- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Криптографічні протоколи
Розв’язання основних задач інформаційної безпеки можна домогтися шляхом реалізації таких криптографічних методів захисту як користувальницької і службової інформації, так і інформаційних ресурсів у цілому:
шифрування всього інформаційного трафіка, що передається через відкриті мережі передавання даних, і окремих повідомлень;
криптографічна автентифікація об’єктів, що встановлюють зв’язок;
захист трафіка, що несе дані, засобами захисту від нав’язування помилкових повідомлень і електронного цифрового підпису з метою забезпечення цілісності і вірогідності переданої інформації;
шифрування даних, що представлені у вигляді файлів, або що зберігаються в базі даних;
контроль цілісності програмного забезпечення шляхом застосування криптографічно стійких контрольних сум;
застосування електронного цифрового підпису для забезпечення юридичної значимості платіжних документів;
застосування затемненого цифрового підпису для забезпечення неможливості відстеження дій клієнта в платіжних системах, заснованих на понятті електронних грошей.
При реалізації більшості з наведених методів криптографічного захисту виникає необхідність обміну деякою інформацією.
У загальному випадку взаємодія об’єктів (суб’єктів) подібних систем завжди відбувається за певним протоколом.
Протокол – це послідовність дій об’єктів (суб'єктів) для досягнення певної мети.
Криптографічний протокол – це протокол, у якому учасники для досягнення певної мети використовують криптографічні перетворення інформації.
Основні задачі забезпечення інформаційної безпеки, що розв’язуються за допомогою криптографічних протоколів, такі:
обмін ключовою інформацією з наступним встановленням захищеного обміну даними. При цьому не існує ніяких припущень, чи спілкувалися попередньо між собою сторони, що обмінюються ключами (наприклад, системи розподілу ключової інформації в розподілених мережах передавання даних);
автентифікація сторін, що встановлюють зв’язок;
авторизація користувачів для забезпечення доступу до телекомунікаційнихі інформаційних служб.
Завдяки широкому застосуванню таких відкритих мереж передавання даних, як Іnternet і побудованих на їхній основі мереж Іntranet і Extranet криптографічні протоколи знаходять усе більш широке застосування для розв’язання різноманітного кола задач і забезпечення послуг, що надаються користувачам таких мереж.
Контроль цілісності
Криптографічні засоби дозволяють:
надійно контролювати цілісність як окремих порцій даних, так і їх наборів (таких як потік повідомлень);
визначати достовірність джерела даних;
гарантувати неможливість відмовитися від виконаних дій (“безвідмовність”).
В основі криптографічного контролю цілісності лежать два поняття: хеш-функція та електронний цифровий підпис.
Хеш-функція – це односпрямована функція. Нехай є початкові дані , цілісність яких потрібно перевірити, хеш-функціяі раніше обчислений результат її застосування до початкових даних (так званий дайджест), дані, що перевіряються. Контроль цілісності даних зводиться до обчислення значення хеш-функціїі перевірки рівності=. Якщо ця рівність виконується, то вважається, що=.
Збіг дайджестів для різних даних називається колізією. У принципі, колізії можливі, оскільки множини дайджестів менші, ніж множини хешованих даних, проте, оскільки є односпрямованою функцією, то за прийнятний час спеціально організувати колізію неможливо.
Для вироблення і перевірки електронного цифрового підпису (ЕЦП) застосовується асиметричне шифрування.
У найпростішому випадку ЕЦП є зашифрованим на секретному ключі значенням хеш-функції для даних, що підписуються, .
Електронний цифровий підпис захищає цілісність повідомлення і засвідчує особу відправника, тобто захищає цілісність джерела даних і служить основою безвідмовності.
Для контролю цілісності послідовності повідомлень (тобто для захисту від крадіжки, дублювання і переупорядкування повідомлень) застосовують часові штампи і нумерацію елементів послідовності, при цьому штампи і номери включають у текст, що підписується.
При використанні методів асиметричного шифрування (і, зокрема, для електронного цифрового підпису) необхідно мати гарантію достовірності пари (ім’я користувача, відкритий ключ користувача).
Для вирішення цього завдання в специфікаціях X.509 вводяться поняття цифрового сертифіката і засвідчувального центру.
Засвідчувальний центр – це компонент глобальної служби каталогів, що відповідає за управління криптографічними ключами користувачів.
Відкриті ключі й інша інформація про користувачів зберігається засвідчувальними центрами у вигляді цифрових сертифікатів, що мають таку структуру:
порядковий номер сертифіката;
ідентифікатор алгоритму електронного підпису;
ім’я засвідчувального центру;
термін придатності;
ім’я власника сертифіката;
відкриті ключі власника сертифіката (ключів може бути декілька);
ідентифікатори алгоритмів, що асоціюються з відкритими ключами власника сертифіката;
електронний підпис, що згенеруваний з використанням секретного ключа засвідчувального центру (підписується результат хешування всієї інформації, що зберігається в сертифікаті).
Цифрові сертифікатимають такі властивості:
будь-який користувач, що знає відкритий ключ засвідчувального центру, може дізнатися відкриті ключі інших клієнтів центру і перевірити цілісність сертифіката;
ніхто, окрім засвідчувального центру, не може модифікувати інформацію про користувача без порушення цілісності сертифіката.
У специфікаціях X.509 не описується конкретна процедура генерування криптографічних ключів і управління ними, проте даються деякі загальні рекомендації. Зокрема, обумовлюється, що пара ключів може породжуватися будь-яким з таких способів:
ключі може генерувати сам користувач. У такому разі секретний ключ не потрапляє до рук третьої особи, проте потрібно розв’язувати задачу безпечного зв'язку із засвідчувальним центром;
ключі генерує довірена особа. У такому разі доводиться розв’язувати задачі безпечної доставки секретного ключа власнику і надання довірених даних для створення сертифіката;
ключі генеруються засвідчувальним центром. У такому разі залишається тільки завдання безпечного передавання ключів власнику.