КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Типовые схемы хранения ключевой информации
Хранение и распределение ключевой информации
Программные средства поддержки PKI
Процесс развертывания PKI осуществляется на выбранных программных и программно-аппаратных средствах. Наиболее известными продуктами, на базе которых разворачивается инфраструктура открытых ключей, являются:
1. Entrust/PKI фирмы Entrust Technologies.
2. Baltimore UniCERT фирмы Baltimore Technologies LTD.
3. BT TrustWise Onsite фирмы VeriSign Inc.
4. IBM Trust Authority.
5. RSA Keon Certification Authority фирмы RSA Security Inc.
6. VCERT PKI компании ЗАО «МО ПНИЭИ».
7. Семейство продуктов «КриптоПро».
Для российских условий наиболее адаптированным и полнофункциональным продуктом, на базе которого можно развернуть инфраструктуру открытых ключей, является «КриптоПро».
Рис. 5.4. Перечень разделов политики PKI
Программный комплекс «Удостоверяющий центр» – «КриптоПро УЦ» позволяет в полном объеме реализовать инфраструктуру открытых ключей. В состав КриптоПро УЦ входят следующие компоненты:
1. Центр сертификации, функционирующий на платформе Windows 200 Server.
2. Центр регистрации, функционирующий на платформе Windows 2000 Server и использующий для решения своих задач базу данных Microsoft SQL 2000, Microsoft IIS 5.0, CRYPTO API 2.0.
3. АРМ администратора ЦР, функционирующий в ОС Windows 2000 Professional в рамках Microsoft Management Console и предназначенный для выполнения организационно-технических мероприятий, связанных с регистрацией пользователей, генерацией ключей и сертификатов.
4. АРМ пользователя, представляющий собой web-приложение, размещенное на сервере ЦР. Функционирует в ОС Windows 95 и выше. Данный АРМ обеспечивает шифрование информации, передаваемой ЦР с использованием протокола TLS с двусторонней аутентификацией.
5. Программный интерфейс взаимодействия с УЦ.
Архитектура УЦ КриптоПро представлена на рис. 5.5.
Рис. 5.5. Архитектура удостоверяющего центра КриптоПро
Рассмотрим типовые схемы хранения ключевой информации в открытых КС на примере хранения информации для аутентификации пользователей.
Предположим, что i -й аутентифицируемый субъект содержит два информационных поля: IDi - неизменяемый идентификатор i -ro пользователя, который является аналогом имени и используется для идентификации пользователя, и Ki - аутентифицирующая информация пользователя, которая может изменяться и служит для аутентификации.
Пара (IDi, Ki) составляет базовую информацию, относящуюся к учетной записи пользователя, которая хранится в базе данных аутентификации компьютерной системы.
Базу данных аутентификации в открытых компьютерных системах (не использующих специализированных аппаратных средств) приходится хранить в некотором объекте файловой системы ПК. Это приводит к потенциальной возможности реализации угроз, направленных на кражу базы данных аутентификации злоумышленником и ее дальнейшего исследования.
Базу данных аутентификации в КС необходимо защищать от двух основных видов угроз.
1. Угрозы прямого доступа к базе данных аутентификации с целью ее копирования, исследования, модификации.
Реализация защиты от данного вида угроз в ОС типа Windows NT, 2000, XP подразумевает контроль доступа к базе данных аутентификации на уровне операционной системы и запрет любого доступа к этим базам за исключением привилегированных системных процессов.
В ОС типа UNIX защита от подобных угроз реализуется путем соответствующего определения дискреционной политики безопасности.
Однако следует отметить, что реализации данных защит практически никогда не работают корректно. Например, базу данных аутентификации ОС, построенных на технологии NT, злоумышленник может получить с помощью специализированных утилит из реестра, куда она копируется при загрузке ОС, либо загрузившись с другого носителя. В связи с этим, при защите баз данных аутентификации большее внимание уделяется защите от второго вида угроз. При этом предполагается, что злоумышленник смог получить доступ к содержимому базы данных аутентификации.
2. Угрозы исследования содержимого базы данных аутентификации.
Пароли доступа не могут храниться в прямом виде в базе данных аутентификации, так как злоумышленник может получить доступ к этой базе и раскрыть все пароли. При хранении пароли должны закрываться. Такой метод закрытия паролей, как шифрование, не обладает необходимой стойкостью, так как шифрование должно производиться на некотором ключе, который также необходимо где-то хранить, следовательно, существует потенциальная возможность раскрытия ключа шифрования злоумышленником. Кроме этого желательно, чтобы подсистема аутентификации пользователя не осуществляла сравнение введенного пользователем пароля с реальным паролем непосредственно в оперативной памяти, так как существующие средства отладки, типа SoftIce, позволяют отладить в пошаговом режиме процедуру аутентификации и получить доступ к реальным паролям (узнать, что хочет видеть компьютерная система на этапе аутентификации).
Таким образом, закрытие паролей в базах данных аутентификации должно осуществляться методами, отличными от шифрования, и так, чтобы эталонные пароли не были известны даже самой подсистеме аутентификации. С другой стороны, подсистема аутентификации должна однозначно определять корректность введенного пароля, не зная эталонного.
Существует две типовые схемы хранения ключевой информации в базах данных аутентификации, позволяющие решить эти задачи [20].
Схема 1. В компьютерной системе выделяется объект-эталон для идентификации и аутентификации. Структура объекта-эталона может быть представлена в виде таблицы 6.1.
Табл. 6.1. Первая типовая схема хранения ключевой информации
| Номер пользователя | Информация для идентификации | Информация для аутентификации |
| ID1 | E1 | |
| ID2 | E2 | |
| … | … | … |
| N | IDN | EN |
Ei=F(IDi,Кi), где F – некоторая функция хэширования. При этом, зная Ei и IDi вычислительно невозможно восстановить Ki.
Таким образом, в базе данных аутентификации вместо эталонных паролей Ki хранится результат их одностороннего преобразования. В качестве односторонней функции для хэша NTLM в Windows NT используется алгоритм хэширования MD4.
|
|
Дата добавления: 2014-01-07; Просмотров: 937; Нарушение авторских прав?; Мы поможем в написании вашей работы!