Безопасность информационных технологий

      В качестве источника света может  использоваться светоизлучающий диод или лазер. Свет формируется в виде коротких импульсов. Поляризация каждого импульса модулируется Отправителем. Получатель измеряет поляризацию фотонов и сообщает Отправителю, какую последовательность базовых состояний он использовал. Отправитель уведомляет Получателя о том, какие базовые состояния использованы корректно.

      Более эффективной проверкой является проверка на четность, осуществляемая по открытому каналу (в качестве открытого канала могут использоваться обычные телефонные линии, линии радиосвязи и локальные сети). Например, Отправитель может сообщить: «Я просмотрел 1-й, 2-й, 10-й … и 99-й из моих 1000 битов данных, и они содержат четное число единиц». Тогда Получатель подсчитывает число единиц на тех же самых позициях. Если данные у Получателя и Отправителя отличаются, то проверка на четность случайного подмножества этих данных выявит этот факт с вероятностью 0,5 независимо от числа и положения ошибок. Достаточно повторить такой тест 20 раз с 20 случайными подмножествами, чтобы сделать вероятность необнаруженной ошибки очень малой.

      В 1989 году Беннет и Брассард в Исследовательском центре IBM построили первую работающую квантово-криптографическую систему (ККС). Она состояла из квантового канала, содержащего передатчик Отправителя на одном конце и приемник Получателя на другом, размещенные на оптической скамье длиной около метра в светонепроницаемом полутораметровом кожухе размером 0,5х0,5 м. квантовый канал представлял собой воздушный канал длиной около 32 см. Макет управлялся с ПК, который содержал программное представление Отправителя и Получателя, а также злоумышленника. Передача сообщения через воздушную среду завершилась успешно. Основная проблема при увеличении расстояния между передатчиком и приемником – сохранение поляризации фотонов. Сейчас в рабочих системах используется оптоволокно.

      Работы  в области квантовой криптографии ведутся во многих странах. В России этими вопросами занимаются в Государственном университете теле коммуникаций. В США в Лос-Аламосской   национальной лаборатории создана линия связи длиной 48 км, в которой осуществляется распределение ключей со скоростью несколько десятков Кбит/с, а в университете Дж.Хопкинса реализована локальная вычислительная сеть с квантовым каналом связи длиной 1 км, в которой достигнута скорость передачи 5 Кбит/с. В Великобритании, в Оксфордском университете, реализован целый ряд макетов ККС с использованием различных методов модуляции и детектирования оптических сигналов.

      Компания  MagicQ представила систему Navajo, совершеннейшую из существующих квантовых шифровальных систем. Это первая коммерчески доступная система квантовой криптографии. Основной продукт – MagicQ VPN Security Gateway – шлюз для организации VPN с использованием квантовой криптографии. Система поддерживает до 100 обменов ключами в секунду, максимальное расстояние между точками – 120 км.

      Технология использует отдельные фотоны для передачи цифровых ключей, широко используемых для кодирования секретных документов. Фотоны настолько чувствительны к внешнему воздействию, что при попытке отследить их во время передачи, их поведение мгновенно изменится, оповещая Отправителя и Получателя и отменяя перехваченный код.

      Второе  относительно широко доступное на сегодня  решение – от компании idQuantique. Она предлагает системы распределения ключей, генераторы случайных чисел и детекторы фотонов.

      Интерес к квантовой криптографии со стороны коммерческих и военных организаций растет, так как эта технология гарантирует абсолютную защиту.    

1.2.Шифрование дисков

     Зашифрованный диск – это файл-контейнер, внутри которого могут находиться любые  другие файлы или программы (они могут быть установлены и запущены прямо из этого зашифрованного файла). Этот диск доступен только после ввода пароля к файлу-контейнеру – тогда на компьютере появляется еще один диск, опознаваемый системой как логический и работа с которым не отличается от работы с любым другим диском. После отключения диска логический диск исчезает, он просто становится «невидимым».

     На  сегодняшний день наиболее распространенные программы для создания зашифрованных  дисков – DriveCrypt, BestCrypt и PGPdisk. Каждая из них надежно защищена от удаленного взлома.

     Общие черты программ:

• Все изменения информации в файле-контейнере происходят сначала в оперативной памяти, т.е. жесткий диск всегда остается зашифрованным. Даже в случае зависания компьютера секретные данные так и остаются зашифрованными.
• Программы могут блокировать скрытый логический диск по истечении определенного промежутка времени.
• Все они недоверчиво относятся к временным файлам (своп-файлам). Есть возможность зашифровать всю конфиденциальную информацию, которая могла попасть в своп-файл. Очень эффективный метод скрытия информации, хранящейся в своп-файле – это вообще отключить его, при этом не забыв нарастить оперативную память компьютера.
• Физика жесткого диска такова, что даже если поверх одних данных записать другие, то предыдущая запись полностью не сотрется. С помощью современных средств магнитной микроскопии (Magnetic Force Microscopy – MFM) их все равно можно восстановить. С помощью этих программ можно надежно удалять файлы с жесткого диска, не оставляя никаких следов их существования.
• Все три программы сохраняют конфиденциальные данные в надежно зашифрованном виде на жестком диске и обеспечивают прозрачный доступ к этим данным из любой прикладной программы.
• Они защищают зашифрованные файлы-контейнеры от случайного удаления.
• Отлично справляются с троянскими приложениями и вирусами.

Преимущества DriveCrypt:

• Знает алгоритмы: AES, Blowfish, Tea 16, DES, Triple DES, Square, Misty.
• Последняя версия программы DriveCrypt (DriveCrypt Plus Pack) имеет возможность ввода пароля при загрузке BIOS.
• Имеет защиту от клавиатурных шпионов, реализованную на уровне драйвера системы.
• При шифровании данных имя файла-контейнера можно задавать любое имя и расширение.
• С помощью DriveCrypt файл-контейнер можно поместить в любой графический или звуковой файл. Таким образом файла-контейнера вообще не видно на жестком диске, и никто не сможет определить, какой программой шифруется информация на компьютере.

Преимущества  BestCrypt:

• Знает  алгоритмы: Rijndael, Blowfish, Twofish, ГОСТ 28147-89.
• К программе можно подключать свои алгоритмы шифрования и процедуры проверки пароля. Можно создавать свои собственные виртуальные драйверы, являющиеся «родными» для операционной системы.
• Есть возможность создать скрытый зашифрованный диск внутри другого зашифрованного диска.

     Преимущества  PGPdisk:

• Является  приложением PGP (криптографической системы) и использует собственные ключи для шифрования.
• Высокая стойкость к попыткам любого рода дешифрации кода.
• Широкая распространенность PGP.

1.3.Метод парольной защиты

Законность  запроса пользователя определяется по паролю, представляющему собой, как правило, строку знаков. Метод паролей считается достаточно слабым, так как пароль может стать объектом хищения, перехвата, перебора, угадывания. Однако простота метода стимулирует поиск путей его усиления.

      Для повышения эффективности парольной  защиты рекомендуется:

• выбирать пароль длиной более 6 символов, избегая распространенных, легко угадываемых слов, имен, дат и т.п.;
• использовать специальные символы;
• пароли, хранящиеся на сервере, шифровать при помощи односторонней функции;
• файл паролей размещать в особо защищаемой области ЗУ ЭВМ, закрытой для чтения пользователями;
• границы между смежными паролями маскируются;
• комментарии файла паролей следует хранить отдельно от файла;
• периодически менять пароли;
• предусмотреть возможность насильственной смены паролей со стороны системы через определенный промежуток времени;
• использовать несколько пользовательских паролей: собственно пароль, персональный идентификатор, пароль для блокировки/разблокировки аппаратуры при кратковременном отсутствии и т.п.

       В качестве более сложных парольных  методов используется случайная выборка символов пароля и одноразовое использование паролей. В первом случае пользователю (устройству) выделяется достаточно длинный пароль, причем каждый раз для опознавания используется часть пароля, выбираемая случайно. При одноразовом использовании пароля пользователю выделяется не один, а большое количество паролей, каждый из которых используется по списку или по случайной выборке один раз.                                           В действительно распределенной среде, где пользователи имеют доступ к нескольким серверам, базам данных и даже обладают правами удаленной регистрации, защита настолько осложняется, что администратор  все это может увидеть лишь в кошмарном сне.

       1.4.Методы защиты информации в Internet

Сегодня самая актуальная для Internet тема - проблема защиты информации. Сеть стремительно развивается в глобальных масштабах, и все большее распространение получают системы внутренних сетей (intranet, интрасети). Появление на рынке новой огромной ниши послужило стимулом как для пользователей, так и для поставщиков сетевых услуг к поиску путей повышения безопасности передачи информации через Internet.

      Проблема  безопасности в Internet подразделяется на две категории: общая безопасность и вопросы надежности финансовых операций. Успешное разрешение проблем  в сфере финансовой деятельности могло бы открыть перед Internet необозримые перспективы по предоставлению услуг для бизнеса. В борьбу за решение этой проблемы включились такие гиганты в области использовани кредитных карточек, как MasterCard и Visa, а также лидеры компьютерной индустрии Microsoft и Netscape. Все это касается "денежных" дел; наша же статья посвящена проблеме общей безопасности.

      Задача  исследований в этой области - решение  проблемы конфиденциальности. Рассмотрим для примера передачу сообщений  электронной почты с одного SMTP-сервера  на другой. В отдельных случаях эти сообщения просто переписываются с одного жесткого диска на другой как обыкновенные текстовые файлы, т. е. прочитать их смогут все желающие. Образно говоря, механизм доставки электронной почты через Internet напоминает ситуацию, когда постиранное белье вывешивается на улицу, вместо того чтобы отжать его в стиральной машине. Не важно, содержатся ли в послании какая-то финансовая информация или нет; важно следующее - любая пересылаемая по Internet информаци должна быть недоступна для посторонних.

      Кроме конфиденциальности пользователей также волнует вопрос гарантий, с кем они сейчас "беседуют". Им необходима уверенность, что сервер Internet, с которым у них сейчас сеанс связи, действительно является тем, за кого себя выдает; будь то сервер World-Wide Web, FTP, IRC или любой другой. Не составляет особого труда имитировать (то ли в шутку, то ли с преступными намерениями) незащищенный сервер и попытаться собрать всю информацию о вас. И, конечно же, поставщики сетевых услуг также хотели бы быть уверенными, что лица, обращающиеся к ним за определенными ресурсами Internet, например, электронной почтой и услугами IRC, действительно те, за кого себя выдают.

Защита  от несанкционированного доступа

      В настоящее время наибольшей популярностью  пользуются самые простые схемы организации защиты - системы защиты от несанкционированного доступа. Подобные системы достаточно надежны, однако не отличаются особой гибкостью. В них используются самые разные алгоритмы - от разрешения передачи сообщений лишь с заданными адресами сетевого протокола IP до запрета прямого доступа пользователей к ресурсам Internet и интрасетям. Недостаток данной технологии кроется в узости самой постановки задачи: предотвратить доступ посторонним пользователям к внутренним сетям различного уровня. Иногда подобная защита используется для запрета доступа "особо активных" пользователей внутренних сетей, например, корпоративной сети предприятия, ко всем ресурсам Internet, за исключением обычной электронной почты.  Фабула данной схемы защиты такова: неприкосновенность внутренней информации и снижение нежелательной нагрузки на внешние каналы.

      Однако  пользователи и поставщики услуг Internet скорее заинтересованы в соблюдении общей безопасности, а точнее, конфиденциальности информации отправителя и получателя, а сервисным службам и пользователям необходима абсолютная уверенность в том, что на другом конце канала связи именно тот, кто им нужен.

Возможности SSL

      На  сегодняшний день крупными поставщиками программных средств разработаны  различные механизмы дл решения широкого спектра вопросов по обеспечению общей безопасности информации в Internet. Самый известный и наиболее развитый среди них - протокол Secure Socket Layer (SSL), предложенный фирмой Netscape. Широкое его распространение обусловлено не только значительным влиянием на рынке самой компании Netscape, но и реализацией SSL другими крупным фирмам - IBM, Microsoft и даже Spyglass. Они внедрили этот протокол в свои прикладные системы, предназначенные для работы в системах с архитектурой клиент-сервер.