Занятие 3. Microsoft Cryptography API
(Продолжительность занятия 10 минут)
Криптографический API Microsoft (Microsoft CryptoAPI) предназначен для защиты информации в глобальной сетевой корпоративной среде. В наше время фирмы часто пересылают важную и конфиденциальную информацию по незащищенным каналам связи — например, контракты по факсу, заказы на покупку и продажу по электронной почте и т.п. Microsoft CryptoAPI гарантирует защиту конфиденциальных сведений при передаче по открытым каналам.
Средства криптографии позволяют зашифровать сообщения для их пересылки и хранения. Криптографию также используют для шифрования файлов, чтобы защитить их от несанкционированного доступа. На этом занятии Вы узнаете о роли CryptoAPI при обеспечении конфиденциальности информации и аутентификации в открытых сетях.
Реализация в приложениях
Cryptography API позволяет разработчикам встраивать в приложения Win32 средства аутентификации и шифрования. Вы можете пользоваться функциями CryptoAPI, ничего не зная об их устройстве, точно также, как Вы работаете с графической библиотекой, не имея представления о текущей конфигурации графических устройств. Спектр приложений, нуждающихся в применении CryptoAPI весьма широк, например:
Конфиденциальность
Защита передаваемой информации в открытых сетях подразумевает решение двух основных задач: обеспечение конфиденциальности данных и аутентификацию.
В результате шифрования данных открытый текст сообщения преобразуется в кажущуюся случайной последовательность символов. Сообщением может быть письмо, файл базы данных или любая другая информация, нуждающаяся в безопасном хранении или передаче. Зашифрованный текст очень трудно вернуть в исходное состояние, не зная ключа.
Шифрование и дешифровка
Это довольно простые процессы (рис. 11.3). Для шифрования сообщения применяется ключ, как для запирания замка. Ключ нужен и для обратного действия. Отметим, что ключи для шифрования и расшифровки могут быть одинаковыми или разными.
Рис. 11.3 Процесс шифрования и расшифровки
Один из основных аспектов защиты — надежное хранение ключей шифрования и их передача другим пользователям. Еще важнее ограничить доступ к ключу расшифровки, так как любой, кто получит его, сможет прочитать все сообщения, зашифрованные им.
Если сообщение зашифровано, его можно хранить на незащищенных носителях или передавать по незащищенным сетям. Позднее Вы восстановите исходный вид сообщения, расшифровав его.
Аутентификация
Чтобы обеспечить конфиденциальность, следует предоставить доступ к сообщению только лицам, которым оно адресовано. Для этого необходимо идентифицировать получателей (а часто и отправителя) сообщения. Один из методов идентификации — аутентификация, наиболее популярный способ — использование сертификатов. Сертификат — это набор сведений, полностью идентифицирующих субъект (человека, Web-узел и т.д.). Принадлежность сертификата конкретному субъекту гарантирует выдавшая его сертифицирующая организация.
Цифровые подписи
Цифровые подписи подтверждают, что сообщение в действительности отправлено указанным лицом и что оно не подвергалось стороннему вмешательству. Подпись не изменяет содержимое сообщения; это просто цифровой штамп, который встроен в сообщение или передается отдельно от него.
Резюме
Microsoft Cryptography API — это интерфейс для доступа к криптографическим службам. Он позволяет снабдить Win32-приложения средствами шифрования и аутентификации, обеспечивающими безопасную передачу важной информации по открытым каналам. Конфиденциальность и аутентификация — важнейшие составляющие безопасной передачи информации. Первая обеспечивается шифрованием сообщения, то есть его представлением в виде последовательности случайных символов. Для расшифровки такого сообщения требуется ключ. Аутентификация позволяет ограничить круг лиц, которым разрешено прочесть сообщение. Для аутентификации сообщений используют цифровые подписи, позволяющие проверить, действительно ли сообщение пришло от указанного автора и не подвергалось ли оно стороннему вмешательству.