- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
5.2.1 Стандарт ассиметричного шифрования rsa
Самым распространенным алгоритмом асимметричного шифрования является RSA, названный по первым буквам имен его создателей (Rivest, Shamir, Adleman). Создатели данного алгоритма смогли эффективно воплотить на практике идею односторонних функций с секретом. Стойкость RSA базируется на сложности факторизации больших целых чисел.
В 1993 году RSA был опубликован в качестве стандарта (PKCS # 1: RSA Encryption Standard). На практике RSA может применяться как для зашифрования/расшифрования, так и для генерации/проверки электронно-цифровой подписи (ЭЦП).
5.2.1.1 Генерация ключей
Каждый участник информационного обмена генерирует пару ключей (открытый и секретный) в соответствие со следующими правилами:
Выбираются два больших простых целых числа p и q, приблизительно одинакового размера. Выбор чисел p и q определяется следующими соображениями:
Увеличение порядка чисел ведет к замедлению операции зашифрования/расшифрования;
С другой стороны увеличение порядка чисел p и q ведет к увеличению стойкости алгоритма.
Поэтому при выборе чисел следует руководствоваться практической необходимостью, так, например, при реализации RSA в интеллектуальных карточках с точки зрения скоростных параметров системы не следует выбирать слишком большие p и q в связи с ограниченными вычислительными возможностями, заложенными в интеллектуальных карточках. На практике, обычно рекомендуется выбирать эти числа порядка 150-200 десятичных знаков.
Вычисляется модуль системы n=pq и (n)=(p-1)(q-1) (функция Эйлера).
Выбирается достаточно большое число e удовлетворяющее условию 1<e<(n) и взаимно простое с (n).
Используя расширенный алгоритм Евклида вычисляется большое целое число d удовлетворяющее: ed=1 (mod (n)) 1<d<(n)
Таким образом, секретным ключом, использующимся для расшифрования является пара чисел (n, d), а открытым ключом для зашифрования является пара чисел (n,e). Открытый ключ помещается в общедоступный справочник. В соответствие с PKCS # 1 формат представления ключей имеет следующий вид:
RSAPublicKey := Sequence { modulus Integer, n/ модуль n / public Exponent Integer, e/ открытая экспонента зашифрования / }
Формат RSAPublicKey и RSAPrivateKey представлен в соответствие с ASN.1 (X.208 CCITT).
Секретный ключ имеет вид:
RSAPrivateKey := Sequence { version Version/ идентификатор версии, предназначен для совместимости с последующими версиями / modulus Integer, n/ модуль n / public Exponent Integer, e/ открытая экспонента зашифрования e / private Exponent Integer, d/ секретная экспонента расшифрования d / prime 1 Integer, p/ простое целое p / prime 2 Integer, q/ простое целое q / exponent1 Integer, d mod (p-1)/ данные экспоненты используются для обеспечения exponent 2 Integer, d mod (q-1) эффективности работы алгоритма / coefficient Integer, (inverse of q) mod p/ инверсия q (q-1(mod p), удовлетворяющая условию qq-1=1(mod p) / } Version := Integer
Зашифрование/расшифрование После выбора параметров системы (n, e, d) абонент готов к приему сообщений. Передача зашифрованных сообщений состоит из следующих шагов:
входное сообщение разбивается на блоки mi их размер определяется целым k соответствующего неравенству 10k-1<n<10k
вычисляется значение сi = mie mod n
значение сi, которое и является зашифрованным блоком сообщения посылается по открытым каналам передачи данных
Расшифрование состоит в вычислении значения mi=cidmod n.
Доказательство того факта, что выполняется только абонентом знающим секретную экспоненту зашифрования d.
cid mod n = mied mod n, учитывая что ed = 1 (mod (n)), получаем ed = 1+k(n), где k -целое число удовлетворяющее этому равенству. Поскольку mi(m)mod n является единичным элементом группы относительно операции умножения, данной группе принадлежит и элемент mi то: cid mod n=mimi(m) mod n = mi.