Способы и методы шифрования.
Исходная информация, которую мы зашифровываем, может представлять из себя речь, данные, видео. В устройстве шифрования информация шифруется, т.е. преобразуется в другое сообщение и передаётся по незакрытому каналу связи. На приёмной стороне сообщение дешифруется для восстановления исходного значения сообщения.
В устройстве шифрования синтезируется параметр, который может быть применён для извлечения конкретно информации. Этот параметр называется ключом.
Рассматривается два типа криптографических алгоритмов:
- классические криптографические алгоритмы
- криптографические алгоритмы с открытым ключом.
В криптографии с открытым ключом имеется по крайней мере два ключа, один из которых невозможно вычислить из другого.
Шифр: иоеддджть.
Ответ: идётдождь.
Технология шифрования речи.
При шифровании речи используется аналоговая модуляция, влечёт за собой изменение амплитуды, частоты и фазы.
Скремблер - это речевой шифратор. Нарезает биты кусками и переставляет их, превращая файл в НЁХ.
Маскиратор - заменяет речевой сигнал цифровой передачей данных.
-----------------
Понятие утечки информации по техническим каналам.
Утечка информации - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Образуется за счёт неконтролируемых физических полей. Физические поля подразделяются на акустические, световые, электромагнитные и радиационные.
Технические каналы утечки информации - это физический путь от источника информации к злоумышленнику, посредством которого может быть осуществлён несанкционированный доступк охраняемым сведениям. Технические каналы утечки информации подразделяются на:
- визуально-оптические каналы
- акустические каналы
- электромагнитные каналы
- материально-вещественные каналы
Классификация визуально-оптических каналов утечки информации.
По природе образования:
- собственное излучение (светящий)
- отражение световой энергии (освещаемый)
По диапазону излучения:
- видимая область
- ИК-область
- УФ-область
По среде распространения
- свободное пространство
- направляющие линии
Акустические каналы.
Первоисточником информации выступает звук, который лежит в диапазоне ультра (овер20000).
Слышимый диапазон - от 16Гц до 20КГц. Акустические каналы утечки информации образуются:
1. За счёт распрастранения акустических колебаний в свободном воздушном пространстве.
2. За счёт воздействия звуковых колебаний на определённые объекты или конструкции, тем самым вызывая вибрацию.
3. За счёт воздействия звуковых колебаний на технические средства обработки информации.
Электромагнитные каналы.
В данном случае переносчиком информации являются электромагнитные волны в диапазоне от сверхдлинных до субмиллиметровых. Каждый из этих видов ЭМ волн обладает специфическими особенностями распространения как по дальности, так и в пространстве. Различные телефонные провода создают вокруг себя электрические и магнитные поля, которые выступают элементами утечки инфрмации.
Материально-вещественные каналы.
В качестве каналов выступают различные материалы в твёрдом, жидком и газообразном виде. Это различные отходы производства, бракованные изделия, черновые материалы.
Классификация электромагнитных каналов утечки информации.
По природе образования:
- акустопреобразовательные
- ЭМ-излучение
- паразитной связи и наводки
По диапазону излучения:
- сверхдлинные волны
- длинные волны
- средние волны
- короткие волны
- ультракороткие волны (УКВ)
По среде распространения
- безвоздушное пространство
- воздушное пространство
- земная среда
- водная среда
- направляющие системы
Источники ЭМ-каналов делятся на:
- акустоэлектрические преобразователи
- низкочастотные излучатели ЭМ-сигналов
- высокочастотные излучатели ЭМ-сигналов
- паразитные связи и наводки
Причины и условия возникновения каналов утечки информации.
1. Несовершенство схемных решений.
2. Эксплуатационный износ элементов.
Защита информации от утечки по техническим каналам сводится к следующим действиям:
1. Своевременное определение возможных каналов утечки информации.
2. Определение энергетических характеристик канала утечки на границе контролируемой зоны.
3. Оценка возможности средств злоумышленников и обеспечение контролем этих каналов.
4. Обеспечение исключения или ослабления энергетики каналов утечки информации.
Классификация материально-вещественных каналов утечки информации.
По физичемкому состоянию:
- твёрдые массы
- жидкости
- газообразные вещества
По физической природе:
- химические
- биологические
- радиоактивные
По среде распростанения:
- в земле
- в воде
- в воздухе
Защита инфорации от утечки по ЭМ-каналам.
ЭМ-каналы утечки информации:
1. Микрофонный эффект электронных схем
2. ЭМ-излучение низкой частоты
3. ЭМ-излучение высокой частоты
4.
Возникновение паразитной дегенерации
усилителей различного назначения
5. Цепи питания и цепи заземления
6. Взаимное влияние проводов и линий связи
Классификация защитных мер по реализуемым действиям:
1. Конструкторско-технологические решения
2. Эксплуатационные решения
К первым относятся: экранирование элементов аппаратуры, ослабление ЭМ-, ёкостной и индуктивной связи между элементами, а так же фильтрация сигналов в цепях питания и заземления.
Защита от утечки информации засчёт микрофонного эффекта.
Акустическая энергия, возникающая при разговоре, вызывает соответствующие колебания элементов электронной аппаратуры. Что приводит к появлению ЭМ-излучения или электрического тока.
Наиболее чувствительными элементами являются катушки индуктивности, конденсаторы переменной ёмкости, пъезо- и оптические преобразователи.
Там, где имеются такие элементы, возможно появление микрофонного эффекта. Этим эффектом обладают отдельные типы телефонных аппаратов, электрические часы, громкоговорители, и другие виды тех. средств. Технические меры сводятся к включению в телефонную линию специальных устройств локализации микрофонного эффекта.
Защита громкоговорителя осуществляется включением в разрыв сигнальной линии специального буферного усилителя, нагрузкой которого является однопрограммный абонентский громкоговоритель.
Для электрических часов блокирование канала утечки информации осуществляется с помощью фильтра звуковых частот.
Защита от утечки информации засчёт ЭМ-излучения.
Электронные и радиоэлектронные средства обладают основным ЭМ-излучением. Это излучение необходимо для передачи информации. Так же, электронные средства обладают нежелательными излучениями.
Нежелательные излучения подразделяются на побочные ЭМ-излучения. Каждое электронное устройство является источником ЭМ-полей. Характер ЭМ-поля изменяетс в зависимости от дальности его приёма.
Если расстояние меньше длины волны, то зона ближняя, и имеет магнитный характер. Если расстояние больше длины волны, то зона дальняя и поле носит ЭМ-характер. Образование канала утечки в ближней зоне осуществляется за счёт магнитной состовляющей, а в дальней - за счёт ЭМ-составляющей. Если ЭМ-поля пересекаются, то образуется помехонесущее поле, которое обладает магнитной и электрической напряжённостью.
Технические средства несанкционированного доступа к информации, акустический контроль.
К системам акустического контроля относится широкая номенклатура различных радиомикрофонов, назначением которых является съём информации и передача её по радиоканалу. Радиомикрофоны - это специальное устройство съёма информации, которые по своему назначению бывают:
- простейшие, непрерывно излучающие
- с включением на передачу при повлении в контролируемом помещении, разговора или шума
- дистанционно управляемые, которые включаются и выключаются дистанционно на время
Контроль и прослушивание телефонных каналов связи.
Для прослушивания телефонных переговоров используются следу.щие способы подключения:
1. Параллельное подключение к телефонной линии.
2. Последовательное включение телефонных радиоретрансляторов в разрыв провода телефонной линии.
3. Непоседственное подключение к телефонной линии.
Прослушивание через ЭМ-звонок.
Телефонные аппараты старого образца, которые в качестве вызывного устройства используют ЭМ-звонок. Звонок обладает свойством дуальности. Если на звонок действуют ЭМ-волны, он начинает вырабатывать модулирующий ток.
Прослушивание через микрофон телефонного аппарата.
Этот способ не является синонимом непосредственного подключения к линии. Микрофон является частью электронной схемы телефонного аппарата. Когда телефонный аппарат находится в готовности к приёму вызова, съём информации через микрофон возможен. Достаточно подключить к микрофону конденсатор ёмкостью 0.01 или 0.05.
Перехват компьютерной информации, несанкционированное внедрение в БД.
Включить компьютер и снять код доступа к системе не вызывает особых затруднений. Достаточно отключить аккумулятор на материнской плате - и код доступа уже не нужен. На некоторых материнских платах для этого предусмотрен специальный переключатель. Также, у каждого изготовителя программы BIOS есть коды, имеющие приоритет перед любыми пользовательскими, набрав которые, можно получить доступ к системе.
Самым эффективным способом является кража системного блока, выемка винчестера и считывание информации.
Если в помещение попасть не удаётся, в этом случае используют дистанционные способы съёма информации. Это эффективно только тогда, когда компьютер включен. Существует два дистанционных способа:
- приём побочных ЭМ-излучений
- приём высокочастотных наводок
Распрастранение побочных ЭМ-излучений создаёт предпосылки для утечки информации, т.к. возможен её перехват с помощью специальных технических средств.
Скрытая фото- и видеосъёмка. Визуальное наблюдение является самым эффективным способом сбора информации. Классификация видеокамер:
1. Миниатюрные - камеры, которые встраиваются в предметы мебели, информация передаётся по кабелю.
2. Специальные - замаскированные под бытовые предметы (книга, наручные часы, пачка сигарет)
Аппаратура для скрытой видеосъёмки оборудуется специальными приспособлениями (насадками):
1. Миниатюрные обективы - предназначены для съёмки через отверстия небольшого диаметра (до 5мм).
2. Телескопические объективы - позволяют вести съёмку с больших расстояний (3 - 5 км с большим увеличением)
3. Объективы, совмещённые с ПНВ (ИК-подсветка).
Защита от наблюдения и фотографирования.
Наблюдение - способ ведения разведки с целью получения информации.
Это - постоянное, периодическое или выборочное исследование предметов. Различается по виду, длительности, интенсивности и целям.
Защита от наблюдения и фотографирования предполагает:
1. Выбор оптимального расположения средств документирования, размножения и отображения.
2. Использование светонепроницаемых стёкол, занавесок, драппировок,
3. Выбор помещений, обращённых окнами в безопасные зоны.
4. Работа ПК по определённому режиму времени.
Защита от подслушивания.
Подслушивание может быть непосредственным (прямое и через конструкции зданий и помещений) или с помощью техсредств (микрофоны, радиозакладки, лазерное и высокочастотное навязывание).
Противодействие подслушиванию посредством микрофонных систем.
Микрофон обладает двумя основными параметрами: чувствительностью и частотной хар-кой. Чувствительность - это отношение напряжения на выходе микрофона к звуковому воздействию.
Частотная хар-ка - это зависимость чувствительности от частоты звукового давления. В качестве меры противодействия выбирается акустическое воздействие на микрофон ультразвуком. Такое воздействие не мешает разгворной речи, но полностью подавляет воздействие речевого сигнала большим по величине давлением ультразвука.
Воспринимаемый микрофоном звук преобразуется в электрические колебания, которые необходимо передать соответствующим устройствам.
Также существуют дистанционно управляемые микрофоны. Данное устройство управлея работает в режиме, установленном человеком.
Противодействие радиосистемам акустического подслушивания.
Акустические системы радиоподслушивания обеспечивают подслушивание с передачей воспринимаемых разговоров или звуковых сигналов по радиоканалу или по проводам на радиочастотах.
Радиозакладки - это миниатуюрные радиопередатчики, работающие на частотах УКВ-диапазона. Используют собственный источник питания.
Аутентификация.doc
Введение.
Аутентификационные требования вычислительных систем и сетевых протоколов варьируются весьма широко. Пароли, уязвимые для атак пассивного типа, не удовлетворяют современным требованиям Интернет (CERT94). А попимо пассивных, в сетевой среде сплошь и рядом предпринимаются активные методы (Bellovin89, Bellovin92, Bellovin93, CB94, Stoll90). Так так масштаб сетевых угроз нарастает быстро-стремительно, приходится разрабатывать вс более изощрённые алгоритмы идентификации.
Определения и терминология.
Активная атака - попытка некорректной модификации данных с целью аутентификации или авторизации с помощью вставления ложных пакетов в поток данных или их модификации.
Ассиметричная криптография (криптография с общедоступным ключом) - криптографическая система, использующая разные ключи для шифрования и дешифрования. Оба ключа математически связаны.
Аутентификация - идентификация источника информации.
Авторизация - предоставление прав доступа на основе аутентификации.
Конфиденциальность - защита информации, чтобы лицо, не авторизованное для доступа к данным, не могло их читать даже если имеется доступ к каталогу или сетевому пакетк.
Шифрование - механизм обеспечения конфиденциальности.
Целостность - защита информации от неавторизованной модификации.
Сертификат ключа - информационная структура, состоящая из общедоступного ключа, идентификатора лица, системы и информации, ауткнтифициркющей ключ, и ассоциацию общедоступного ключа с идентификатором. Например, ключи, используемые PEM - сертификат ключа Kent93.
Пассивная атака - атака на систему аутентификации, не предполагающая ввода данных в поток, а базирующийся на мониторинге информации, которой обмениваются другие партнёры, и которая может быть использована позднее.
Исходный текст - текст до шифровки.
Атака воспроизведения - атака до систему аутентификации путём записи и воспроизведения ранее посланных корректных сообщений или их частей. Любая неизменная информация, такая, как пароль или биометрические данные, может быть записана и использована позднее для имитации аутентичности.
Симметричная криптография (криптография с закрытым ключом) - система шифрования, которая использует один ключ для шифрования и дешифрования.
Аутентификационные технологии.
Существует некоторое число различных классов аутентификации, начиная от полного её отсутствия и заканчивая очень строгими механизмами контроля.
Отсутствие аутентификации. Простейшая аутентификационная система не несёт аутентификации вовсе. Например, изолированному от сети частному ПК аутентификация не нужна. Другой пимер- автономная общедоступная рабочая станция, обслуживающая некоторые конференции, где раскрытие информации или её модификация не критичны.
Аутентификационные механизмы, уязвимые для пассивных атак.
Простая проверка пароля является наиболее общей формой аутентификации Простые проверки имеют различные формы: ключ может быть паролем, запомненным пользователем, физическим или электронным объектом, принадлежащим пользователю, его уникальной биологической характеристикой. Простые аутент. системы считаются "раскрывающими", так как если ключ передаётся по сети, он может быть перехвачен злоумышленником. Есть сообщения об атаках в Интернете с помощью уже "расколотых" ЭВМ. Механизмы раскрывающей аутентификации уязвимы для атак воспроизведения. Ключи доступа могут быть запомнены в атакующей машине и, при наличии бреши в СБ, можно получить доступ ко всем паролям. Обычно форма их хранения допускает сверку, но не чтение.
Аутентификационные механизмы, уязвимые для активных атак.
Нераскрывающие парольные системы созданы для предотвращения атак воспроизведения. Разработано несколько систем для генерации нераскрываемых паролей. Например, Bellcore S/Key генерирует много одноразовых паролей из одного секретного ключа (Haller94). В системах одноразовых паролей они могут менятся раз в минуту или чаще. Такие системы используют только аппаратные средства. Bellcore не использует физических объектов (token), потому удобна для аутентификации машина-машина. S/Key не требует запоминания секретного ключа пользователя, что является преимуществом при работе с ненаджными выч. системами. В её сегодняшнем виде S/Key узвима для переборных атак со словарём в случае неудачного выбора пароля. Система CHAP протоколо PPP не является раскрывающей, но применима только локально.
Аутентификационные механизмы, неуязвимые для пассивных атак.
По мере расширения применения сетей растёт необходимость более жёсткой аутентификации. В открытых сетях большое число пользователей может получить доступ к информации, переносимой по сети. При желании пользователь может сымитировать ситуацию, при которой посланная им информация может восприниматься как посланная другим сетевым объектом.
Более мощные аутентификационные системы используют вычислительные мощности партнёров, участвующих в процессе аутентификации. Он может быть однонаправленной (например, аутентификация пользователей в вычислительной системе) или взаимной, когда оба партнёра должны идентифицировать друг друга. Некоторые аутент. системы используют криптографические методы и формируют общий секретный код (например, ключ сессии), который можно использовать в последующем обмене.Например, пользователю после завершения аутентификации может быть предоставлен аутентификационный билет, который можно использовать для получения других услуг без дополнительной аутентификации. Эти системы могут также обеспечить, когда требуется, конфиденциальность (используя шифрование) при передаче данных по незащищённым сетям.
Технология LDAP.
Популярность технологии каталожных сервисов LDAP продолжает расти. LDAP была разработана в 1993 году в университете Мичигана (см. RFC-2849, -2891, -3062, -3296, -3671-74, -3687, -3703, -3727, -3866, -3876, -3909, -3928, -4510-33 и 5020). Данный список включает только основные документы RFC, посвященные LDAP. См. также book.itep.ru/4/45/ldap.htm
- RFC-4511 - описание протокола
- RFC-4512 - информационная модель каталогов
- RFC-4513 - методы аутентификации и механизмы безопасности
- RFC-4514 - предоставление строк для уникальных имён (DN)
- RFC-4515 - предоставление строк для поисковых фильтров
- RFC-4516 - URL
- RFC-4517 - синтаксис и правила согласования
- RFC-4518 - подготовка интернационализированныз строк
- RFC-4519 - схема пользовательских приложений
Эта техника явилась исходной моделью для Microsoft Active Directory и MSDN (Microsoft Developer Network), она поддерживает современныетехнологии аутентификации, такие как карты доступа и биометрические устройства контроля. LDAP является стандартным Интернет-протоколом для каталогов, где хранятся данные об аккаунте пользователя. Первоначально эта разработка служила для взаимодействия со стандартном катлогов X.500 (ITU - Международный Телекоммуникационный союз). Но к 1997 году, когда появились версии LDAP v2 и v3, функциональность была существенно расширена (были включены сервисы аутентификации и безопасности TLS и SSL). LDAP работает как в среде LINUX, ефл и в Windows. В рамках LDAP каждому пользователю присваивается уникальное имя DN. Каждое DN имеет несколько атрибутов, которые опредляют доступ пользователя к дереву каталогов. DN является объектом, который может быть использован при написании программы управления на объектно-ориентированных языках. DN может встраиваться в UTL и может быть доступен через DNS-сервисы. На его основе созданы Интернет-протоколы XED (XML Enabled Directory) и DSML (Directory Service Markup Language). LDAP поддерживает сервисы динамических каталогов. Последние улучшения были связаны в основном с разроботкой разнообразных GUI.