- •Протокол. Криптографический протокол Содержание
- •1. Три основных задачи криптографии
- •2. Понятие криптографического протокола
- •2.1. Протокол
- •2.2. Криптографический протокол
- •2.3. Требования к криптографическим протоколам:
- •3. Функции криптографических протоколов]
- •Элементы системы аутентификации
- •Факторы аутентификации
- •Аутентификация при помощи электронной подписи
- •Защищённость
- •Конфиденциальность
- •Целостность
- •Разграничение доступа.
- •3. Классификация криптографических протоколов
- •Протоколы идентификации/аутентификации
- •1. Внесетевые платежные системы
- •Магнитные карты
- •Карты памяти
- •Цифровые деньги и их характеристики
- •Стандарты электронных расчетов
- •Цифровая наличность с математической точки зрения.
- •Цифровые деньги и законодательство
- •Протоколы голосования
- •4. Виды криптографических протоколов
- •4.1.Протокол с арбитражем
- •4.2.Протокол с судейством
- •4.3.Самоутверждающийся протокол
- •5. Разновидности атак на протоколы
- •5.1. Пассивная атака на Протокол
- •5.2. Активная атака на протокол
- •6.Обеспечение безопасности криптографических протоколов
- •6.1. Протокол обмена сообщениями с использованием симметричного шифрования
- •6.2. Протокол обмена сообщениями с использованием шифрования с открытым ключом (Асимметричное шифрование)
- •6.3. Гибридные криптосистемы (система pgp)
- •7. "Шарады" Меркля
- •9. Сетевые протоколы
- •1. Физический
- •2. Канальный .
- •8. Стандарты криптопротоколов в Интернет
- •Стандарты безопасности в Интернете
Защищённость
С точки зрения наилучшей защищённости при хранении и передаче паролей следует использовать однонаправленные функции. Обычно для этих целей используются криптографически стойкие хэш-функции. В этом случае на сервере хранится только образ пароля. Получив пароль и проделав его хэш-преобразование, система сравнивает полученный результат с эталонным образом, хранящимся в ней. При их идентичности пароли совпадают.
Для злоумышленника, получившего доступ к образу, вычислить сам пароль практически невозможно.
Использование многоразовых паролей имеет ряд существенных недостатков. Во-первых, сам эталонный пароль или его хэшированный образ хранятся на сервере аутентификации. Зачастую хранение пароля производится без криптографических преобразований, в системных файлах. Получив доступ к ним, злоумышленник легко доберётся до конфиденциальных сведений. Во-вторых, субъект вынужден запоминать (или записывать) свой многоразовый пароль. Злоумышленник может заполучить его, просто применив навыки социальной инженерии, без всяких технических средств. Кроме того, сильно снижается защищенность системы в случае, когда субъект сам выбирает себе пароль. Зачастую им оказывается какое-то слово или сочетание слов, присутствующие в словаре.
При использовании генератора псевдослучайных чисел ключ обладает хорошими статистическими свойствами. Пароль же, который является, например, словом из словаря, можно свести к псевдослучайному числу длиной 16 бит, что короче ГОСТ-ового ключа в 16 раз. При достаточном количестве времени злоумышленник может взломать пароль простым перебором. Решением этой проблемы является использование случайных паролей или ограниченность по времени действия пароля субъекта, по истечении которого пароль необходимо поменять.
Конфиденциальность
С этимологической точки зрения, слово «конфиденциальный» происходит от латинского confidentia — доверие.
В современном русском языке это слово означает «доверительный, не подлежащий огласке, секретный».
Слово «секрет», заимствовано из французского secret означает — «тайна». В словаре В. Даля также названы аналогичные значения : «конфиденциальная» — «откровенная, по особой доверенности, неоглашаемая, задушевная»; «тайна» — «кто чего не знает, то для него тайна, все сокрытое, неизвестное, неведомое».
Исходя из определений понятия конфиденциальная информация, тайна, секрет являются равнозначными.
С развитием информационных технологий проблема конфиденциальности и конфиденциальной информации приобретает большую значимость. И в различных областях и различных странах конфиденциальность и информация относящаяся к конфиденциальной определяется по разному.
На данный момент в российском законодательстве чёткого определения понятия «конфиденциальная информация» нет.
Действующий ФЗ «Об информации, информационных технологиях и защите информации» термина «конфиденциальная информация» не содержит.
Однако, он описывает понятие «конфиденциальности». «Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя»..
Понятие конфиденциальности используется практически во всех областях, как в коммерческих структурах, так и государственных.
Когда речь заходит о конфиденциальности на предприятиях, то чаще всего имеется в виду коммерческая или государственная тайна.
Конфиденциальность — обязательство неразглашения информации, полученной от испытуемого (в общем случае, от делового партнера, от участника переговоров, собеседника), или в общем случае ограничение её распространения кругом лиц, о которых испытуемый был заранее извещен[9].
Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации[10].
Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду