой даёт возможность как шифровать, так и расшифровывать сообщения. Поэтому они именуются также одноключевыми. Шифры с открытым ключом подразумевают наличие двух ключей - открытого и закрытого; один используется для шифровки, другой для расшифровки сообщений. Эти шифры называют также двухключевыми.(см. Приложение А)

Как было уже сказано, слабейшим звеном всякой системы защиты является человек. Даже в самой надёжной криптосистеме можно подобрать пароль, если пользователь выбрал его неаккуратно. В Приложении Б приведены правила выбора паролей и обращения с ними. Несоблюдение их может свести на нет всю сложную систему защиты.

Очень часто люди, не надеясь на память (точнее, ленясь её напрягать), записывают пароли где-то в пределах своего рабочего места. Другой благоприятный с точки зрения "взлома" защиты вариант – когда неаккуратно подходят к выбору пароля. Чаще всего в качестве пароля выбирают что-то крепко сидящее в голове: имя, номер телефона или автомашины. Люди с бедной фантазией назначают паролем то, что попадается им на глаза на рабочем месте: марку монитора, название книги, номер комнаты и т.п. Перепробовать все такие варианты можно вручную, и часто это приносит результаты. Набираемый пароль можно не только найти на бумажке или угадать, его можно подсмотреть, подслушать, вынудить человека проговориться, наконец, вытянуть обманом или угрозами.

Многие полагают, что достаточно закрыть паролями и сетевыми экранами те или иные части информационной системы и задача защиты информации уже решина. Действительно, криптографические и программные способы закрытия данных от постороннего вмешательства в наши дни уже достаточно совершенны и злоумышленнику требуется потратить слишком много времени для взлома паролей и обхода проверочных алгоритмов сетевых экранов.
Однако в наши дни наиболее распространённым и удачным способом атаки систем информационной безопасности являются, как это ни странно, вовсе не компьютерные сети как таковые, а обычные телефонные линии. Методы социальной инженерии и знание психологических особенностей наёмных работников, умение находить подход и повод для беседы - всё это позволяет вскрыть многие защитные меры обеспечения информационной безопасности. Не последнее место занимают и средства телефонного прослушивания, приборы записи человеческой речи, жучки и устройства считывания по электросети.

Применение одних лишь технических решений для организации надёжной и безопасной работы сложных сетей явно недостаточно. Требуется комплексный подход, включающий как перечень стандартных мер по обеспечению безопасности и срочному восстановлению данных при сбоях системы, так и специальные планы действий в нештатных ситуациях

Что можно отнести к организационным мероприятиям по защите ценной информации?

Во – первых, чёткое разделение персонала с выделением помещений или расположением подразделений компактными группами на некотором удалении друг от друга.

Во – вторых, ограничение доступа в помещения посторонних лиц или сотрудников других подразделений. Совершенно необходимо запирать и опечатывать помещения при сдаче их под охрану после окончания работы.

В – третьих, жёсткое ограничение круга лиц, имеющих доступ к каждому компьютеру. Выполнение данного требования является самым трудным, поскольку довольно часто нет средств на покупку ПК для каждого сотрудника.

В – четвёртых, требование от сотрудников в перерывах выключать компьютер или использовать специальные программы – хранители экранов, которые позволяют стереть информацию с экрана монитора и закрыть паролем возможность снятия режима хранителя экрана.

Необходимо отметить, что единого рецепта, обеспечивающего 100% гарантии сохранности данных и надёжной работы сети не существует. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач конкретной организации, поможет свести риск потери ценнейшей информации к минимуму. Один из таких способов – ведение конфиденциального делопроизводства.