- •1. Законодательная база по зи.
- •Законы «о гос. Тайне», «о коммерческой тайне», «о персональных данных»
- •Гост 15408, 13335, 2700.1
- •Глава 28 ук рф.
- •Глава 4 гк рф.
- •2. Классификация угроз, меры и принципы защиты.
- •3. Общие методы шифрования.
- •4. Гост 28147-89
- •Режим простой замены (ecb).
- •Режим гаммирования (ofb - output feedback).
- •Гаммирование с обратной связью (cfb).
- •Режим выработки имитовставки (cbc).
- •5. Семейство «Криптон».
- •6. Понятие Key Recovery.
- •7. Понятие ассиметричной криптографии, схемы её практического использования.
- •8. Алгоритм Диффи-Хэлмана, rsa.
- •9. Контроль целостности, хэш-функции, российский стандарт хэш-функции.
- •10. Понятие, стандарты, реализация электронной подписи.
- •11. Сертификаты, са, ssl, аутентификация с помощью сертификатов.
- •12. Стеганография(сг). Цифровые водяные знаки.
- •14. Классификация сзи по уровню контроля отсутствия недекларируемых воздействий.
- •15. Биометрические методы идентификации
- •16. Электронные идентификаторы iButton.
- •17. Secret Net5.0-c, архитектура сзи нсд, состав семейства, администрирование системы и пользователей, организация разграничения доступа, контроль целостности, аудит.
- •18. Электронные ключи.
- •20. Защита информации в Windows nt/2000/xp/2003/Win7. Объект доступа. Efs, наследование. Bitlocker.
- •21. Защита информации в Windows nt/2000/xp/2003. Аудит.
- •22. Защита реестра в Windows nt/2000/xp/2003.
- •23. Особенности зи в Windows Vista, Win7.
- •Правила для приложений
- •25. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •26. Понятие vpn и схемы реализации взаимодействия с провайдером.
- •Шифрующая файловая система (Encrypting File System, efs) — компонент ntfs 5.0, с помощью которого пользователи Windows могут обеспечить конфиденциальность файлов на диске формата ntfs.
16. Электронные идентификаторы iButton.
Электронные: аппаратные идентификаторы iButton, Touch Memory. Представляют собой микросхему в прочном герметичном корпусе из нержавеющей стали (MicroCan), диаметр 16мм, высота 3-6мм. Гарантия 10 лет, температура работы: -40 до +35.
Для обмена данными используется интерфейс i-Wire (однопроводная линия).
Все iButton имеют ПЗУ, где хранится информация в виде поликремниевых проводников, что не требует энергии для хранения. Это ПЗУ содержит 6 байтовый серийный номер – уникальный. Так же содержится 1 байтовый код типа идентификатора и 1 байтовую контрольную сумму.
DS-1990 А – простейший идентификатор, использует режим паразитного питания от линии данных.
DS1991 –дополнительно содержит 64-байтную блокнотную память и 3 48-байтные области ОЗУ с автономным питанием. Каждая области защищена собственным 8-байтовым паролем и имеет 8-байт общедоступное поле идентификации.
Каждая секретная область ключа представляет собой:
49 байт шифр ОЗУ |
8 байт пароль |
8 байт идентификатор |
|
|
|
|
|
|
Защищенный файл пользователя. Поле идентификации содержит имя файла пользователя. Область данных сожет содержать код доступа. В итоге можно присвоить пользователям одинаковые коды и уровни доступа. При попытке ввода неправильного пароля ему выдается неправильная (случайная) информация.
Семейство идентификаторов с энергозависимым ОЗУ:
DS 1992-DS1996 – содержат 32-байтную блокнотную память и внутреннею энергозависимую память в виде 32 байтных страниц (в DS 1992 их 4 (общий объем 1 Кбит), в DS1993 их 16 (4Кбит), DS1995 их 64 , DS1996 – 256).
Используются литиевые батарейки со сроком службы 10 лет. DS1994 аналог DS1993, но дополнен часами реального времени, таймером, счетчиком событий и пороговым регистром для событий. Часы имеют период 1/256 секунду.
Могут использоваться для ограничения доступа во времени определенным временным интервалом. Таймер может использоваться для определения временных интервалов между собой, а счётчик – для подсчета числа включений. При достижении определенного значения происходит установки в 0/1 бита сброса счётчика. При помощи сложной процедуры можно запретить запись в сигнальный регистр, при этом нельзя будет перезаписать их значение.
Идентификаторы с однократным программированием памяти (DS1982, 1985, 1986). Используют паразитное питание. Число 32-байтных страниц 4,64,256. Имеется также память статусов, включая: бит защиты записи страниц, который запрещает программирование соответствующих страниц основной памяти. Бит переадресации показывает переадресуемые страницы, а байты переадресации – куда переадресуются страницы, бит защиты от записи битов переадресации.
Таблетки DS 2404-S01 – двухпортовая память, содержит 64-битную память ПЗУ. В состав таблетки входит 2 портовая память 4Кб:
1 порт – интерфейс сети MicroLAN, скорость передачи 16Кбит/с.
2порт – интерфейс для связи с микроконтроллером, 2 Мбит/с. Включает в себя часы, таймер, счётчик событий.
( При записи нового пароля старые данные стираются. Блокнотная память используется для промежуточного хранения информации перед записью её в идентификатор)
DS2405 – микросхема адресуемого ключа – n-канальный полевой транзистор с открытым коллектором, который открывается при совпадении 64-битного кода устройства с передаваемым по линиям адресом. Может использоваться подключения/отключения ветвей сети MicroLAN и управления идентификаторами и силовым транзистором.
DS2407 – аналогичен предыдущему ,но имеет 2 ключа. Для связывания центрального контроллера со считывателем над MicroLAN. Выпускает до 300м. без повторителей. Использует архитектуру с одним ведущим компьютером. Обычно имеет шинную структуру ,но может изменяться в древовидную за счет изменения ключей.
Передача информации в MicroLAN осуществляется в последующей модели, для синхронизации используется падающий фронт сигнала. При записи логического «0», «1» - представлено импульсами, равными длительности. Продолжительность низкого уровня записи «1» должно быть меньше 50мкс, а «0» - 60мкс. После активной части временного интервала требуется освобождение на линии, чтобы значение на ней достигло 2,88.
Цикл чтения начинается в выдаче устройствам импульса низкого уровня. При чтении «1» прибор ничего на шину не выдает. При «0» ведамое устройство сохраняет низкий уровень данных в течении всего уровня цикла.
Одиночные импульсы низкого уровня не имеют 480мкс, после чего следуют импульсы такой же длительности (импульс сброса) – для отмены информации и возврата всех приборов в исходное состояние. Ведамое устройство может генерировать импульсы устройства, для определения на линии идентификатора.
Группы:
Для работы с содержимым ПЗУ.
Для работы с областями данных
Чтение ПЗУ (позволяет считать содержимое ПЗУ с лазерным программированием. Если прочитанное значение контрольной суммы совпадает с рассчитанным, то подключен один идентификатор. При несовпадении производится повторное чтение. При повторном несовпадении , можно сделать вывод ,что к линии подключено несколько идентификаторов).
Пропуск ПЗУ использует широковещательно несколько таблеток.
Совпадение ПЗУ. После выдачи этой команды и содержимого ПЗУ к линии останется подключен только соответствующий идентификатор.
Поиск ПЗУ. После применения этой команды все идентификаторы выдают прямое и инверсное значение программирования.
За 64 цикла чтение/запись можно определить серийный номер одного из идентификаторов.
Существует ряд iButton’ов которые выполняют криптографические функции.
DS 1961С. В нём обеспечивается контроль целостности передаваемых и хранимых данных за счёт встроенной аппаратной реализацией вычисления хэш-функции SHA-HMAC (х.-ф. с ключом). При этом сама память представляет собой страницу однократно программной памяти.
DS1955 – позволяет реализовать ассиметрическое шифрование с длиной ключа до 1 Кб. При попытки открытия подписи таблиц происходит обнуление.
В ряде крипто-идентификаторов используется дополнительная запись секретной информации. При попытке вскрытия идентификатора происходит стирание секретной информации.
--------------------------------------------------------------------------------------------------------------------------------------
eToken выпускает в виде смарт-карточки и в виде USB-ключа. Обеспечивает двухфакторную идентификацию пользователя (имеет идентификатор и знать пароль). Обеспечивает дополнение крипто-операций: генерация ключей шифрования, симметричное (ассиметричное) шифрование, вычисление хэш-функции и электронной подписи. Происходит всё в доверенной среде. Обеспечивается безопасное хранение различных паролей пользователей, хранение криптографических ключей, профиля пользователя, цифровых сертификатов, хранящихся в энергозависимо памяти.