- •Управление ключами Функции и классификация
- •Генерация ключей
- •Накопление ключей
- •Распределение ключей
- •Цифровая подпись
- •Системы управления симметричными ключами Протоколы распределения ключей типа Диффи-Хеллмана
- •Обмен зашифрованными ключами
- •Базовый протокол eke
- •Системы управления асимметричными ключами Инфраструктура открытых ключей – рki
- •Аутентификация посредством цифровых сертификатов
- •Сертификаты
- •Протоколы проверки подлинности
- •Требования к программным продуктам, реализующим pki
- •Депонирование ключей
- •Законный доступ к ключам
- •Введение
- •Строгая аутентификация
- •Аутентификация с помощью пароля
- •Аутентификация «запрос-ответ»
- •Протокол Kerberos
- •Аутентификация с помощью аппаратных средств
- •Аутентификация на основе биометрических особенностей
- •Непрямая аутентификация
Законный доступ к ключам
После отказа от депонирования ключей появилась новая идея, которую рассматривают правительства разных стран. Суть нового подхода состоит в законодательно разрешенном доступе к ключам (или оригинальному тексту) третьих лиц. По замыслу авторов идеи, люди обязаны предоставлять ключи по требованию правоохранительных органов, иначе им может быть предъявлено обвинение в препятствии правосудию.
Законы, по которым человеку может грозить уголовное наказание, если он откажется предоставить свои ключи следствию, приняты пока только в Сингапуре и Малайзии. В обеих странах у полиции есть право налагать штрафы и брать под стражу пользователей, которые не предоставляют ключи или оригинальный текст сообщений.
В марте 1997 года ОЭСР (Организация по экономическому сотрудничеству и развитию) выпустила свои принципы, в которых вводится восемь основных правил политики в области криптографии. Это необязательные рекомендации, которые страны-участницы могут учитывать при принятии решений в области криптографии на национальном и международном уровнях.
Методы криптографии должны пользоваться доверием, чтобы таким же доверием пользовались информационные и коммуникационные системы.
Пользователи должны иметь право выбирать любой метод криптографии, не запрещенный законом.
Развитие криптографических средств должно определяться потребностями частных лиц, коммерческих организаций и государственных структур.
Технические стандарты, критерии и протоколы криптографических методов должны разрабатываться и поддерживаться на национальном и международном уровнях.
Основные права человека на неприкосновенность частной жизни, включая тайну коммуникаций и защиту персональных данных, должны уважаться в национальных правилах в области криптографии и в практике использования криптографических средств.
Национальная политика в области криптографии может предусматривать доступ к зашифрованным данным или ключам. Эта политика должна уважительно относиться к остальным принципам, изложенным здесь.
Ответственность частных лиц и организаций, предлагающих криптографические услуги или услуги по сохранению ключей, определяется она законом или договором, должна быть четко определена.
Государства должны сотрудничать с целью координации политики в области криптографии. В частности, государства должны устранять необоснованные препятствия развитию торговли.
Аутентификация
Введение
Современные корпоративные информационные системы имеют распределенную структуру, состоящую из локальных вычислительных сетей в центральном и региональных офисах. Объединение сетей происходит по каналам связи, которые могут быть выделенными, либо организованы на базе глобальных сетей общего пользования (например, Internet).
Удаленные и мобильные пользователи могут подключаться к информационным системам, расположенным в центральном и региональных офисах, через глобальные сети общего пользования, или непосредственно к серверам доступа по коммутируемым линиям связи. Линии связи предоставляются местными телефонными компаниями (кабельные и сотовые линии связи), а доступ в Internet – местным провайдером или непосредственно компанией сотовой связи.
В силу особенности построения и функционирования корпоративной информационной системы воздействия на ее элементы могут осуществляться не только сотрудниками и иными законными абонентами, но и сторонними пользователями, получившими к ней доступ через Internet или по коммутируемым каналам связи.
Корпоративные сети построены, как правило, на базе протокола IP и информация, передающаяся по таким сетям, доступна как легитимным пользователям, так и злоумышленникам. Применяемые для просмотра и изменения информации программные средства легко доступны в Internet. Поэтому при удаленном доступе к информационным ресурсам должны быть реализованы схемы строгой взаимной аутентификации клиентов и серверов. Необходимо также обеспечить конфиденциальность информации, передаваемой по каналам связи.
Следовательно, в отличие от корпоративных сетей, предоставляющих доступ в Internet сотрудникам компании, системы, предоставляющие доступ к внутренним информационным ресурсам предъявляют повышенные требования в плане обеспечения информационной безопасности.
Наиболее вероятными угрозами информационной безопасности корпоративной информационной системы являются:
нарушение конфиденциальности и подлинности информации, хранимой и обрабатываемой на серверах локальных вычислительных сетей и передаваемой по сетям передачи данных, в результате получения несанкционированного доступа к этой информации и возможности ее модификации;
нарушение функционирования объектов корпоративной информационной системы в результате несанкционированных программных воздействий на оборудование и серверы локальных вычислительных сетей.
Таким образом, при предоставлении удаленного доступа к информационным ресурсам, необходимо обратить внимание на следующие аспекты защиты: строгая аутентификация; защита информации, передаваемой по каналам связи; защита внутренних информационных ресурсов корпоративной информационной системы.