Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Пример:
Основные проблемы предыдущих алгоритмов:
Из-за трудности взлома алгоритм ECDLP можно применять для высоко защищенных систем; обеспечивая сопоставимый уровень безопасности, алгоритм имеет значительно меньшие размеры ключа, чем, например, алгоритмы RSA или DSA. В приведенной ниже таблице сравниваются приблизительные размеры параметров эллиптических систем и RSA, обеспечивающих одинаковую стойкость шифра, которая рассчитывается на основе современных методов решения ECDLP и факторинга (поиска делителей) для больших целых чисел.
В общем случае эллиптическая кривая описывается математическим уравнением вида:
y2+axy+by=x3+cx2+dx+e ,
где a, b, c, d и e являются действительными числами, удовлетворяющими некоторым простым условиям.
В случае криптографии с использованием эллиптических кривых приходится иметь дело с редуцированной формой эллиптической кривой, которая определяется над конечным полем.
Особый интерес для криптографии представляет объект, называемый эллиптической группой по модулю p, где p является простым числом.
Эллиптическая кривая над конечным полем задаётся уравнением
y2=x3+ax+b (mod p).
Криптоалгоритм основан на “Проблеме Дискретного Логарифма Эллиптической Кривой” (Elliptic Curve Discrete Logarithm Problem – ECDLP):
“Даны “базовая точка” P и расположенная на кривой точка kP; найти значение k”.
Для эллиптических кривых и базовых точек решение таких уравнений представляет весьма и весьма большую трудность!
С точки же зрения криптографии имеется возможность определить новую криптографическую систему на основе эллиптических кривых.
Любая стандартная система, основанная на проблеме дискретного логарифма, аналогична системе основанной на ECDLP. Например, Эллиптическая Кривая DSA (ECDSA) уже стандартизирована (ANSI X9.62 – Ref. 4) и на ее основе может быть реализован протокол открытого обмена ключами Diffie-Hellman.
В случае криптографии с использованием эллиптических кривых приходится иметь дело с редуцированной формой эллиптической кривой, которая определяется над конечным полем.
Особый интерес для криптографии представляет объект, называемый эллиптической группой по модулю p, где p является простым числом.
Эллиптическая кривая над конечным полем задаётся уравнением
y2=x3+ax+b (mod p).
Для того щоб мати можливість обмінюватися листами через електронну пошту, користувач повинен стати клієнтом однієї з комп’ютерних мереж. Так само як і в телефонних мережах, клієнти комп’ютерних мереж називаються абонентами.
Для кожного абонента на одному з мережних комп’ютерів виділяється область пам’яті — електронна поштова скринька. Доступ до цієї області пам’яті здійснюється за адресою, що повідомляється абонентові, і паролем, який абонент вигадує сам. Пароль відомий тільки абонентові й мережному комп’ютерові. Ставши абонентом комп’ютерної мережі й одержавши адресу своєї поштової скриньки, користувач може повідомити її друзям, знайомим. Кожен абонент електронної пошти може через свій комп’ютер, підключений до Інтернету, послати лист будь-якому іншому абонентові, вказавши в посланні його поштову адресу. Але зробити це можна, тільки повідомивши комп’ютерній мережі свою поштову адресу і пароль (як доказ того, що це дійсно абонент).
Усі листи, які надходять на певну поштову адресу, записуються у виділену для неї область пам’яті мережного комп’ютера. Мережний комп’ютер, що містить поштові скриньки абонентів, називається хостом комп’ютера (від host — хазяїн). Існують два основні типи електронної пошти. Перший спосіб, що називається off-line (поза лінією, поза зв’язком, вимовляється: офлайн), полягає в тому, що при кожному сеансі зв’язку комп’ютера абонента з мережним комп’ютером відбувається обмін листами в автоматичному режимі: усі заздалегідь підготовлені листи абонента передаються на мережний комп’ютер, а всі листи, що прийшли на адресу абонента, передаються на його комп’ютер. Назва off-line підкреслює той факт, що сам процес ознайомлення з листами і їх читання відбувається, коли зв’язок із мережним комп’ютером уже припинений. Сьогодні цей метод практично не застосовується.
Другий спосіб, що називається, природно, on-line (на лінії, на зв’язку, вимовляється: онлайн), полягає в тому, що абонент під час сеансу зв’язку зі свого комп’ютера одержує можливість звернутися до вмісту своєї поштової скриньки, переглянути його і прочитати листи. Деякі листи можна знищити не читаючи, на інші листи можна відразу дати відповідь, скориставшись клавіатурою свого комп’ютера. Можна також відіслати всі заготовлені заздалегідь листи, які є нічим іншим, як текстовими файлами. У режимі on-line абонент не користується автоматичним режимом, а відсилає всі листи сам, вказуючи їхні адреси і задаючи відповідну команду мережному комп’ютерові.
Один комп’ютер може обслуговувати кількох абонентів. У випадку використання on-line мережі кожен абонент здійснює зв’язок із комп’ютерною мережею і виконує необхідні маніпуляції для одержання або відправлення інформації у відповідності зі своїми завданнями під час сеансу зв’язку.
1. Статична аутентифікація
Статична аутентифікація забезпечує захист тільки від атак, в ході яких атакуючий не може бачити, вставити або змінити інформацію, передану між аутентіфіціруемим і аутентифицирующей в ході аутентифікації і подальшого сеансу. У цьому випадку атакуючий може тільки спробувати визначити дані для аутентифікації користувача за допомогою ініціації процесу аутентифікації (що може зробити законний користувач) і здійснення ряду спроб вгадати ці дані. Традиційні схеми з використанням паролів забезпечують такий вид захисту, але сила аутентифікації в основному залежить від складності вгадування паролів і того, наскільки добре вони захищені.
^ 2. Стійка аутентифікація
Цей клас аутентифікації використовує динамічні дані аутентифікації, що змінюються з кожним сеансом аутентифікації. Атакуючий, який може перехопити інформацію, передану між аутентіфіціруемим і аутентифицирующей, може спробувати ініціювати новий сеанс аутентифікації з аутентифицирующей, і повторити записані ним дані аутентифікації в надії замаскуватися під легального користувача. Посилена аутентифікація 1 рівня захищає від таких атак, так як дані аутентифікації, записані в ході попереднього сеансу аутентифікації, не зможуть бути використані для аутентифікації в наступних сеансах.
Тим не менш стійка аутентифікація не захищає від активних атак, в ході яких атакуючий може змінити дані або команди, що передаються користувачем сервера після аутентифікації. Так як сервер пов'язує на час сеансу даного аутентифицироваться користувача з даним логічним з'єднанням, він вважає, що саме він є джерелом всіх прийнятих ним команд по цьому з'єднанню.
Традиційні паролі не зможуть забезпечити стійку аутентифікацію, оскільки пароль користувача можна перехопити і використовувати надалі. А одноразові паролі і електронні підписи можуть забезпечити такий рівень захисту
^ 3. Постійна аутентифікація
Цей тип аутентифікації забезпечує захист від атакуючих, які можуть перехопити, змінити і вставити інформацію в потік даних, переданих між аутентифицирующей і аутентіфіціруемим навіть після аутентифікації. Такі атаки зазвичай називаються активними атаками, так як мається на увазі, що атакує може активно впливати на з'єднання між користувачем і сервером.
Статтею 34 Конституції України передбачено право кожного вільно збирати, зберігати,
використовувати і поширювати інформацію усно, письмово або в інший спосіб – на свій вибір. Здійснення
цих прав може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або
громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров'я населення,
для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної
конфіденційно, або для підтримання авторитету і неупередженості правосуддя. У зв’язку з цим, потреба
дослідження правовідносин в інформаційній сфері, які визначатимуть подальші напрями розвитку
інформаційного законодавства набуває нової актуальності й практичної значимості.
В даній статті пропонується зосередити увагу на дослідженні такого напряму розвитку законодавства
про інформацію з обмеженим доступом, який пов’язується з визначенням діянь, за вчинення яких
передбачена адміністративна відповідальність.
В науковій літературі питанням захисту інформації з обмеженим доступом приділяється значна увага,
що підтверджується відповідними публікаціями [1 – 5]. Разом з тим, висвітленню іноземної практики щодо
вирішення питань, пов’язаних з адміністративною відповідальністю за порушення законодавства про
захист інформації з обмеженим доступом, не приділялось належної уваги. Саме це зумовило вибір авторів
щодо розгляду цих питань в пропонованій статті. Україна, РФ, Казахстан мають спільну політичну спадщину, оскільки протягом десятиліть були
невід'ємною складовою частиною Союзу Радянських Соціалістичних Республік. Це означає наявність
загальних традицій політичної культури, які включають структуру правових систем і нормативну базу.
Вибір, разом з законодавством РФ, законодавства Казахстану зумовлюється тим, що за темпами
проведення правових реформ, дана країна займає одне з перших місць серед колишніх радянських
республік (до 2000 р. прийнято Цивільний, Кримінальний, Кримінально-процесуальний, Кримінально-
виконавчий кодекси та інші кодифіковані закони). Прийняті кодекси концептуально співпадають з
відповідним російським законодавством, оскільки при їх створенні, як основа, використовувались загальні
модельні акти. В той же час, розвиток казахської правової системи на сучасному етапі носить самостійний
і достатньо творчий, оригінальний характер [6]. Наявність значної кількості спільних моментів у
законодавствах, з одного боку, полегшує порівняння інституту адміністративної відповідальності, а з
іншого, спонукає до пошуку відмінностей, для їх врахування при розробці та вдосконаленні національного
законодавства.
З метою використання єдиного підходу при висвітленні адміністративно-правових аспектів захисту
інформації з обмеженим доступом в країнах співдружності незалежних держав пропонується обов’язково
досліджувати такі питання, з посиланням на конкретні статті Кодексу про адміністративні
правопорушення (КпАП), як:
- зміст порушень законодавства про інформацію з обмеженим доступом та розділи, до яких вони
включені;
- перелік осіб, які уповноважені розглядати справи про відповідні правопорушення ;
- перелік осіб, яким надано право складати протоколи про адміністративні правопорушення в сфері
захисту інформації з обмеженим доступом.
Авторизация:
Аутентификация объектов при защите каналов передачи данных означает взаимное установление подлинности объектов, связанных между собой по линии связи.
При обмене сообщениями необходимо обеспечить выполнение следующих требований защиты:
Аутентификация объектов при защите каналов передачи данных означает взаимное установление подлинности объектов, связанных между собой по линии связи.
При обмене сообщениями необходимо обеспечить выполнение следующих требований защиты:
получатель должен быть уверен в подлинности источника данных;
получатель должен быть уверен в подлинности передаваемых данных;
отправитель должен быть уверен в доставке данных получателю;
отправитель должен быть уверен в подлинности доставленных данных.
Хеш функція – це деяка функція h(K), яка бере ключ K і повертає адресу, по якому проводиться пошук в хеш-таблиці, щоб отримати інформацію, пов'язану з K. Колізія — це ситуація, коли h(K1) = h(K2). У цьому випадку, очевидно, необхідно знайти нове місце для зберігання даних. Очевидно, що кількість колізій необхідно мінімізувати. Хеш-функція повинна задовольняти двом вимогам:
її обчислення повинно виконуватися дуже швидко;
вона повинна мінімізувати число колізій.
Отже, перша властивість хеш-функції залежить від комп'ютера, а друга — від даних. Якщо б всі дані були випадковими, то хеш-функції були б дуже прості (кілька бітів ключа, наприклад). Однак на практиці випадкові дані зустрічаються вкрай рідко, і доводиться створювати функцію, яка залежала б від усього ключа. Теоретично неможливо визначити хеш-функцію так, щоб вона створювала випадкові дані з реальних невипадкових файлів. Однак на практиці реально створити достатньо хорошу імітацію за допомогою простих арифметичних дій. Більш того, часто можна використовувати особливості даних для створення хеш-функцій з мінімальним числом колізій (меншим, ніж при істинно випадкових даних). Можливо, одним з найбільш очевидних і простих способів хешування є метод середини квадрата, коли ключ піднімається до квадрату і береться декілька цифр у середині. Тут і далі передбачається, що ключ спочатку заокруглюється до цілого числа, для здійснення з ним арифметичних операцій. Однак такий спосіб добре працює до моменту, коли немає великої кількості нулів зліва або справа. Численні тести показали хорошу роботу двох основних типів хешування, один з яких заснований на розподілі, а інший на множенні. Втім, це не єдині методи, які існують, більш того, вони не завжди є оптимальними.
Метод ділення досить простий – використовується залишок від ділення на M:
h (K) = K mod M
Для мультиплікативного хешування використовується наступна формула [3]:
h (K) = [M * ((C * K) mod 1)]
Описані вище методи хешування є статичними, тобто спочатку виділяється якась хеш-таблиця, під її розмір підбираються константи для хеш- функції. На жаль, це не підходить для задач, у яких розмір бази даних змінюється часто і значно. По мірі зростання бази даних можна:
користуватися початковою хеш-функцією, втрачаючи продуктивність через зростання колізій;
вибрати хеш-функцію “із запасом”, що спричинить невиправданих втрат дискового простору;
періодично змінювати функцію, перераховувати всі адреси.
Сьогодні основним і практично єдиним пропонованих на ринку рішенням для забезпечення достовірності документа є електронно-цифрового підпису (ЕЦП). Основний принцип роботи ЕЦП заснований на технологіях шифрування з асиметричним ключем. Тобто ключі для шифрування і розшифровки даних різні. Є «закритий» ключ, який дозволяє зашифрувати інформацію, і є «відкритий» ключ, за допомогою якого можна цю інформацію розшифрувати, але з його допомогою неможливо «зашифрувати» цю інформацію. Таким чином, власник «підпису» повинен володіти «закритим» ключем і не допускати його передачу іншим особам, а «відкритий» ключ може поширюватися публічно для перевірки автентичності підпису, отриманого за допомогою «закритого» ключа.
Для наочності ЕЦП можна представити як дані, отримані в результаті спеціального криптографічного перетворення тексту електронного документа. Воно здійснюється за допомогою так званого «закритого ключа »- унікальної послідовності символів, відомої тільки відправнику електронного документа. Ці «дані» передаються разом з текстом електронного документа його одержувачу, який може перевірити ЕЦП, використовуючи так званий «відкритий ключ» відправника – також унікальну, але загальнодоступну послідовність символів, однозначно пов'язану з «закритим ключем» відправника. Успішна перевірка ЕЦП показує, що електронний документ підписаний саме тим, від кого він виходить, і що він не був модифікований після накладення ЕЦП.
Таким чином, підписати електронний документ з використанням ЕЦП може тільки володар «закритого ключа», а перевірити наявність ЕЦП – будь-який учасник електронного документообігу, який отримав «відкритий ключ », відповідний« закритому ключу »відправника. Підтвердження належності «відкритих ключів» конкретним особам здійснює засвідчує центр – спеціальна організація або сторона, якій довіряють всі учасники інформаційного обміну. Звернення до засвідчують центри дозволяє кожному учаснику переконатися, що наявні у нього копії «відкритих ключів», які належать іншим учасникам (для перевірки їх ЕЦП), дійсно належать цим учасникам.
Більшість виробників СЕД вже мають вбудовані у свої системи, власноруч розроблені або партнерські засоби для використання ЕЦП, як, наприклад, в системах Directum або «Євфрат-Документообіг». Такий тісної інтеграції з ЕЦП чимало сприяв і вихід федерального закону про ЕЦП (№ 1-ФЗ від 10.01.2002р.) В якому електронний цифровий підпис була визнана має юридичну силу поряд з власноручним підписом. Варто відмітити, що згідно із законами РФ, свою систему електронним цифровим підписом може розробляти тільки компанія, що має на це відповідну ліцензію від ФАПСИ (нині від ФСБ). Так само як і компанія, що використовує в своїх розробках ЕЦП, повинна мати ліцензію від органів державної влади.
Протоколювання дій користувачів- Важливий пункт в захисті електронного документообігу. Його правильна реалізація в системі дозволить відстежити всі неправомірні дії і знайти винуватця, а при оперативному втручанні навіть припинити спробу неправомірних або завдають шкоди дій. Така можливість обов'язково має бути присутня в самій СЕД. Крім того, додатково можна скористатися рішеннями сторонніх розробників і партнерів, чиї продукти інтегровані з СЕД. Говорячи про партнерські рішеннях, перш за все мова йде про СУБД і сховищах даних, будь-який подібний продукт великих розробників, таких як Microsoft або Oracle, наділений цими коштами. Також не варто забувати про можливості операційних систем з протоколювання дій користувачів і рішеннях сторонніх розробників у цій області.
Загрози для системи електронного документообігу досить стандартні і можуть бути класифіковані наступним чином. Загроза цілісності – пошкодження і знищення інформації, спотворення інформації – як не навмисно в разі помилок і збоїв, так і зловмисне. Загроза конфіденційності – це будь-яке порушення конфіденційності, в тому числі крадіжка, перехоплення інформації, зміни маршрутів слідування. Загроза працездатності системи – всілякі загрози, реалізація яких призведе до порушення або припинення роботи системи; сюди входять як умисні атаки, так і помилки користувачів, а також збої в обладнанні та програмному забезпеченні.
Захист саме від цих загроз в тій чи іншій мірі повинна реалізовувати будь-яка система електронного документообігу. При цьому, з одного боку, впроваджуючи СЕД, упорядковуючи і консолідуючи інформацію, збільшуються ризики реалізації загроз, але з іншого боку, як це не парадоксально, впорядкування документообігу дозволяє вибудувати більш якісну систему захисту.
Джерел загроз в нашому небезпечному світі не мало: це і «криві руки» деяких системних адміністраторів, і техніка, яка має властивість ламатися в не самий відповідний момент, і форс-мажорні обставини, які рідко, але все ж відбуваються. І навіть якщо сервери не постраждають від пожежі, що сталася в будівлі, будьте впевнені – їх неодмінно заллють водою приїхали пожежники. У цілому ж, можна виділити кілька основних груп: легальні користувачі системи, адміністративний ІТ-персонал, зовнішні зловмисники.
Спектр можливих злодіянь легальних користувачів досить широкий – від скріпок в апаратних частинах системи до навмисного крадіжки інформації з корисливою метою. Можлива реалізація загроз у різних класах: загрози конфіденційності, загрози цілісності. Користувач системи – це потенційний зловмисник, він може свідомо чи не свідомо порушити конфіденційність інформації.
Особлива група – це адміністративний ІТ-персонал або персонал служби ІТ-безпеки. Ця група, як правило, має необмежені повноваження і доступ до сховищ даних, тому до неї треба поставитися з особливою увагою. Вони не тільки мають великі повноваження, але і найбільш кваліфіковані в питаннях безпеки та інформаційних можливостей. Не так важливий мотив цих злочинів, чи був це корисливий умисел або помилка, від якої ніхто не застрахований, результат один – інформація або загубилася, або набула розголосу. Відповідно до численних досліджень, від 70 до 80% втрат від злочинів припадають на атаки зсередини. Набір зовнішніх зловмисників суто індивідуальний. Це можуть бути і конкуренти, і партнери, і навіть клієнти
Загрози ІБ в ІС, розуміється подія або дія, яка може викликати зміну у функції ІС, пов'язані з порушенням захищеності, оброблюваної в ній інформації.
Уразливість інф-ії - можливість виникнення на якому-небудь етапі ЖЦ ІС-и такого її стану, при якому створюється умови для реалізації угоз безпеки інформації.
Атака - спроба зловмисника викликати відхилення від нормального протікання інформаційного процесу.
Хакерська атака - замах на систему безпеки і схиляється до кракерской атаці.
Кракерской атака - дії, метою якої є захоплення контролю.
Види атак:
1почтовая бомбардування (спам) велика кількість повідомлення унеможливлюють роботу з поштовими скриньками;
2подбор пароля;
3віруси-фрагмент виконуваного коду, який копіює себе в іншу програму (головну програму), модифікуючи її при цьому. троянські коні - комп'ютерна програма, що реалізує корисну функцію і містить додаткові приховані функції, які таємно використовують законні повноваження ініціюючого процесу на шкоду безпеці. Черви - незалежна програма, яка розмножується шляхом копіювання самої себе з одного мережного комп'ютера в інший. Руткити - програма для прихованого взяття. Спеціальні програми (мережева розвідка, сніффінг пакетів, API-спуфинг, ін'єкція, міжсайтовий скриптинг і т.д.)