Необходимо е криптиране на данни при транзит, за да се намали рискът от прихващани или наблюдавани некриптирани данни, тъй като се предава в надеждни или ненадеждни мрежи. Неразрешеният достъп може да застраши поверителността на чувствителните институционални данни. CUU и University Unit ISMS са отговорни за осигуряването на следните изисквания за криптиране в рамките на единиците, които са отговорни:
Стандарт за криптиране на данни (DES) | Комплект 1
Тази статия говори за стандарта за криптиране на данни (DES), исторически алгоритъм за криптиране, известен със своята 56-битова дължина на ключа. Ние изследваме неговата работа, ключов трансформация и процес на криптиране, хвърляйки светлина върху ролята му в сигурността на данните и неговите уязвимости в днешния контекст.
Какво е Дес?
Стандартът за криптиране на данни (DES) е блок шифър с 56-битова дължина на ключа, който е играл значителна роля в сигурността на данните . Следователно стандартът за криптиране на данни (DES) е уязвим за много мощни атаки, следователно, популярността на DES е установена леко в спада. DES е блок шифър и криптира данни в блокове с размер на 64 бита всеки, което означава, че 64 бита обикновен текст отиват като вход към DES, който произвежда 64 бита шифротекст. Същият алгоритъм и ключ се използват за криптиране и декриптиране, с незначителни разлики. Ключовата дължина е 56 бита .
Основната идея е показана по -долу:
Споменахме, че DES използва 56-битов ключ. Всъщност първоначалният ключ се състои от 64 бита. Преди да започне дори процесът на DES, всеки 8-ми бит от ключа се изхвърля, за да се получи 56-битов ключ. Това са битови позиции 8, 16, 24, 32, 40, 48, 56 и 64 се изхвърлят.
По този начин изхвърлянето на всеки 8 -ми бит от ключа произвежда a 56-битов ключ от оригинала 64-битов ключ . DES се основава на двата основни атрибута на криптографията: заместване (наричано още объркване) и транспониране (наричано още дифузия). DES се състои от 16 стъпки, всяка от които се нарича кръг. Всеки кръг изпълнява стъпките на заместване и транспониране. Нека сега обсъдим стъпките на широко ниво в DES.
В първата стъпка 64-битовият обикновен текстов блок се предава на първоначална функция за пермутация (IP).
Първоначалната пермутация се извършва на обикновен текст.
На следващо място, първоначалната пермутация (IP) произвежда две половини на пермутирания блок; Казване на ляв обикновен текст (LPT) и десен обикновен текст (RPT).
Сега всеки LPT и RPT преминават през 16 кръга от процеса на криптиране.
В крайна сметка LPT и RPT се присъединяват отново и се извършва окончателна пермутация (FP) на комбинирания блок
Резултатът от този процес произвежда 64-битов шифротекст.
Първоначална пермутация (IP)
Както отбелязахме, първоначалната пермутация (IP) се случва само веднъж и това се случва преди първия кръг. Той предполага как транспонирането в IP трябва да продължи, както е показано на фигурата. Например, в него се казва, че IP замества първия бит от оригиналния обикновен текстов блок с 58 -ия бит на оригиналния обикновен текст, вторият бит с 50 -ия бит на оригиналния обикновен текстов блок и т.н.
Това не е нищо друго освен жонглери на битови позиции на оригиналния обикновен текстов блок. Същото правило се отнася и за всички останали позиции на бита, показани на фигурата.
Както отбелязахме след извършване на IP, полученият 64-битов пермутиран текстов блок е разделен на два половин блока. Всеки полу блок се състои от 32 бита, а всеки от 16-те кръга от своя страна се състои от стъпки на широко ниво, очертани на фигурата.
Стъпка 1: Ключова трансформация
Забелязахме, че първоначалният 64-битов ключ се трансформира в 56-битов ключ чрез изхвърляне на всеки 8-ми бит от началния ключ. Така е наличен за всеки 56-битов ключ. От този 56-битов ключ се генерира различен 48-битов под ключ по време на всеки кръг, като се използва процес, наречен ключова трансформация. За това 56-битовият ключ е разделен на две половини, всеки от 28 бита. Тези половини се изместват кръгово наляво с една или две позиции, в зависимост от кръга.
Например: Ако кръговите числа 1, 2, 9 или 16 смяната се извършва само с една позиция за други кръгове, кръговото изместване се извършва с две позиции. Броят на ключовите битове, изместени на кръг, е показан на фигурата.
След подходящо изместване са избрани 48 от 56 бита. От 48 можем да получим 64 или 56 бита въз основа на изискването, което ни помага да разпознаем, че този модел е много универсален и може да се справи с всякакъв диапазон от необходими или предоставени изисквания. За избор на 48 от 56 бита таблицата е показана на фигурата, дадена по -долу. Например, след смяната, бит номер 14 преминава към първата позиция, бит номер 17 се премества във втората позиция и т.н. Ако наблюдаваме таблицата, ще разберем, че тя съдържа само 48-битови позиции. Бит номер 18 се изхвърля (няма да го намерим в таблицата), като 7 други, за да намалим 56-битовия ключ към 48-битов ключ. Тъй като основният процес на трансформация включва пермутация, както и селекция от 48-битова подмножество от оригиналния 56-битов ключ, той се нарича компресионна пермутация.
Поради тази техника за компресия на пермутация, във всеки кръг се използва различен подмножество от ключови битове. Това прави DES не лесно да се напука.
Стъпка 2: Промутация на разширяване
Спомнете си, че след първоначалната пермутация имахме две 32-битови обикновени текстови области, наречени ляв обикновен текст (LPT) и десен обикновен текст (RPT). По време на пермутацията на разширяването RPT се разширява от 32 бита до 48 бита. Битовете са пермутирани, следователно се наричат пермутация на разширяване. Това се случва, тъй като 32-битовият RPT е разделен на 8 блока, като всеки блок се състои от 4 бита. След това всеки 4-битов блок от предишната стъпка след това се разширява до съответния 6-битов блок, i.E., на 4-битов блок се добавят още 2 бита.
Този процес води до разширяване, както и пермутация на входния бит при създаване на изход. Процесът на ключов трансформация компресира 56-битовия ключ към 48 бита. Тогава процесът на разширяване на пермутацията разширява 32-битов Rpt да се 48 бита . Сега 48-битовият ключ е XOR с 48-битов RPT и полученият изход се дава на следващата стъпка, което е Заместване на S-Box .
// Определете Des Key и Speatext const key = “0123456789abcdef”; const intaintext = “здравей, свят!”; // Извършете Des Encryption const des = нов DES (ключ); const ciphertext = des.Encrypt (Speatext); // Извършете декрипция на Des const decrypted = des.Decrypt (Ciphertext); // Резултати от печат конзола.log (“Plaintext:”, Speatext); конзола.log (“ciphertext:”, ciphertext); конзола.log (“декриптиран:”, декриптиран); // Определете Des Class Конструктор (ключ) < // Initialize DES with key this .key = CryptoJS.enc.Hex.parse(key); encrypt(plaintext) < // Perform DES encryption on plaintext const encrypted = CryptoJS.DES.encrypt( // Return ciphertext as hex string return encrypted.ciphertext.toString(); decrypt(ciphertext) < // Parse ciphertext from hex string const ciphertextHex = CryptoJS.enc.Hex.parse(ciphertext); // Perform DES decryption on ciphertext const decrypted = CryptoJS.DES.decrypt( // Return decrypted plaintext as UTF-8 string return decrypted.toString(CryptoJS.enc.Utf8); Изход
. 60AF7CA5 Кръг 12 FF3C485F 22A5963B C2C1E96A4BF3 Кръг 13 22A5963B 387CCDAA 99C31397C91F Кръг 14 387CCDAA BD2D2AB 251B8BC717D0 Кръг 15 BD2DD2AB CF26B472 3330C5D9A316611111111111130C5D9A366111111111111130C5D9CA BA9212 CF26B472 181C5D75C66D ТЕКСТИЧЕН КОНС: C0B7A8D05F3A829C Декриптиране след първоначална пермутация: 19BA9212CF26B472 След разделяне:L0 = 19BA9212 R0 = CF26B472 Кръг 1 CF26B472 BD2DD2AB 181C5D75C66D Кръг 2 BD2DD2AB 387CCDAA 3330C5D9A36D Кръг 3 387CDAA 9c31397c91f кръг 5 ff3c485f 6ca6cb20 c2c1e96a4bf3 кръг 6 6ca6cb20 10af9d37 6d5560af7ca5 кръг 7 10AF9D37 308bee97 02765708b5bf кръг 8 308bee97 FC20A3 2E8F9C65 34F822F0C66D Кръг 10 2e8f9c65 A15A4B87 708AD2DDB3C0 Кръг 11 A15A4B87 236779C2 C1948E87475E Кръг 12 236779C2 B8089591 69A629FEC913 EE3 Кръг 14 4A1210F6 5A78E394 06EDA4ACF5B5 Кръг 15 5A78E394 18CA18AD 4568581ABCCE Кръг 16 14a7d678 18CA18AD 194CD072DE8C PLACT TEXT: 123456ABCD132536
Резултат:
Шифроване: След първоначална пермутация: 14A7D67818CA18AD След разделяне: L0 = 14A7D678 R0 = 18CA18AD Кръг 1 18CA18AD 5A78E394 194CD072DE8C Кръг 2 5A78E394 4A1210F6 4568581ABCCE Кръг 3 4A1210F6 B8089591 06EDA4ACF5B5 4 кръг B8089591 236779C2 DA2D032B6EE3 Кръг 5 236779C2 A15A4B87 69A629FEC913 Кръг 6 A15A4B87 2E8F9C65 C1948E87475E Кръг 7 2e8f9c65 A9FC20A3 708AD2DDB3C0 Кръг 8 A9FC20A3 308BEE97 34F822F0C66D Кръг 9 308Bee97 10AF9D37 84BB4473DCCC Кръг 10 10AF9D37 6CA6CB20 02765708B5BF Кръг 11 6CA6CB20 FF3C485F 6D5560AF7CA5 Кръг 12 FF3C485F 22A5963B C2C1E96A4BF3 Кръг 13 22A5963B 387CCDAA 99C31397C91F 14 кръг 387CCDAA BD2DD2AB 251B8BC717D0 Кръг 15 BD2DD2AB CF26B472 3330C5D9A36D Кръг 16 19BA9212 CF26B472 181C5D75C66D Текст на шифър: C0B7A8D05F3A829C Декриптиране След първоначална пермутация: 19ba9212cf26b472 След разделяне: L0 = 19BA9212 R0 = CF26B472 Кръг 1 CF26B472 BD2DD2AB 181C5D75C66D Кръг 2 BD2DD2AB 387CCDAA 3330C5D9A36D 3 кръг 387ccdaa 22a5963b 251b8bc717d0 Кръг 4 22A5963B FF3C485F 99C31397C91F Кръг 5 FF3C485F 6CA6CB20 C2C1E96A4BF3 Кръг 6 6CA6CB20 10AF9D37 6D5560AF7CA5 Кръг 7 10AF9D37 308BEE97 02765708B5BF Кръг 8 308Bee97 A9FC20A3 84BB4473DCCC Кръг 9 A9FC20A3 2E8F9C65 34F822F0C66D Кръг 10 2E8F9C65 A15A4B87 708AD2DDB3C0 Кръг 11 A15A4B87 236779C2 C1948E87475E 12 кръг 236779C2 B8089591 69A629FEC913 Кръг 13 B8089591 4A1210F6 DA2D032B6EE3 Кръг 14 4A1210F6 5A78E394 06EDA4ACF5B5 Кръг 15 5A78E394 18CA18AD 4568581ABCCE Кръг 16 14a7d678 18ca18ad 194cd072de8c Обикновен текст: 123456ABCD132536
Заключение
В заключение, стандартът за криптиране на данни (DES) е блок-шифър с 56-битова дължина на ключа, който играе значителна роля в сигурността на данните. Поради уязвимостите обаче нейната популярност е намаляла. DES действа чрез поредица от кръгове, включващи ключова трансформация, пермутация на разширяване и заместване, в крайна сметка произвеждайки шифротекст от Plaintext. Въпреки че DES има историческо значение, е от решаващо значение да се разгледат по -сигурни алтернативи за криптиране за съвременни нужди за защита на данните.
често задавани въпроси
Q.1 : Какво трябва да се счита за алтернатива на DES за криптиране на данните?
Отговор:
За съвременните нужди за криптиране на данни помислете за използване на по -силни алгоритми за криптиране като AES (Advanced Encryption Standard).
Q.2 : Как се генерира 48-битовият подчинен за всеки кръг в DES?
Отговор:
48-битовият подчинен за всеки кръг в DES се извлича от 56-битовия ключ чрез процес на кръгово изместване и пермутация, осигурявайки ключово разнообразие.
Последно актуализирано: 20 септември, 2023 г
Като статия
Стандарт за криптиране
Този стандарт поддържа и допълва политиките на технологиите на FSU и осигурява допълнителни най -добри практики за сигурност и поверителност. Той определя изискванията за използване на технологии за криптиране за защита на данните и ресурсите на FSU. Шифроването е процесът на кодиране на съобщения или информация, за да се защити данни или комуникация и може да се прилага към данни, които се съхраняват (в покой) или предавани (в транзит) през мрежи.
Спазването на този стандарт е задължително и се прилага по същия начин като политиките, които поддържа. Стандартите ще бъдат периодично преразглеждани и актуализирани, ако е необходимо, за да отговорят на възникващите заплахи, промените в правните и регулаторните изисквания и технологичния напредък. Всички потребители са длъжни да спазват този стандарт или да получат изключение в съответствие с искането за изключение от ИТ политиката за сигурност.
II. Дефиниции
Консолидирано университетско звено – Консолидирана група от свързани университетски звена, които имат управленски орган и отговорност за спазването на ИТ политиките, стандартите и насоките.
Инцидент със сигурност на информацията – заподозрян, опит за опит, успешна или непосредствена заплаха от неразрешен достъп, употреба, разкриване, нарушаване, промяна или унищожаване на информация; намеса в операциите по информационни технологии; или значително нарушение на политиката за отговорна употреба.
Iii. Стандарт
FSU прие рамката на NIST за подобряване на киберсигурността на критичната инфраструктура във връзка с контролите на NIST 800-53 като основа за подход, основан на риска към управлението на киберсигурността. Core Core Core Core (CSF) използва общи функции на киберсигурността, дейности и желани резултати, за да приведе в съответствие на университетската политика, за да се управлява рискът от ИТ. CSF Core използва стандартите, насоките и практиките на индустрията за установяване на основните очаквания за киберсигурност за всички университетски звена.
Университетските звена са отговорни за използването на тази рамка и контроли за оценка на техните уникални рискове, заплахи, уязвимости и толеранси на риска, за да се определи подходящ план за управление на риска, който отговаря на политиките, стандартите, стандартите и насоките на FSU.
Контролите, поддържащи този стандарт, включват, но не се ограничават до:
Рамка и контроли на NIST киберсигурност
Функция
Категория
Желания резултат (Подкатегория)
Защита (PR)
Сигурност на данните (PR.DS): Информацията и записите (данните) се управляват в съответствие с рисковата стратегия на организацията за защита на поверителността, целостта и наличието на информация.
PR.DS-1: Данните при следване е защитено
PR.DS-2: Данните в транзит са защитени
PR.DS-5: Прилагат се защити срещу течове на данни
Пълен CSF Crosshalk to Controls: NIST Crosswalk *Горната диаграма на NIST, описваща рамката и контролите на киберсигурността, и връзката към други принципи и информация на NIST Crosswalk по никакъв начин не принадлежи или е собственост на държавния университет във Флорида.
Роли и отговорности
Главен служител по сигурността на информацията (CISO) и информационната служба за сигурност и поверителност (ISPO) CISO насочва информационната служба за сигурност и поверителност (ISPO) за университета. CISO докладва на CIO и Provost и служи като CISO и главния директор за поверителност на FSU. CISO и ISPO са отговорни за прилагането на прилагането на подходящи оперативни контроли за сигурност, необходими за смекчаване на рисковете, свързани с неразрешено разкриване, загуба или кражба на университетска информация. Декан, директор или ръководител на катедрата (DDDH) Деканът, директорът, ръководител на отдела или друга управленска позиция, отговорна за защита на поверителността, наличността и целостта на Университетските ИТ активи в рамките на CUU. CUU DDDH носи отговорност за осигуряването на ИТ сигурност и поверителност на единиците в рамките на CUU. Консолидирано университетско звено (CUU) Мениджър за сигурност на информацията (ISM) Връзката, определена от декана, директор или ръководител на отдела CUU (DDDH), отговорна за координирането на програмата за информационна сигурност на CUU. CUU ISM е централната точка за контакт между университетските звена и ISPO за проблеми със сигурността. Cuu ISM отговорностите ще бъдат включени в описанията на позицията. Университет мениджър за сигурност на информацията (ISM) Връзката, определена от декан, директор или ръководител на катедрата (DDDH), отговорен за осигуряването на спазването на политиките, стандартите и указанията на Университетското звено с определената програма за сигурност на информационната сигурност на CUU на CUU на CUU на CUU на CUU. Попечител на данни Деканът, директор, ръководител на отдел или друг мениджър, който в крайна сметка е отговорен за целостта, точното отчитане и използване на университетските ресурси за данни въз основа на Стандарт за сигурност на данните. Мениджър на данни Служител (ите) на Университета делегиран оперативен надзор Отговорността за ресурси за данни от пазител на данните.
Класификация на данните
Повдигателите на данни са отговорни за класифицирането на всички данни, за които са отговорни според изискванията на стандарта за сигурност на данните. Класификацията на данните определя основните защити на сигурността и контролите, които са подходящи и необходими за защита на поверителността, целостта и наличието на данни, включително стандартите за минимална сигурност, приложими за криптиране на всички институционални данни, достъпили, създадени, съхранявани, обработени или предавани.
Потребителите трябва да проявяват предпазливост, за да защитят и защитят FSU данни, устройства и преносими носители за съхранение.
Автоматично криптиране
Одобрени от FSU мрежови/облачни акции (E.g. OneDrive, SharePoint) Осигурете автоматично криптиране и сигурно съхранение, когато се използва. Потребителите, които избират да не използват мрежови акции, са отговорни за изпълнението на всички изисквания за криптиране, както е дефинирано от този стандарт. За повече информация вижте Насоки за използване на лични облачни услуги (FSU.Еду).
Управление на ключове
За да се предотврати загубата на данни, ключовите процеси на управление трябва да бъдат въведени и документирани преди криптиране на данни в покой. ISMS от CUU и University са отговорни за гарантирането, че единици и лица обработват, поддържат, съхраняват или предават криптирани високорискови или умерени рискови данни, спазвайки документиран план за управление на криптографски ключове, който защитава създаването, използването, дистрибуцията, съхранението и Възстановяване на криптографски ключове. Ефективното управление на ключовете е от решаващо значение за предотвратяване на неправомерно разкриване и осигуряване на достъп до данни, когато е необходимо. Ако ключът е загубен, е много вероятно данните на устройството да не могат да бъдат възстановени, особено ако няма други копия на наличните данни.
Криптографските ключове са вид информация за ИТ сигурността, класифицирана като данни с висок риск, и сами трябва да бъдат криптирани, докато се съхраняват. Ключовете трябва да се съхраняват отделно от криптирани данни. Ключовете, съхранявани на физическа среда (хартия, CD, флаш съхранение), трябва да останат постоянно заключени на защитено място.
Шифроване на данни в покой
Шифроването на данни в покой означава криптиране на данни, когато се съхраняват на сървър или носител за съхранение. Има два начина за криптиране на данни в покой.
Шифроване на пълен диск, Известен също като криптиране на цял диск, криптира цялото устройство, дисковите дялове наведнъж или дисковите сектори, използвани по време на криптиране и допълнителни сектори, тъй като данните се генерират. Той осигурява добра защита срещу загуба на данни поради кражба или друга загуба и изисква по -малко внимание на това как се управляват файловете.
Шифроване на ниво файл криптира отделни файлове. Има два метода за криптиране на ниво файл:
Файловете се декриптират само когато се използват, обикновено случаят с криптиране, базирани на приложението.
Файловете не се преиграват автоматично, когато гледането или редактирането е завършено, тъй като в случая със самостоятелни комунални услуги за криптиране. Ключът към декриптирането на файла трябва да се споделя отделно от файла чрез различен метод на предаване. Това понякога се нарича криптиране на базата на контейнери.
Подходящият метод за криптиране трябва да бъде избран въз основа на класификацията на данните и типа на устройството. CUU и University Unit ISMS са отговорни за осигуряването на сигурни конфигурации и изпълнение на следните изисквания за криптиране в рамките на техните звена:
маса 1. Изисквания за криптиране за данни в покой
Тип на устройството
Класификация на данните
Данни с висок риск
Данни за умерен риск
Данни с нисък риск
Устройства в центрове за данни или защитени съоръжения
Изисква се, Данните, съхранявани на устройствата за центрове за данни, също са обхванати от изискванията на стандарта за ИТ физическа сигурност.
Преценката на отдела
Преносими и сменяеми носители за съхранение
Изисква се, Трябва да се полагат допълнителни грижи на сигурността на преносимите медии и са ограничени до целите, свързани с работата, за архивиране или съхранение.
Преценката на отдела
Лаптопи и други преносими устройства
Изисква се
Изисква се
Препоръчително
Настолни компютри
Изисква се
Изисква се
Преценката на отдела
Лично притежавани устройства
Съхранение на високорискови или умерени рискови данни, които не са разрешени
Преценката на отдела
Съхранение на база данни
Изисква се
Изисква се
Резервни копия и архиви на данни
Изисква се
Преценката на отдела
Шифроване на данни при транзит
Необходимо е криптиране на данни при транзит, за да се намали рискът от прихващани или наблюдавани некриптирани данни, тъй като се предава в надеждни или ненадеждни мрежи. Неразрешеният достъп може да застраши поверителността на чувствителните институционални данни. CUU и University Unit ISMS са отговорни за осигуряването на следните изисквания за криптиране в рамките на единиците, които са отговорни:
Таблица 2. Изисквания за криптиране за данни в транзит
Метод
Класификация на данните
Данни с висок риск
Данни за умерен риск
Данни с нисък риск
Информация, изпратена по имейл
Изисква се
Изисква се
Преценката на отдела
Данни, предавани между устройства в мрежата на FSU
Изисква се
Изисква се
Преценката на отдела
Информация, предавана извън мрежата на FSU
Изисква се
Изисква се
Преценката на отдела
Администриране на хардуер, софтуер или приложения, извършени през мрежа
Изисква се
Изисква се
Изисква се
По -долу са примери за често използвани технологии, които предоставят криптиране на данни при транзит.
Виртуална частна мрежа (VPN): Потребителите, пътуващи по университетския бизнес или които трябва да имат достъп до мрежата на FSU и всякакви данни от университета с висок риск или умерен риск от не-универсалност или обществена мрежа, трябва да влязат във виртуалната частна мрежа на FSU. Освен това позволява достъп до приложения или данни, които изискват връзка в кампуса. За повече информация вижте неговия каталог на услугите – VPN.
Сигурен уеб трафик (HTTPS): HTTPS е протокол, който криптира трафика между уеб браузър и уеб-базирано приложение. Единиците трябва да използват услуга за сертификати, предоставена от университета. Вижте каталога на ИСС за услугите си за неговия сервизен каталог – Enterprise SSL.
Сигурност на транспортен слой (TLS): TLS е криптографски протокол, който осигурява комуникация от край до край през мрежи и се използва широко за интернет комуникации и онлайн транзакции.
Докладване на инциденти
Инциденти се случват, когато студент, служител, служител или преподавател на FSU нарушава този стандарт, специфични законови изисквания или договорни задължения. Отговорност на всеки студент, служител, изпълнител или преподавател е незабавно незабавно да съобщава за заподозрени или потвърдени инциденти за сигурност и поверителност на главния служител по сигурността на информацията (CISO) в Security@FSU.Еду. CUU ISM или университетско звено ISM трябва да информира CISO за заподозрени или потвърдени инциденти в рамките на 24 часа. Вижте стандарта за отговор на ИТ инциденти за повече информация.
IV. Препратки
Рамка за киберсигурност на NIST (CSF)
NIST 800-53 Rev. 4, Контроли с високо въздействие
Процедурите за отговор на инцидента с ИТ и поверителност
FSU виртуална частна мрежа
Enterprise SSL
FIPS 140-2 Изисквания за сигурност за криптографски модули
Ръководство за използване на криптографски стандарти във федералното правителство: криптографски механизми (NIST.Гов)
Стандарт за криптиране
VPN 0 Comments
Услуги за информационни технологии
Стандарт за криптиране на данни (DES) | Комплект 1
Тази статия говори за стандарта за криптиране на данни (DES), исторически алгоритъм за криптиране, известен със своята 56-битова дължина на ключа. Ние изследваме неговата работа, ключов трансформация и процес на криптиране, хвърляйки светлина върху ролята му в сигурността на данните и неговите уязвимости в днешния контекст.
Какво е Дес?
Стандартът за криптиране на данни (DES) е блок шифър с 56-битова дължина на ключа, който е играл значителна роля в сигурността на данните . Следователно стандартът за криптиране на данни (DES) е уязвим за много мощни атаки, следователно, популярността на DES е установена леко в спада. DES е блок шифър и криптира данни в блокове с размер на 64 бита всеки, което означава, че 64 бита обикновен текст отиват като вход към DES, който произвежда 64 бита шифротекст. Същият алгоритъм и ключ се използват за криптиране и декриптиране, с незначителни разлики. Ключовата дължина е 56 бита .
Основната идея е показана по -долу:
Споменахме, че DES използва 56-битов ключ. Всъщност първоначалният ключ се състои от 64 бита. Преди да започне дори процесът на DES, всеки 8-ми бит от ключа се изхвърля, за да се получи 56-битов ключ. Това са битови позиции 8, 16, 24, 32, 40, 48, 56 и 64 се изхвърлят.
По този начин изхвърлянето на всеки 8 -ми бит от ключа произвежда a 56-битов ключ от оригинала 64-битов ключ .
DES се основава на двата основни атрибута на криптографията: заместване (наричано още объркване) и транспониране (наричано още дифузия). DES се състои от 16 стъпки, всяка от които се нарича кръг. Всеки кръг изпълнява стъпките на заместване и транспониране. Нека сега обсъдим стъпките на широко ниво в DES.
Първоначална пермутация (IP)
Както отбелязахме, първоначалната пермутация (IP) се случва само веднъж и това се случва преди първия кръг. Той предполага как транспонирането в IP трябва да продължи, както е показано на фигурата. Например, в него се казва, че IP замества първия бит от оригиналния обикновен текстов блок с 58 -ия бит на оригиналния обикновен текст, вторият бит с 50 -ия бит на оригиналния обикновен текстов блок и т.н.
Това не е нищо друго освен жонглери на битови позиции на оригиналния обикновен текстов блок. Същото правило се отнася и за всички останали позиции на бита, показани на фигурата.
Както отбелязахме след извършване на IP, полученият 64-битов пермутиран текстов блок е разделен на два половин блока. Всеки полу блок се състои от 32 бита, а всеки от 16-те кръга от своя страна се състои от стъпки на широко ниво, очертани на фигурата.
Стъпка 1: Ключова трансформация
Забелязахме, че първоначалният 64-битов ключ се трансформира в 56-битов ключ чрез изхвърляне на всеки 8-ми бит от началния ключ. Така е наличен за всеки 56-битов ключ. От този 56-битов ключ се генерира различен 48-битов под ключ по време на всеки кръг, като се използва процес, наречен ключова трансформация. За това 56-битовият ключ е разделен на две половини, всеки от 28 бита. Тези половини се изместват кръгово наляво с една или две позиции, в зависимост от кръга.
Например: Ако кръговите числа 1, 2, 9 или 16 смяната се извършва само с една позиция за други кръгове, кръговото изместване се извършва с две позиции. Броят на ключовите битове, изместени на кръг, е показан на фигурата.
След подходящо изместване са избрани 48 от 56 бита. От 48 можем да получим 64 или 56 бита въз основа на изискването, което ни помага да разпознаем, че този модел е много универсален и може да се справи с всякакъв диапазон от необходими или предоставени изисквания. За избор на 48 от 56 бита таблицата е показана на фигурата, дадена по -долу. Например, след смяната, бит номер 14 преминава към първата позиция, бит номер 17 се премества във втората позиция и т.н. Ако наблюдаваме таблицата, ще разберем, че тя съдържа само 48-битови позиции. Бит номер 18 се изхвърля (няма да го намерим в таблицата), като 7 други, за да намалим 56-битовия ключ към 48-битов ключ. Тъй като основният процес на трансформация включва пермутация, както и селекция от 48-битова подмножество от оригиналния 56-битов ключ, той се нарича компресионна пермутация.
Поради тази техника за компресия на пермутация, във всеки кръг се използва различен подмножество от ключови битове. Това прави DES не лесно да се напука.
Стъпка 2: Промутация на разширяване
Спомнете си, че след първоначалната пермутация имахме две 32-битови обикновени текстови области, наречени ляв обикновен текст (LPT) и десен обикновен текст (RPT). По време на пермутацията на разширяването RPT се разширява от 32 бита до 48 бита. Битовете са пермутирани, следователно се наричат пермутация на разширяване. Това се случва, тъй като 32-битовият RPT е разделен на 8 блока, като всеки блок се състои от 4 бита. След това всеки 4-битов блок от предишната стъпка след това се разширява до съответния 6-битов блок, i.E., на 4-битов блок се добавят още 2 бита.
Този процес води до разширяване, както и пермутация на входния бит при създаване на изход. Процесът на ключов трансформация компресира 56-битовия ключ към 48 бита. Тогава процесът на разширяване на пермутацията разширява 32-битов Rpt да се 48 бита . Сега 48-битовият ключ е XOR с 48-битов RPT и полученият изход се дава на следващата стъпка, което е Заместване на S-Box .
Python
# Код на python3 за горния подход
# Шестнадесетична в двоична конверсия
DEF HEX2BIN (S):
mp = < '0' : "0000" , for i in range ( len (s)): bin = bin + mp[s[i]] return bin # Binary to hexadecimal conversion def bin2hex(s): mp = < "0000" : '0' , for i in range ( 0 , len (s), 4 ): ch = ch + s[i] ch = ch + s[i + 1 ] ch = ch + s[i + 2 ] ch = ch + s[i + 3 ] hex = hex + mp[ch] return hex # Binary to decimal conversion def bin2dec(binary): binary1 = binary decimal, i, n = 0 , 0 , 0 while (binary ! = 0 ): dec = binary % 10 decimal = decimal + dec * pow ( 2 , i) binary = binary / / 10 return decimal # Decimal to binary conversion def dec2bin(num): res = bin (num).replace( "0b" , "") if ( len (res) % 4 ! = 0 ): div = len (res) / 4 div = int (div) counter = ( 4 * (div + 1 )) - len (res) for i in range ( 0 , counter): res = '0' + res return res # Permute function to rearrange the bits def permute(k, arr, n): permutation = "" for i in range ( 0 , n): permutation = permutation + k[arr[i] - 1 ] return permutation # shifting the bits towards left by nth shifts def shift_left(k, nth_shifts): for i in range (nth_shifts): for j in range ( 1 , len (k)): # calculating xow of two strings of binary number a and b def xor(a, b): for i in range ( len (a)): if a[i] = = b[i]: ans = ans + "0" ans = ans + "1" return ans # Table of Position of 64 bits at initial level: Initial Permutation Table initial_perm = [ 58 , 50 , 42 , 34 , 26 , 18 , 10 , 2 , 60 , 52 , 44 , 36 , 28 , 20 , 12 , 4 , 62 , 54 , 46 , 38 , 30 , 22 , 14 , 6 , 64 , 56 , 48 , 40 , 32 , 24 , 16 , 8 , 57 , 49 , 41 , 33 , 25 , 17 , 9 , 1 , 59 , 51 , 43 , 35 , 27 , 19 , 11 , 3 , 61 , 53 , 45 , 37 , 29 , 21 , 13 , 5 , 63 , 55 , 47 , 39 , 31 , 23 , 15 , 7 ] # Expansion D-box Table exp_d = [ 32 , 1 , 2 , 3 , 4 , 5 , 4 , 5 , 6 , 7 , 8 , 9 , 8 , 9 , 10 , 11 , 12 , 13 , 12 , 13 , 14 , 15 , 16 , 17 , 16 , 17 , 18 , 19 , 20 , 21 , 20 , 21 , 22 , 23 , 24 , 25 , 24 , 25 , 26 , 27 , 28 , 29 , 28 , 29 , 30 , 31 , 32 , 1 ] # Straight Permutation Table per = [ 16 , 7 , 20 , 21 , 29 , 12 , 28 , 17 , 1 , 15 , 23 , 26 , 5 , 18 , 31 , 10 , 2 , 8 , 24 , 14 , 32 , 27 , 3 , 9 , 19 , 13 , 30 , 6 , 22 , 11 , 4 , 25 ] # S-box Table sbox = [[[ 14 , 4 , 13 , 1 , 2 , 15 , 11 , 8 , 3 , 10 , 6 , 12 , 5 , 9 , 0 , 7 ], [ 0 , 15 , 7 , 4 , 14 , 2 , 13 , 1 , 10 , 6 , 12 , 11 , 9 , 5 , 3 , 8 ], [ 4 , 1 , 14 , 8 , 13 , 6 , 2 , 11 , 15 , 12 , 9 , 7 , 3 , 10 , 5 , 0 ], [ 15 , 12 , 8 , 2 , 4 , 9 , 1 , 7 , 5 , 11 , 3 , 14 , 10 , 0 , 6 , 13 ]], [[ 15 , 1 , 8 , 14 , 6 , 11 , 3 , 4 , 9 , 7 , 2 , 13 , 12 , 0 , 5 , 10 ], [ 3 , 13 , 4 , 7 , 15 , 2 , 8 , 14 , 12 , 0 , 1 , 10 , 6 , 9 , 11 , 5 ], [ 0 , 14 , 7 , 11 , 10 , 4 , 13 , 1 , 5 , 8 , 12 , 6 , 9 , 3 , 2 , 15 ], [ 13 , 8 , 10 , 1 , 3 , 15 , 4 , 2 , 11 , 6 , 7 , 12 , 0 , 5 , 14 , 9 ]], [[ 10 , 0 , 9 , 14 , 6 , 3 , 15 , 5 , 1 , 13 , 12 , 7 , 11 , 4 , 2 , 8 ], [ 13 , 7 , 0 , 9 , 3 , 4 , 6 , 10 , 2 , 8 , 5 , 14 , 12 , 11 , 15 , 1 ], [ 13 , 6 , 4 , 9 , 8 , 15 , 3 , 0 , 11 , 1 , 2 , 12 , 5 , 10 , 14 , 7 ], [ 1 , 10 , 13 , 0 , 6 , 9 , 8 , 7 , 4 , 15 , 14 , 3 , 11 , 5 , 2 , 12 ]], [[ 7 , 13 , 14 , 3 , 0 , 6 , 9 , 10 , 1 , 2 , 8 , 5 , 11 , 12 , 4 , 15 ], [ 13 , 8 , 11 , 5 , 6 , 15 , 0 , 3 , 4 , 7 , 2 , 12 , 1 , 10 , 14 , 9 ], [ 10 , 6 , 9 , 0 , 12 , 11 , 7 , 13 , 15 , 1 , 3 , 14 , 5 , 2 , 8 , 4 ], [ 3 , 15 , 0 , 6 , 10 , 1 , 13 , 8 , 9 , 4 , 5 , 11 , 12 , 7 , 2 , 14 ]], [[ 2 , 12 , 4 , 1 , 7 , 10 , 11 , 6 , 8 , 5 , 3 , 15 , 13 , 0 , 14 , 9 ], [ 14 , 11 , 2 , 12 , 4 , 7 , 13 , 1 , 5 , 0 , 15 , 10 , 3 , 9 , 8 , 6 ], [ 4 , 2 , 1 , 11 , 10 , 13 , 7 , 8 , 15 , 9 , 12 , 5 , 6 , 3 , 0 , 14 ], [ 11 , 8 , 12 , 7 , 1 , 14 , 2 , 13 , 6 , 15 , 0 , 9 , 10 , 4 , 5 , 3 ]], [[ 12 , 1 , 10 , 15 , 9 , 2 , 6 , 8 , 0 , 13 , 3 , 4 , 14 , 7 , 5 , 11 ], [ 10 , 15 , 4 , 2 , 7 , 12 , 9 , 5 , 6 , 1 , 13 , 14 , 0 , 11 , 3 , 8 ], [ 9 , 14 , 15 , 5 , 2 , 8 , 12 , 3 , 7 , 0 , 4 , 10 , 1 , 13 , 11 , 6 ], [ 4 , 3 , 2 , 12 , 9 , 5 , 15 , 10 , 11 , 14 , 1 , 7 , 6 , 0 , 8 , 13 ]], [[ 4 , 11 , 2 , 14 , 15 , 0 , 8 , 13 , 3 , 12 , 9 , 7 , 5 , 10 , 6 , 1 ], [ 13 , 0 , 11 , 7 , 4 , 9 , 1 , 10 , 14 , 3 , 5 , 12 , 2 , 15 , 8 , 6 ], [ 1 , 4 , 11 , 13 , 12 , 3 , 7 , 14 , 10 , 15 , 6 , 8 , 0 , 5 , 9 , 2 ], [ 6 , 11 , 13 , 8 , 1 , 4 , 10 , 7 , 9 , 5 , 0 , 15 , 14 , 2 , 3 , 12 ]], [[ 13 , 2 , 8 , 4 , 6 , 15 , 11 , 1 , 10 , 9 , 3 , 14 , 5 , 0 , 12 , 7 ], [ 1 , 15 , 13 , 8 , 10 , 3 , 7 , 4 , 12 , 5 , 6 , 11 , 0 , 14 , 9 , 2 ], [ 7 , 11 , 4 , 1 , 9 , 12 , 14 , 2 , 0 , 6 , 10 , 13 , 15 , 3 , 5 , 8 ], [ 2 , 1 , 14 , 7 , 4 , 10 , 8 , 13 , 15 , 12 , 9 , 0 , 3 , 5 , 6 , 11 ]]] # Final Permutation Table final_perm = [ 40 , 8 , 48 , 16 , 56 , 24 , 64 , 32 , 39 , 7 , 47 , 15 , 55 , 23 , 63 , 31 , 38 , 6 , 46 , 14 , 54 , 22 , 62 , 30 , 37 , 5 , 45 , 13 , 53 , 21 , 61 , 29 , 36 , 4 , 44 , 12 , 52 , 20 , 60 , 28 , 35 , 3 , 43 , 11 , 51 , 19 , 59 , 27 , 34 , 2 , 42 , 10 , 50 , 18 , 58 , 26 , 33 , 1 , 41 , 9 , 49 , 17 , 57 , 25 ] def encrypt(pt, rkb, rk): pt = hex2bin(pt) # Initial Permutation pt = permute(pt, initial_perm, 64 ) print ( "After initial permutation" , bin2hex(pt)) left = pt[ 0 : 32 ] right = pt[ 32 : 64 ] for i in range ( 0 , 16 ): # Expansion D-box: Expanding the 32 bits data into 48 bits right_expanded = permute(right, exp_d, 48 ) # XOR RoundKey[i] and right_expanded xor_x = xor(right_expanded, rkb[i]) # S-boxex: substituting the value from s-box table by calculating row and column for j in range ( 0 , 8 ): row = bin2dec( int (xor_x[j * 6 ] + xor_x[j * 6 + 5 ])) col = bin2dec( int (xor_x[j * 6 + 1 ] + xor_x[j * 6 + 2 ] + xor_x[j * 6 + 3 ] + xor_x[j * 6 + 4 ])) val = sbox[j][row][col] sbox_str = sbox_str + dec2bin(val) # Straight D-box: After substituting rearranging the bits sbox_str = permute(sbox_str, per, 32 ) # XOR left and sbox_str result = xor(left, sbox_str) left = result left, right = right, left print ( "Round " , i + 1 , " " , bin2hex(left), " " , bin2hex(right), " " , rk[i]) # Combination combine = left + right # Final permutation: final rearranging of bits to get cipher text cipher_text = permute(combine, final_perm, 64 ) return cipher_text pt = "123456ABCD132536" key = "AABB09182736CCDD" # Key generation # --hex to binary key = hex2bin(key) # --parity bit drop table keyp = [ 57 , 49 , 41 , 33 , 25 , 17 , 9 , 1 , 58 , 50 , 42 , 34 , 26 , 18 , 10 , 2 , 59 , 51 , 43 , 35 , 27 , 19 , 11 , 3 , 60 , 52 , 44 , 36 , 63 , 55 , 47 , 39 , 31 , 23 , 15 , 7 , 62 , 54 , 46 , 38 , 30 , 22 , 14 , 6 , 61 , 53 , 45 , 37 , 29 , 21 , 13 , 5 , 28 , 20 , 12 , 4 ] # getting 56 bit key from 64 bit using the parity bits key = permute(key, keyp, 56 ) # Number of bit shifts shift_table = [ 1 , 1 , 2 , 2 , 2 , 2 , 2 , 2 , 1 , 2 , 2 , 2 , 2 , 2 , 2 , 1 ] # Key- Compression Table : Compression of key from 56 bits to 48 bits key_comp = [ 14 , 17 , 11 , 24 , 1 , 5 , 3 , 28 , 15 , 6 , 21 , 10 , 23 , 19 , 12 , 4 , 26 , 8 , 16 , 7 , 27 , 20 , 13 , 2 , 41 , 52 , 31 , 37 , 47 , 55 , 30 , 40 , 51 , 45 , 33 , 48 , 44 , 49 , 39 , 56 , 34 , 53 , 46 , 42 , 50 , 36 , 29 , 32 ] left = key[ 0 : 28 ] # rkb for RoundKeys in binary right = key[ 28 : 56 ] # rk for RoundKeys in hexadecimal for i in range ( 0 , 16 ): # Shifting the bits by nth shifts by checking from shift table left = shift_left(left, shift_table[i]) right = shift_left(right, shift_table[i]) # Combination of left and right string combine_str = left + right # Compression of key from 56 to 48 bits round_key = permute(combine_str, key_comp, 48 ) rkb.append(round_key) rk.append(bin2hex(round_key)) print ( "Encryption" ) cipher_text = bin2hex(encrypt(pt, rkb, rk)) print ( "Cipher Text : " , cipher_text) print ( "Decryption" ) rkb_rev = rkb[:: - 1 ] rk_rev = rk[:: - 1 ] text = bin2hex(encrypt(cipher_text, rkb_rev, rk_rev)) print ( "Plain Text : " , text) # This code is contributed by Aditya Jain
JavaScript
// Определете Des Key и Speatext
const key = “0123456789abcdef”;
const intaintext = “здравей, свят!”;
// Извършете Des Encryption
const des = нов DES (ключ);
const ciphertext = des.Encrypt (Speatext);
// Извършете декрипция на Des
const decrypted = des.Decrypt (Ciphertext);
// Резултати от печат
конзола.log (“Plaintext:”, Speatext);
конзола.log (“ciphertext:”, ciphertext);
конзола.log (“декриптиран:”, декриптиран);
// Определете Des Class
Конструктор (ключ) < // Initialize DES with key this .key = CryptoJS.enc.Hex.parse(key); encrypt(plaintext) < // Perform DES encryption on plaintext const encrypted = CryptoJS.DES.encrypt( // Return ciphertext as hex string return encrypted.ciphertext.toString(); decrypt(ciphertext) < // Parse ciphertext from hex string const ciphertextHex = CryptoJS.enc.Hex.parse(ciphertext); // Perform DES decryption on ciphertext const decrypted = CryptoJS.DES.decrypt( // Return decrypted plaintext as UTF-8 string return decrypted.toString(CryptoJS.enc.Utf8); Изход
Резултат:
Шифроване:
След първоначална пермутация: 14A7D67818CA18AD
След разделяне: L0 = 14A7D678 R0 = 18CA18AD
Кръг 1 18CA18AD 5A78E394 194CD072DE8C
Кръг 2 5A78E394 4A1210F6 4568581ABCCE
Кръг 3 4A1210F6 B8089591 06EDA4ACF5B5
4 кръг B8089591 236779C2 DA2D032B6EE3
Кръг 5 236779C2 A15A4B87 69A629FEC913
Кръг 6 A15A4B87 2E8F9C65 C1948E87475E
Кръг 7 2e8f9c65 A9FC20A3 708AD2DDB3C0
Кръг 8 A9FC20A3 308BEE97 34F822F0C66D
Кръг 9 308Bee97 10AF9D37 84BB4473DCCC
Кръг 10 10AF9D37 6CA6CB20 02765708B5BF
Кръг 11 6CA6CB20 FF3C485F 6D5560AF7CA5
Кръг 12 FF3C485F 22A5963B C2C1E96A4BF3
Кръг 13 22A5963B 387CCDAA 99C31397C91F
14 кръг 387CCDAA BD2DD2AB 251B8BC717D0
Кръг 15 BD2DD2AB CF26B472 3330C5D9A36D
Кръг 16 19BA9212 CF26B472 181C5D75C66D
Текст на шифър: C0B7A8D05F3A829C
Декриптиране
След първоначална пермутация: 19ba9212cf26b472
След разделяне: L0 = 19BA9212 R0 = CF26B472
Кръг 1 CF26B472 BD2DD2AB 181C5D75C66D
Кръг 2 BD2DD2AB 387CCDAA 3330C5D9A36D
3 кръг 387ccdaa 22a5963b 251b8bc717d0
Кръг 4 22A5963B FF3C485F 99C31397C91F
Кръг 5 FF3C485F 6CA6CB20 C2C1E96A4BF3
Кръг 6 6CA6CB20 10AF9D37 6D5560AF7CA5
Кръг 7 10AF9D37 308BEE97 02765708B5BF
Кръг 8 308Bee97 A9FC20A3 84BB4473DCCC
Кръг 9 A9FC20A3 2E8F9C65 34F822F0C66D
Кръг 10 2E8F9C65 A15A4B87 708AD2DDB3C0
Кръг 11 A15A4B87 236779C2 C1948E87475E
12 кръг 236779C2 B8089591 69A629FEC913
Кръг 13 B8089591 4A1210F6 DA2D032B6EE3
Кръг 14 4A1210F6 5A78E394 06EDA4ACF5B5
Кръг 15 5A78E394 18CA18AD 4568581ABCCE
Кръг 16 14a7d678 18ca18ad 194cd072de8c
Обикновен текст: 123456ABCD132536
Заключение
В заключение, стандартът за криптиране на данни (DES) е блок-шифър с 56-битова дължина на ключа, който играе значителна роля в сигурността на данните. Поради уязвимостите обаче нейната популярност е намаляла. DES действа чрез поредица от кръгове, включващи ключова трансформация, пермутация на разширяване и заместване, в крайна сметка произвеждайки шифротекст от Plaintext. Въпреки че DES има историческо значение, е от решаващо значение да се разгледат по -сигурни алтернативи за криптиране за съвременни нужди за защита на данните.
често задавани въпроси
Q.1 : Какво трябва да се счита за алтернатива на DES за криптиране на данните?
Отговор:
Q.2 : Как се генерира 48-битовият подчинен за всеки кръг в DES?
Отговор:
Последно актуализирано: 20 септември, 2023 г
Като статия
Стандарт за криптиране
Този стандарт поддържа и допълва политиките на технологиите на FSU и осигурява допълнителни най -добри практики за сигурност и поверителност. Той определя изискванията за използване на технологии за криптиране за защита на данните и ресурсите на FSU. Шифроването е процесът на кодиране на съобщения или информация, за да се защити данни или комуникация и може да се прилага към данни, които се съхраняват (в покой) или предавани (в транзит) през мрежи.
Спазването на този стандарт е задължително и се прилага по същия начин като политиките, които поддържа. Стандартите ще бъдат периодично преразглеждани и актуализирани, ако е необходимо, за да отговорят на възникващите заплахи, промените в правните и регулаторните изисквания и технологичния напредък. Всички потребители са длъжни да спазват този стандарт или да получат изключение в съответствие с искането за изключение от ИТ политиката за сигурност.
II. Дефиниции
Консолидирано университетско звено – Консолидирана група от свързани университетски звена, които имат управленски орган и отговорност за спазването на ИТ политиките, стандартите и насоките.
Инцидент със сигурност на информацията – заподозрян, опит за опит, успешна или непосредствена заплаха от неразрешен достъп, употреба, разкриване, нарушаване, промяна или унищожаване на информация; намеса в операциите по информационни технологии; или значително нарушение на политиката за отговорна употреба.
Iii. Стандарт
FSU прие рамката на NIST за подобряване на киберсигурността на критичната инфраструктура във връзка с контролите на NIST 800-53 като основа за подход, основан на риска към управлението на киберсигурността. Core Core Core Core (CSF) използва общи функции на киберсигурността, дейности и желани резултати, за да приведе в съответствие на университетската политика, за да се управлява рискът от ИТ. CSF Core използва стандартите, насоките и практиките на индустрията за установяване на основните очаквания за киберсигурност за всички университетски звена.
Университетските звена са отговорни за използването на тази рамка и контроли за оценка на техните уникални рискове, заплахи, уязвимости и толеранси на риска, за да се определи подходящ план за управление на риска, който отговаря на политиките, стандартите, стандартите и насоките на FSU.
Контролите, поддържащи този стандарт, включват, но не се ограничават до:
Рамка и контроли на NIST киберсигурност
(Подкатегория)
(PR)
Пълен CSF Crosshalk to Controls: NIST Crosswalk
*Горната диаграма на NIST, описваща рамката и контролите на киберсигурността, и връзката към други принципи и информация на NIST Crosswalk по никакъв начин не принадлежи или е собственост на държавния университет във Флорида.
Роли и отговорности
Главен служител по сигурността на информацията (CISO) и информационната служба за сигурност и поверителност (ISPO)
CISO насочва информационната служба за сигурност и поверителност (ISPO) за университета. CISO докладва на CIO и Provost и служи като CISO и главния директор за поверителност на FSU. CISO и ISPO са отговорни за прилагането на прилагането на подходящи оперативни контроли за сигурност, необходими за смекчаване на рисковете, свързани с неразрешено разкриване, загуба или кражба на университетска информация.
Декан, директор или ръководител на катедрата (DDDH)
Деканът, директорът, ръководител на отдела или друга управленска позиция, отговорна за защита на поверителността, наличността и целостта на Университетските ИТ активи в рамките на CUU. CUU DDDH носи отговорност за осигуряването на ИТ сигурност и поверителност на единиците в рамките на CUU.
Консолидирано университетско звено (CUU) Мениджър за сигурност на информацията (ISM)
Връзката, определена от декана, директор или ръководител на отдела CUU (DDDH), отговорна за координирането на програмата за информационна сигурност на CUU. CUU ISM е централната точка за контакт между университетските звена и ISPO за проблеми със сигурността. Cuu ISM отговорностите ще бъдат включени в описанията на позицията.
Университет мениджър за сигурност на информацията (ISM)
Връзката, определена от декан, директор или ръководител на катедрата (DDDH), отговорен за осигуряването на спазването на политиките, стандартите и указанията на Университетското звено с определената програма за сигурност на информационната сигурност на CUU на CUU на CUU на CUU на CUU.
Попечител на данни
Деканът, директор, ръководител на отдел или друг мениджър, който в крайна сметка е отговорен за целостта, точното отчитане и използване на университетските ресурси за данни въз основа на Стандарт за сигурност на данните.
Мениджър на данни
Служител (ите) на Университета делегиран оперативен надзор Отговорността за ресурси за данни от пазител на данните.
Класификация на данните
Повдигателите на данни са отговорни за класифицирането на всички данни, за които са отговорни според изискванията на стандарта за сигурност на данните. Класификацията на данните определя основните защити на сигурността и контролите, които са подходящи и необходими за защита на поверителността, целостта и наличието на данни, включително стандартите за минимална сигурност, приложими за криптиране на всички институционални данни, достъпили, създадени, съхранявани, обработени или предавани.
Потребителите трябва да проявяват предпазливост, за да защитят и защитят FSU данни, устройства и преносими носители за съхранение.
Автоматично криптиране
Одобрени от FSU мрежови/облачни акции (E.g. OneDrive, SharePoint) Осигурете автоматично криптиране и сигурно съхранение, когато се използва. Потребителите, които избират да не използват мрежови акции, са отговорни за изпълнението на всички изисквания за криптиране, както е дефинирано от този стандарт. За повече информация вижте Насоки за използване на лични облачни услуги (FSU.Еду).
Управление на ключове
За да се предотврати загубата на данни, ключовите процеси на управление трябва да бъдат въведени и документирани преди криптиране на данни в покой. ISMS от CUU и University са отговорни за гарантирането, че единици и лица обработват, поддържат, съхраняват или предават криптирани високорискови или умерени рискови данни, спазвайки документиран план за управление на криптографски ключове, който защитава създаването, използването, дистрибуцията, съхранението и Възстановяване на криптографски ключове. Ефективното управление на ключовете е от решаващо значение за предотвратяване на неправомерно разкриване и осигуряване на достъп до данни, когато е необходимо. Ако ключът е загубен, е много вероятно данните на устройството да не могат да бъдат възстановени, особено ако няма други копия на наличните данни.
Криптографските ключове са вид информация за ИТ сигурността, класифицирана като данни с висок риск, и сами трябва да бъдат криптирани, докато се съхраняват. Ключовете трябва да се съхраняват отделно от криптирани данни. Ключовете, съхранявани на физическа среда (хартия, CD, флаш съхранение), трябва да останат постоянно заключени на защитено място.
Шифроване на данни в покой
Шифроването на данни в покой означава криптиране на данни, когато се съхраняват на сървър или носител за съхранение. Има два начина за криптиране на данни в покой.
Подходящият метод за криптиране трябва да бъде избран въз основа на класификацията на данните и типа на устройството. CUU и University Unit ISMS са отговорни за осигуряването на сигурни конфигурации и изпълнение на следните изисквания за криптиране в рамките на техните звена:
маса 1. Изисквания за криптиране за данни в покой
Данните, съхранявани на устройствата за центрове за данни, също са обхванати от изискванията на стандарта за ИТ физическа сигурност.
Трябва да се полагат допълнителни грижи на сигурността на преносимите медии и са ограничени до целите, свързани с работата, за архивиране или съхранение.
Шифроване на данни при транзит
Необходимо е криптиране на данни при транзит, за да се намали рискът от прихващани или наблюдавани некриптирани данни, тъй като се предава в надеждни или ненадеждни мрежи. Неразрешеният достъп може да застраши поверителността на чувствителните институционални данни. CUU и University Unit ISMS са отговорни за осигуряването на следните изисквания за криптиране в рамките на единиците, които са отговорни:
Таблица 2. Изисквания за криптиране за данни в транзит
По -долу са примери за често използвани технологии, които предоставят криптиране на данни при транзит.
Виртуална частна мрежа (VPN): Потребителите, пътуващи по университетския бизнес или които трябва да имат достъп до мрежата на FSU и всякакви данни от университета с висок риск или умерен риск от не-универсалност или обществена мрежа, трябва да влязат във виртуалната частна мрежа на FSU. Освен това позволява достъп до приложения или данни, които изискват връзка в кампуса. За повече информация вижте неговия каталог на услугите – VPN.
Сигурен уеб трафик (HTTPS): HTTPS е протокол, който криптира трафика между уеб браузър и уеб-базирано приложение. Единиците трябва да използват услуга за сертификати, предоставена от университета. Вижте каталога на ИСС за услугите си за неговия сервизен каталог – Enterprise SSL.
Сигурност на транспортен слой (TLS): TLS е криптографски протокол, който осигурява комуникация от край до край през мрежи и се използва широко за интернет комуникации и онлайн транзакции.
Докладване на инциденти
Инциденти се случват, когато студент, служител, служител или преподавател на FSU нарушава този стандарт, специфични законови изисквания или договорни задължения. Отговорност на всеки студент, служител, изпълнител или преподавател е незабавно незабавно да съобщава за заподозрени или потвърдени инциденти за сигурност и поверителност на главния служител по сигурността на информацията (CISO) в Security@FSU.Еду. CUU ISM или университетско звено ISM трябва да информира CISO за заподозрени или потвърдени инциденти в рамките на 24 часа. Вижте стандарта за отговор на ИТ инциденти за повече информация.
IV. Препратки