О журнале
Рекомендации
Меры по защите данных в системах телекоммуникаций
Шаар Петер
Меры по защите данных в системах телекоммуникаций
___________________________
Шаар Петер
___________________________
Шаар Петер
- Рассмотрены актуальные вопросы обеспечения защиты данных от несанкционированного доступа в системах телекоммуникаций. Освещено положение дел с защитой данных при переходе на цифровую связь. Обсуждены меры по организации снижения возможности несанкционированного доступа к данным.
Передаваемые с помощью средств связи данные могут быть разделены на три основные категории: преамбула, содержание и служебные данные. Две последние категории требуют особой защиты. В соответствии с германским законодательством на них распространяются правила обеспечения секретности в системах связи. Это означает, как недавно подтвердил конституционный суд ФРГ, что защите подлежит не только передаваемая информация, но и данные, дающие ключ к пониманию характера осуществляемой связи, т. е. к пониманию того, кто является ее субъектами и как она реализуется.
Что касается обычных систем связи (с электромеханической коммутацией и аналоговой передачей), то для перехвата или создания помех обмену не требуется особой изощренности. Большинство случаев вмешательства в связь происходило в абонентских линиях (т. е. на местных коммутаторах, линиях, связывающих местные коммутаторы и индивидуальные телефонные аппараты, и самих телефонных аппаратах). Однако автоматически привязать к индивидуальным абонентам полученную при прослушивании магистральных линий информацию и таким образом отличить релевантные и не очень релевантные элементы связи оказалось весьма трудным делом. Тем не менее опыты по широкомасштабному перехвату информации такого рода имеют место, особенно в международной связи, и служат не столько для контроля за отдельными лицами, сколько для стратегического контроля.
Переход на цифровую связь означает возникновение новых опасностей. Так, технология цифровой коммутации, обычно применяемая в интегральных цифровых сетях, позволит автоматически привязать любой сеанс связи к определенным абонентам, поскольку служебные данные, в частности номера телефонов вызывающих и вызываемых абонентов, передаются аналогично и параллельно содержательной информации. Что касается пакетной передачи данных (например, в соответствии с протоколом Х.25.МККТТ), то и в этом варианте информация во всех случаях может быть привязана к отправителям и адресатам, поскольку отдельные пакеты содержат соответствующие данные. В результате оказывается возможным установить релевантные соединения, а также записать и интерпретировать содержание даже при широкомасштабных операциях по перехвату. Поэтому цифровая связь может эффективно контролироваться не только в абонентских линиях, но и по всей соединительной цепи.
Поскольку радиотелефоны передают в эфир коды местонахождения, возможно определение координат пользователей таких систем (особенно общеевропейской цифровой сотовой сети подвижной связи) с точностью до 100 м.
Кроме того, следует отметить и возможность отслеживания всех сеансов связи, реализуемой с применением цифровой коммутации, путем использования данных, хранящихся в памяти в целях учета использования ресурсов. Такие сведения могут накапливаться для формирования профилей индивидуальной связи.
Данные, передаваемые различными телекоммуникационными службами, особенно системами обработки сообщений, временно вводятся в память коммутирующих ЭВМ, которые также могут являться объектами несанкционированного добывания информации. В принципе это относится к системам пакетной передачи, хотя кратковременность передачи отдельных пакетов значительно уменьшает риск вероятного перехвата путем доступа к информации, хранящейся в коммутирующей ЭВМ. Более значительную опасность представляет то, что информация, переданная службами передачи данных, может быть вовсе не получена или получена не только адресатами, которым она предназначена, или записана в процессе передачи. Дополнительную опасность представляют несанкционированное изменение информации и фальсификация идентичности отправителя, при которых нарушается не только конфиденциальность, но и целостность данных.
Меры, направленные на обеспечение защиты данных, могут реализовываться на различных уровнях. Точное определение необходимой меры и ее адекватность для всех данных случаев зависят от используемой технологии и типа злоупотребления, которое необходимо предотвратить. Злоупотребления могут совершать:
лица, не имеющие отношения к фирме и вторгающиеся в сеть без разрешения (хэкеры, иностранные разведывательные службы);
- пользователи услуг, превышающие свои права;
следственные и иные государственные и общественные органы, наделенные законными правами производить определенный контроль телекоммуникационных систем.
Существуют два радикально отличающихся типа мер безопасности: меры, которые должны соблюдаться операторами сети и службы связи, и меры, которые должны выполняться пользователями. Ниже приводятся релевантные параметры защиты на различных уровнях.
Топология сети определяется существующей технологией. Наиболее часто применяется топология типа "звезда" с каскадным соединением, которая вследствие высокой степени централизации оказывается привлекательной для внутренних злоупотреблений. Целесообразно разделять крупные сети на подсети со специальными целевыми функциями и для специальных учреждений. Эти подсети должны управляться независимо друг от друга.
Среда передачи. Оптические волокна нельзя считать недоступными для перехвата, однако они более предпочтительны, чем медные кабели. Радиоканалы (включая спутниковые каналы) менее всего защищены, так как перехват с них возможен без каких-либо физических манипуляций.
Типы шифрования. Поскольку информация, передаваемая по обширным сетям связи, может содержать секретные данные, следует стремиться к шифрованию как информации, так и паролей, передаваемых по сети. Обычно различают шифрование индивидуальных соединений на низких уровнях эталонной модели соединения открытых систем ISO-OSI, с одной стороны, и сквозное шифрование на прикладном уровне (уровень 7), с другой стороны.
Аутентификация пользователя. Исключающая ошибки аутентификация пользователя является необходимым предварительным условием для всех типов зашиты от несанкционированного доступа. Профили полномочий могут выделяться отдельным пользователям только в том случае, если подлинность этих пользователей не вызывает ни малейшего сомнения. Идентичность пользователя должна подтверждаться не только в процессе установления связи, но и во время обмена. Это особенно относится к сетям, ориентированным на виртуальные соединения (например, в сети Х.25), в которых, в отличие от сетей на выделенных линиях, после выполнения аутентификации физическое соединение взаимодействующих абонентов может быть использовано другими пользователями.
Документы по связи и подтверждению требуются только в случаях, когда отправление или получение документов должно надежно подтверждаться. Существуют два типа документации: документация отправителя и документация получателя. Использование несимметричных криптографических процедур позволяет реализовать возможность электронной подписи. Эти процедуры, помимо чистого документирования факта связи, дают возможность с полной уверенностью устанавливать авторство информации. Кроме того, зашифрованные временные маркировки могут исключить запись и повторное использование информации, поскольку такие маркировки прекращают свое действие на следующий день.
Сети и службы связи должны быть оснащены средствами как магистрального, так и сквозного шифрования. Реализация этого требования стала стандартом в системах общеевропейской цифровой сотовой сети подвижной связи, но только для радиосвязи. Магистральное шифрование предусматривает шифрование данных текста и данных обмена между соединительными узлами. Недостаточным является то, что подлежащие передаче данные поступают в коммутационный учет, осуществляющий магистральное шифрование, в открытом виде, а также то, что ответственный за коммутацию оператор сети имеет код шифрования. Таким образом, он может копировать и, возможно, изменять данные. Анализ потока сообщений посредством подключения к линиям может быть предотвращен только путем обеспечения полного шифрования передаваемых сигналов. Сквозное шифрование означает, что данные передаются в зашифрованном виде по всему каналу связи, включая узлы связи. Благодаря этому сообщения не могут быть восприняты коммутациями ЭВМ. Однако этот тип шифрования имеет недостаток, заключающийся в том, что при его использовании зашифровывается только содержание, но не данные обмена. Сквозное шифрование требует наличия соответствующей системы распределения ключей, лучше всего реализуемой с помощью "процедур открытого ключа".
В общих чертах, меры зашиты данных, осуществляемые на низких уровнях системы (включая магистральное шифрование), имеют главной целью защиту пользователей от внешней опасности, в то время как меры на прикладном уровне (например, сквозное шифрование) предназначены для предотвращения возможных злоупотреблений операторов (термины "низкие" и "верхние" уровни в данном случае относятся к выделению соответствующих устройств обеспечения безопасности для уровней эталонной модели соединения открытых систем ISO-OSI).
Шифрование создает весьма специфическую проблему управления шифром и ключом. Если его осуществляет оператор сети, который выделяет и управляет кодами, то он неизбежно оказывается в состоянии дешифровать и делать записи по определенным данным независимо от используемого типа шифрования. Специальная литература по данному вопросу также по-разному оценивает тот факт, что государственные органы, утверждающие процедуры шифрования, стремятся к тому, чтобы зашифрованная информация не обладала гарантированной стойкостью. Во всяком случае, они одобряют только те процедуры шифрования, которые могут быть дешифрованы национальными разведывательными и правоохранительными агентствами. А устройства защиты, предлагаемые германской службой электросвязи, например устройство Telesеc, не являются обязательными и поэтому не способствуют увеличению потенциала контроля. Разумеется, если абоненты используют методы скрытой связи, опасность постоянного контроля уменьшается. Эта гипотеза подтверждается тем фактом, что уже существуют довольно надежные криптографические системы для ПЭВМ, некоторые из которых предоставляются бесплатно, например "Программное средство общественной сферы".
Утверждение о том, что использование цифровой связи создает новые опасности для конфиденциальности и целостности данных, передаваемых по цифровым сетям, соответствует истине. Однако существуют дополнительные возможности повышения защищенности связи с помощью шифрования.
Статья поступила в редакцию в мае 1993 г.
Германия, Гамбургский комиссариат по защите данных
© Информационное общество, 1993, вып. 1-2, с. 52-55.