- •Доктрина иб рф
- •Доктрина иб рф
- •Основные термины и определения в области безопасности компьютерных систем
- •Угрозы конфиденциальной информации
- •Действия, приводящие к неправомерному овладению конфиденциальной информацией
- •Классификация средств и методов защиты информации Современные подходы к технологиям и методам обеспечения иб на предприятии
- •Методы и средства защиты информации
- •Основные понятия и термины в области криптографии
- •Методы скрытой передачи информации
- •Симметричные криптосистемы (симметричное шифрование)
- •Криптосистемы с открытыми ключами (асимметричное шифрование)
- •Защита открытых ключей от подмены
- •Комбинированное шифрование
- •Электронная цифровая подпись
- •Функции хеширования
- •Комплексный метод защиты информации
- •Распределение и хранение ключей
- •Стандарт X.509. Определение открытых ключей
- •Управление криптографическими ключами
- •Обычная система управления ключами
- •Управление ключами, основанное на системах с открытым ключом
- •Использование сертификатов
- •Протоколы аутентификации
- •Анонимное распределение ключей
- •Принципы защиты информации от несанкционированного доступа. Идентификация. Аутентификация. Авторизация
- •Требования к идентификации и аутентификации
- •Авторизация в контексте количества и вида зарегистрированных пользователей
- •Рекомендации по построению авторизации, исходя из вида и количества зарегистрированных пользователей
- •Классификация задач, решаемых механизмами идентификации и аутентификации (схема)
- •Парольная схема защита. Симметричные и несимметричные методы аутентификации. Функциональное назначение механизмов парольной защиты
- •Особенности парольной защиты, исходя из принадлежности пароля
- •Реализация механизмов парольной защиты
- •Угрозы преодоления парольной защиты
- •Основные механизмы ввода пароля. Усиление парольной защиты за счёт усовершенствования механизма ввода пароля
- •Основное достоинство биометрических систем контроля доступа
- •Основные способы усиления парольной защиты, используемые в современных ос и приложениях
- •Анализ способов усиления парольной защиты
- •Разграничение и контроль доступа к информации
- •Абстрактные модели доступа
- •Модель Биба
- •Модель Гогена-Мезигера
- •Сазерлендская модель
- •Модель Кларка-Вильсона
- •Дискреционная (матричная) модель
- •Многоуровневые (мандатные) модели
- •Контроль целостности информации. Задачи и проблемы реализации механизмов
- •Асинхронный запуск процедуры контроля целостности и его реализация
- •Запуск контроля целостности исполняемого файла
- •Запуск контроля целостности как реакция механизма контроля списков санкционированных событий
- •Проблема контроля целостности самой контролирующей программы
- •Понятие вируса. Методы защиты от компьютерных вирусов
- •Некоторые компьютерные вирусы
- •Методы и технологии борьбы с компьютерными вирусами
- •Методы обнаружения вирусов
- •Методы удаления последствий заражения вирусами
- •Контроль целостности и системные вопросы защиты программ и данных
- •Программно-аппаратные средства обеспечения иб в типовых о.С., субд и вычислительных сетях Основные положения программно-аппаратного и организационного обеспечения иб в о.С.
Распределение и хранение ключей
При использовании асимметричного шифрования и ЭЦП существует одна общая проблема – необходимость защиты открытых ключей абонентов от подмены. Данная проблема решается путем сертификации открытых ключей.
Сертификация ключей представляет собой подписывание ключей секретным ключом-сертификатом. Сертификацию ключей производит обычно некая третья доверенная сторона – сертификационный центр. В случае, если генерация ключей производится централизованно (например, в рамках какой-либо организации, в которой используется защищенный электронный документооборот), обычно и генерация, и сертификация ключей производится выделенным администратором по безопасности (АБ) на изолированном рабочем месте. Порядок использования ключей-сертификатов может быть, например, следующим:
-
Подготовительный этап – генерация, сертификация и распределение ключей ЭЦП:
1. АБ генерирует пары ключей абонентов i и j: Ksi и Kpi, Ksj и Kpj.
2. АБ генерирует пару ключей-сертификатов Kssert и Kpsert.
3. АБ подписывает открытые ключи Kpi и Kpj секретным ключом-сертификатом Kpsert.
4. АБ распределяет ключи следующим образом: m абонент i получает ключи Ksi, Kpj, Kpsert
m абонент j получает ключи Ksj, Kpi, Kpsert
-
Использование – обмен информацией между абонентами i и j:
5. Абонент i подписывает сообщение своим секретным ключом Ksi.
6. Абонент j проверяет подпись сообщения с помощью открытого ключа абонента i Kpi.
7. Абонент j проверяет подпись открытого ключа абонента i Kpi с помощью открытого ключа-сертификата Kpsert.
При использовании ключей-сертификатов следует предполагать, что ЭЦП какого-либо документа верна только в том случае, когда:
- верна ЭЦП самого документа;
- верна сертифицирующая ЭЦП открытого ключа, с помощью которого проверялась ЭЦП документа.
В случае, если ЭЦП открытого ключа неверна, следует считать, что открытый ключ был подменен, а подпись документа – фальсифицирована.
Необходимо обеспечить невозможность подмены открытого ключа-сертификата, например, хранить его на персональном ключевом носителе вместе с секретным ключом ЭЦП. В противном случае злоумышленник может подменить открытый ключ-сертификат, а затем подменить и открытые ключи, сфальсифицировав их сертификацию с помощью собственной пары ключей-сертификатов.
Простейший вариант использования сертификации открытых ключей ЭЦП – их сертификация собственным секретным ключом при получении, в этом случае в качестве открытого ключа-сертификата используется собственный открытый ключ.
Стандарт X.509. Определение открытых ключей
X.509 - стандарт, описывающий форматы сертифицированных открытых ключей («цифровых сертификатов»)/
Соответствие формата данному стандарту позволяет осуществлять обмен защищенными сообщениями между пользователями средств защиты информации различных производителей (но в рамках определенных алгоритмов шифрования и ЭЦП).
Минимальный набор полей формата сертифицированного открытого ключа, в соответствии с версией 1 стандарта:
-
номер версии стандарта, которой соответствует ключ (на данный момент существует 3 версии стандарта);
-
серийный номер ключа – уникальный номер, присваиваемый данному ключу;
-
код (идентификатор) алгоритма ЭЦП, в котором используется данный ключ;
-
наименование центра генерации ключей, выпустившего данный ключ;
-
срок действия ключа (указывается диапазон, то есть дата начала и дата окончания срока);
-
имя абонента, которому принадлежит ключ;
-
сертифицирующая подпись данного открытого ключа, поставленная центром сертификации ключей.
Версия 2 стандарта X.509 содержит следующие дополнительные поля:
-
идентификатор центра генерации ключей,
-
идентификатор абонента.
Версия 3 стандарта X.509 разрешает записывать в ключ дополнительную информацию, специфичную для конкретного средства защиты, и устанавливает формат дополнительных записей.