КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Сертификаты
При использовании электронной цифровой подписи просто использовать общий ключ не очень удобно. Обычно общий ключ передается упакованным в специальный контейнер, в котором, помимо общего ключа, находится также информация о том, кому этот ключ выдан, кем, для каких целей, какой алгоритм генерации использовался, до какого срока он может применяться и т.п. Вся эта информация математически связана с ключом и изменена быть не может. Такой контейнер называется сертификатом.
Существуют стандарты на сертификаты, принятые Международным Союзом Телекоммуникаций ¾ ITU. В настоящее время действующий стандарт ¾ X.509. Наиболее распространенные варианты сертификатов ¾ X.509v1 и X.509v3.
Конечно же, не составляет технических проблем поместить сертификат во внешнее аппаратной устройство. Подавляющее большинство современных устройств доступа ¾ это фактически сертификат, помещенный внутрь микросхемы. Примеры таких устройств ¾ E-Tokens, смарт-карты и т.п.
На каждом органе сертификации существует специальный список отозванных (недействительных) сертификатов ¾ Certificate Revocation List. На нем тот, кто пользуется сертификатами этого CA, может проверить действительность того или иного сертификата.
Контрольные вопросы
1. Что такое хеширование?
2. Чем архитектура электронной цифровой подписи отличается от архитектуры шифрования с открытым ключом?
3. Что такое сертификат?
4. В чем преимущества симметричного шифрования перед асимметричным?
5. В чем разница между открытым и закрытым ключом в алгоритмах асимметричного шифрования?
Лекция 13.
ОПРЕДЕЛЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ. ЭКСПЕРИМЕНТАЛЬНЫЙ ПОДХОД
Экспериментальный подход заключается в проведении атаки и проверки, осуществилась ли атака или нет.
Основные понятия: атака, эксплойт, уязвимость. Классификация уязвимостей.
Атака – реализация угрозы безопасности. Атаки не описаны ни в моделях безопасности, ни в стандартах. Невозможно перечислить все способы и реализации атак.
Уязвимость – слабое место в информационной системе или ошибка в программном коде, которая может привести к нарушению безопасности, путем осуществления то или иной угрозы. Уязвимость позволяет реализовать угрозу без знаний о средствах защиты реальной системы. Процесс появления новых уязвимостей бесконечен.
Защита реальных систем не может быть безупречной. Чтобы найти уязвимость, необязательно знать детали реализации атакуемой системы.
Эксплойт – термин, служащий для обозначения фрагмента программного кода, который использует возможности предоставляемой ошибки, уязвимости, и ведет к повышению привилегий, выполнению произвольных команд, или отказу в обслуживании компьютерной системы.
Безопасность (на практике) – успешное противостояние атакам. Тогда система безопасна, если не содержит уязвимостей.
Система обычно детерминирована, т.е. все доступные варианты атаки определяются текущим состоянием. Поэтому некоторые атаки можем пробовать гипотетически.
Для реализации большинства атак используют уязвимости, но бывают атаки и без уязвимостей. Например, перебор (brute force) - универсальная атака, возможная без каких либо знаний о системе. Универсальные атаки имеют меньше шансов на успех. Поэтому мы можем заменить попытки осуществления атак на проверку свойств нашей системы и свойств систем, для которых данные атаки проходят.
Типичная уязвимость – уязвимость, использующая переполнение буфера.
Способы борьбы с переполнением буфера:
1. Запрет выполнения стека (Intel)
2. Сохранение в стеке случайного количества параметров. Но при этом нельзя узнать, где точка возврата.
3. Установка границ буфера с помощью некоторого случайного числа.
Уязвимости появляются вследствие ошибок проектирования, реализации и конфигурирования. При этом не все ошибки могут приводить к уязвимостям.
Уязвимости могут быть классифицированы, например, следующим образом:
1) по этапам разработки и эксплуатации:
- уязвимости этапа проектирования;
- уязвимости этапа реализации;
- уязвимости этапа конфигурирования.
2) по расположению: в стеке, в куче и др.
Очень важно, где допущена ошибка: в средствах зашиты или в каком-либо другом компоненте системы. Любая ошибка в системе защиты – есть уязвимость. Типичная уязвимость в средствах защиты приводит к возможности реализации троянского коня. Уязвимости не в средствах защиты могут привести к реализации некоторой угрозы.
|
|
Дата добавления: 2014-11-20; Просмотров: 621; Нарушение авторских прав?; Мы поможем в написании вашей работы!