Особенности реализации методов криптозащиты в каналах телекоммуникаций

Канальные методы защиты: при канальном шифровании обычно применяются поточные шифры: данные шифруются только в каналах, а не в узлах коммутации. Эти узлы также должны быть защищены, несмотря на то. что ЭВМ и терминалы защищены физически. При канальном шифровании требуется расширение этой защиты на все промежуточные узлы (узлы коммутации и шлюза). При этом должна быть предусмотрена только физическая защита, но гарантия зашиты техническими и программными средствами информации этих узлов по каждому проходящему через них соединению. Использование только канального шифрования в качестве защиты нарушает принцип наименьшей осведомленности, поскольку нарушитель имеет возможность раскрыть содержание сообщений в любой точке между источником и адресатом.

Межконцевые методы защиты; каждое сообщение, за исключением некоторых данных заголовка, обрабатываемых в промежуточных узлах маршрута, зашифровывается в его источнике и не дешифрируется, пока не достигнет места назначения. Может использоваться уникальный ключ для каждого соединения или более крупное дробление при распределении ключей (ключ между парой связанных между собой ЭВМ или один ключ внутри всей защищенной сети (подсети)).

Данные на уровне межсетевых ЭВМ не могут зашифровываться по межконцевому принципу, но могут быть защищены по принципу от шлюза к шлюзу. Вся информация в заголовках протокола Х.25 и большинство данных в управляющих пакетах также не могут быть зашифрованы на межконцевом уровне. Для обеспечения свойств межконцевой защиты в информационные пакеты протокола Х.25 должна быть вставлена дополнительная информация.

Подобное иерархическое применение шифрования может быть достигнуто либо избирательным шифрованием соответствующих информационных полей, либо вставкой информации с каждого уровня в сообщение, обрабатываемое протоколом следующего уровня программной структуры и шифрованием всего составленного таким образом сообщения на каждом уровне.

Еще один метод защиты - разделение на "красное" и "черное". Идеально этот метод предотвращает передачу открытого текста через барьер из красной зоны в черную, заставляя все данные, которые пересекают барьер из красного в черное, проходить через устройство шифрования. В вычислительных (транспортных) сетях обычно трудно достичь полного разделения на красное и черное, так как адресная и управляющая информация в целях маршрутизации и управление потоком должны проходить в обход шифровального устройства отправителя. Однако такое разделение широко используется в устройствах канально-ориентированного шифрования и может быть применено при межконцевом шифровании путем размещения устройства защиты между ЭВМ (терминалом) и подсетью передачи данных, то есть между сеансовым и транспортным уровнем программной структуры вычислительной сети.

Различные уровни шифрования, в случае их разделения на красное и черное легче всего реализовать с помощью протоколов на соответствующих уровнях программной структуры вычислительной сети в виде многоконтурного шифрования (сверхшифрование). При этом канальные методы реализуются на специальном уровне, который может располагаться как между сетевым и канальным уровнем, так и между канальным и физическим уровнем программной структуры. Межконцевые методы защиты могут быть реализованы на уровне представления данных или па сеансовом уровне программной структуры вычислительной сети.