- •Информация как объекта защиты. Цели защиты информации
- •Информационная безопасность. Понятие. Аспекты. Угрозы информационной безопасности.
- •Меры по формированию режима информационной безопасности. Принципы системы защиты
- •Аппаратно-программные средства защиты информации. Подробнее о системах шифрования дисковых данных и данных, передаваемых по сетям Аппаратно-программные средства защиты информации
- •1. Системы идентификации и аутентификации пользователей
- •2. Системы шифрования дисковых данных
- •3. Системы шифрования данных, передаваемых по сетям
- •5. Аппаратно-программные средства защиты информации. Подробнее о системах аутентификации электронных данных и средствах управления криптографическими ключами.
- •4. Системы аутентификации электронных данных
- •5. Средства управления криптографическими ключами
- •Причины взлома систем защит информации и способы заинтересовать пользователя в лицензионном по
- •Канал утечки информации
- •Виды криптографического закрытия информации. Подробно любые два способа шифрования.
- •Основные требования к криптографическому закрытию информации в ас
- •Классификация основных методов криптографического закрытия информации
- •Что такое однонаправленные функции? привести примеры. Концепция криптосистемы с открытым ключом
- •Однонаправленные функции
- •Электронная подпись в системах с открытым ключом Электронная подпись в системах с открытым ключом
- •11.Группы отладчиков средств. Групповые характеристики. Слабые места для каждой группы
- •Способы борьбы с отладчиком Защита от отладчиков
- •Дополнительные возможности процессора при работе в защищенном режиме Работа в защищенном режиме
- •Способы борьбы с дизассамблером
- •Способы борьбы с хакером
- •Способы привязки к дискете
- •Привязка к дискете
- •Перестановка в нумерации секторов
- •Введение одинаковых номеров секторов на дорожке
- •Введение межсекторных связей
- •Изменение длины секторов
- •Изменение межсекторных промежутков
- •Использование дополнительной дорожки
- •Ведение логических дефектов в заданный сектор
- •Изменение параметров дисковода
- •Технология "ослабленных" битов
- •Физическая маркировка дискеты
- •Применение физического защитного устройства
- •Способы привязки к компьютеру "Привязка" к компьютеру.
- •Физические дефекты винчестера
- •Дата создания bios
- •Версия используемой os
- •Серийный номер диска
- •Тип компьютера
- •Конфигурация системы и типы составляющих ее устройств
- •Получение инженерной информации жесткого диска
- •Общее представление о классах безопасности, определенных в Оранжевой книге Классы безопасности
- •Требования к политике безопасности
- •Произвольное управление доступом:
- •Повторное использование объектов:
- •Метки безопасности:
- •Целостность меток безопасности:
- •Принудительное управление доступом:
- •Требования к подотчетности Идентификация и аутентификация:
- •Предоставление надежного пути:
- •Требования к гарантированности Архитектура системы:
- •Верификация спецификаций архитектуры:
- •Конфигурационное управление:
- •Тестовая документация:
- •Описание архитектуры:
- •20. Идентификация и аутентификация пользователя. Определения. Формы хранения данных о пользователе. Структура данных о пользователе.
- •21. Две типовые схемы идентификации и аутентификации
- •22. Биометрические методы идентификации и аутентификации пользователя.
- •23. Взаимная проверка подлинности пользователя
- •24. Программы с потенциально опасными последствиями. Определения. Классификация Программы с потенциально опасными последствиями
- •25. Компьютерные вирусы. Классификация вирусов по способу заражения среды обитания.
- •26. Компьютерные вирусы. Классификация вирусов по деструктивным действиям.
- •27. Что такое «Люк», «Троянский конь», «Логическая бомба», «Атака салями»?
- •Троянский конь
- •Логическая бомба
- •Атака салями
- •28. Программные закладки. Условия срабатывания. Основные группы деструктивных функций закладок.
- •29. Основные методы воздействия закладок на эцп
- •30. Задачи и методы борьбы с программными закладками
- •31. Защита от вирусов и программных закладок. Организационно-технические меры. Общие способы защиты. Средства, учитывающие специфику работы фрагментов.
- •32. Пакетные фильтры и сервера прикладного уровня. Достоинства и недостатки
- •33. Компьютерные атаки. Определение. Модели.
- •Модели атак
- •34. Классификация компьютерных атак Классификация атак
- •35. Основные задачи и дополнительные функции средств обнаружения компьютерных атак
- •36. Безопасность электронной коммерции. Протокол ssl безопасность электронной коммерции
- •Протокол ssl
- •37. Безопасность электронной коммерции. Протокол set Протокол set
- •38. Эцп. Проблема аутентификации данных Электронная цифровая подпись
- •1. Проблема аутентификации данных и электронная цифровая подпись
- •39. Безопасность электронных платежных систем Безопасность электронных платежных систем
21. Две типовые схемы идентификации и аутентификации
Рассмотрим две типовые схемы идентификации и аутентификации.
Схема 1. В компьютерной системе хранится:
Номер пользователя |
Информация для идентификации |
Информация для аутентификации |
1 |
ID1 |
E1 |
2 |
ID2 |
E2 |
... |
... |
... |
n |
IDn |
En |
Здесь Ei=F(IDi, Ki), где "невосстановимость" Ki оценивается некоторой пороговой трудоемкостью T0 решения задачи восстановления Ki по Ei и IDi. Кроме того для пары Ki и Kj возможно совпадение соответствующих значений E. В связи с этим вероятность ложной аутентификации пользователей не должна быть больше некоторого порогового значения P0. На практике задают T0=1020...1030, P0=10-7...10-9.
Протокол идентификации и аутентификации (для схемы 1).
Пользователь предъявляет свой идентификатор ID.
Если существует i=1...n, для которого ID=IDi, то пользователь идентификацию прошел успешно. Иначе пользователь не допускается к работе.
Модуль аутентификации запрашивает у пользователя его аутентификатор K.
Вычисляется значение E=F(ID, K).
Если E=Ei, то аутентификация прошла успешно. Иначе пользователь не допускается к работе.
Схема 2 (модифицированная). В компьютерной системе хранится:
омер пользователя |
Информация для идентификации |
Информация для аутентификации |
1 |
ID1, S1 |
E1 |
2 |
ID2, S2 |
E2 |
... |
... |
... |
n |
IDn, Sn |
En |
Здесь Ei=F(Si, Ki), где S - случайный вектор, задаваемый при создании идентификатора пользователя; F - функция, которая обладает свойством "невосстановимости" значения Ki по Ei и Si.
Протокол идентификации и аутентификации (для схемы 2).
Пользователь предъявляет свой идентификатор ID.
Если существует i=1...n, для которого ID=IDi, то пользователь идентификацию прошел успешно. Иначе пользователь не допускается к работе.
По идентификатору ID выделяется вектор S.
Модуль аутентификации запрашивает у пользователя его аутентификатор K.
Вычисляется значение E=F(S, K).
Если E=Ei, то аутентификация прошла успешно. Иначе пользователь не допускается к работе.
Вторая схема аутентификации применяется в OC UNIX. В качестве идентификатора используется имя пользователя (запрошенное по Login), в качестве аутентификатора - пароль пользователя (запрошенный по Password). Функция F представляет собой алгоритм шифрования DES. Эталоны для идентификации и аутентификации содержатся в файле Etc/passwd.
Следует отметить, что необходимым требованием устойчивости схем идентификации и аутентификации к восстановлению информации Ki является случайный равновероятный выбор Ki из множества возможных значений.
Простейший метод применения пароля основан на сравнении представленного пароля с исходным значением, хранящимся в памяти. Если значения совпадают, то пароль считается подлинным, а пользователь - законным. Перед пересылкой по незащищенному каналу пароль должен шифроваться. Если злоумышленник каким-либо способом все же узнает пароль и идентификационный номер законного пользователя, он получит доступ в систему.
Лучше вместо открытой формы пароля P пересылать его отображение, получаемое с использованием односторонней функции f(P). Это преобразование должно гарантировать невозможность раскрытия пароля по его отображению. Так противник наталкивается на неразрешимую числовую задачу.
Например, функция f может быть определена следующим образом:
f(P)=EP(ID),
где P - пароль, ID - идентификатор, EP - процедура шифрования, выполняемая с использованием пароля в качестве ключа.
На практике пароль состоит из нескольких букв. Но короткий пароль уязвим к атаке полного перебора. Для того, чтобы предотвратить такую атаку, функцию f определяют иначе:
f(P)=EP+K(ID),
где K - ключ (таблетка Toch-memory, USB-ключ и т.п.)