Безопасность работы в Интернете
При работе в Интернете следует иметь в виду следующее: насколько ресурсы этой сети открыты законопослушному пользователю, настолько же эти ресурсы, при определенных условиях, открыты всем, кто обладает необходимыми средствами.
Для пользователя этот факт не играет особой роли, но знать о нем необходимо, чтобы не допускать действий, нарушающих законодательство тех стран, на территории которых расположены серверы Интернета. К таким действиям относятся вольные или невольные попытки нарушить работоспособность компьютерных систем, попытки взлома защищенных систем, использование и распространение программ (в частности, компьютерных вирусов), нарушающих работоспособность компьютерных систем.
Работая в Интернете, следует помнить о том, что все действия, как законные, так и незаконные, протоколируются специальными программами, и информация о них обязательно где-то сохраняется. Таким образом, к обмену информацией в Интернете следует подходить, как к обычной переписке с использованием почтовых открыток. Информация свободно циркулирует в обе стороны, но в общем случае она доступна всем пользователям Интернета. Поэтому существует потребность защиты информации в Интернете.
Сегодня Интернет является не только средством общения и универсальной справочной системой–в нем циркулируют договорные и финансовые обязательства, необходимость защиты которых как от просмотра, так и от фальсификации очевидна. Начиная с 1999 года, Интернет становится средством обеспечения розничного торгового оборота, а это требует защиты данных кредитных карт и других электронных платежных средств. В Интернете защитой является шифрование информации.
Суть шифрования состоит в том, что к документу применяется некий метод (назовем его ключом), после чего документ становится недоступен для чтения обычными средствами. Его может прочитать только тот, кто знает ключ. Аналогично происходит шифрование ответного сообщения. Если в процессе обмена информацией для шифрования и чтения пользуются одним и тем же ключом, то такой криптографический процесс называется симметричным.
Основной недостаток симметричного процесса заключается в том, что, прежде чем начать обмен информацией, надо выполнить передачу ключа, а для этого опять-таки нужна защищенная связь, т.е. проблема повторяется, хотя и на другом уровне. Если рассмотреть оплату клиентом товара или услуги с помощью кредитной карты, то получается, что торговая фирма должна создать по одному ключу для каждого своего клиента и каким-то образом передать им эти ключи. Это крайне неудобно. Поэтому в настоящее время в Интернете используются несимметричные криптографические системы, основанные на использовании не одного, а двух ключей. Происходит это следующим образом. Компания для работы с клиентом создает два ключа: один–открытый (public–публичный) ключ, а другой–закрытый (private–личный). На самом деле это как бы две половинки одного ключа, связанные друг с другом.
Ключи устроены так, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой (не той, которой оно было закодировано). Создав пару ключей, торговая компания широко распространяет публичный ключ (открытую половинку) и надежно сохраняет закрытый ключ (свою половинку).
Как публичный, так и закрытый ключи представляют собой некую кодовую последовательность. Публичный ключ компании может быть опубликован на ее сайте, откуда каждый желающий может его скачать. Если клиент хочет сделать фирме заказ, он возьмет ее публичный ключ и с его помощью закодирует свое сообщение о заказе и данные своей кредитной карты. После кодирования это сообщение может прочесть только владелец закрытого ключа. Никто из участников цепочки, по которой пересылается информация, не в состоянии это сделать. Даже сам отправитель не может прочитать собственное сообщение, хотя ему хорошо известно содержание.
Если фирма хочет отправить клиенту квитанцию о том, что заказ принят к исполнению, она закодирует ее своим закрытым ключом. Клиент сможет прочитать квитанцию, воспользовавшись имеющимся у него публичным ключом данной фирмы. Он может быть уверен, что квитанцию ему отправила именно эта фирма, а не кто-то иной, поскольку никто не имеет доступа к закрытому ключу фирмы.
Защита публичным ключом (впрочем, как и большинство других видов защиты информации) не является абсолютно надежной. Дело в том, что поскольку каждый желающий может получить и использовать чей-то публичный ключ, то он может сколь угодно подробно изучить алгоритм работы механизма шифрования и пытаться установить метод расшифровки сообщения, т.е. реконструировать закрытый ключ.
Это настолько справедливо, что алгоритмы кодирования публичным ключом даже нет смысла скрывать. Обычно к ним есть доступ, а часто они просто широко публикуются. Тонкость заключается в том, что знание алгоритма еще не означает возможность провести реконструкцию закрытого ключа в приемлемые сроки.
Защиту информации принято считать достаточной, если затраты на ее преодоление превышают ожидаемую ценность самой информации. В этом состоит принцип достаточности защиты, которым руководствуются при использовании несимметричных средств шифрования данных. Он предполагает, что защита не абсолютна и приемы ее снятия известны, но она достаточна для того, чтобы сделать это мероприятие нецелесообразным. При появлении иных средств, позволяющих получить зашифрованную информацию в разумные сроки, изменяют принцип работы алгоритма, и проблема повторяется на более высоком уровне.
Разумеется, не всегда реконструкцию закрытого ключа производят методами простого перебора комбинаций. Для этого существуют специальные методы реконструкции закрытого ключа по опубликованному открытому ключу. Область науки, посвященная этим исследованиям, называется криптоанализом, а средняя продолжительность времени, необходимого для реконструкции закрытого ключа, называется криптостойкостью алгоритма шифрования.
Для многих методов несимметричного шифрования криптостойкость, определенная в результате криптоанализа, существенно отличается от величин, заявляемых разработчиками алгоритмов на основании теоретических оценок. Поэтому во многих странах вопрос применения алгоритмов шифрования данных находится в поле законодательного регулирования. В частности, в России к использованию в государственных и коммерческих организациях разрешены только те программные средства шифрования данных, которые прошли государственную сертификацию в административных органах, в частности в Федеральном агентстве правительственной связи и информации (ФАПСИ).
Мы рассмотрели вопрос, как клиент может переслать организации свои конфиденциальные данные, например номер электронного счета. Точно так же он может общаться и с банком, отдавая ему распоряжения о перечислении своих средств на счета других лиц и организаций. Однако здесь возникает следующая проблема: как банк узнает, что распоряжение поступило от данного лица, а не от злоумышленника, выдающего себя за него? Эта проблема решается с помощью так называемой электронной подписи.
Принцип создания электронной подписи тот же, что и рассмотренный выше. Если надо создать электронную подпись, следует с помощью специальной программы, полученной из банка, создать те же два ключа–закрытый и публичный. Публичный ключ передается банку. Если теперь надо отправить поручение банку на операцию с расчетным счетом, оно кодируется публичным ключом банка, а подпись под ним кодируется закрытым ключом поручителя. Банк поступает наоборот: он читает поручение с помощью своего закрытого ключа, а подпись–с помощью публичного ключа поручителя. Если подпись читаема, это означает, что поручение отправлено данным лицом.
Приложение1. Темы рекомендуемых лабораторных работ
1. Виртуальное посещение музеев (2 часа)
Задание: средствами программы Internet Explorer войти на сайты Эрмитажа в Санкт-Петербурге (www.hermitage.ru) и Государственного музея изобразительных искусств им. А.С.Пушкина в Москве (www.museum.ru/gmii) и с помощью гиперссылок начать знакомство с экспозициями этих музеев.
2. Поиск необходимой информации (4 часа)
Задание: с помощью рассмотренных поисковых систем найти Web-страницу с описанием строительного объекта, введенного в строй за последние 10 лет в заданном городе.
Найденную Web-страницу, которая потребуется в дальнейшем, сохранить полностью и показать ее преподавателю.
3. Организация почтового ящика, отправка и получение
электронных писем (4 часа)
Задание:
1)завести индивидуальный почтовый ящик на сайте www.mail.ru;
2)обменяться письмами (с приложениями и без) с товарищами по группе; копии выслать преподавателю по заданному адресу;
3)выслать преподавателю Web-страницу с описанием строительного объекта, найденную в предыдущей лабораторной работе, в заархивированном виде.
Требование: в текстовом поле Тема электронных писем должны присутствовать фамилия и имя автора, а также номера группы и лабораторной работы.
4. Создание набора Web-страниц и размещение его на сайте
(4часа)
Задание:
1)по заданной теме создать многостраничный сайт из собственных и чужих Web-страниц, расставляя гиперссылки в документах Word;
2)созданный сайт разместить на сайте www.narod.yandex.ru;
3)адрес сайта выслать преподавателю.
Требование: в текстовом поле Тема электронного письма должны присутствовать фамилия и имя автора, а также номера группы и лабораторной работы.
5. Создание Web-страниц средствами сайта (4 часа)
Задание:
1)по заданной теме создать Web-страницу или набор Web-страниц на сайте www.narod.yandex.ru средствами Мастерской;
2)адрес созданного сайта выслать преподавателю.
Требование: в текстовом поле Тема электронного письма должны присутствовать фамилия и имя автора, а также номера группы и лабораторной работы.
Приложение 2. Кодировка русских букв латинскими
Русские буквы | Латинские буквы | Пример |
а, б, в, г, д | a, b, v, g, d | |
е | ye или e | Ерофеев–Yerofeyev |
ё | yo | Ёлкин–Yolkin |
ж | zh | Жаров–Zharov |
з, и | z, i | |
й | y | Буковский–Bukovskiy |
к,л,м,н,о,п,р,с,т,у,ф | k,l,m,n,o,p,r,s,t,u,f | |
х | kh или h | Хренов–Khrenov |
ц | ts | Ципкин–Tsipkin |
ч | ch | Чубайс–Chubays |
ш | sh | Тимошин–Timoshin |
щ | sch | Ващенко–Vaschenko |
ы | y | Быков–Bykov |
э | e | Этуш–Etush |
ю | yu | Юрский–Yurskiy |
я | ya | Ошмян–Oshmyan |
Замечание:
слова произносятся по правилам английского языка.
Приложение3. Список полезных сайтов
Адрес | Название |
www.elibrary.ru | Научная электронная библиотека |
www.translate.ru | Online переводчик |
www.skype.com | Сайт аудиовизуального и текстового общения |