- •1 Основні види й джерела атак на інформацію
- •1.1 Сучасна ситуація в області інформаційної безпеки
- •1.2 Категорії інформаційної безпеки
- •1.3 Абстрактні моделі захисту інформації
- •1.4 Огляд найпоширеніших методів "злому"
- •2 Криптографія
- •2.1 Основні відомості про криптографію
- •2.2 Предмет криптографії
- •2.3 Математичні основи криптографії
- •2.4 Нові напрями
- •2.5 Класифікація криптоалгоритмів
- •3 Симетричні криптоалгоритми
- •3.1 Скремблери
- •3.2 Блокові шифри Загальні відомості про блокові шифри
- •3.3 Мережа Фейштеля
- •3.4 Блоковий шифр tea
- •4 Симетричні криптосистеми
- •4.1 Функції криптосистем
- •4.2 Алгоритми створення ланцюжків
- •4.3 Методи рандомізації повідомлень
- •4.5 Хешування паролів
- •4.6 Транспортне кодування
- •4.7 Загальна схема симетричної криптосистеми
- •5 Асиметричні криптоалгоритми
- •5.1 Загальні відомості про асиметричні криптоалгоритми
- •5.2 Алгоритм rsa
- •5.3 Технології цифрових підписів
- •5.4 Механізм поширення відкритих ключів
- •5.5 Обмін ключами за алгоритмом Діффі-Хеллмана
- •Перелік рекомендованих джерел
ЗМІСТ
Вступ |
5 |
1 Основні види й джерела атак на інформацію |
6 |
1.1 Сучасна ситуація в області інформаційної безпеки |
6 |
1.2 Категорії інформаційної безпеки |
8 |
1.3 Абстрактні моделі захисту інформації |
9 |
1.4 Огляд найпоширеніших методів "взлому" |
10 |
2 Криптографія |
23 |
2.1 Основні відомості про криптографію |
23 |
2.2. Предмет криптографії |
24 |
2.3 Математичні основи криптографії |
31 |
2.4 Нові напрями |
34 |
2.5 Класифікація криптоалгоритмів |
41 |
3 Симетричні криптоалгоритми |
43 |
3.1 Скремблери |
43 |
3.2. Блокові шифри |
47 |
3.3 Мережа Фейштеля |
51 |
3.4 Блоковий шифр TEA |
57 |
4 Симетричні криптосистеми |
60 |
4.1 Функції криптосистем |
60 |
4.2. Алгоритми створення ланцюжків |
60 |
4.3 Методи рандомізації повідомлень |
65 |
4.4 Архівація |
67 |
4.5 Хешування паролів |
71 |
4.6 Транспортне кодування |
76 |
4.7 Загальна схема симетричної криптосистеми |
80 |
5 Асиметричні криптоалгоритми |
81 |
5.1 Загальні відомості про асиметричні алгоритми |
81 |
5.2 Алгоритм RSA |
84 |
5.3 Технології цифрових підписів |
85 |
5.4 Механізм поширення відкритих ключів |
87 |
5.5 Обмін ключами за алгоритмом Діффі-Хеллмана |
89 |
Перелік рекомендованих джерел |
91 |
вступ
При підготовці фахівців за напрямками “Програмна інженерія” та "Комп'ютерна інженерія" необхідним є освоєння базових методів сучасної теорії інформації та кодування, способів перетворення (шифрування) інформаційних повідомлень на основі симетричних та асиметричних криптосистем, статистичного аналізу шифротекстів, а також аналітичних підходів до зламування шифрів.
Використання цифрової вимірювальної техніки в інформаційних, автоматизованих та автоматичних системах контролю і керування зумовлює необхідність вивчення традиційних організаційно-технічні заходів щодо забезпечення захисту інформації, способів організації методів шифрування інформаційних повідомлень та потоків даних.
Мета викладання дисципліни полягає в ознайомленні з теоретичними основами теорії перетворення інформації на основі симетричних та асиметричних криптосистем, а також вивченні методів шифрування/дешифрування та криптоаналізу інформаційних повідомлень з використанням ЕОМ.
1 Основні види й джерела атак на інформацію
1.1 Сучасна ситуація в області інформаційної безпеки
Останнім часом повідомлення про атаки на інформацію, про хакерів і комп'ютерні зломи наповнили всі засоби масової інформації. Що ж таке "атака на інформацію"? Дати визначення цій дії насправді дуже складно, оскільки інформація, особливо в електронному вигляді, представлена сотнями різних видів. Інформацією можна вважати й окремий файл, і базу даних, і один запис у ній, і цілий програмний комплекс. І всі ці об'єкти можуть піддатися й піддаються атакам з боку деякої соціальної групи осіб.
При зберіганні, підтримці й наданні доступу до будь-якого інформаційного об'єкта його власник, або вповноважена ним особа, накладає набір правил щодо роботі з нею. Навмисне їхнє порушення класифікується як атака на інформацію.
З масовим впровадженням комп'ютерів в усі сфери діяльності людини об’єм інформації, збереженої в електронному вигляді, виріс у тисячі разів. І тепер скопіювати за півхвилини й віднести диск з файлом, що містить план випуску продукції, набагато простіше, ніж копіювати або переписувати стос паперів. А з появою комп'ютерних мереж навіть відсутність фізичного доступу до комп'ютера перестало бути гарантією збереження інформації.
Можливими наслідками атак на інформацію у першу чергу є економічні втрати:
розкриття комерційної інформації може спричинити до серйозних прямих збитків на ринку;
звістка про крадіжку великого обсягу інформації звичайно серйозно впливає на репутацію фірми, що призводить побічно до втрат в торгових операцій;
фірми-конкуренти можуть скористатися крадіжкою інформації, якщо та залишилася непоміченою, для того щоб повністю розорити фірму, нав'язуючи їй фіктивні або свідомо збиткові угоди;
підміна інформації як на етапі передачі, так і на етапі зберігання у фірмі може призвести до величезних збитків;
багаторазові успішні атаки на фірму, що надає будь-який вид інформаційних послуг, знижують довіру до фірми в клієнтів, що позначається на обсязі доходів.
Природно, комп'ютерні атаки можуть принести й величезний моральний збиток. Зрозуміло, що жодному користувачу комп'ютерної мережі не хочеться, щоб його листи, крім адресата, одержували ще 5-10 осіб; або, наприклад, весь текст, що набирається на клавіатурі ЕОМ, копіювався в буфер, а потім при підключенні до Інтернету відправлявся на певний сервер. А саме так і відбувається в тисячах і десятках тисяч випадків.
Кілька цікавих цифр про атаки на інформацію. Вони були отримані дослідницьким центром DataPro Research в 2008 році. Основні причини пошкоджень електронної інформації розподілилися в такий спосіб: ненавмисна помилка людини – 52 % випадків, навмисні дії людини – 10 % випадків, відмова техніки – 10 % випадків, пошкодження в результаті пожежі – 15 % випадків, пошкодження водою – 10 % випадків. Як бачимо, кожен десятий випадок пошкодження електронних даних пов'язаний з комп'ютерними атаками.
Хто був виконавцем цих дій: в 81 % випадків - поточний кадровий склад установ, тільки в 13 % випадків - зовсім сторонні люди, і в 6 % випадків - колишні працівники цих же установ. Доля атак, здійснених співробітниками фірм і підприємств, просто приголомшує й змушує нагадати не тільки про технічні, але й про психологічні методи профілактики подібних дій.
І, нарешті, що ж саме роблять зловмисники, добравшись до інформації: в 44 % випадків злому були зроблені безпосередні крадіжки грошей з електронних рахунків, в 16% випадків виводилося з ладу програмне забезпечення, настільки ж часто - в 16 % випадків - провадилася крадіжка інформації з різними наслідками, в 12 % випадків інформація була сфальсифікована, в 10 % випадків зловмисники за допомогою комп'ютера скористалися або замовили послуги, до яких у принципі не повинні були мати доступу.