Основы компьютерной безопасности

Автор: Пользователь скрыл имя, 09 Октября 2011 в 07:21, доклад

Описание работы

В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надежность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в нее изменений неуполномоченными лицами, и сохранение тайны переписки в электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому надежность работы компьютерных систем во многом опирается на меры самозащиты.

Работа содержит 1 файл

Основы компьютерной безопасности.doc

— 75.00 Кб (Скачать)

Понятие о несимметричном шифровании информации.

Системам шифрования столько же лет, сколько письменному  обмену информацией. Обычный подход состоит в том, что к документу применяется некий метод шифрования / назовем его ключом/, после чего документ становится недоступен для чтения обычными средствами. Его можно прочитать только тот, кто знает ключ, только он может применить адекватный метод чтения. Аналогично происходит шифрование и ответного сообщения. Если в процессе обмена информацией для шифрования и чтения пользуются одним и тем же ключом, то такой криптографический процесс является симметричным.

Основной недостаток симметричного процесса заключается в том, что прежде чем начать обмен информацией, надо выполнить передачу ключа, а для этого опять-таки нужна защищенная связь, то есть проблема повторяется, хотя и на другом уровне. Если рассмотреть оплату клиентом товара или услуги с помощью кредитной карты, то получается, что торговая фирма должна создать по одному ключу для каждого своего клиента и каким-то образом передать им эти ключи. Это крайне неудобно.

Поэтому в настоящее  время в Интернете используют несимметричные криптографические системы, основанные на использовании не одного, а двух ключей. Происходит это следующим образом. Компания для работы с клиентами создает два ключа : один - открытый /public -публичный/ ключ, а другой - закрытый /private - личный/ ключ. На самом деле это как бы две «половинки» одного целого ключа, связанные друг с другом.

Ключи устроены так, что сообщение, зашифрованное  одной половинкой, можно расшифровать только другой половинкой / не той, которой оно было закодировано/. Создав пару ключей, торговая компания широко распространяет публичный ключ /открытую половинку/ и надежно сохраняет закрытый ключ /свою половинку/.

Как публичный, так и закрытый ключ представляют собой некую кодовую последовательность. Публичный ключ компании может быть опубликован на ее сервере, откуда каждый желающий может его получить. Если клиент хочет сделать фирме заказ, он возьмет ее публичный ключ и с его помощью закодирует свое сообщение о заказе и данные о своей кредитной карте. После кодирования это сообщение может прочесть только владелец закрытого ключа. Никто из участников цепочки, по которой пересылается информация, не в состоянии это сделать. Даже сам отправитель не может прочитать собственное сообщение, хотя ему хорошо известно содержание. Лишь получатель сможет прочесть сообщение, поскольку только у него есть закрытый ключ, дополняющий использованный публичный ключ.

Если фирме  надо будет отправить клиенту  квитанцию о том, что заказ  принят к исполнению, она закодирует ее своим закрытым ключом. Клиент сможет прочитать квитанцию, воспользовавшись имеющимся у него публичным ключом данной фирмы. Он может быть уверен, что квитанцию ему отправила именно эта фирма, и никто иной, поскольку никто иной доступа к закрытому ключу фирмы не имеет.

Принцип достаточности защиты.

Защита публичным  ключом /впрочем, как и большинство  других видов защиты информации/ не является абсолютно надежной. Дело в том, что поскольку каждый желающий может получить и использовать чей-то публичный ключ, то он может сколь угодно подробно изучить алгоритм работы механизма шифрования и пытаться установить метод расшифровки сообщения, то есть реконструировать закрытый ключ.

Это настолько  справедливо, что алгоритмы кодирования  публичным ключом даже нет смысла скрывать. Обычно к ним есть доступ, а часто они просто широко публикуются. Тонкость заключается в том, что знание алгоритма еще не означает возможности провести реконструкцию ключа в разумно приемлемые сроки. Так, например, правила игры в шахматы известны всем, и нетрудно создать алгоритм для перебора всех возможных шахматных партий, но он никому не нужен, поскольку даже самый быстрый современный суперкомпьютер будет работать над этой задачей дольше, чем существует жизнь на нашей планете.

Количество комбинаций, которое надо проверить при реконструкции закрытого ключа, не столь велико, как количество возможных шахматных партий, однако защиту информации принято считать достаточной, если затраты на ее преодоление превышают ожидаемую ценность самой информации. В этом состоит принцип достаточности защиты, которым руководствуются при использовании несимметричных средств шифрования данных. Он предполагает, что защита не абсолютна, и приемы ее снятия известны, но она все же достаточна для того, чтобы сделать это мероприятие нецелесообразным. При появлении иных средств, позволяющих-таки получить зашифрованную информацию в разумные сроки, изменяют принцип работы алгоритма, и проблема повторяется на более высоком уровне.

Разумеется, не всегда реконструкцию закрытого  ключа производят методами простого перебора комбинаций. Для этого существуют специальные методы, основанные на исследовании особенностей взаимодействия открытого ключами с определенными структурами данных. Область науки, посвященная этим исследованиям, называется криптоанализом, а средняя продолжительность времени, необходимого для реконструкции закрытого ключа по его опубликованному открытому ключу, называется криптостойкостъю алгоритма шифрования.

Для многих методов  несимметричного шифрования криптостойкость, полученная в результате криптоанализа, существенно отличается от величин, заявляемых разработчиками алгоритмов на основании теоретических оценок. Поэтому во многих странах вопрос применения алгоритмов шифрования данных находится в поле законодательного регулирования. В частности, в России к использованию в государственных и коммерческих организациях разрешены только те программные средства шифрования данных, которые прошли государственную сертификацию в административных органах, в частности в Федеральном агентстве правительственной связи и информации при Президенте Российской Федерации /ФАПСИ/.

Понятие об электронной подписи.

Мы рассмотрели, как клиент может переслать организации  свои конфиденциальные данные /например, номер электронного счета/. Точно  так же он может общаться и с  банком, отдавая ему распоряжения о перечислении своих средств на счета других лиц и организаций. Ему не надо ездить в банк и стоять в очереди - все можно сделать, не отходя от компьютера. Однако здесь возникает проблема как банк узнает что распоряжение поступило именно от данного лица, а не от злоумышленника выдающего себя за него? Эта проблема решается с помощью так называемой электронной подписи.

Принцип ее создания тот же, что и рассмотренный  выше. Если нам надо создать себе электронную подпись, следует с помощью специальной программы /полученной от банка/ создать те же два ключа : закрытый и публичный. Публичный ключ передается банку Если теперь надо отправить поручение банку на операцию с расчетным счетом, оно кодируется публичным ключом банка, а своя подпись под ним кодируется собственным закрытым ключом. Банк поступает наоборот. Он читает поручение с помощью своего закрытого ключа, а подпись - с помощью публичного ключа поручителя. Если подпись читаема, банк может быть уверен, что поручение ему отправили именно мы, и никто другой

Понятие об электронных сертификатах.

Системой несимметричного  шифрования обеспечивается делопроизводство в Интернете. Благодаря ей каждый из участников обмена может быть уверен, что полученное сообщение отправлено именно тем, кем оно подписано Однако здесь возникает еще ряд проблем, например проблема регистрации даты отправки сообщения. Такая проблема возникает во всех случаях, когда через Интернет заключаются договоры между сторонами. Отправитель документа может легко изменить текущую дату средствами настройки операционной системы. Поэтому обычно дата и время отправки электронного документа не имеют юридической силы. В тех же случаях, когда это важно, выполняют сертификацию ^ даты/времени

Сертификация  даты. Сертификация даты выполняется при участии третьей, независимой стороны. Например, это может быть сервер организации, авторитет который в данном вопросе признают оба партнера. В этом случае документ, зашифрованный открытым ключом партнера и снабженный своей электронной подписью, отправляется сначала на сервер сертификацией организации. Там он получает "приписку" с указанием точной даты и времени, зашифрованную закрытым ключом этой организации. Партнер декодирует содержание документа, электронную подпись отправителя и отметку о дате с помощью своих "половинок" ключей. Вся работа автоматизирована.

Сертификация  Web-узлов. Сертифицировать можно не только даты. При заказе товаров в Интернете важно убедиться в том, что сервер, принимающий заказы и платежи от имени некой фирмы, действительно представляет эту фирму. Тот факт, что он распространяет ее открытый ключ и обладает ее закрытым ключом, строго говоря, еще ничего не доказывает, поскольку за время прошедшее после создания ключа, он мог быть скомпроментирован Подтвердить действительность ключа тоже может третья организация путем выдачи сертификата продавцу. В сертификате указано, когда он выдан и на какой срок Если добросовестному продавцу станет известно, что его закрытый ключ каким-либо образом скомпрометирован, он сам уведомит сертификационный центр, старый сертификат будет аннулирован, создан новый ключ и выдан новый сертификат.

Прежде чем  выполнять платежи через Интернет или отправлять данные о своей  кредитной карте кому-либо, следует  проверить наличие действующего сертификата у получателя путем обращения в сертификационный центр. Это называется сертификацией Web-узлов.

Сертификация  издателей.   Схожая проблема встречается и при распространении программного обеспечения через Интернет. Так, например, мы указали, что Web-бпрузеры, служащие для просмотра Web-страниц, должны обеспечивать механизм защиты от нежелательного воздействия активных компонентов на компьютер клиента. Можно представить, что произойдет, Если кто-то от имени известной компании начнет распространять модифицированную версию ее броузера, в которой специально оставлены бреши в системе защиты. Злоумышленник может использовать их для активного взаимодействия с компьютером, на котором работает такой броузер.

о

Это относится  не только к броузерам, но и ко всем видам программного обеспечения, получаемого через Интернет, в которое могут быть имплантированы « троянские кони», «комптьютерные вирусы», «часовые бомбы» и прочие нежелательные объекты, в том числе и такие, которые невозможно обнаружить антивирусными средствами. Подтверждение того, что сервер, распространяющий программные продукты от имени известной фирмы, действительно уполномочен ею для этой деятельности, осуществляется путем сертификации издателей. Она организована аналогично сертификации Web-узлов.

Средства для проверки сертификатов обычно предоставляют броузеры. В частности, в обозревателе Microsoft Internet Explorer 5,0 работа с которым более подробно будет рассмотрена в следующей главе, доступ к центрам сертификации осуществляется командой Сервис П Свойства обозревателя D Содержание П Сертификатов D Доверенные корневые центра сертификации.

ПРАКТИЧЕСКОЕ  ЗАНЯТИЕ

Упражнение 8.1. Создание соединения удаленного доступа.

1.   Запустите  программу создания соединения  удаленного доступа : Мой компьютер  П Удаленный доступ к сети П Новое соединение.

2.   В диалоговом  окне Новое соединение введите  название нового соединения /произвольное/ и выберите модем, используемый  для обслуживания данного соединения /если их несколько/. Щелкните на кнопке Далее.

3.   Заполните поле телефонного номера /номер должен быть получен от поставщика услуг/. Щелкните на кнопке Далее.

4.   В окне  папки Удаленный доступ к сети  образуется значок нового соединения  Дальнейшая настройка выполняется  редактированием его свойств.

5.   Если  поставщик услуг Интернета предоставил несколько телефонных номеров для подключения к его серверу, возможно, придется для каждого из них создать по отдельному соединению.

Упражнение 8.2. Настройка соединения удаленного доступа.

1.   Откройте  папку Удаленный доступ к сети. В этой папке находятся значки созданных соединений. Их может быть несколько.

2.   Выберите  настраиваемое соединение. Щелкните  на его значке правой кнопкой  мыши. В открывшемся контекстном  меню выберите пункт Свойства  — откроется диалоговое окно свойств нового соединения.

3.   На вкладке  Общие проверьте правильность  ввода телефонного номера поставщика  услуг Интернета и правильность  выбора и настройки модема. В  случае необходимости внести  необходимые изменения.

4.   На вкладке  Тип сервера отключите все сетевые протоколы кроме протокола TCP/IP.

5.   Здесь  же щелкните на кнопке Настройка  TCP/IP и выполните настройку протокола.

Включите переключатель  ввода IP-адреса в соответствии с указаниями поставщика услуг /для коммутируемого соединения обычно включают переключатель IP-Адрес назначается сервером/.

6.   Введите  адреса сервера DNS. Если эти адреса получены от поставщика услуг, включите переключатель Адреса вводятся вручную и введите по четыре числа для первичного и вторичного серверов DNS. Если адреса не получены, возможно, что они вводятся автоматически. В этом случае включите переключатель Адрес назначается сервером.

Информация о работе Основы компьютерной безопасности