Защита компьютерных систем и сетей © КНТЭУ, каф. ЭКИС, доц. Шклярский С.М. Защита информации в сетях и Интернет 1. Основные положения сетевой безопасности. 2. Введение в криптографию 3. Технология шифрования в пакете PGP. 4. Цифровая подпись электронных документов..
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет 1. Основные положения сетевой безопасности. Угроза безопасности компьютерной сети - это потенциально возможное происшествие, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся или циркулирующую в ней. Возможность угрозы обусловлена самой природой Интернет, компоненты которой распределены в пространстве и взаимодействуют друг с другом посредством передачи сообщений (пакетов) по сетевым соединениям. Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать (утечка информации); Угроза целостности включает в себя любое умышленное изменение (модификацию или удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую (разрушение информации); Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы (разрушение информационной системы). Виды угроз компьютерной безопасности:
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Уязвимость компьютерной сети - это некая ее неудачная характеристика или конфигурация, которая делает возможным возникновение того или иного вида угрозы. Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Атака - это реализация угрозы. Виды атак: Локальная атака заключается в том, что осуществляется в пределах одной информационной системы, как правило, путем физического доступа (проникновения) к уязвимым ресурсам системы; Под удаленной атакой понимается информационное разрушающее воздействие на вычислительную сеть (систему), программно осуществляемое по каналам связи.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации. Защита информации от несанкционированного воздействия - деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации. Защита информации от несанкционированного доступа (НСД) - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, прав или правил доступа к защищаемой информации.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет 2. Введение в криптографию Наукой, изучающей математические методы защиты информации путем ее преобразования, является криптология (κρυπτος – тайный, λογος - наука). Криптология разделяется на два направления: Криптография – изучает методы преобразования информациии, обеспечивающие ее конфиденциальность и аутентичность. Криптоанализ объединяет математические методы нарушения конфиденциальности и аутентичности без знания дополнительной информации (ключа). Под конфиденциальностью понимается невозможность получения информации без знания ключа. Аутентичность информации состоит в подлиннсти авторства и целостности
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Основная задача криптографии передача секретной информации по открытым каналам связи без возможности разглашения секрета. При этом сам факт передачи информации не скрывается. Передачей информации с сокрытием самого факта ее передачи занимается стеганография. (Классический пример стеганографии письмо «невидимыми» чернилами.) Криптография включает в себя четыре раздела: 1. Симметричные криптосистемы; 2. Криптосистемы с открытым ключом; 3. Системы электронной подписи; 4. Системы управления ключами. Криптография дает возможность преобразовать информацию таким образом, что доступ к ней возможен только при знании ключа.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет В качестве информации, подлежащей шифрованию и расшифрованию, рассматриваться тексты, построенные на некотором алфавите. Алфавит конечное множество используемых для кодирования информации знаков. Текст упорядоченный набор из элементов алфавита. Примеры алфавитов: алфавит Z 32 – 32 буквы русского алфавита; алфавит Z 256 – символы, входящие в стандартные коды ASCII и КОИ-8; двоичный алфавит Z 2 = {0,1} Шифрование – процесс преобразования исходного текста, который носит также название открытого текста, в шифрованный текст. Расшифрование – процесс, обратный шифрованию. На основе ключа шифрованный текст преобразуется в исходный.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Криптографический алгоритм (шифр) - это математическая функция, используемая для зашифровки/расшифровки данных. Ключи - это слова, числа или фразы, используемые криптоалгоритмом для шифровки данных. Кpиптостойкостью называется характеристика шифра, определяющая его стойкость к расшифрованию без знания ключа (т.е. криптоанализу). Показатели криптостойкости: количество всех возможных ключей; среднее время, необходимое для успешной криптоаналитической атаки того или иного вида.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Три основных направления в криптографии: Подтверждение целостности данных - верификация; Подтверждение авторства данных - аутентификация Защита содержательной составляющей данных - шифрование; Криптосистема - это это набор алгоритмов, всевозможных ключей и протоколов передачи данных, обеспечиваюших задачи защиты информации.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет зашифрованное сообщение должно поддаваться чтению только при наличии ключа; число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров или требовать неприемлемо высоких затрат на эти вычисления; знание алгоритма шифрования не должно влиять на надежность защиты; незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при шифровании одного и того же исходного текста; незначительное изменение исходного текста должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа; Некоторые общепринятые требования к современным криптографическим системам защиты информации:
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Типы криптосистем: Обычная - это система в которой для зашифровки и расшифровки используется один и тот-же ключ. Такая система называется системой с симметричным ключом. Достоинства: Быстрота шифровки/дешифровки; Относительная дешевизна реализации. Недостаток: Угроза перехвата ключа в момент его передачи. Область применения: Как правило, локально, в рамках одной организации, либо устоявшейся группы лиц. Например: криптосистема DES (Data Encryption Standart) применяется в правительственных учреждениях США. стандарт шифрования ГОСТ применяется в России и СНГ.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Криптосистемы с общим ключом (ассиметричные) - это системы, в которых используется два ключа, математически связанные между собой. Информация зашифровывается с помощью открытого ключа, который общедоступен, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения. Достоинство - отсутствие угрозы перехвата ключа. Недостаток - сложность криптоалгоритмов, отсюда – низкая скорость работы. Область применения: В глобальных сетях, где зараннее не ограниченкруг лиц, участвующих в обмене данными (коммерческие системы на основе Internet).
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет 3. Технология шифрования в пакете PGP. Ассиметричные криптосистемы появились в середине 70-х годов прошлого столетия и ознаменовали собой открытие таких направлений, как электронные цифровые подписи (ЭЦП), электронные деньги и т.п. Концепция общего (открытого) ключа была предложена в 1975 г. Мартином Хеллманом. Открытый и личный ключи генерируются одновременно в виде файлов и составляют взаимодополняемю пару (key pair). Открытый (общий, общественный) ключ сохраняется на серверах общего доступа и с его помощью шифруется исходящая почта и проверяется подлинность цифровых подписей респондентов. Личный (закрытый) ключ, является исключительной собственностью владельца, сохраняется в защищенном месте (обычно на дискете) и служит для подписи исходящей корреспонденции, а также для расшифровки входящей.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Была предложена в 1977 году американскими учеными Роном Райвестом (Ron Rivest), Ади Шамиром (Adi Shamir) и Леонардом Адлеманом (Leonard Adleman), по первым буквам фамилий которых она и названа. Криптосистема RSA базируется на сложности факторизации больших чисел. В качестве открытого и личного ключей используются простые числа не менее 200 разрядов. Алгоритм RSA запатентован 29 сентября 1983 компанией RSA Data Security. Правительство США запрещает экспорт алгоритма RSA с ключами более 512 бит. Криптосистема RSA
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Программа PGP (Pretty Good Privacy) разработана в 1995 г. Филом Зиммерманном (Phil Zimmermann) является ядром одноименной криптосистемы и предназначена для защиты любого вида информации, которая может быть представлена в виде компьютерного файла или сообщения. Назначение и основные характеристики программы PGP Криптосистема PGP базируется на концепции ключей общего доступа Хеллмана, а в процессе создания ключей использует симметричные алгоритмы. Т. о. PGP является гибридной криптосистемой. Использует (по выбору) следующие алгоритмы: CAST разрядов; IDEA (International Data Encryption Algorithm) – 128 разрядов; DES – 56 разрядов.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет При создании цифровой подписи в PGP применяются алгоритмы хеширования MD5 и SHA. MD5 - разработка Рона Райвеста (128 разр.); SHA (Secure Hash Algorithm) – разработка управления национальной безопасности США (160 разр.) Суть хеширования заключается в том, что исходные данные обрабатываются по определенному алгоритму (хешируются), в результате чего получается некоторое значение (ключ), которое служит для проверки целостности данных. Важная отличительная особенность хорошего алгоритма хеширования состоит в том, что значения, генерируемые им, настолько уникальны, что их практически невозможно повторить.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Технология подготовки ключей в PGP Ввод ключевой фразы Настройка параметров Генерация ключей Сохранение общественного ключа на общем ресурсе Сохранение личного ключа в защищенном месте
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет 1. Выбор типа и размера ключей; Установка "срока жизни" ключей 2. Ввод ключевой фразы (не менее 8 символов), которая используется в алгоритме создания личного ключа. 3. Генерация пары ключей. 4. Занесение открытого ключа на сервер общего доступа 5. Сохранение личного ключа в защищенном от копирования месте.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Схема зашифровки данных в программе PGP. кс Сжатие Шифро вание Передача Шифро вание Исходные данные Сжатые данные Зашифрованные данные Ключ сессии Зашифрованный ключ сессии Общественный ключ получателя
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Схема расшифровки данных Расшиф ровка Распак овка Исходные данные Сжатые данные Зашифрованные данные Ключ сессии Зашифрованный ключ сессии Личный ключ получателя Расшиф ровка кс
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Этап 1. Зашифровка 1. сжатие открытых данных, предназначенных к пересылке (что повышает скорость передачи и снижает вероятность использования взломанных фрагментов текста для декодирования всего пакета), зашифрованные данные невозможно подвергнуть дополнительному сжатию; 2. создание ключа сессии (session key) - секретного одноразового ключа (ключ генерируется программой как производная случайных перемещений мыши и данных, набранных на клавиатуре); 3. зашифровка данных с помощью секретного ключа сессии; 4. зашифровка ключа сессии посредством общественного ключа получателя, который должен быть доступен отправителю; 5. передача зашифрованного текста и зашифрованного ключа сессии получателю.
© КНТЭУ , каф. ИТС, доц. Шклярский С.М. Защита информации в Интернет Этап 2. Расшифровка 1. получатель использует свой собственный частный ключ (private key) для расшифровки использованного отправителем ключа сессии; 2. зашифрованный текст вскрывается ключом сессии; 3. распаковка данных, сжатых при отправлении