лекции ОИБ / Zashchita_informacii_Lekcii_1-6_lektor_M.M._Kucherov_
.pdfХеширование. Следует использовать однонаправленную функцию хеширования, такую как MD5. Когда пользователь представляет пароль, то он хешируется и сравнивается с хранимым значением. Знание хешированного пароля неравноценно аутентификации кого-либо на машине.
Разделяя доступ. Часто для всех пользователей является полезной доступность некоторой информации в файле паролей, но без доступа к самим паролям. Во многих системах файл паролей разделен на две части: одна с информацией, полезной для пользователей, такой как пользовательская оболочка UNIX по умолчанию, а другая – представляет «теневой» файл паролей, который хранится в секретном месте и содержит действующие пароли.
E. Изменение паролей
Изменение паролей часто улучшает безопасность; однако, затрудняет запоминание паролей. И, если используются очень хорошие пароли, которые трудно вспомнить и трудно угадывать, то сопротивление по поводу изменения паролей дополнительно возрастает. Военные считают, что пароли должны меняться, минимум, раз в год. Также, в общем, не очень хорошо повторно использовать пароли, особенно, использованные недавно.
Некоторые системы не позволяют пользователям менять пароли на недавно использованные. Другие системы, к тому же, ограничивают частоту смены паролей, третьи, напротив, требуют их периодической замены. В общем, рекомендуется менять пароль, после его использования таким путем, при котором он мог бы быть раскрыт. Например, рекомендуется изменять свой пароль после возвращения из отпуска, когда его можно было бы раскрыть, следя за его удаленными подключениями. Как обычно, следует провести анализ риска для нахождения оптимального компромисса.
F. Одноразовые пароли
Фундаментальная идея, лежащая в основе одноразовых паролей, состоит в том, чтобы обеспечить пользователя списком паролей, каждый из которых используется только один раз. Так как пароли используются однократно, то их перехват перестает быть проблемой. Пользователь раскрывает свой пароль, когда он набирает его, но пароль больше не будет использован, поэтому его перехват ничего не даст.
1.1.2.2.2.Аутентификационные токены.
A. Типы токенов
21
Физический ключ. Это - обычные ключи. Некоторые европейские системы используют двойные ключи, один – для отмыкания, а другой - для замыкания.
Карта с магнитной полосой. Примером служат кредитные карты и карты для банкоматов.
Смарт-карта. Имеет ту же форму и размер, что и карта с магнитной полосой, но содержит микросхему. Этот тип токенов ранее вызывал многочисленные исследования и обсуждения. Среди задаваемых вопросов был такой: «Кто должен отвечать за безопасность при использовании смарткарты?» При использовании смарт-карты (СК) в транзакции участвуют три стороны (пользователь, СК, внешняя система).
B. Копирование токенов
Насколько трудно воспроизвести токен для аутентификации?
Ключи. Обычные ключи довольно легко скопировать. Более новые секретные ключи имеют ямки и выступы на всех сторонах, предлагая увеличение защищенности.
Карты с магнитные полосой. Защищены в большей степени, чем ключи, но требуют небольших средств и небольшого времени для своего копирования.
Смарт-карты. Значительно сложнее воспроизводить, чем магнитные.
1.1.2.2.3.Биометрия.
Биометрия представляет собой использование для аутентификации физических характеристик индивидуума. В общем случае биометрия не так хороша, как пароли, так как трудно достичь равного уровня ошибок (коэффициент CER) ниже, чем 1%. Пароли, до тех пор, пока не скомпрометированы, вообще не дают ошибочных отказов. Среди биометрических характеристик, которые будут рассмотрены:
•Распознавание голоса
•Динамика подписи
•Отпечатки пальцев
•Геометрия руки
•Сканирование сетчатки
•Сканирование радужки
•Распознавание внешности
•Клавиатурный почерк.
При определении биометрии, нас интересует время измерения каждого биометрического показателя, стоимость оборудования, восприятие методики пользователем и коэффициент ложного пропуска и ложного отказа. При рас-
22
смотрении этих коэффициентов часто смотрят на коэффициент переходных ошибок, CER. Это точка на Рис.1 (процент ошибки в зависимости от порога, установленного для сравнения), в которой FAR и FRR равны.
A.Распознавание голоса
Первой задачей в разработке системы распознавания голоса является следующая: как опознать голос? Высота звука не всегда хорошо работает, поэтому метод, часто используемый при моделировании характеристик резонансной системы вокального тракта, рассматривает линейно-предиктивное кодирование.
Существует много проблем в распознавании речи, которые делают непопулярной эту задачу среди тех, кто мог бы ее использовать. Она требует длительного процесса настройки компьютера для того, чтобы изучить голоса пользователей. Ее эффективность зависит от окружающего шума. Например, если проходит поезд, когда вы пытаетесь аутентифицировать себя, то аутентификация, вероятно, даст ошибку. Голоса, также, могут изменяться, как в течение времени, так и в случае болезни, что увеличивает вероятность ложных отказов. Наконец, многим не нравится говорить с компьютером.
Некоторые технологические проблемы также затрудняют идентификацию, основанную на голосе. Она требует множества сложных вычислений, таких как преобразование Фурье. К тому же, есть довольно легко осуществляемая угроза имитации. Все, что нужно сделать, это записать индивидуума, произносящего секретную фразу, и воспроизвести на компьютере. Один из способов для защиты системы от таких атак заключается в предложении со стороны компьютера различных секретных фраз, которые пользователь должен прочесть для каждой аутентификации. Это делает имитацию более трудной.
B.Динамика подписи
Так же, как и в случае идентификации по голосу, простое решение для распознавания подписи не очень хорошо работает. Даже сравнение подписей для точных копий создает проблемы, потому что они легко подделываются, и большинство людей имеют много вариантов своей подписи. Для решения используются более сложные динамические характеристики, такие как давление, время, скорость и ускорение в добавление к координатам подписи х и у. Обработка аналогична распознаванию голоса, где вы сравниваете характеристики каждого сегмента в последовательности, составляющей подпись.
Исследование динамики внедрить не очень дорого, но и здесь имеется ряд проблем. Одни изменения в подписи индивидуума допускаются, другие изменения – нет. Здесь также существует угроза имитации. Одним из спосо-
23
бов помочь справиться с проблемой подделки является метод изменения секретных фраз, как описано выше.
C.Отпечатки пальцев
Анализ отпечатков пальцев представляет собой прямое сравнение характеристик отпечатков пальцев пользователя, таких как дуги, петли, завитки и т.п. Хотя предлагается довольно простой интерфейс расположения руки на сканере, он также предлагает ряд проблем. Датчик должен быть сделан очень точно, поскольку несовершенства и грязь на нем могут уменьшить вероятность опознавания. Точность биометрии зависит также от идентифицируемого пальца. Технология, требуемая для внедрения сканера, довольно дорогая. К тому же, на отпечатках пальцев лежит социальное клеймо, связанное с использованием их для криминальной идентификации.
D.Геометрия руки
Геометрия руки привлекает для проведения идентификации измерение физических характеристик руки пользователя. Используются такие измерения, как длина и толщина пальцев, а также ширина ладони. Это один из наилучших биометрических методов по точности и согласию пользователя. Вызывает сомнение возможность легко обмануть этот метод.
E.Сканирование сетчатки
В 1935 году Симон и Голдстейн показали, что рисунок кровеносных сосудов сетчатки, подобно отпечаткам пальцев, уникален для каждого индивидуума. Это значит, что после ИК-сканирования сетчатки можно сравнить полученный рисунок с известным шаблоном, используя методику кросскорреляции, основанную на преобразовании Фурье. Эта методика непопулярна среди пользователей, так как не очень удобна и требует светового облучения глаза. Другой проблемой является то, что положение головы по отношению к сканеру является критичным для положительной идентификации.
F.Сканирование радужки
Концепция аналогична отпечаткам пальцев, но контролирует рисунок радужной оболочки глаза. Метод потенциально дает в шесть раз больше информации, чем отпечатки пальцев.
G.Распознавание внешности
24
Метод моделирует процесс узнавания человека человеком. Компьютер получает образ лица пользователя и сравнивает его с хранимым на диске. В 2006 г. производительность последних алгоритмов распознавания внешности
(АРВ) была оценена в документе Face Recognition Grand Challenge (FRGC). В
тестах использовались снимки с высоким разрешением, 3-D сканы, а также изображения радужки. Результаты показали, что новые алгоритмы в 10 раз более точны, чем АРВ 2002 г. и в 100 раз более точны, чем в 1995 г. Отдельные алгоритмы превосходят участников-людей в распознавании лиц и могут однозначно идентифицировать даже близнецов.
H.Клавиатурный почерк и мышь
Последняя методика должна опознать пользователя по тому, как он печатает на клавиатуре или использует мышь. Она широко использовалась во время первой мировой войны для определения того, какой оператор работал с немецкой азбукой Морзе. У этого метода есть проблемы, связанные с болезнью руки у пользователя или изменением его стиля работы с клавиатурой.
I.Изучение биометрии в Sandia Labs
Работа, проведенная в Sandia National Labs, показывает сравнительную эффективность коммерчески доступного биометрического оборудования. Процент ошибки (CER) на рис.1 для изучаемых методов приведен в таблице:
Методика |
Частота ошибки |
|
Голос (Alpha) |
3% |
|
Голос (ЕССО) |
2% |
|
Подпись |
2% |
|
Сканирование сетчатки |
0.4% |
|
Геометрия руки |
0.1% |
|
Отпечатки пальцев |
9% |
ошибочное отбрасывание, без ошибочного |
принятия |
|
|
Они сравниваются также с другими характеристиками методик: |
||
Характеристика |
Лучшее |
Худшее |
Восприятие пользо- |
рука |
голос |
вателем |
|
|
Ложный отказ |
рука |
отпечатки паль- |
|
|
цев |
Ложный пропуск |
рука, сетчатка, отпе- |
голос |
|
чатки пальцев |
|
Производитель- |
рука, сетчатка, отпе- |
голос, подпись |
ность |
чатки пальцев |
|
Размер шаблона |
сетчатка |
голос |
25
Трудность имита- |
сетчатка |
голос, подпись |
ции |
|
|
Стоимость |
голос |
сетчатка |
Как уже упоминалось, эти биометрические измерения не превосходят пароли из-за больших вероятностей ошибки. Однако их можно использовать в соединении с паролями, для того чтобы система проверяла не только то, что собой представляет пользователь, но и то, что он знает.
Лекция 4
Аутентификация сообщений
Ключевая проблема сетевой безопасности – это проблема аутентификации: как Боб может убедиться, что сообщение, которое он получил, было отправлено Алисой, и даже если так, то не было ли оно изменено нарушителем?
1.1 Имитовставка (MAC)
Идея заключается в том, чтобы послать сообщение М вместе с имитовставкой MAC, f(М, K), которая является функцией сообщения М и секретного ключа K. Как MAC позволит Бобу быть уверенным, что сообщение М действительно было получено от Алисы? Они совместно используют секретный ключ K. Боб повторно вычисляет MAC и подтверждает, что сообщение М получено непосредственно от Алисы.
Обратите внимание на то, что аутентификация – отдельная цель, которая не тождественна секретности; здесь мы не беспокоимся по поводу конфиденциальности. Сообщение М посылается по каналу открытым текстом, и нас в данный момент не интересует, кто может его прочитать.
Важно также, чтобы каждый раз использовался новый ключ K. Например, это предотвращает навязывание ложной информации. Нарушитель не сможет повторно послать сообщение, т.к. Боб его отбросит.
ЦЕЛЬ: Нарушитель не должен произвести правильную пару M , f (M , K) даже после получения какой-нибудь реальной пары М, f(М, K).
ИДЕЯ: одноразовый ключ K - представляет собой пару коэффициентов (a, b): K=(a, b); после чего мы определяем у = f(M,K) = аМ + b. Просмотр од-
ной из nap (М, у) не позволяет вычислить соответствующий |
y |
|
для другого |
|
сообщения М'.
Более формально: Предположим, что |М| = п (т. е. сообщение М состоит из п бит). Пусть р -– простое число, и также |р| = п. Тогда множество
26
целых чисел Zp={0,1,...,p-1} образует поле по модулю р с операциями + , —, *, /.
•Сложение, + ассоциативно и коммутативно с единицей 0.
•Умножение, * ассоциативно и коммутативно с единицей 1.
•Все элементы имеют инверсии для операции + , например, - 5 = 12 (mod 17).
•Все элементы, которые не равны 0, имеют инверсии для операции *, например, 5 = 7(mod 17).
• Деление: 2/5 = 2 * 7 = 14(mod 17).
Теперь выберем а и b однородным образом из Zp, и определим f(M,K)= аМ + b (mod p)
Обратите внимание на то, что |(М, K ) | = |р|, поэтому MAC имеет ту же длину, что и сообщение М.
Предположим, что кто-то прочтет (М, у), где у = аМ + b (mod p). О чем он узнает? Он знает М, y, и p, но не а и b. Имеется p пар коэффициентов (а,
b), которые удовлетворяют уравнению y = аМ + b (mod p). |
|
Предположим, что нарушитель выбрал некоторый элемент |
ai Zp. То- |
гда bi y ai M (mod p) удовлетворяет вышеприведенному уравнению. Согласно однородности все такие выборы (ai ,bi ) равновероятны.
Предположим, что нарушитель хочет, чтобы Боб получил другое со-
общение, |
M |
М. Он должен вычислить новый MAC, который Боб должен |
|
||
принять. |
f(M',k) = ai M y ai M mod p = ai (M M ) + y(mod p) |
|
|
||
где |
ai – согласно предположению нарушителя. Но это дает разные значения |
для разных ai , так как |
ai (М' – М) + у = |
a j (М' – М) + у только, если ai a j . |
|
|
|
Таким образом, функция f( M ,k ) с одинаковой долей вероятности принима- |
||
ет любое значение из Zp. Следовательно, шанс получить правильное значение функции f( M ,k ) равен 1/р.
Одноразовый ключ K
Что произойдет, если Алиса и Боб будут использовать один и тот же секретный ключ K , чтобы вычислить коды MAC для двух отдельных сооб-
щений М и |
M |
? Тогда надо взять два уравнения у = f(М, K) и |
|
|
|
y |
f (M , K) . Это |
||
дает два уравнения: |
|
|
||
|
|
у = аМ + b(mod p) |
|
|
|
|
y aM + b(mod p) |
|
|
Но это дает нарушителю два уравнения с двумя неизвестными, и он |
||||
уже может решить их относительно а и b. а = ( y y ) /(M M ), |
b y aM . |
|||
В таком случае нарушитель знает а и b! Поэтому нельзя использовать один и тот же ключ повторно.
Длина MAC
27
И ключ и MAC имеют длину, пропорциональную |М|. Отсюда неизбежна одинаковая длина |K| =|М|. Однако длина MAC слишком велика, и было бы хорошо, если бы можно было ее уменьшить.
Идеи для сокращения длины MAC:
•Посылать только младшие 64 бита у = аМ + b(mod p)
•Выбирать малые простые р (64, 65 бит) и делить М на части М =
М1,М2,..., Mt , где 0 Mi < p k (a1, a2 ,...,at ,b) , где 0 |
ai < р, и 0 |
b |
f (M ,k) ai Mi + b(mod p). |
|
|
< р,
1.2Конфиденциальность и аутентификация
До сих пор мы были заинтересованы только в установлении подлинности. Алиса посылала свое сообщение, М, открытым текстом, и каждый мог его прочитать. Теперь мы хотим рассмотреть случай, когда Алиса хочет, чтобы ее сообщение было конфиденциальным, и чтобы только Боб мог его прочитать. Дополнительно она хочет обеспечить подтверждение подлинности сообщения. Мы комбинируем одноразовое гаммирование и одноразовую имитовставку, MAC. Существуют две возможности:
• зашифровать М, используя гаммирование, затем добавить имитовстав-
ку MAC зашифрованного текста:
M K,
f (M
K, K )
.
•добавить MAC к M, и использовать гаммирование, чтобы зашифровать пару (М,y): (M, f(M,K')) K.
Упервого выбора, где мы зашифровали сообщение М, а затем добавили имитовставку MAC, имеются два преимущества. Во-первых, Боб может проверить MAC до расшифрования. Если результат ошибочный, то можно не тратить время, дешифруя M K . Во-вторых, предварительное шифрование сообщения использует меньше случайных бит:
•
M K, f (M K, K )
:
|K| = п, |K'|=
2п, n+2n
=3n.
•
(M , f (M , K )) K
:
28
|K'| = 2п
K=2n
2n+2n=4 n.
1.3Длина одноразового ключа K
Можно ли сократить длину одноразового ключа |K|, необходимого для конфиденциальности или аутентификации? Чтобы сделать это, мы должны начать с предположений относительно вычислительной сложности.
Алиса шифрует сообщение М, которое имеет длину п бит ключом k, длиной t бит, получая шифрованный текст C, который также имеет длину п бит. Представим, что кто-то читает сообщение С и имеет неограниченную вычис-
лительную мощность. Он пробует все |
2 |
t |
ключей и исследует полученные |
|
расшифрованные сообщения М. В таком случае, он получит 2t предполагаемых сообщений. Допустим, что число разумных сообщений длины n равно αп (1 α < 2) (например, α = 1,1 для английского языка). Следовательно, ожидаемое число ключей, дающих разумный результат:
2 |
t |
( |
|
|
/ 2) |
n |
|
.
Когда t + n( log(α) – 1) < 0, тогда количество ключей, дающих разумные результаты, уменьшается до одного. Иными словами, если
п > t / ( l – log(α) ),
то существует только один работающий ключ (п > 7t для английского языка). Это подтверждает, что безусловная безопасность требует роста длины ключа |K| с возрастанием длины сообщения. Таким образом, безусловная безопасность требует использования длинных одноразовых ключей.
Лекция 5
1.1.2.3.Авторизация (санкционирование доступа).
Моделирование информационных сущностей
Модель протокола аутентификации
Авторизация
Модель защитника
Модель монитора доступов
Модель потокового контроля
1.1.2.3.1. Моделирование информационных сущностей.
29
Для того чтобы провести исследование и получить практический результат применяют следующий прием. В объект исследования вносят некоторую структуру, которая имеет искусственный характер, но облегчает исследование. Например, математики для анализа реальных процессов вносят структуры вероятностного пространства и вероятностей событий. Иногда говорят, что строится модель объекта. Далее мы рассмотрим следующие структуры, которые вносятся в общий объект под названием информация, теории защиты которой посвящена данная дисциплина: структура языка, позволяющая говорить об информации как о дискретной системе объектов, и структура ценности информации, позволяющая понять, что надо и что не надо защищать.
A. Структура языка: объекты и субъекты.
Используем понятия математической логики. Пусть А конечный алфавит, А – множество слов конечной длины в алфавите А.
Из А при помощи некоторых правил выделено подмножество правильных слов, которое называется языком. Если 1 – язык описания одной информации, 2 – другой, то можно говорить о языке , объединяющем 1 и2 описывающем ту и другую информацию. Тогда 1 и 2 подъязыки .
Будем считать, что любая информация представлена в виде слова в некотором языке . Кроме того, можно полагать, что состояние любого устройства в вычислительной системе достаточно полно описано словом в некотором языке. Тогда можно отождествлять слова и состояния устройств и механизмов вычислительной системы или произвольной ЭСОД. Эти предположения позволяют весь анализ вести в терминах некоторого языка.
Определение 1. Объектом относительно языка называется произвольное конечное множество языка .
Пример 1. Произвольный файл в компьютере есть объект. В любой момент в файл может быть записано одно из конечного множества слов языка в некотором алфавите А, которое отражает содержимое информации, хранящейся в файле. Значит, файл можно рассматривать как конечное множество слов, которые в нем могут быть записаны (возможные содержания файла). То, что в данный момент в файле содержится только одно слово, не исключает потенциально существования других записей в данном файле, а в понятие файла как объекта входят все допустимое множество таких записей. Естественно выделяется слово, записанное в файле в данный момент – это состояние объекта в данный момент.
Пример 2. Пусть текст в файле разбит на параграфы так, что любой параграф также является словом языка и, следовательно,
30