Подделка электронных подписей
Электро́нная цифровая по́дпись (ЭЦП) — информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию (электронный документ)
Анализ возможностей подделки подписей называется криптоанализ. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака».
]Модели атак и их возможные результаты
· Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.
· Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.
· Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.
]Подделка документа (коллизия первого рода)
Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один.
Получение двух документов с одинаковой подписью (коллизия второго рода)
Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хэш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях
Социальные атаки
Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключам
· Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
· Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
· Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.
53. Понятие «защищенная система» свойства защищенных систем.
Защищенная система – это система обработки информации, в состав которой включен тот или иной набор средств защиты.Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность, конфиденциальность и целостность обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на нее любого множества угроз.
Защищенная система содержит достаточные условия безопасности и является качественной характеристикой информации.
Свойства защищенной системы информационной безопасности:
Под защищенной системой обработки информации предполагается понимать систему, которая обладает тремя свойствами:
1. осуществляет автоматизацию некоторого процесса обработки, конфидециальность информации, включая все аспекты этого процесса, связанные с обеспечением безопасности обрабатываемой информации.
2. успешно противостоит угрозам безопасности, действующим в определенной среде.
3. Система соответствует требованиям и критериям стандартов информационной безопасности.
Электронные платежные системы
Платёжная система Интернета — система расчётов между финансовыми организациями, бизнес-организациями и Интернет-пользователями при покупке-продаже товаров и за различные услуги через Интернет. Эти системы представляют собой электронные версии традиционных платёжных систем и по схеме оплаты делятся на:
· дебетовые (работающие с электронными чеками и цифровой наличностью);
· кредитные (работающие с кредитными карточками).