Электронная цифровая подпись
Электронная цифровая подпись (англ. digital signature) – цифровой код (последовательность символов), присоединяемый к электронному сообщению для идентификации отправителя.
По назначению электронная цифровая подпись соответствует обычной подписи на документе, подтверждающей юридические полномочия документа. Электронная цифровая подпись получается методами асимметричной криптографии, основанными на математической функции, комбинирующей открытый текст с последовательностью чисел (ключом).
Алгоритм устроен таким образом, что пара «открытый ключ участника А – закрытый ключ участника Б» позволяет зашифровать сообщение, а пара «закрытый ключ А – открытый ключ Б» его дешифровать.
Технология электронной цифровой подписи пересылаемого документа начинается с формирования его дайджеста (digest) – короткой последовательности чисел, восстановить исходный текст по которой нельзя. Любое изменение исходного документа вызовет его несоответствие дайджесту. К дайджесту добавляется информация о том, кто подписывает документ, штамп времени и прочее. Получившаяся строка далее зашифровывается секретным ключом подписывающего с использованием того или иного алгоритма. Получившийся зашифрованный набор бит и представляет собой электронную подпись. К подписи обычно прикладывается открытый ключ подписывающего. Получатель дешифрует подпись с помощью открытого ключа. Если подпись нормально дешифровалась, и ее содержимое соответствует документу (дайджест и др.), то сообщение считается подтвержденным.
В целях повышения безопасности используют многократное шифрование блоков информации разными ключами.
Рис. 6.6. Технология электронной цифровой подписи.
В России, для обеспечения правовых условий использования электронной цифровой подписи в электронных документах, принят Федеральный закон от 10 января 2002 г. № 1-ФЗ "Об электронной цифровой подписи". Действие закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.
В законе приводятся следующие основные понятия:
электронный документ – документ, в котором информация представлена в электронно-цифровой форме;
электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
владелец сертификата ключа подписи – физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
средства электронной цифровой подписи – аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций – создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
сертификат средств электронной цифровой подписи – документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
закрытый ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;
открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
подтверждение подлинности электронной цифровой подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
пользователь сертификата ключа подписи – физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
информационная система общего пользования – информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
корпоративная информационная система – информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Вопросы для самоконтроля
1. Криптографические методы информационной безопасности?
2. Классификация методов криптографического закрытия информации?
3. Чем занимается наука криптология?
4. Что такое криптоанализ?
5. Стойкость криптографического метода это?
6. Трудоемкость криптографического метода это?
7. Основные требования к криптографическому закрытию информации?
8. Шифрование это?
9. Классификация криптосистем?
10. Симметричные криптосистемы?
11. Классификация симметричных криптосистем?
12. Шифрование методом замены (подстановки)?
13. Одноалфавитная подстановка?
14. Многоалфавитная одноконтурная обыкновенная подстановка?
15. Многоалфавитная одноконтурная монофоническая подстановка?
16. Многоалфавитная многоконтурная подстановка?
17. Шифрование методом перестановки?
18. Шифрование методом гаммирования?
19. Шифрование с помощью аналитических преобразований?
20. Комбинированные методы шифрования?
21. Криптосистемы с открытым ключом (асимметричные)?
22. Характеристики существующих шифров?
23. Кодирование это?
24. Стеганография это?
25. Основные правила криптозащиты?
26. Основные правилами механизма распределения ключей?
27. Электронная цифровая подпись?
28. Технология электронной цифровой подписи?
29. Электронный документ это?
30. Электронная цифровая подпись это?
31. Владелец сертификата ключа подписи это?
32. Средства электронной цифровой подписи это?
33. Сертификат средств электронной цифровой подписи это?
34. Закрытый ключ электронной цифровой подписи это?
35. Открытый ключ электронной цифровой подписи это?
36. Сертификат ключа подписи это?
37. Подтверждение подлинности электронной цифровой подписи в электронном документе это?
38. Пользователь сертификата ключа подписи это?
39. Информационная система общего пользования это?
40. Корпоративная информационная система это?
Глоссарий
DoS-атака – атака на вычислительную систему с целью довести её до отказа, то есть, создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён. Если атака выполняется одновременно с большого числа компьютеров это DDoS-атака.
Автоматизированные системы обработки информации (АСОИ) – это человеко-машинные системы, обеспечивающие автоматизированный сбор и обработку информации, необходимой для оптимизации управления в разных сферах деятельности.
Авторизация – это предоставление субъекту прав на доступ к объекту.
Административные меры защиты информации – это меры регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы затруднить или исключить возможность реализации угроз безопасности.
Антивирус– программа предназначенная для обнаружения компьютерных вирусов и вредоносных программ, восстановления зараженных (модифицированных) файлов, а также для профилактики или предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).
Антивирусные средства – программы предназначенные для обнаружения компьютерных вирусов и вредоносных программ, восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики или предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации).
Аппаратно-программные меры защиты информации – использование различных электронных устройств и специальных программ, входящих в состав АСОИ и выполняющих функции защиты информации.
Аутентификация– это установление подлинности, заключается в проверке, является ли проверяемый объект (субъект) в самом деле тем, за кого себя выдает.
Биометрические технологии– идентификация человека по уникальным, присущим только ему биологическим признакам.
Вредоносная программа–это программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.
Государственная тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности государства.
Дешифровка – это процесс, при котором из шифротекста извлекается открытый текст.
Доступность информации – свойство системы (среды, средств и технологии обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации.
Естественные угрозы – это угрозы, вызванные воздействиями на АСОИ и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Журналирование – процесс записи информации о происходящих с каким-то объектом (или в рамках какого-то процесса) событиях в журнал (например, в файл).
Защита информации– деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Защищенность системы – это архитектурные решения, которые не позволяют новому (неизвестному) приложению получить полный или достаточно широкий доступ к файлам на диске (включая другие приложения) и потенциально опасным сервисам системы.
Злоумышленник– это нарушитель, намеренно идущего на нарушение из корыстных побуждений.
Идентификация – это присвоение какому-либо объекту или субъекту уникального образа, имени или числа.
Избирательное управление доступом – управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.
Информационная безопасность–защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений.
Информация– это осознанные сведения об окружающем мире, которые являются объектом хранения, преобразования, передачи и использования.
Информация ограниченного доступа – это информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании.
Искусственные угрозы – это угрозы АСОИ, вызванные деятельностью человека.
Источник бесперебойного питания – источник вторичного электропитания, автоматическое устройство, назначение которого обеспечить подключенное к нему электрооборудование бесперебойным снабжением электрической энергией.
Источник угрозы безопасности информации–это субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.
Кардинг – мошенничество с платежными картами – вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем.
Кейлоггер–это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.
Коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг, и получить иную коммерческую выгоду.
Компьютерные преступления– предусмотренные законом общественно-опасные деяния, совершаемые с использованием средств компьютерной техники.
Компьютерные преступления против государственных и общественных интересов включают преступления, направленные против государственной и общественной безопасности (например, угрожающие обороноспособности государства, злоупотребления с автоматизированными системами голосования и т.д.).
Компьютерным вирусом называется программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя.
Компьютерными преступлениями против личных прав и частной сферы являются незаконный сбор данных о лице, разглашение частной информации (например, банковской или врачебной тайны, информации о расходах и т.д.).
Контроль доступа – это ограничение возможностей использования ресурсов системы пользователями, в соответствии с правилами разграничения доступа.
Конфиденциальная информация – это информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и охраняется её владельцем.
Конфиденциальность информации– субъективно определяемая характеристика информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к ней, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней.
Кракер – лицо, изучающее систему с целью ее взлома.
Криптоанализ занимается исследованием возможности расшифровки информации без ключа.
Криптография занимается построением и исследованием математических методов преобразования информации.
Криптология – наука, которая занимается вопросами криптографического закрытия информации.
Макровирусы – являются программами на макро-языках, встроенных в текстовые редакторы, электронные таблицы и т.д., для своего размножения такие используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.
Мандатное управление доступом – разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.
Межсетевой экран– комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов компьютерной системы.
Механизм регистрации обеспечивает получение и анализ информации о состоянии ресурсов компьютерной системы с помощью специальных средств контроля, а также регистрацию действий, признанных администрацией АСОИ потенциально опасными для безопасности системы.
Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.
Непреднамеренные угрозы (неумышленные, случайные)– вызванные ошибками при: проектировании АСОИ и ее элементов; разработке программного обеспечения; действиях персонала.
Носитель защищаемой информации– физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Объект защиты информации– информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.
Организационные меры защиты информации – это меры регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы затруднить или исключить возможность реализации угроз безопасности.
Пароль– это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий.
Пароль одноразовый – это пароль, действительный только для одного сеанса аутентификации.
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Политика безопасности информационно-телекоммуникационных технологий – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе закрытую информацию.
Политика информационной безопасности– совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Правовые мерам защиты информации – это действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для злоумышленников.
Преднамеренные (умышленные) угрозы связанны с корыстными устремлениями людей (злоумышленников).
Резервное копирование – процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в случае их повреждения или разрушения.
Руткит– программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в компьютерной системе.
Сетевые вирусы – вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей.
Сетевые черви– программы, распространяющие свои копии по локальным и/или глобальным сетям с целью: проникновения на удаленные компьютеры; запуска своей копии на удаленном компьютере; дальнейшего распространения на другие компьютеры в сети.
Система обнаружения и предотвращения вторжений – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет.
Системы предотвращения утечек конфиденциальной информации – технологии, технические устройства, программные или программно-аппаратные средства предотвращения утечек конфиденциальной информации из информационной системы.
Скамеры – это мошенники, рассылающие свои послания, в надежде поймать наивных и жадных.
Скиммер – инструмент злоумышленника для считывания магнитной дорожки платёжной карты.
Скрипт кидди– в хакерской культуре, унизительный термин, используемый для описания тех, кто пользуется скриптами или программами, разработанными другими, для атаки компьютерных систем и сетей, не понимая механизма их действия.
Сниффер – сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, сетевого трафика.
Собственник информации – субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Спам– непрошенная получателем рассылка различного вида рекламы или иных сообщений, которые могут содержать вредоносные программы.
Средства авторизации– процесс проверки определенного лица и предоставления ему положенных прав на выполнение некоторых действий.
Стеганография– метод криптографического преобразования информации, позволяющий скрыть не только смысл хранящейся или передаваемой информации, но и сам факт хранения или передачи закрытой информации.
Стойкость метода шифрования – это тот минимальный объем зашифрованного текста, статистическим анализом которого можно вскрыть исходный текст.
Технические меры защиты информации – использование различных электронных устройств и специальных программ, входящих в состав АСОИ и выполняющих функции защиты информации.
Технология единого входа – технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.
Троянские программы – программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера.
Трудоемкость метода шифрования определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста.
Угроза безопасности информации–это совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
Угроза доступности возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу вычислительной системы.
Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней.
Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся в вычислительной системе или передаваемой из одной системы в другую.
Удаленная атака –это несанкционированное информационное воздействие на распределенную вычислительную систему, программно осуществляемое по каналам связи.
Управление доступом на основе ролей – развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.
Файловые компьютерные вирусы–к данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС.
Физические меры защиты информации – применении разного рода препятствий, предназначенных для исключения возможностей получения доступа злоумышленников к компонентам компьютерной системы и защищаемой информации, а также технических средств наблюдения и охранной сигнализации.
Фишинг– вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям.
Фракеры– приверженцы электронного журнала Phrack, осуществляют взлом интрасети в познавательных целях для получения информации о топологии сетей, используемых в них программно-аппаратных средствах и информационных ресурсах, а также реализованных методах защиты.
Хакер– в XIX веке называли плохих игроков в гольф, своего рода дилетантов.
Целостность информации – существование информации в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).
Цель защиты информации–предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
Шимминг представляет собой разновидность скимминга, в картридер банкомата помещается электронное устройство (шиммер), позволяющее получить информацию о банковской карте.
Шифрование– это изменение исходного текста так, чтобы скрыть от прочих его содержание.
Шифрование методом гаммирования – символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, называемой гаммой.
Шифрование методом замены (подстановки) – символы шифруемого текста заменяются другими символами, взятыми из одного алфавита (одноалфавитная замена) или нескольких алфавитов (многоалфавитная подстановка).
Шифрование методом перестановки – символы шифруемого текста переставляются по определенным правилам внутри шифруемого блока этого текста.
Экономические компьютерные преступления совершаются по корыстным мотивам и включают в себя компьютерное мошенничество, кражу программ, кражу услуг и машинного времени, экономический шпионаж.
Электрический генератор – это устройство, в котором неэлектрические виды энергии (механическая, химическая, тепловая) преобразуются в электрическую энергию.
Электронная цифровая подпись – реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу.
Электронный документ – документ, в котором информация представлена в электронно-цифровой форме.
Список литературы