По уровню эталонной модели iso/osi, на котором осуществляется воздействие

      Комментарии к записи По уровню эталонной модели iso/osi, на котором осуществляется воздействие отключены
  • физический (класс 6.1)
  • канальный (класс 6.2)
  • сетевой (класс 6.3)
  • транспортный (класс 6.4)
  • сеансовый (класс 6.5)
  • представительный (класс 6.6)
  • прикладной (класс 6.7)

Вопрос 9 Криптография необходима для реализации, по крайней мере, трех сервисов безопасности:

  • шифрование;
  • контроль целостности;
  • аутентификация (этот сервис был рассмотрен нами ранее).

Шифрование – наиболее мощное средство обеспечения конфиденциальности. Во многих отношениях оно занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них, и в то же время последним (а подчас и единственным) защитным рубежом.

Различают два основных метода шифрования: симметричный и асимметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для зашифрования, и для расшифрования данных

Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это создает новую проблему распространения ключей. С другой стороны, получатель на основании наличия зашифрованного и расшифрованного сообщения не может доказать, что он получил это сообщение от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать самостоятельно.

Существенным недостатком асимметричных методов шифрования является их низкое быстродействие, поэтомуданные методы приходится сочетать с симметричными (асимметричные методы на 3 – 4 порядка медленнее). Так, для решения задачи эффективного шифрования с передачей секретного ключа, использованного отправителем, сообщение сначала симметрично зашифровывают случайным ключом, затем этот ключ зашифровывают открытымасимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.

Определенное распространение получила разновидность симметричного шифрования, основанная на использовании составных ключей. Идея состоит в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить расшифрование. Порядок работы с составными ключами – хороший пример следования принципу разделения обязанностей. Он позволяет сочетать права на разного рода тайны (персональную, коммерческую) с возможностью эффективно следить за нарушителями закона, хотя, конечно, здесь очень много тонкостей и технического, и юридического плана.

Вопрос 10 Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких как поток сообщений); определять подлинность источника данных; гарантировать невозможность отказаться от совершенных действий (неотказуемость).

В основе криптографического контроля целостности лежат два понятия:

  • хэш-функция;
  • электронная цифровая подпись (ЭЦП).

Хэш-функция – это труднообратимое преобразование данных (односторонняя функция ), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.

бозначим хэш-функцию через h, исходные данные – через T, проверяемые данные – через T’. Контроль целостности данных сводится к проверке равенства h(T’) = h(T). Если оно выполнено, считается, что T’ = T

Рассмотрим теперь применение асимметричного шифрования для выработки и проверки электронной цифровой подписи. Пусть E(T) обозначает результат зашифрования текста T с помощью открытого ключа, а D(T) – результат расшифрования текста Т (как правило, шифрованного) с помощью секретного ключа. Чтобы асимметричный метод мог применяться для реализации ЭЦП, необходимо выполнение тождества

При использовании асимметричных методов шифрования (и, в частности, электронной цифровой подписи) необходимо иметь гарантию подлинности пары (имя пользователя, открытый ключ пользователя). Для решения этой задачи в спецификациях X.509 вводятся понятия цифрового сертификата и удостоверяющего центра.

Удостоверяющий центр – это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов, имеющих следующую структуру:

  • порядковый номер сертификата;
  • идентификатор алгоритма электронной подписи;
  • имя удостоверяющего центра;
  • срок годности;
  • имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
  • открытые ключи владельца сертификата (ключей может быть несколько);
  • идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
  • электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра(подписывается результат хэширования всей информации, хранящейся в сертификате).

Цифровые сертификаты обладают следующими свойствами:

  • любой пользователь, знающий открытый ключ удостоверяющего центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата;
  • никто, кроме удостоверяющего центра, не может модифицировать информацию о пользователе без нарушения целостности сертификата.

В частности, оговаривается, что пары ключей могут порождаться любым из следующих способов:

  • ключи может генерировать сам пользователь.
  • ключи генерирует доверенное лицо.;
  • ключи генерируются удостоверяющим центром..

Вопрос 11 Экранирование

Основные понятия

Формальная постановка задачиэкранирования, состоит в следующем. Пусть имеется два множества информационных систем. Экран – это средстворазграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу перебросить за экран.

Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС организ Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически.ации Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). Межсетевой экран – идеальное место для встраивания средств активного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно Отметим также следующие дополнительные возможности межсетевых экранов:

  • контроль информационного наполнения (антивирусный контроль на лету, верификация Java-апплетов, выявление ключевых слов в электронных сообщениях и т.п.);
  • выполнение функций ПО промежуточного слоя.

Статьи к прочтению:

Обзор Санпропускников на Пище…


Похожие статьи: