ЗАЩИТА ДАННЫХ
21 февраля АО "ДиалогНаука" сообщило о том, что в новых версиях ADinf для DOS и Windows значительно усилены алгоритмы контроля целостности данных. Эти усовершенствования направлены на то, чтобы расширить возможности программы как профессионального средства контроля за сохранностью хранимой на жестких дисках информации.
В новых версиях без изменений остались алгоритмы контроля целостности файлов по их размеру. При расчете же CRC (циклический код коррекции) вместо старой 14-разрядной суммы использованы 16- и 32-разрядные суммы, вычисляемые по стандартным алгоритмам CRC16 и CRC32. При этом, по желанию пользователя, контрольные суммы могут вычисляться как по всему файлу, так и по отдельным критичным фрагментам, характерным для вирусных вторжений (использование так называемых быстрых сумм значительно увеличивает скорость проверки).
Кроме того, объявлено о выходе в свет специальной версии ревизора ADinf Pro, которая предназначена для контроля за сохранностью особо важной информации и, помимо указанных выше способов, осуществляет расчет 64-разрядных контрольных сумм LAN64 по хэш-функции, разработанной российской фирмой "ЛАН Крипто".
Так как проблемы контроля данных весьма актуальны для корпоративных клиентов, наш спец. корреспондент Владимир Митин попросил руководителя антивирусного отдела АО "ДиалогНаука" Юрия Лященко и разработчика ADinf Дмитрия Мостового ответить на ряд вопросов.
PC Week: ADinf и раньше осуществлял контроль целостности информации. Неужели были случаи, когда он не реагировал на ее изменение?
Ю. Лященко: Нам неизвестны случаи, когда прежние версии нашего ревизора пропускали бы несанкционированную модификацию данных. Но ранее ADinf не был предназначен для контроля за ответственной информацией, которая могла бы быть изменена не только вирусом, но и злоумышленником. Проверка лишь по старой, 14-разрядной сумме не гарантировала от преднамеренной модификации данных с сохранением CRC. Новые 32- и 64-разрядные суммы существенно затрудняют такую преднамеренную модификацию.
PC Week: Насколько сильно новые алгоритмы изменяют время контроля целостности данных?
Д. Мостовой: При использовании быстрых сумм время контроля сильно зависит как от числа исполнимых файлов на диске, так и от их длины и структуры. Но можно говорить об ускорении примерно в 3 - 5 раз. Скажем, для гигабайтного диска расчет полных сумм занимает минуты три, а быстрых - меньше минуты.
Разница в скорости подсчета CRC16 и CRC32 практически отсутствует. И две такие полные суммы нужны только для того, чтобы своим разнообразием хоть немного усложнить жизнь злоумышленникам от программирования.
Время вычисления LAN64 примерно на 10 - 20% больше, чем время подсчета CRC16/32. В данном случае платой за надежность хранения данных является не столько скорость, сколько необходимость покупать специальную версию (ADinf Pro), которая, естественно, дороже стандартной.
PC Week: Трудно ли модифицировать данные таким образом, чтобы изменения не повлияли на значение контрольных сумм?
Д. Мостовой: Теоретически понятно, что чем больше разрядность, тем больше времени нужно на подбор незаметных изменений. В этом смысле надежность CRC16 в четыре раза выше, чем надежность 14-разрядной суммы, а надежность CRC32 в 216 раза выше, чем надежность CRC16.
Но дело в том, что с такими известными суммами, как CRC16 и CRC32, вопрос подделки решается не перебором вариантов, а алгоритмически, и поэтому времени на противоправные действия надо не так уж и много. В этом смысле и CRC16, и CRC32 одинаково беззащитны перед злоумышленником. Для обоих видов CRC существуют алгоритмы вычисления байтов, сохраняющих неизменную сумму.
Теперь о надежности обнаружения случайных изменений. В случае использования CRC16 изменение будет пропущено с вероятностью чуть ниже 1/16 000. Грубо говоря, один файл из
16 000 может измениться незаметно. Это вполне реальная угроза! Но уже CRC32 дает вероятность 1/250 000 000. И такой вероятностью уже можно было бы пренебречь, если не опасаться злого умысла.
Другое дело - алгоритм расчета LAN64 (хэш-функция). Он настолько хитроумен, что злоумышленнику просто невозможно алгоритмически рассчитать нужные изменения, не приводящие к изменению суммы. Поэтому остается только перебор вариантов, а вот тут-то разрядность суммы имеет принципиальное значение! Для файла, находящегося под контролем LAN64, подобрать путем перебора "незаметные модификации" за разумно обозримое время просто невозможно.
PC Week: Спасибо за беседу.
С АО "ДиалогНаука" можно связаться по телефону: (095) 137-0150. Адрес Web-сервера: http://www.dials.ru.