Строгая аутентификация в открытых радиосетях

Идея строгой аутентификации, реализуемая в криптографических протоколах, заключается в следующем. Проверяемая (доказывающая) сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Например, этот секрет может быть предварительно распределен безопасным способом между сторонами аутентификационного обмена. Доказательство знания секрета осуществляется с помощью последовательности запросов и ответов с использованием криптографических методов и средств.

Информационная безопасность в сетях радиосвязи разделяется на три части: конфиденциальность, целостность и аутентификация, и управление ключами. Защита информации по этим трем направлениям позволит добиться наилучшего результата в обеспечении безопасности радиопереговоров.

Для обеспечения конфиденциальности должны применяться средства криптографической защиты информации (СКЗИ) определенного класса (уровня защиты). В основном алгоритмы криптоядра в СКЗИ – это алгоритмы блочного шифрования ГОСТ 28147-89, Уступ. Средства защиты импортного производства могут строиться на блочных алгоритмах AES и DES.

Для алгоритмов шифрования и аутентификации требуется своевременная смена криптографических ключей по надежному каналу. Механизм управления ключами определяет момент смены и обновления ключей. При компрометации ключевой информации должна быть запущена процедура установки новых ключей .

Целостность и Аутентификация

А. Аутентификация и целостность сообщения: выработка имитовставки в режиме алгоритма ГОСТ 28147-89 (в СКЗИ) или MAC в режиме CFB в алгоритмах AES или DES

Б. Хронологическая целостность используется для предотвращения появления в эфире передаваемых ранее сообщений. Используются окна допустимых номеров и MI.

В. Аутентификация источника сообщения позволяет определить подлинность передающего абонента

Г. Для алгоритмов шифрования и аутентификации требуется своевременная смена криптографических ключей по надежному каналу

Билет №23

1. Защита программ Противодействия средствам взлома программ

Шифрование. Самый простой и эффективный способ противодействия. Подразумевает, что определенная часть кода никогда не появляется в свободном виде. Код дешифруется только перед передачей ему управления. То есть вся программа или ее часть находится в зашифрованном виде, а расшифровывается только перед тем как исполниться. Соответственно, чтобы проанализировать ее код надо воспользоваться отладчиком, а его работу можно очень и очень осложнить (см. выше)!

Шифрование и дешифрование (динамическое изменение кода). Более продвинутый способ шифрования, который не просто дешифрует часть кода при исполнении, но и шифрует его обратно, как только он был исполнен. При такой защите хакеру придется проводить все время с отладчиком, и взлом защиты затянется на очень и очень долгое время.

Использование виртуальных машин. Еще одна модернизация шифрования. Способ заключается в том, чтобы не просто шифровать и дешифровать целые фрагменты кода целиком, а делать это покомандно, подобно тому, как действует отладчик или виртуальная машина: взять код, преобразовать в машинный и передать на исполнение, и так пока весь модуль не будет исполнен. Этот способ гораздо эффективнее предыдущих, так как функции приложения вообще никогда не бывают открытыми для хакера. Естественно, что его трудно реализовать, но реализовав, можно оградить себя от посягательств любых хакеров. В этом способе кроется также и недостаток - снижение производительности, ведь на подобное транслирование требуется много времени, и, соответственно, способ хорош для защиты только критических участков кода.

2. Классификация защищаемых объектов, виды угроз. Способы защиты

Классификация защищаемых объектов В зависимости от значимости и концентрации материальных, художественных, исторических, культурных и культовых ценностей, размещенных на объекте, последствий от возможных преступных посягательств на них, все объекты, их помещения и территории подразделяются на две группы (категории): А и Б. Ввиду большого разнообразия разнородных объектов в каждой группе, они дополнительно подразделяются на две подгруппы каждая: AI и AII, БI и БII. Объекты подгрупп AI и AII - это объекты особо важные, повышенной опасности и жизнеобеспечения, противоправные действия (кража, грабеж, разбой, терроризм и другие) на которых, в соответствии с уголовным законодательством могут привести к крупному, особо крупному экономическому или социальному ущербу государству, обществу, предприятию, экологии или иному владельцу имущества. Объекты подгрупп БI и БII - это объекты, хищения на которых в соответствии с уголовным законодательством могут привести к материальному ущербу.

3. Опишите механиз реконструкции криптографических протоколов

Криптографический протокол (англ. Cryptographic protocol) — это абстрактный или конкретный протокол, включающий набор криптографических алгоритмов. В основе протокола лежит набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационных процессах.

Функции криптографических протоколов

· Аутентификация источника данных

· Аутентификация сторон

· Конфиденциальность данных

· Невозможность отказа

· Невозможность отказа с доказательством получения

· Невозможность отказа с доказательством источника

· Целостность данных

· Обеспечение целостности соединения без восстановления

· Обеспечение целостности соединения с восстановлением

· Разграничение доступа

Классификация

· Протоколы шифрования / расшифрования

· Протоколы электронной цифровой подписи (ЭЦП)

· Протоколы идентификации / аутентификации

Протоколы аутентифицированного распределения ключей

Так как практически все программные средства защиты в той или иной форме используют криптографические примитивы, полезно иметь эффективный способ анализа именно криптографической части приложений. Но прежде чем криптоаналитик сможет оценить, насколько стойким является реализованный в программе криптографический протокол, необходимо выяснить точную последовательность выполняемых протоколом действий.

Билет №24

1. Аутентификация в системах банкинга через интернет

Для аутентификации (авторизации) платежных операций в интернет-банкинге банками используются следующие методы:

одноразовые пароли (ОТР). Самый удобный формат для пользователя. Пароли могут генерироваться на стороне банка, в таком случае пользователь имеет возможность получать их различными способами: на банкомате, в виде SMS-сообщения, в виде списка и т.п. Одноразовые пароли также могут генерироваться на стороне клиента с использованием автономных генераторов одноразовых паролей (токенов), ПО или решений интегрированных в смарт-карты последнего поколения;

электронно-цифровая подпись (ЭЦП). Электронная цифровая подпись может использоваться юридическими и физическими лицами как аналог собственноручной подписи для предоставления электронному документу юридической силы. Может находиться на USB-флешках, смарт-картах, а также в виде JAVA-апплетов.

2. Модели безопасности информационных систем

Для того чтобы защитить пользователей от несанкционированного вторжения и хищения информационных ресурсов и конфиденциальных данных, специалистами была разработана модель информационной безопасности. Основа модели базируется на том факте, что современная информационная система представляет собой сложный многоуровневый механизм, который состоит из множества компонентов различной степени автономности. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Модель информационной безопасности предусматривает план защиты каждого из этих компонентов. Компонентами информационной системы являются аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.); программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.; данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д. Модель информационной безопасности подразумевает следующие пути нарушения состояния защищённости: аварийные ситуации из-за стихийных бедствий и отключений электропитания; отказы и сбои аппаратуры; ошибки в программном обеспечении; ошибки в работе персонала; помехи в линиях связи из-за воздействий внешней среды; преднамеренные действия нарушителей.Информационная безопасность персональных данных должна быть обеспечена на всех уровнях угрозы – как преднамеренной, так и незапланированной. Модель информационной безопасности разрабатывает механизмы и предусматривает практическую реализацию того, как будет осуществляться защита информационных прав пользователя.

3. Анализ работы и настройки программного брандмауэра

Программные брандмауэры — это программы, установленные на вашем ком­пьютере, которые находятся на жестком диске и загружаются в память, когда компьютер начинает работать. В отличие от аппаратных брандмауэров, про­граммные брандмауэры созданы для работы с вашей текущей аппаратной кон­фигурацией и так же эффективны для коммутируемых соединений, как для ка­бельных и цифровых соединений. После установки каждый программный брандмауэр конфигурируется с помощью своего собственного специализиро­ванного интерфейса.

В отличие от аппаратных брандмауэров, программные брандмауэры созданы для защиты отдельного устройства и не предоставляют возможности создания локальных сетей. Однако, если у вас нет локальной сети, вы можете найти, что программные брандмауэры предлагают простоту, которая делает их более лег­кими в работе и управлении, чем их аппаратный аналог.

Программные брандмауэры дешевле, чем аппаратные. Некоторые отличные программные брандмауэры даже бесплатны для индивидуальных пользователей. Например, персональный брандмауэр бесплатен, хотя существует также профессиональная версия программы, предоставляющая дополнительные свойства, которая не бесплатна.

Билет № 25

Наши рекомендации