- •Информационная безопасность
- •Основные угроза информационной безопасности Опасное воздействие на ис делят на случайное и преднамеренное:
- •Меры по обеспечению информационной безопасности, принципы надежной системы защиты
- •Аппаратно-программные средства защиты информации
- •Понятие надежной системы и критерии оценки надежности
- •Основные элементы политики безопасности
- •Основные положения «Оранжевой книги», классы безопасности
- •Общие положения «Общих критериев» (изданных 1 декабря 1999)
- •Понятие криптографических методов защиты, основные требования к криптографическому закрытию информации
- •Классификация основных методов криптографического закрытия информации
- •Организационные проблемы криптозащиты
- •Стандарт des, основные достоинства и обобщенная схема
- •Структура алгоритма шифрования des.
- •Алгоритм вычисления ключей для des.
- •Режимы работы алгоритма des
- •Алгоритм шифрования idea, основные отличия от des
- •Основные режимы шифрования гост 28147-89 и его особенности
- •Основные режимы шифрования гост 28147-89
- •Отличия алгоритмов шифрования по гост 28147-89 и des.
- •Концепция криптосистемы с открытым ключом, однонаправленные функции
- •Система распределения ключей Диффи-Хелмана
- •Система криптографической защиты rsa
- •Электронная подпись в системах с открытым ключом
- •Проблема аутентификации данных и электронная цифровая подпись (эцп) общие сведения
- •Однонаправленные хеш-функции и основы их построения
- •Однонаправленные хеш-функции на основе симметричных блочных алгоритмов
- •Российский стандарт хеш-функций по гост р.34.11-94
- •Алгоритм цифровой подписи rsa и его недостатки.
- •Алгоритм цифровой подписи Эль Гамаля (egsa).
- •Алгоритм цифровой подписи dsа
- •Российский стандарт цп гост р.34.10-94
- •Защита от копирования, основные системы и способы защиты.
- •Защита от копирования – привязка к дискете. См. Также 33
- •Защита от копирования – привязка к компьютеру.
- •Защита от копирования – привязка к ключу, опрос справочников, ограничение использования по.
- •Защита от несанкционированного доступа, функции систем защиты
- •Идентификация и аутентификация пользователей, 2 типовые схемы
- •Идентификация и аутентификация на основе биометрических методов.
- •Взаимная проверка подлинности пользователей при защите от нсд
- •Программы с потенциально опасными последствиями, определения и классификация.
- •Вирусы и варианты их классификации.
- •«Люк», «троянский конь», «логическая бомба», программные закладки.
- •Общая классификация средств защиты от вирусов.
- •Понятие электронной коммерции и классификация возможных типов мошенничества в ней.
- •Протокол ssl
- •Протокол set
- •Сравнительные характеристики set и ssl
- •Пластиковые карты, виды мошенничества и способы зашиты.
Протокол ssl
Протокол SSL – предназначен для решения традиционных задач обеспечения информационного взаимодействия:
- пользователи – сервер должны быть уверены, что общаются с теми, которые нужны, не ограничены паролевой защитой
- после установления соединения К-С весь информационный потом должен быть защищен от несанкционированного доступа
- при обмене
Протокол SSL позволяет С и К перед началом информационного взаимодействия аутентифицировать друг друга, согласовывать алгоритм шифрования и сформировывать общие криптографические ключи.
С этой целью в протоколе используется двухключевые (асимметричные) криптосистемы RSA.
Протокол SSL включает 2 этапа взаимодействия сторон:
Установка сессии (идентификация сервера и клиента [опционально]; стороны договариваются об используемых криптографических алгоритмах и формируют общий «секрет», на основе которого создаются общие сеансовые ключи для последующей защиты соединения («процедура рукопожатий»))
Защита потока данных (информационное сообщение прикладного уровня «нарезается» на блоки и для каждого блока вычисляется код сообщения. После данные шифруются и отправляются приемной стороне. Приемная сторона – обратные действия: расшифровка, проверка кода аутентификации, сборка сообщения)
Если 2 пользователя хотят быть уверены, что информацию которой они обмениваются, не получит 3, то каждый должен по 1 компоненту ключей пары (открытый ключ) передать другому и хранить другую компоненту (секретный ключ)
Сообщение шифруется с помощью открытого и расшифровываются только закрытым.
Только так они могут быть переданы по открытой сети без опасения, что их прочтут.
Для распределения своих публичных ключей был придуман сертификат. Он состоит:
- имя человека\организации, выпустившей сертификат
- субъект сертификата
- публичный ключ субъекта
- некоторые временные параметры
Сертификат подписывается приватным ключом человека\организации, выпустившей сертификат.
Организация, выпускающая сертификат (СА)
SSL на сегодня наиболее распространенный протокол при распространении 99% всех транзакций.
Широкое распространение обусловлено:
- является составной частью всех браузеров и веб-серверов
- простота протокола и высокая скорость реализации транзакций
Недостатки:
- покупатель не аутентифицируется, продавец аутентифицируется по URL, ЦП используется при установлении SSL секции, не обеспечивается конфиденциальность данных о реквизитах карты для продавца.
Протокол set
Основан на использовании цифровых сертификатов по стандарту X509, который распространен MasterCard и Visa при участии IBM. Он позволяет покупателям приобретать товары через интернет, используя самый защищенный на настоящее время механизм выполнения платежей с использованием пластиковых карточек. SET обеспечивает кросс-аутентификацию счета держателя карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщений, шифрование ценных и уязвимых данных. Set позволяет подтвердить подлинность всех участников сделки в интернете. С помощью криптографии и применения цифровых сертификатов.
SET обеспечивает следующие специальные требования защиты операций электронной коммерции:
Секретность данных оплаты и конфиденциальность заказа
Сохранение целостность данных платежей с помощью ЦП
Специальная криптография с открытым ключом для проверки аутентификации
Аутентификацию держателя по кредитной карте, которая обеспечивается применением ЦП и сертификатов держателя карты
Аутентификацию продавца и его возможность принимать платежи по пластиковой карте, также с применением ЦП и сертификатов продавца
Подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи через связь процессинговой системой. Это подтверждение обеспечивается ЦП и сертификатом продавца
Готовность оплаты транзакции в результате аутентификации сертификата с открытым ключом для всех сторон
Безопасность передачи данных посредством преимущественного использования криптографии.
Основным преимуществом SET перед другими системами защиты: использование цифровых сертификатов ст X509, которые ассоциируют держателя карточки, продавца и банк продавца с рядом банковских учреждений Visa и MasterCard
Пунктирные линии – возможные операции
Сплошные – обязательные операции
ДК – держатель карты
Пр - продавец
БП – банк покупателя
ВПр – банк продавца
СО – сертифицирующая организация – доверительная структура, выдающая и проверяющая сертификат.
ПШ – платежный шлюз – система контролируемая банком продавца, которая обрабатывает запросы от продавца и взаимодействует с БП
Участники запрашивают и получают сертификаты от сертифицирующей организации
Владелец карточки выбирает товар и посылает заказ
Продавец предъявляет свой сертификат владельцу карточки
Владелец карточки предъявляет свой сертификат продавцу
Продавец запрашивает у платежного шлюза выполнение операции проверки. Шлюз сверяет предоставленную информацию с информацией банка, выпустившей электронную карточку.
После проверки платежный шлюз возвращает информацию продавцу
Продавец требует у платежного шлюза выполнить финансовую операцию и шлюз посылает запрос на перевод средств из банка покупателя в банк продавца.