Файловый архив студентов. Файловый архив студентов.
1311 вуз, 5238 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный технический университет Украины «Киевский политехнический институт»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ПАК_Лекция_Т7(Л7).docx
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
119.29 Кб
Скачать
►Содержание►

2. Проблеми відновлення ключів в нештатних ситуаціях та забезпечення доступу до інформації

Функціонування різноманітних технічних засобів часто-густо пов’язане зі збоями та відмовами (нештатні ситуації), що призводить до втрат інформації, у тому числі ключової. Це потребує в необхідних випадках відновлення ключів що використовуються для шифрування баз даних, формування та перевірки електронних цифрових підписів тощо.

З іншого боку, в випадках передбачених законодавством за рішенням суду оператор зв’язку повинен надати правоохоронним органам дані, які передавалися в мережі, за необхідності, також передаються відповідні ключі, що були використані для захисту з’єднань.

Існує декілька варіантів рішення вказаних проблем:

1. Створення дублікатів ключів. Це технічно найбільш простий шлях, але він має наслідком певне зниження довіри до системи безпеки, оскільки виникає проблема убезпечення дублікатів ключів.

2. Аналогічно першому варіанту, але ключі зберігаються у зашифрованому вигляді із застосуванням головних ключів (майстер-ключів). В свою чергу майстер ключі можуть передаватися на збереження певному довіреному органу.

3. Третій варіант передбачає, додатково до заходів перших двох варіантів, створення схеми розподілу секретів між декількома довіреними особами для виключення можливості зловживання монопольним становищем.

Найбільш простий шлях розподілу подання відносно довгого ключу шифрування в вигляді декількох підключів меншої довжини. Наприклад, алгоритм AES має довжину ключу до 256 біт, який може поданий у вигляді поєднання двох ключів довжини 128 біт або чотирьох ключів довжини 64 біт:

K=(k11,k12)=(k21,k22,k23,k24)

Оскільки, раніше було зауважено, що на сучасному етапі розвитку обчислювальної техніки ключ довжиною 80 біт можливо вважати практично стійким, тому в наведеному прикладі доцільно поділити довгий ключ на підключі довжиною 64 біта. Тоді в разі втрати однієї частини вона може бути знайдена завдяки наявності трьох останніх. В той же час, компрометація одного підключу не суттєво вплине на безпеку шифрування.

3. Відновлення ключів шифрування в efs ос Windows

В операційних системах Microsoft Windows NT (починаючи з Windows 2000 і вище), за винятком «домашних» версій (Windows XP Home Edition, Windows Vista Basic и Windows Vista Home Premium) реалізована система шифрування даних на рівні файлів Encrypting File System (EFS).

Ця система надає можливість «прозорого шифрування» даних, що зберігаються у розділах с файловою системою NTFS (New Technology File System — «файлова система нової технології», для захисту конфіденційної інформації у випадку к несанкціонованого доступу до комп’ютеру та/або дисків.

Якщо операційна система NT завантажена, то в неї ініціюються вбудовані механізми автентифікації користувачів і розмежування прав доступу до ресурсів, але в певних умовах у разі завантаження на комп’ютері іншої ОС можливий несанкціонований доступ до конфіденційної інформації.

Тому в системі EFS для захисту файлів використовується симетричне шифрування, а також шифрування випадково генерованого ключу шифрування для кожного файлу за допомогою асиметричного алгоритму, також пари відкритого та особистого (секретного) ключів (рис. 1). За замовчуванням, особистий ключ користувача підлягає шифруванню за допомогою його паролю, тому рівень безпеки даних визначається стійкістю паролю.

Рис1. Схема шифрування в файлів в ОС Windows

Для шифрування файлів в EFS залежно от версії операційної системи та настроювань можуть використовуватися криптографічні алгоритми AES-128 (за замовченням), 3DES та DESX. В якості асиметричного алгоритму шифрування в EFS використовується алгоритм RSA.

Вибір алгоритмів симетричного шифрування обумовлений стандартами США та необхідністю забезпечення відповідної швидкодії порівняно з алгоритмами асиметричного шифрування. Починаючи з Windows XP, теоретично існує можливість використання сторонніх бібліотек для шифрування даних.

Випадковий ключ алгоритму симетричного шифрування файлів отримав назву File Encryption Key (FEK). Зашифрований по алгоритму RSA ключ FEK зберігаються в альтернативному потоку $EFS файлової системи NTFS.

Розшифрування даних здійснюється драйвером шифрованої файлової системи здійснюється у зворотному порядку: спочатку розшифровується FEK, використовуючи особистий ключ користувача, після чого ‑ необхідний файл за допомогою розшифрованого файлового ключа.

Драйвер файлової системи (за суттю надбудова над NTFS) забезпечує прозорість процедур шифрування/розшифрування файлів для користувачів і додатків.

Зауважимо, що в EFS не передбачено шифрування файлів, які передаються в мережі. Тому для захисту даних, які підлягають передачі слід застосовувати відповідні захищені протоколи (SSL, IPSec).

На випадок втрати особистого ключу необхідно передбачити заходи з його відновлення. Теоретично існує можливість розшифрування за допомогою майстер-ключу його зашифрованої копії, що зберігається у ядрі ОС, але відповідні механізми в Windows не розкриваються.

В плані безпечного використання наведеної криптосистеми доцільно передбачити дублювання особистого ключу на захищеному носії, або застосування схеми розподілу секрету.

Значний обсяг даних, які зберігається в комп’ютерних системах, спонукає користувачів використовувати програми-архіватори, що забезпечують більш компактне подання інформації. Додатковою функцією архіваторів WinRAR та WinZIP є шифрування інформації за допомогою ключу, що формується на основі паролю користувача.

Відновити пароль до архіву можливо за допомогою програми Advanced Archive Password Recovery. На основі даних практичного використання вказаного продукту, можливо відмітити, що розкриття паролів довжиною менше 6 символів є нескладною задачею, у той же час пошук сильного паролю довжиною від 8 символів постає практично нерозв’язною задачею для сучасних комп’ютерів. В цих умовах уявляється доцільним застосувати метод розподілу секрету для паролю довжиною від 10 символів. Це забезпечить з одного боку підвищену безпеку даних, з іншого створює можливість для відновлення паролю у випадку його втрати.

Для відновлення втрачених паролів до документів MS Office можливо скористатися спеціалізованими програмами, такими, як, наприклад, Multi Password Recovery, Advanced Office Password Recovery (розробник «Элкомсофт», сайт розробника – www.elcomsoft.ru).

Зокрема, Advanced Office Password Recovery є умовно безкоштовним продуктом. Його демонстраційну версію можливо скачати на сайті розробника, і хоча вона має суттєві обмеження ‑ розпізнаний пароль відображається не повністю, а лише його перший символ – це все ж може бути важливою підказкою.

Програма має простий та зручний користувацький інтерфейс. Зокрема, в верхній частині вікна є головне меню, команди якого забезпечують вибір режимів роботи і активізації відповідних функцій програми. Нижче є інструментальна панель, кнопки якої дублюють деякі команди головного меню.

Внизу вікна знаходиться інформаційне поле Лог, що відображає стан виконання програм та деяку інформацію о подіях: запуск програми, вибір об’єкту для розшифрування, дані про криптографічний алгоритм, розшифрований пароль тощо.

Програма реалізує наступні методи відновлення паролів:

• повний перебір всіх комбінацій;

• пошук паролю за допомогою маски, коли є певна інформація про символи на деяких місцях паролю;

• атака по словнику (найбільш поширений метод відновлення паролів).

При цьому слід мати на увазі, що необхідно оцінювати час, що необхідний для виконання завдання програмою, оскільки за певних умов її робота може статися нескінченною.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности