Вопрос 2. Протокол обмена в системе с сигнатурой
Билет 12.
Вопрос 1. Схема с разделением секрета. Неопределенный множитель Лагранжа
данная схема не защищает от мошенничества со стороны владельцев секретов, а также не защищает от мошенников, выдающих себя за тех, кто владеет секретом.
Идея схемы заключается в том, что двух точек достаточно для задания прямой, трех точек — для задания параболы, четырех точек — длякубической параболы, и так далее. Чтобы задать многочлен степени требуется точек.
Если мы хотим разделить секрет таким образом, чтобы восстановить его могли только человек, мы «прячем» его в формулу -мерного многочлена. Восстановить этот многочлен можно по точкам. Количество же различных точек многочлена не ограничено (на практике оно ограничивается размером числового поля, в котором ведут=ся расчёты).
Пример
Пусть нужно разделить секрет «11» между 5-ю сторонами. При этом любые 3 стороны должны иметь возможность восстановить этот секрет. То есть нужно реализовать -пороговую схему.
Возьмём простое число . Построим многочлен степени :
В этом многочлене — это разделяемый секрет, а остальные коэффициенты 7 и 8 — некоторые случайные числа, которые нужно будет «забыть» после того, как процедура разделения секрета будет завершена.
Теперь вычисляем координаты 5 различных точек:
После этого секреты (вместе с их номером, числом и степенью многочлена ) раздаются сторонам. Случайные коэффициенты и сам секрет «забываются».
Теперь любые 3 участника смогут восстановить многочлен и все его коэффициенты, включая последний из них — разделённый секрет. Например, чтобы восстановить многочлен по трём долям им нужно будет решить систему:
Очевидно, что с меньшим числом известных секретов получится меньше уравнений и систему решить будет нельзя (даже полным перебором решений).
Построим интерполяционный многочлен Лагранжа:
Последний коэффициент многочлена — — и является секретом.
Вопрос 2. Реализация хэш- функций для ЭЦП. Требования к хэш- функциям. Варианты построения базовых узлов хэш-функций
Нi = Emi-1 (Мi) + Мi
Реализация схемы ЭЦП связана с вычислением хэш-функции (дайджеста) данных, которая представляет собой уникальное число, полученное из исходных данных путем его сжатия (свертки) с помощью сложного, но известного алгоритма. Хэш-функция является однонаправленной функцией, т. е. по хэш-значению невозможно восстановить исходные данные. Хэш-функция чувствительна к всевозможным искажениям данных. Кроме того, очень трудно отыскать два набора данных, обладающих одним и тем же значением хэш-функции [6].
Требования к хэш-функциям
Хэш-функцией называется односторонняя функция, предназначенная для получения дайджеста или "отпечатков пальцев" файла, сообщения или некоторого блока данных.
Хэш-код создается функцией Н:
h = H (M)
Где М является сообщением произвольной длины и h является хэш-кодомфиксированной длины.
Рассмотрим требования, которым должна соответствовать хэш-функция для того, чтобы она могла использоваться в качестве аутентификатора сообщения. Рассмотрим очень простой пример хэш-функции. Затем проанализируем несколько подходов к построению хэш-функции.
Хэш-функция Н, которая используется для аутентификации сообщений, должна обладать следующими свойствами:
- Хэш-функция Н должна применяться к блоку данных любой длины.
- Хэш-функция Н создает выход фиксированной длины.
- Н (М) относительно легко (за полиномиальное время) вычисляется для любого значения М.
- Для любого данного значения хэш-кода h вычислительно невозможно найти M такое, что Н (M) = h.
- Для любого данного х вычислительно невозможно найти , что H (y) = H (x).
- Вычислительно невозможно найти произвольную пару (х, y) такую, что H (y) = H (x).
Первые три свойства требуют, чтобы хэш-функция создавала хэш-код для любого сообщения.
Четвертое свойство определяет требование односторонности хэш-функции: легко создать хэш-код по данному сообщению, но невозможно восстановить сообщение по данному хэш-коду. Это свойство важно, если аутентификация с использованием хэш-функции включает секретное значение. Само секретное значение может не посылаться, тем не менее, если хэш-функция не является односторонней, противник может легко раскрыть секретное значение следующим образом. При перехвате передачи атакующий получает сообщение М и хэш-код С = Н (SAB || M). Если атакующий может инвертировать хэш-функцию, то, следовательно, он может получить SAB || M = H-1 (C). Так как атакующий теперь знает и М и SAB || M, получить SAB совсем просто.
Пятое свойство гарантирует, что невозможно найти другое сообщение, чье значение хэш-функции совпадало бы со значением хэш-функции данного сообщения. Это предотвращает подделку аутентификатора при использовании зашифрованного хэш-кода. В данном случае противник может читать сообщение и, следовательно, создать его хэш-код. Но так как противник не владеет секретным ключом, он не имеет возможности изменить сообщение так, чтобы получатель этого не обнаружил . Если данное свойство не выполняется, атакующий имеет возможность выполнить следующую последовательность действий: перехватить сообщение и его зашифрованный хэш-код, вычислить хэш-код сообщения, создать альтернативное сообщение с тем же самым хэш-кодом, заменить исходное сообщение на поддельное. Поскольку хэш-коды этих сообщений совпадают, получатель не обнаружит подмены.
Хэш-функция, которая удовлетворяет первым пяти свойствам, называется простой или слабой хэш-функцией . Если кроме того выполняется шестое свойство, то такая функция называется сильной хэш-функцией. Шестое свойство защищает против класса атак, известных как атака " день рождения ".
Функции хеширования делятся на два типа:
· вычисляемые без ключа;
· вычисляемые с ключом.
Отличаются они тем, что для первого типа принципиально достаточно только входного текста, для второго типа на вход функции хеширования подается так же некий ключ, с тем условием, что при одинаковых входных текстах и разных ключах получается разный хеш (разное значение хеш‑функции).
Значение хеша используется в основном двух целях:
· для выработки и проверки ЭЦП;
· для проверки целостности переданных данных (только для хеш вычисляемые с ключом).
Однонаправленная функция H(M) применяется к сообщению произвольной длины M и возвращает значение фиксированной длины h: h = H(M), где h имеет длину m.
Многие функции позволяют вычислять значение фиксированной длины по входным данным произвольной длины, но у однонаправленных хэш-функций есть дополнительные свойства, делающие их однонаправленными:
· Зная M, легко вычислить h.
· Зная H, трудно определить M, для которого H(M)=h.
· Зная M, трудно определить другое сообщение, M', для которого H(M)= H(M').
В некоторых приложениях однонаправленности недостаточно, необходимо выполнение другого требования, называемого устойчивостью к столкновениям.Должно быть трудно найти два случайных сообщения, M и M', для которых H(M)= H(M').
Следующий протокол, впервые описанный Гидеоном Ювалом (Gideon Yuval), показывает, как, если предыдущее требование не выполняется, Алиса может использовать вскрытие методом дня рождения для обмана Боба.
(1) Алиса готовит две версии контракта: одну, выгодную для Боба, и другую, приводящую его к банкротству
(2) Алиса вносит несколько незначительных изменений в каждый документ и вычисляет хэш-функции. (Этими изменениями могут быть действия, подобные следующим: замена ПРОБЕЛА комбинацией ПРОБЕЛ-ЗАБОЙ-ПРОБЕЛ, вставка одного-двух пробелов перед возвратом каретки, и т.д. Делая или не делая по одному изменению в каждой из 32 строк, Алиса может легко получить 232 различных документов.)
(3) Алиса сравнивает хэш-значения для каждого изменения в каждом из двух документов, разыскивая пару, для которой эти значения совпадают. (Если выходом хэш-функции является всего лишь 64-разрядное значение, Алиса, как правило, сможет найти совпадающую пару сравнив 232 версий каждого документа.) Она восстанавливает два документа, дающих одинаковое хэш-значение.
(4) Алиса получает подписанную Бобом выгодную для него версию контракта, используя протокол, в котором он подписывает только хэш-значение.
(5) Спустя некоторое время Алиса подменяет контракт, подписанный Бобом, другим, который он не подписывал. Теперь она может убедить арбитра в том, что Боб подписал другой контракт.
Это заметная проблема. (Одним из советов является внесение косметических исправлений в подписываемый документ.)
При возможности успешного вскрытия методом дня рождения, могут применяться и другие способы вскрытия. Например, противник может посылать системе автоматического контроля (может быть спутниковой) случайные строки сообщений со случайными строками подписей. В конце концов, подпись под одним из этих случайных сообщений окажется правильной. Враг не сможет узнать, к чему приведет эта команда, но, если его единственной целью является вмешательство в работу спутника, он своего добьется.
Не легко построить функцию, вход которой имеет произвольный размер, а тем более сделаьть ее однонаправленной. В реальном мире однонаправленные хэш-функции строятся на идее функции сжатия. Такая однонаправленная функция выдает хэш-значение длины n при заданных входных данных большей длины m. Входами функции сжатия являются блок сообщения и выход предыдущего блока текста (см. Рис. 3.1). Выход представляет собой хэш-значение всех блоков до этого момента. То есть, хэш-значение блока Mi равно hi = f(Mi, hi-1)
Это хэш-значение вместе со следующим блоком сообщения становится следующим входом функции сжатия. Хэш-значением всего сообщения является хэш-значение последнего блока.
Рис. 3.1. - Однонаправленная функция
Билет №14.
Вопрос 1. Протокол обмена закрытыми ключами в сети с общим центром распределения ключей. (Ранее)
Вопрос 2. Условие абсолютной секретности. Классы стойкости. Шифр Вижинера (примеры).
Система шифрования называется абсолютно секретной, если для любых слов распределение случайной величины совпадает с распределением случайной величины . При этом - равновероятно выбирается из набора ключей .
Установлено, что для абсолютной секретности, ключ системы шифрования должен обладать следующими свойствами:
§ быть абсолютно случайным,
§ использоваться ровно один раз,
§ его длина должна быть не меньшей чем длина передаваемого сообщения.
Существует два типа
стойкости: теортическая (математическая) и практическая. Эти
концепции были предложены в классической работе Шеннона (Shannon,
1949). Термин "практическая стойкость" не означает, что
определение не является математически строгим. Стойкость обоих
типов стойкости в следующем. Теоретическая стойкость основана на
факте, что криптосистема моделируется некоторым формальным
объектом, и для этой модели формулируются определенные условия
невозможности раскола криптосистемы посторонним лицом. Обычно
полагается, что доступная злоумышленнику информация должна быть
недостаточной для определения открытого текста, даже если
информация о криптосистеме несекретна. В качестве меры
практической стойкости мы принимаем работу, т.е. число операций
или временную сложность определения открытой информации
посторонним лицом, либо средние значения этих характеристик над
множеством всех открытых текстов. В этом случае цель состоит в
получении максимальной сложности задачи несанкционированного
дешифрования. Следует отметить, что существует два подхода к
построению практически стойких шифров. В первом случае строится
криптосистема, и затем показывается, что ее раскол является
сложной задачей. Во втором случае выбирается некоторая сложная
математическая задача, и затем строится соответствующая
криптосистема, чей раскол эквивалентен решению этой задачи.
Шифр Виженера состоит из последовательности нескольких шифров Цезаря с различными значениями сдвига. Для зашифровывания может использоваться таблица алфавитов, называемая tabula recta или квадрат (таблица) Виженера.
Билет №15.
Вопрос1. Протокол обмена ключами Диффи- Хэлмана. Атака с прерыванием связи между станциями А и В и имитацией станции А. (Ранее)
Вопрос 2. Финансовая криптография Протокол 4
Билет №16
Вопрос 1. Атака на протокол RSA с неправильной последовательность шифрования и подписывания
Данный протокол рекомендован МККТТ, рекомендация Х.509. Дефект протокола состоит в неправильном порядке операции шифрования и подписывания: правильно сначала подписать, затем шифровать. В формальной записи протокола применяются следующие обозначения:
М - передаваемое сообщение от А к В;
Сb- шифрованноеА сообщение М на ключеeb получателя В;
Сba - сообщение Сb, подписанное А на ключе d отправителя А.
Предполагается, что nb<n. Обоснование последних двух равенств состоит в следующих преобразованиях:
Атака1. Некоторый пользователь Х (нарушитель) перехватывает сообщение (Рис.5), снимает ЭЦП пользователя А, пользуясь открытым ключом (n, e).
Рис.5
Полученное шифрованное сообщение Сb он подписывает на своем секретном ключе dx, тем самым присваивая себе авторство на сообщение М. Получив сообщение , пользователь В снимает подпись Х с помощью открытого ключа (nx, ex), расшифровывает на своем секретном ключе db и выделяет сообщение М, которое считает сообщением от Х, но не от А, если само сообщениеМ не содержит признаков А.
Замечание: если n=nb, то операции шифрования и подписывания становятся перестановочными, так что снятие ЭЦП становится возможным при любом порядке этих операций.
Вопрос 2. Криптоузел в схеме DES
Билет №17.
Вопрос 1. Протокол шифрования Отвэй- Рис. Атака на протокол
Протокол Отвэй-Риса практически не используется начиная с 1987 года, но он важен с исторической точки зрения. Аналогично протоколу Нидхейма-Шредера, в нем не требуют синхронизации часов, но и он не лишен недостатков.
Как и ранее, два пользователя пытаются достигнуть договоренности о ключе через посредничество центра доверия S. Здесь участвуют числовые вставки и свидетельствуя о свежести всех шифрованных компонентах сообщений. Кроме того, числовая вставка М связывает сообщения одного сеанса между собой. Протокол Отвэй-Риса короче протокола Нидхейма-Шредера, поскольку он состоит только из четырех сообщений. Однако эти сообщения выглядят совсем по-другому. Как и прежде, центр доверия генерирует ключ для двух пользователей.
Рис. 6.3. Протокол Отвэй-Prtca
Протокол Отвэй-Риса состоит из следующих этапов (рис. 6.3):
Поскольку протокол не использует ключ для шифрования сообщений, ни одна из сторон не представляет, известен ли этот ключ другому участнику. Подчеркивая эту особенность, говорят, что протокол Отвэй-Риса не содержит подтверждения ключа. Посмотрим, что знают договаривающиеся стороны. А понимает, что В послал сообщение, содержащее числовую вставку в новизне которой
пользователь А уверен, поскольку именно он был ее создателем. Следовательно, свое письмо В тоже должен был послать недавно. С другой стороны, сервер уведомляет участника В о числовой вставке, включенной в сообщение клиентом A, но у В нет никаких оснований полагать, что полученное им послание не было повторением старого сообщения.
Вопрос 2. Реализация хэш- функций для ЭЦП. Требования к хэш- функциям. Варианты построения базовых узлов хэш-функций.
Нi = Emi-1 (Мi+Мi-1) + Мi + Мi-1
Ранее…
Билет №18.
Вопрос 1. Виды аутентификации, авторизации, аудита.
Аутентификация
Аутентификация (authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Термин «аутентификация» в переводе с латинского означает «установление подлинности». Аутентификацию следует отличать от идентификации. Идентификаторы пользователей используются в системе с теми же целями, что и идентификаторы любых других объектов, файлов, процессов, структур данных, но они не связаны непосредственно с обеспечением безопасности. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.
В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона — аутентификатор — проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности используются самые разнообразные приемы:
§ аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета: слова (пароля) или факта (даты и места события, прозвища человека и т. п.);
§ аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта;
§ аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.
Сетевые службы аутентификации строятся на основе всех этих приемов, но чаще всего для доказательства идентичности пользователя используются пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, а во-вторых, возможность «подслушивания» пароля путем анализа сетевого трафика. Для снижения уровня угрозы от раскрытия паролей администраторы сети, как правило, применяют встроенные программные средства для формирования политики назначения и использования паролей: задание максимального и минимального сроков действия пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких неудачных попыток логического входа и т. п. Перехват паролей по сети можно предупредить путем их шифрования перед передачей в сеть.
Легальность пользователя может устанавливаться по отношению к различным системам. Так, работая в сети, пользователь может проходить процедуру аутентификации и как локальный пользователь, который претендует на использование ресурсов только данного компьютера, и как пользователь сети, который хочет получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, которые автономно обрабатываются операционной системой, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) передаются на сервер, который хранит учетные записи обо всех пользователях сети. Многие приложения имеют свои средства определения, является ли пользователь законным. И тогда пользователю приходится проходить дополнительные этапы проверки.
В качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные устройства, приложения, текстовая и другая информация. Так, например, пользователь, обращающийся с запросом к корпоративному серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации'. Здесь мы имеем дело с аутентификацией на уровне приложений. При установлении сеанса связи между двумя устройствами также часто предусматриваются процедуры взаимной аутентификации на более низком, канальном уровне. Примером такой процедуры является аутентификация по протоколам РАР и CHAP, входящим в семейство протоколов РРР. Аутентификация данных означает доказательство целостности этих данных, а также того, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи.
В вычислительных сетях процедуры аутентификации часто реализуются теми же программными средствами, что и процедуры авторизации. В отличие от аутентификации, которая распознает легальных и нелегальных пользователей, система авторизации имеет дело только с легальными пользователями, которые уже успешно прошли процедуру аутентификации. Цель подсистем авторизации состоит в том, чтобы предоставить каждому легальному пользователю именно те виды доступа и к тем ресурсам, которые были для него определены администратором системы.
Авторизация доступа
Средства авторизации (authorization) контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором. Кроме предоставления прав доступа пользователям к каталогам, файлам и принтерам система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п.
Система авторизации наделяет пользователя сети правами выполнять определенные действия над определенными ресурсами. Для этого могут быть использованы различные формы предоставления правил доступа, которые часто делят на два класса:
§ избирательный доступ;
§ мандатный доступ.
Избирательные права доступа реализуются в операционных системах универсального назначения. В наиболее распространенном варианте такого подхода определенные операции над определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами. Например, пользователю, имеющему идентификатор User_T, может быть разрешено выполнять операции чтения и записи по отношению к файлу Filet. Модификацией этого способа является использование для идентификации пользователей их должностей, или факта их принадлежности к персоналу того или иного производственного подразделения, или еще каких-либо других позиционирующих характеристик. Примером такого правила может служить следующее: файл бухгалтерской отчетности BUCH могут читать работники бухгалтерии и руководитель предприятия.
Мандатный подход к определению прав доступа заключается в том, что вся информация делится на уровни в зависимости от степени секретности, а все пользователи сети также делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации. Такой подход используется в известном делении информации на информацию для служебного пользования, «секретно», «совершенно секретно». При этом пользователи этой информации в зависимости от определенного для них статуса получают различные формы допуска: первую, вторую или третью. В отличие от систем с избирательными правами доступа в системах с мандатным подходом пользователи в принципе не имеют возможности изменить уровень доступности информации. Например, пользователь более высокого уровня не может разрешить читать данные из своего файла пользователю, относящемуся к более низкому уровню. Отсюда видно, что мандатный подход является более строгим, он в корне пресекает всякий волюнтаризм со стороны пользователя. Именно поэтому он часто используется в системах военного назначения.
Процедуры авторизации реализуются программными средствами, которые могут быть встроены в операционную систему или в приложение, а также могут поставляться в виде отдельных программных продуктов. При этом программные системы авторизации могут строиться на базе двух схем:
§ централизованная схема авторизации, базирующаяся на сервере;
§ децентрализованная схема, базирующаяся на рабочих станциях.
В первой схеме сервер управляет процессом предоставления ресурсов пользователю. Главная цель таких систем — реализовать «принцип единого входа». В соответствии с централизованной схемой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети. Система Kerberos с ее сервером безопасности и архитектурой клиент-сервер является наиболее известной системой этого типа. Системы TACACS и RADIUS, часто применяемые совместно с системами удаленного доступа, также реализуют этот подход.
При втором подходе рабочая станция сама является защищенной — средства защиты работают на каждой машине, и сервер не требуется. Рассмотрим работу системы, в которой не предусмотрена процедура однократного логического входа. Теоретически доступ к каждому приложению должен контролироваться
средствами безопасности самого приложения или же средствами, существующими в той операционной среде, в которой оно работает. В корпоративной сети администратору придется отслеживать работу механизмов безопасности, используемых всеми типами приложений — электронной почтой, службой каталогов локальной сети, базами данных хостов и т. п. Когда администратору приходится добавлять или удалять пользователей, то часто требуется вручную конфигурировать доступ к каждой программе или системе.
В крупных сетях часто применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети: сервер удаленного доступа ограничивает доступ пользователя к подсетям или серверам корпоративной сети, то есть к укрупненным элементам сети, а каждый отдельный сервер сети сам по себе ограничивает доступ пользователя к своим внутренним ресурсам: разделяемым каталогам, принтерам или приложениям. Сервер удаленного доступа предоставляет доступ на основании имеющегося у него списка прав доступа пользователя (Access Control List, ACL), а каждый отдельный сервер сети предоставляет доступ к своим ресурсам на основании хранящегося у него списка прав доступа, например ACL файловой системы.
Подчеркнем, что системы аутентификации и авторизации совместно выполняют одну задачу, поэтому необходимо предъявлять одинаковый уровень требований к системам авторизации и аутентификации. Ненадежность одного звена здесь не может быть компенсирована высоким качеством другого звена. Если при аутентификации используются пароли, то требуются чрезвычайные меры по их защите. Однажды украденный пароль открывает двери ко всем приложениям и данным, к которым пользователь с этим паролем имел легальный доступ.
Аудит
Аудит (auditing) — фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Подсистема аудита современных ОС позволяет дифференцирование задавать перечень интересующих администратора событий с помощью удобного графического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Аудит используется для того, чтобы засекать даже неудачные попытки «взлома» системы.
Учет и наблюдение означает способность системы безопасности «шпионить» за выбранными объектами и их пользователями и выдавать сообщения тревоги, когда кто-нибудь пытается читать или модифицировать системный файл. Если кто-то пытается выполнить действия, определенные системой безопасности для отслеживания, то система аудита пишет сообщение в журнал регистрации, идентифицируя пользователя. Системный менеджер может создавать отчеты о безопасности, которые содержат информацию из журнала регистрации. Для «сверхбезопасных» систем предусматриваются аудио- и видеосигналы тревоги, устанавливаемые на машинах администраторов, отвечающих за безопасность.
Поскольку никакая система безопасности не гарантирует защиту на уровне 100 %, то последним рубежом в борьбе с нарушениями оказывается система аудита.
Действительно, после того как злоумышленнику удалось провести успешную атаку, пострадавшей стороне не остается ничего другого, как обратиться к службе аудита. Если при настройке службы аудита были правильно заданы события, которые требуется отслеживать, то подробный анализ записей в журнале может дать много полезной информации. Эта информация, возможно, позволит найти злоумышленника или по крайней мере предотвратить повторение подобных атак путем устранения уязвимых мест в системе защиты.
Вопрос 2. Аутентификация и шифрование на основе RSA
Билет №19
Вопрос 1. Схема с разделением секрета.
В криптографии под разделением секрета (англ. Secret sharing) понимают любой метод распределения секрета среди группы участников, каждому из которых достается доля секрета (англ. shadow). Секрет потом может воссоздать только коалиция участников.
Пороговая схема
В отличие от процедуры разбиения секрета, в процедуре разделения секрета количество долей, которые нужны для восстановления секрета, может отличаться от того, на сколько долей мы разделили секрет. Такая схема носит названия пороговой схемы , где — количество долей, на которые был разделён секрет, а — количество долей, которые нужны для восстановления секрета.
В тривиальном случае мы получаем схему разбиения секрета.
Идеи схем были независимо предложены в 1979 году Ади Шамиром[1] и Джорджем Блэкли (англ. George Robert (Bob) Blakley Jr.)[2]. Кроме этого подобные процедуры исследовались Гусом Симмонсом.[3]
[править]Схема Шамира
Через две точки можно провести неограниченное число полиномов степени 2. Чтобы выбрать из них единственный — нужна третья точка
Основная статья: Схема разделения секрета Шамира
Идея схемы заключается в том, что двух точек достаточно для задания прямой, трех точек — для задания параболы, четырёх точек — длякубической параболы, и так далее. Чтобы задать многочлен степени требуется точек.
Если мы хотим разделить секрет таким образом, чтобы восстановить его могли только человек, мы «прячем» его в формулу -мерного многочлена. Восстановить этот многочлен можно по точкам. Количество же различных точек многочлена не ограничено (на практике оно ограничивается размером числового поля, в котором ведутся расчёты).
[править]Схема Блэкли
Основная статья: Векторная схема разделения секрета
Две непараллельные прямые на плоскости пересекаются в одной точке. Любые две некомпланарные плоскости пересекаются по одной прямой, а три некомпланарные плоскости в пространстве пересекаются тоже в одной точке. Вообще n n-мерных гиперплоскостей всегда пересекаются в одной точке. Одна из координат этой точки будет секретом. Если закодировать секрет как несколько координат точки, то уже по одной доле секрета (одной гиперплоскости) можно будет получить какую-то информацию о секрете, то есть о взаимозависимости координат точки пересечения.
Схема Блэкли в трех измерениях: каждая доля секрета — это плоскость, а секрет — это одна из координат точки пересечения плоскостей. Двух плоскостей недостаточно для определения точки пересечения. |
С помощью схемы Блэкли можно создать (t, n)-схему разделения секрета для любых t u n: для этого надо положить размерность пространства равную t, и каждому из n игроков дать одну гиперплоскость, проходящую через секретную точку. Тогда любые t из n гиперплоскостей будут однозначно пересекаться в секретной точке. Схема Блэкли менее эффективна, чем схема Шамира: в схеме Шамира каждая доля такого же размера как и секрет, а в схеме Блэкли каждая доля в t раз больше. Существуют улучшения схемы Блэкли, позволяющие повысить её эффективность.
Вопрос 2.
см Ранее
Билет № 20.
Вопрос 1. Управление ключами в сетях на основе общедоступного каталога, авторитетного источника ОК, сертификатов ОК ( ОК- открытый ключ). Типовая схема размещения и взаимодействия узлов УЦ.
Наши рекомендации
|