Multilingual Studies at a Distance
Students and Academics of All Countries, Unite! :-)
Regulacje dotyczące zabezpieczeń kryptograficznych
Punkt 15.1.6 z PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007 dobrze byłoby przestudiować poczynając od zachęty, która blisko dwa lata temu zrodziła się spod trzaskających o klawiaturę paluszków anonimowego użytkownika (a może użytkowniczki?) o nazwie iki, a którą to zachętę przed chwilą podchwycił niemniej anonimowy Dominik ( http://www.17799.com/modules.php?name=Forums&file=viewtopic&... ). Jestem pewien, że z tych 63 (a może wówczas już nawet większej ilości?) dokumentów wydobędziecie wiele użytecznego materiału ilustrującego ten kontrowersyjny problem punktu 15.1.6. Sporym ułatwieniem powinien być dla Was fakt, że większość z tych dokumentów posiada także polskie wersje językowe. I tak, dokument wymieniony przez Dominika brzmi po polsku ROZPORZĄDZENIE RADY (WE) NR 1167/2008 z dnia 24 października 2008 r. zmieniające i aktualizujące rozporządzenie (WE) nr 1334/2000 ustanawiające wspólnotowy system kontroli eksportu produktów i technologii podwójnego zastosowania ( http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:325... ). Nic jednak nie stałoby na przeszkodzie, a wprost przeciwnie, Waszemu dołączeniu również tam do tamtej anglojęzycznej dyskusji, czym uradowalibyście serce nie tylko moje, ale i Waszych lektorów języka angielskiego. :-)
Replies to This Discussion
-
Permalink Reply by Tadeusz Lemańczyk on -
Wygląda na to, że coś się musiało moderatorom forum ISO 27001, ISO 27002 & ISO17799 User Group nie spodobać w poleconej Wam przeze mnie wiadomości Dominika gdyż będąc w tych dniach w ich "gościnnych" progach zauważyłem brak tamtej Dominikowej wiadomości pod adresem http://www.17799.com/modules.php?name=Forums&file=viewtopic&... . Gdybyście więc chcieli z większą pewnością trwałości Waszych nadań nawiązać do kryptograficznych rozważań, polecam Wam jeszcze jedno miejsce. Jest to witryna dwumiesięcznika BOSTON IT Security Review ( http://www.boston-review.com/ ) z artykułem Dariusza Lewickiego Kryptograficzna ochrona informacji w numerze pierwszym z 2008 roku oraz artykułem Leszka Kępy Przegląd kryptograficznych możliwości zabezpieczania informacji w numerze piątym z 2008 roku. Z tą witryną internetową powiązane jest forum ( http://forum-pl.boston-review.com/ ), które czeka na Wasze fachowe komentarze do tych, i nie tylko tych, artykułów.
-
Permalink Reply by Weronika Owczarek on -
O metodach kryptograficznych sporo napisano w tej dyskusji, z podaniem szeregu bardzo istotnych wskazówek wyszukiwania tych ciekawych informacji. Dlatego postanowiłam ograniczyć moją wypowiedż do zarekomendowanego nam przez Pana Doktora czasopisma Boston IT Security Rewiew. Jest to z pewnością bardzo ciekawe czasopismo godne polecenia m.in. dla studentów Inżynierii Bezpieczeństwa. W numerach z bieżącego roku 1/2009 i 2/2009 ukazał się kolejny obszerny artykuł (w dwóch częściach) Współczesne rozwiązania kryptograficzne Edgara Głowackiego ( http://www.boston-review.com/ ). Autor omawia szczegółowo model kryptosystemu hybrydowego (trochę skomplikowane). Równocześnie podkreśla: Kryptografia może być skutecznym narzędziem redukującym ryzyko, ale tylko wówczas, gdy mechanizmy zabezpieczeń zostaną wdrożone w sposób przemyślany i dopasowany do rzeczywistych potrzeb. Bardzo istotne jest przy tym właściwe zarządzanie kluczami kryptograficznymi, tak aby nie tylko zabezpieczyć je przed dostępem osób nieuprawnionych ale jednocześnie aby mogły być zawsze dostępne dla osób uprawnionych.
Zachęcam ponadto do zarejestrowania się na forum ( http://forum-pl.boston-review.com/ ), ponieważ zarejestrowanym uczestnikom "Załoga Forum" oferuje atrakcyjne propozycje prenumeraty, w tym darmowe numery magazynów, zniżki, bonusy, prezenty!!
A może ktoś z Was włączy się do rozpoczętej tam dyskusji na temat technik biometrycznych?
-
Permalink Reply by Ewa Rytwińska on -
Może na początek co to znaczy kryptografia „Kryptografia to zestaw standardów i protokołów szyfrowania danych i wiadomości, dzięki którym dane mogą być lepiej zabezpieczone podczas przechowywania i transmisji. Nawet jeśli medium transmisji (na przykład Internet) nie jest godne zaufania, zastosowanie kryptografii umożliwia szyfrowanie istotnych plików — co zmniejsza ryzyko ich zrozumienia przez ewentualnego intruza— oraz zapewnia spójność i poufność danych.” (http://office.microsoft.com/pl-pl/outlook/HP012305341045.aspx). Na podanej stronie WWW jest omówienie certyfikatów i wymiany wiadomości e-mail przy użyciu kryptografii w programie Outlook. Myślę, że artykuł jest ciekawy i warto go przeczytać.
A oto kilka książek o kryptografii dla zainteresowanych, chcących poszerzyć wiedze: http://aton.pl/katalog/kryptografia.htm
Natomiast na tej stronie internetowej http://centrum.bezpieczenstwa.pl/content/view/1065/16/ znajduje się krótko omówiona norma na temat kryptografii.
-
Permalink Reply by Ewelina Straszewska on -
Tak jak słusznie Ewa zauważyła kryptografia to zestaw standardów i protokołów szyfrowania danych i wiadomości, dzięki którym dane mogą być lepiej zabezpieczone podczas przechowywania i transmisji. Można również znaleźć programy które są zwiane z kryptografią ( http://www.kryptografia.com/oprogramowanie/oprogramowanie.html ).
Dodatkowo na stronie http://b-skrzypczyk.republika.pl/ można znaleźć portal na którym przedstawiono szereg informacji o kryptografii.
-
Permalink Reply by Honorata Wojciechowska on -
Na stronie firmy ENIGMA (http://www.enigma.com.pl/index.php) zajmującej się produkcją, wdrażaniem i sprzedażą systemów służących do ochrony informacji znajdują się zbiory norm związanych z kryptografią, a także linki do organizacji normalizacyjnych. Znajdują się tu także informacje na temat kryptografii, a w szczególności wskazanie pożytecznych stron internetowych oraz literatury zarówno krajowej jak i światowej gdzie możemy znaleźć potrzebne informacje. Firma ENIGMA została założona w przez grupę pracowników i absolwentów Politechniki Warszawskiej, których obszarem zainteresowania była kryptograficzna ochrona informacji.
-
Permalink Reply by Iwona Łukaszewicz on -
W tym miejscu chciałam polecić artykuł odnośnie uregulowań prawnych dotyczących kryptografii (http://pl.wikipedia.org/wiki/Kryptologia#Uregulowania_prawne_dotycz...). Są w nim bardzo ciekawie opisane zakazy, ograniczenia eksportu, rola NSA oraz Digital Rights Management. Polecam :)
-
Permalink Reply by aleksandra dewicka on -
Podobnie jak dziweczyny zachecam do wstapienia na strony http://www.kryptografia.com/, http://kryptografia.prv.pl/. W internecie wpisując samo hasło kryptografia znalazłam wiele firm polecajacych swoja usluge i produkty w tej dziedzinie np. http://www.siltec.com.pl/?pid=137
-
Permalink Reply by Agata Karaśkiewicz on -
Odnosząc się do artykułu Leszka Kępy: Przegląd kryptograficznych możliwości zabezpieczania informacji w numerze piątym z 2008r, a także artykułu Dariusza Lewickiego Kryptograficzna ochrona informacji w numerze pierwszym z 2008r, chciałabym zwrócić uwagę na procedury wdrażania oprogramowania do szyfrowania. Wbrew pozorom nie jest to takie proste, gdyż: „Przed wyborem należy określić, co się chce chronić i dlaczego, następnie wybrać odpowiednie rozwiązanie. I wdrożyć, pamiętając wcześniej o dokumentacji i procedurach, ponieważ bez nich szyfrowanie wcześniej czy później stanie się problemem.” Firma musi zidentyfikować swoje potrzeby, gdyż może się okazać, że zabezpieczenia szyfrujące wcale nie są jej potrzebne, a wystarczą jedynie np. dobre rozwiązania organizacyjne.
Rozwój systemów kryptograficznych jest ograniczony przez ustawę: Dz.U. 1999 Nr 11 poz. 95 USTAWA z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (http://isip.sejm.gov.pl/PRAWO.nsf/4326b1a242fc14fd412563d20069fee3/...$FILE/D19990095Lj.pdf ). W której w rozdziale 10 Bezpieczeństwo systemów i sieci teleinformatycznych znajdujemy:
„[…]3. Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą ,
podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa.
4. W wyniku badań i certyfikacji, o których mowa w ust. 3, służby ochrony państwa wydają
wzajemnie uznawane certyfikaty ochrony kryptograficznej.”
Wynika z tego to, że producenci sprzętu kryptograficznego muszą uzyskać certyfikat w służbach ochrony państwa tzn. ABW lub SKW, co pociąga za sobą wysokie koszty, które podwyższają całkowity koszt wykonania systemu informatycznego.
-
Permalink Reply by Marek Niedziałkowski on -
Problem kryptografii jest poruszany przez większość narodów, często będąc tematem spornym, kontrowersyjnym. Jak wiemy, w takim przypadku najważniejsze jest określenie konkretnego stanowiska przez władze państwa. I tak, każdy kraj wydaje szereg norm, rozporządzeń itp., aby wszystko było jasno i precyzyjnie określone.
Zgodnie z Punktem 15.1.6 z PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007, „Zaleca się używanie zabezpieczeń kryptograficznych zgodnie z odpowiednimi umowami, prawem i regulacjami wewnętrznymi”.
Osobiście dotarłem do poniżej wymienionych regulacji/norm itp.
1) PN-ISO/IEC 9979:2001 - Technika informatyczna - Techniki zabezpieczeń - Procedury rejestracji algorytmów kryptograficznych – (http://www.pkn.pl/?a=show&m=katalog&id=463040&page=1) – określa jak w ogóle rozpocząć pracę z algorytmami kryptograficznymi.
2) PN-ISO 11568-4:2001 - Bankowość - Zarządzanie kluczami w bankowości detalicznej - Techniki zarządzania wykorzystujące kryptografię klucza publicznego (http://www.pkn.pl/?a=show&m=katalog&id=464049&page=1) - mówiąca o kryptografii w bankowości.
3) Pokrewną jest: Ustawa z dnia 18 września 2001 O podpisie elektronicznym (http://www.certum.pl/upload_module/downloads/unizeto/rozporzadzenia...)
Oraz tak jak Agata już wspomniała:
Dz.U. 1999 Nr 11 poz. 95 USTAWA z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (http://isip.sejm.gov.pl/PRAWO.nsf/4326b1a242fc14fd412563d20069fee3/...$FILE/D19990095Lj.pdf )
Oraz przytoczone przez Pana, a wielokrotnie zmieniane i udoskonalane: ROZPORZĄDZENIE RADY (WE) NR 1167/2008 z dnia 24 października 2008 r. zmieniające i aktualizujące rozporządzenie (WE) nr 1334/2000 ustanawiające wspólnotowy system kontroli eksportu produktów i technologii podwójnego zastosowania gdzie o kryptografii dowiemy się więcej w części 2 kategorii 5 Telekomunikacja i ochrona informacji (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:325:0001:0251:PL:PDF)
Jak wspominałem na początku, każdy kraj ma swoje regulacje prawne i tak dla ciekawości podaję adres do Francuskich (w wersji przyjaznej – bo angielskiej):
THE FRENCH REGULATION ON THE CRYPTOLOGIE (http://www.fas.org/irp/world/france/docs/crypto_reglement.htm)
Oraz:
Kilka innych pod adresem http://www.fas.org/irp/world/france/docs/index.html .
Podsumowując, postęp w kryptografii jest coraz większy i szybszy. W konsekwencji obecne regulcje prawne, czy też normalizacyjne należy na bierząco aktualizować, a do nowych problemów, tworzyć nowe regulacje, tak aby wszystko było pod kontrolą.
-
Permalink Reply by Joanna Kaczmarek on -
Czy kiedykolwiek zastanawialiście się nad istnieniem tzw kryptografi idealnej która rozwiązała by nasze problemy zwiazane chociazby z obszernymi regulacjami prawnymi, jeżeli nie to poczytajcie o kryptografi kwantowej, informacje na jej temat znajdziecie
www.cs.ucf.edu/courses/cgs5132/spring2002/presentation/jeffswauger.ppt
http://www.csa.com/discoveryguides/crypt/overview.php
w astronomicznym skrócie jest to kryptografia bazująca na fizyce kwantowej, dopiero się rozwija jej najmocniejszą stroną jest to, że raz zakodowaną informacje może odczytać tylko nadawca i adresat, nie możliwe jest natomiast z punktu praw fizycznych odczytanie zakodowanej informacji przez osoby trzecie, ponieważ w odróżnieniu do obecnie szeroko stosowanej kryptografi informacje nie są kodowane według klucza (algorytmu) głodnych wiedzy zachęcam do lektury i poznania tajników fizyki kwantowej
-
Permalink Reply by Sara Piątek on -
Kryptografia jest faktycznie dziedziną, która cały czas się rozwija i daje coraz to większe możliwości utajniania naszych informacji. Mnie zainteresowały klucze kryptograficzne, na których spoczywa bezpieczeństwo algorytmu, o których poczytać możecie pod adresem http://www.b-skrzypczyk.republika.pl/klucze.html . Szczególnie ciekawe są klucze pierwotne.
Jak czytamy na powyższej stronie : „Klucze pierwotne (primary keys) są używane do szyfrowania transmisji i przechowywanych danych . Są to m.in. klucze sesyjne, czyli klucze ważne tylko podczas pojedynczego połączenia. Ze względu na dużą ilość danych szyfrowanych przy ich pomocy, klucze pierwotne są często zmieniane.”
Klucze te mogą utrudnić ewentualną kryptoanalizę, której zadaniem jest odnalezienie słabości systemu kryptograficznego, a co za tym idzie umożliwienie jego złamania czy też obejścia.
Chciałabym także zwrócić uwagę na punkt 12.3.2 normy PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007 z którego możemy się dowiedzieć, że istnieje możliwość zminimalizowania prawdopodobieństwa naruszenia bezpieczeństwa :
„W celu zmniejszenia prawdopodobieństwa naruszenia bezpieczeństwa, zaleca się zdefiniowanie dla kluczy dat aktywacji i deaktywacji tak, aby mogły być używane jedynie przez ograniczony czas. Zaleca się, aby ten czas zależał od okoliczności, w których używane jest zabezpieczenie kryptograficzne i od dostrzeganego ryzyka.”
Z normy dowiadujemy się także o tym, iż istnieje możliwość sfałszowania podpisu cyfrowego przez zastąpienie innym kluczem klucza publicznego użytkownika. Jednak stosowanie certyfikatów kluczy publicznych http://pl.wikipedia.org/wiki/Certyfikat_klucza_publicznego, http://b-skrzypczyk.republika.pl/klucze_certyfikaty.html może rozwiązać owy problem.
Na stronie podanej już wcześniej przez kolegów i koleżanki http://www.kryptografia.com/ciekawostki/ciekawostki.html możecie znaleźć kilka ciekawostek związanych z kryptografią, a nawet rozwiązać jedną z kilku przedstawionych tam zagadek ;)
-
Permalink Reply by Natalia Białasik on -
Faktycznie Saro niektóre ciekawostki kryptograficzne znajdujące się na podanej przez ciebie stronie (http://www.kryptografia.com/ciekawostki/ciekawostki.html) są niezwykle zaskakujące... nigdy nie pomyślała bym że kryptologia może mieć coś wspólnego z Kamasutrą ;P A jednak...
Jednakże te zagadki kryptograficzne to już ponad moje siły, musiała bym chyba poszerzyć swoją wiedzę, o te kilka "prostych" algorytmów (http://www.kryptografia.com/algorytmy/algorytmy.html) ;)
Wracając jednak do tematu dyskusji...
Niewątpliwie kryptografia jest niezwykle ważną dziedziną we współczesnym świecie, dziedziną która ma ogromne znaczenie w ochronie naszych danych komputerowych.
Jak czytamy na stronie: http://www.prasal.com/kryptografia/wst.html
"Ma ona na celu ochronę danych przechowywanych w komputerach, podczas przesyłu informacji przez sieć komputerową bądź jakąś inną, w której występują dane w postaci cyfrowej."
Kryptografia ma szeroki zakres zastosowania, zwłaszcza w krajach rozwiniętych technicznie i zmienia się wraz z ciągłym unowocześnianiem systemów komputerowych. Stale tworzone są nowe, bądź też udoskonalane już znane algorytmy, a wszystko to ma na celu jak najlepsze zabezpieczenie danych w systemach komputerowych.
Dlatego konieczne jest ciągłe aktualizowanie wszystkich regulacji prawnych, norm(jak chociaż by te podane powyżej przez Marka, Agatę) a także tworzenie nowych w razie pojawiania się nieznanych wcześniej problemów, by tak jak to podsumował Marek: "wszystko było pod kontrolą".
Niezwykle ważne jest też by zdać sobie sprawę, że nie ma takiego algorytmu, którego wcześniej czy później nie dało by się złamać. Dlatego do szyfrowania ważnych informacji np. rangi państwowej stosuje się tzw. silne szyfrowane, co znacznie wydłuża czas deszyfrowania- tak, iż wiele setek a nawet tysięcy komputerów nie może znaleźć odpowiedzi przez wiele lat. (http://kryptografia.prv.pl/)
Kończąc chciała bym się z wami podzielić czymś, co mnie osobiście zaciekawiło w tej tematyce. Mam tu na myśli- regułę najsłabszego ogniwa, o której każdy z was może przeczytać w pracy autorstwa Gustaw Lasek (http://www.kryptografia.com/artykuly/mgr/glasek_pdf.rar) na str. 74 pkt. 4.3.1.
Mówi ona że: " system zabezpieczeń nie jest mocniejszy, niż jego najsłabszy element". A prościej mówiąc- najsłabsze ogniwo pęknie jako pierwsze. Wszystkich zainteresowanych zapraszam do lektury ;)
About
© 2010 Created by Tadeusz Lemańczyk.
Powered by 
.
