Стеганография в деле защиты электронного документооборота (А. Теренин, Ю. Мельников, В. Погуляев, "Финансовая газета. Региональный выпуск", N 5, январь 2008 г.)

Стеганография в деле защиты электронного документооборота

В настоящее время коммерческие и государственные организации все активнее используют электронный документооборот в своей повседневной деятельности. Однако если для внутренних нужд организация может использовать свои методы проектирования систем электронного документооборота, исключая информационные системы для обработки сведений, содержащих государственную тайну (необходимо использование руководящих документов ФСТЭК, бывшая Гостехкомиссия при Президенте Российской Федерации), то при взаимодействии государственных и коммерческих структур необходимо использовать электронные документы, отвечающие определенным стандартам, чтобы быть признанными юридически значимыми. Прежде всего это относится к договорам, платежным документам, прочим обязательствам и ценным бумагам, выраженным в электронной форме. Основные принципы для признания электронного документа юридически значимым изложены в ГК РФ и Федеральном законе от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи".

Электронный документ, основанный на принципах, которые изложены в указанных нормативных актах, и снабженный электронной цифровой подписью (ЭЦП), в случае успешной проверки ЭЦП считается юридически легитимным.

Недостатки существующих систем электронного документооборота

Действительно ЭЦП технически обеспечивает защиту документа от искажения (нарушение подлинности, содержания), подмены авторства (выдача чужого документа за собственный), отказа от авторства (отказ от факта посылки документа).

Цифровая подпись гарантирует безопасность целостности и подлинности автора документа. В целях охраны конфиденциальности требуется использовать дополнительные методы криптографических алгоритмов для сокрытия информации.

В данной статье мы рассмотрим уязвимость электронных документов, защищенных ЭЦП. В современных системах документооборота цифровая подпись не привязана жестко, как в реальной жизни, к конкретному индивидууму, сотруднику. ЭЦП больше похожа на цифровую печать, так как обычно "привязана" к предприятию, отделу, компьютеру или логину пользователя. Все это разделяемые ресурсы, и поставить подпись может любой сотрудник, обладающий возможностью доступа к определенным техническим и программным ресурсам, обеспечивающим "простановку" подписи.

Конечно, доступ во внутреннюю сеть предоставляется только легитимным пользователям, все действия протоколируются, доступы разрешаются только после соответствующей авторизации. Но никто не сможет авторизованному пользователю помешать выполнить законные операции в сети.

Как показывает статистика, более 80% инцидентов с информационной системой происходят из-за авторизованных пользователей (собственных сотрудников). Во внутренней сети сотрудником, обладающим правом подписи, могут быть совершены следующие нарушения по отношению к электронному документу, созданному и подписанному другим сотрудником, имеющим такой же уровень доступа к подписи:

изменение документа и затем генерация новой подписи;

подмена авторства документа с изменением цифровой подписи (отправление своего документа от чужого имени (переложение ответственности), присвоение себе чужого документа);

уничтожение документа или блокировка его отправки, замена на другой документ.

Таким образом, внутренний злоумышленник способен нарушить как целостность документа, так и его авторство*(1). Мы хотели бы предложить метод, который позволит справиться как с внутренней, так и с внешней угрозой.

Повышение уровня защищенности документа с помощью цифровой подписи
и цифровых водяных знаков

Предлагаемый метод заключается в сочетании защиты документов ЭЦП и применении стеганографии: цифровые водяные знаки (ЦВЗ) встраиваются в защищаемый документ, а затем подписываются встроенные ЦВЗ либо весь документ со встроенными ЦВЗ.

Необходимо обезопасить электронные документы от злоумышленных деяний, перечисленных ранее. Кроме того, нужно также обезопасить технические элементы защиты нового метода, поскольку злоумышленник может изменить либо цифровой знак, либо контейнер (электронный документ), либо и контейнер, и ЦВЗ.

Для подобной защиты изображений был разработан метод обратимого сокрытия данных (RDH, Reversible Data Hiding). Основная суть этого метода заключается в том, что в файл встраиваются незаметные контрольные данные, содержащие информацию об изменяемой части. Эти данные можно хранить внутри контролируемого файла. При извлечении данных из файла его можно привести к первоначальному виду.

Для повышения уровня защищенности электронного документооборота предлагается следующее решение: подписывать весь контейнер (электронный документ) с внедренными ЦВЗ цифровой подписью на закрытом ключе уполномоченного сотрудника. Полученная подпись должна храниться в удостоверяющем центре (УЦ).

УЦ будет центральным управляющим звеном в системе электронного документооборота. На центры необходимо возложить все их функции, предусмотренные Законом N 1-ФЗ. УЦ выполняет роль централизованного хранилища открытых ключей и сертификатов зарегистрированных пользователей. В его задачи также входит выдача сертификатов по запросам пользователей. Сертификат подтверждает, что открытый ключ действительно принадлежит определенному лицу.

При необходимости любое предприятие может создать подобный УЦ. С другой стороны, можно воспользоваться услугами существующего внешнего УЦ. Это особо актуально, когда система документооборота "охватывает" несколько организаций и им необходимо организовать обмен юридически значимых электронных документов. Подобная юридическая значимость обеспечивается третьей стороной (УЦ). На сервере центра можно организовать хранение цифровых подписей всех созданных документов.

После встраивания ЦВЗ появляется гарантия того, что файл был создан в определенной электронной системе документооборота. Проверяющей программе предоставляется образец, и по ЦВЗ определяется подлинность принадлежности документа к системе.

Цифровые метки времени могут дополнительно встраиваться в файл в момент генерации подписи к нему. Данная мера позволит организовать контроль даты созданий электронных документов. По-видимому, синхронизация времени в системе должна также осуществляться с помощью центрального сервера УЦ.

Каждый легальный пользователь может с помощью открытого ключа из УЦ проверить подлинность и неизменность файла, защищенного подобным образом. ЦВЗ, скрытый в файле, служит гарантом того, что, даже если злоумышленник подпишет файл от своего имени, результаты проверки его подписи и ЦВЗ не совпадут и можно будет установить нарушение. ЦВЗ выступает в качестве дополнительного уровня защиты, который иногда затруднительно даже обнаружить, а тем более обойти. С помощью этого уровня защиты можно доказать свое авторство при экспертизе.

Одновременное независимое использование нескольких технических мер защиты (ЦВЗ, ЭЦП и метки времени) способствует значительному повышению уровня защищенности электронного документа в системе, что в свою очередь существенно затрудняет и удорожает возможность осуществления злоумышленных действий, таких, как изменение документа, подмена авторства и т.п. Кроме того, компрометация одного из методов защиты не позволяет злоумышленнику незаметно изменить файл в своих целях.

Если, вложив множество средств, сил и времени, удалось подобрать цифровую подпись к подмененному электронному документу, нарушитель все равно будет уличен, так как документ содержал невидимые цифровые метки, которые откроют истину.

Взламывать все технические средства защиты часто оказывается нецелесообразно с экономической точки зрения, а организация нескольких уровней защиты уже не является дорогостоящей задачей.

Возможные недостатки метода

Для использования предлагаемой защиты в системе документооборота требуется наличие центра сертификации и решение проблемы надежного и своевременного обмена открытыми ключами (PKI, Public Key Infrastructure). Кроме того, необходимо решить некоторые правовые аспекты реализации подобной системы, чтобы используемые файлы и применяемые технические меры были легитимны и принимались к рассмотрению судами, а электронные документы признавались юридически значимыми.

Для организации защиты можно использовать пакет из программ, позволяющих встраивать ЦВЗ и подписывать файлы ЭЦП. В Интернете и на рынке представлено множество таких программ.

Рассмотрим возможные атаки на предложенную систему защиты с использованием ЭЦП.

Теоретически можно вычислить закрытый ключ на основе открытого, что позволит подделать подпись легитимного пользователя. Необходимо использовать криптографические ключи длиной не менее тысячи бит.

Для предотвращения предсказания генерируемого закрытого ключа рекомендуется применять "сильные" алгоритмы генерации случайных чисел, отвечающие ряду жестких требований.

Следует применять меры защиты от изучения протокола работы УЦ.

Корректно настроенные сетевые установки должны справляться с отражением атак отказа в обслуживании и подмены DNS-сервера.

При увеличении длины используемого ключа и длины значения хэш-функции (однонаправленной криптографической функции, которая используется в алгоритмах постановки ЭЦП и в алгоритмах проверки ЭЦП) значительно снизится вероятность подбора точно такой же подписи к измененному документу.

Защита от внутренних нарушителей

Важно отметить, что не всегда следует оповещать персонал о применении метода встраивания ЦВЗ во все электронные документы информационной системы. О наличии ЭЦП всем известно, но при успешной попытке подделать подпись или внести несанкционированные изменения в документ проверка ЦВЗ выявит злоумышленное воздействие. По этим действиям (попытка обмана системы ЭЦП) можно судить о преднамеренности деяния и установить нарушителя.

Даже если пользователь имел уровень доступа, позволяющий воспользоваться своим ключом для генерации ЭЦП для измененного файла, проверка ЦВЗ "сообщит" о злоумышленном действии, поскольку нарушитель не сможет изменить цифровые метки. Вероятность выявления истинного виновного повышается, если ЦВЗ будут содержать идентификаторы пользователей, создававших или изменявших файл. Конечно, если в систему документооборота будет введен электронный документ извне, это будет сразу выявлено по отсутствию каких-либо цифровых меток в файле.

Как было показано, предложенная система обладает достаточной стойкостью к возможным атакам. Успешное использование уязвимостей является дорогостоящим и ресурсоемким процессом. На основе полученных результатов можно рекомендовать предложенный метод защиты в качестве технической меры защиты электронных документов как от внутренних, так и от внешних нарушителей.

Дальнейшее развитие

Многие организации применяют сканирование форм, заполненных клиентами, с последующим распознаванием информации и ее преобразованием в текстовый вид и размещением в системе электронного документооборота.

На формах для заполнения можно сделать незаметные знаки, которые должны идентифицироваться программой распознавания. Документ передается в систему документооборота уже с цифровыми знаками. Если распознаваемая форма не содержит ожидаемых скрытых меток, это повод для привлечения внимания сотрудников службы безопасности к документу.

Для повышения уровня защиты ЭЦП или хэш-значение от файла-контейнера можно также встраивать в файл. ЭЦП позволит проконтролировать авторство и неизменность электронного документа (хэш-значение подтвердит только неизменность). Дополнительную надежность обеспечивает подписание оригинального файла ЭЦП с использованием цифровой метки времени до встраивания ЦВЗ. Хранить "оригинал" вместе с подписью следует в надежном месте, не доступном из внешней сети, а в особых случаях - и из внутренней, например в сейфе в отдельном помещении (в сейфе банка).

А. Теренин,

к.т.н., руководитель группы тестирования ПО, GE Money Bank

Ю. Мельников,

д.т.н., профессор, МЭИ РГСУ

В. Погуляев,

юридическое агентство "Копирайт"

"Финансовая газета. Региональный выпуск", N 5, январь 2008 г.

-------------------------------------------------------------------------

*(1) Мельников Ю.Н. Электронная цифровая подпись: всегда ли она подлинная // Банковские технологии, 1995. - N 5. - С. 56-62.