- •Основные определения:
- •Задачи обеспечения безопасности информации (оби), методы их решения
- •Угрозы безопасности и методы защиты информации в кс.
- •Уровни информационной безопасности
- •Методы оби: Криптографические методы оби.
- •Методы оби: Стохастические методы защиты.
- •Функции генераторов псевдослучайных чисел (гпсч) в системах оби
- •Получение псевдослучайных чисел на основе сдвигового регистра (полиноминального счетчика)
- •Линейный конгруэнтный метод
- •Функции хеш-генераторов в системах оби
- •Т ребования к качественной хеш-функции
- •Требования к качественному шифру
- •Требования к качественному гпсч
- •Модель криптосистемы с секретным ключом
- •Модель криптосистемы с открытым ключом. Криптосистема rsa
- •Протокол выработки общего секретного ключа
- •Протокол электронной цифровой подписи (эцп)
- •Протокол эцп rsa
- •Абсолютно стойкий шифр
- •Режимы использования блочных шифров
- •Гаммирование. Свойства гаммирования
- •Блочные и поточные шифры
- •Криптографические методы контроля целостности информации
- •Гибридные криптосистемы
- •Гост 28147-89
- •Методы защиты информации от умышленных деструктивных воздействий
- •Помехоустойчивое кодирование
- •Методы внесения неопределенности в работу средств и объектов защиты
- •Причины ненадежности систем оби
- •Протоколы доказательства с нулевым разглашением знаний
- •Стандарт криптозащиты aes-128
- •Ранцевая криптосистема
- •Цифровые деньги. Структура и основные транзакции централизованной платежной системы.
- •Методы и средства антивирусной защиты.
Оглавление
Основные определения: 1
1. Задачи обеспечения безопасности информации (ОБИ), методы их решения 6
2. Функции генераторов псевдослучайных чисел (ГПСЧ) в системах ОБИ 11
3. Функции хеш-генераторов в системах ОБИ 13
4. Требования к качественной хеш-функции 14
5. Требования к качественному шифру 16
6. Требования к качественному ГПСЧ 18
7. Модель криптосистемы с секретным ключом 19
8. Модель криптосистемы с открытым ключом. Криптосистема RSA 20
9. Протокол выработки общего секретного ключа 22
10. Протокол электронной цифровой подписи (ЭЦП) 24
11. Протокол ЭЦП RSA 26
12. Абсолютно стойкий шифр 27
13. Протокол симметричной аутентификации удаленных абонентов Нидхэма-Шредера 29
14. Протокол слепой ЭЦП RSA 30
15. Односторонние функции. Односторонние функции с секретом 31
16. Протокол разделения секрета 32
17. Принципы построения блочных симметричных шифров 33
18. Классификация шифров 36
19. Режимы использования блочных шифров 38
20. Гаммирование. Свойства гаммирования 39
21. Блочные и поточные шифры 40
22. Криптографические методы контроля целостности информации 42
23. Схема Kerberos 44
24. Гибридные криптосистемы 47
25. ГОСТ 28147-89 48
26. Методы защиты информации от умышленных деструктивных воздействий 50
27. Помехоустойчивое кодирование 51
28. Методы внесения неопределенности в работу средств и объектов защиты 52
29. Причины ненадежности систем ОБИ 53
30. Протоколы доказательства с нулевым разглашением знаний 54
31. Стандарт криптозащиты AES-128 55
32. Ранцевая криптосистема 57
33. Цифровые деньги. Структура и основные транзакции централизованной платежной системы. 58
34. Методы и средства антивирусной защиты. 60
Основные определения:
Авторизация –
(в ЭПС) процесс проверки достаточности средств на карточном счету для проведения операции по карте; в процессе авторизации данные о карте и о запрашиваемой сумме передаются в банк, выпустивший карту, где проверяется состояние счета клиента;
процесс проверки прав, предоставляемых конкретному пользователю (какую информацию он может использовать и каким образом (читать, записывать, модифицировать или удалять), какие программы может выполнять, какие ресурсы ему доступны и др.)
Альтернативная статистическая гипотеза – гипотеза о том, что проверяемая последовательность является неслучайной
Анализ рисков – процесс определения рисков безопасности, их величины и значимости
Атака – действие или последовательность действий, использующие уязвимости системы для нарушения ее безопасности
Атака перехвата и повтора – попытка вторжения в систему или подделки финансовых средств оплаты с использованием ранее использованных реквизитов доступа или других ранее использованных данных
Аутентификация объекта (информационного взаимодействия) – процедура установления целостности массива данных или полученного сообщения; а также в большинстве случаев установление их принадлежности конкретному автору
Аутентификация субъекта (информационного взаимодействия) – процедура установления подлинности пользователя (абонента сети), программы или устройства
Аутентичность информации (аутентичность объекта информационного взаимодействия) – свойство информации быть подлинной, достоверной; означающее, что информация была создана законными участниками информационного процесса и не подвергалась случайным или преднамеренным искажениям
Генератор ПСЧ – устройство или программа, формирующие последовательность ПсевдоСлучайныхЧисел; именно качеством используемых генераторов ПСЧ определяется надежность стохастических методов защиты
Графический статистический тест – тест, при проведении которого статистические свойства последовательностей отображаются в виде графических зависимостей, по которым делают выводы о свойствах исследуемой последовательности
Дешифрование – процесс преобразования закрытых (зашифрованных) данных в открытые при неизвестном ключе (по сути, взлом криптоалгоритма)
Доступность (информации) – гарантия того, что злоумышленник не сможет помешать работе авторизованных пользователей, иначе говоря, обеспечение своевременного доступа пользователей к необходимой им информации или компонентам системы
Задача дискретного логарифмирования – задача, на сложности решения которой основана стойкость криптосистем Эль-Гамаля и ECCS
Задача факторизации целых чисел – задача, на сложности решения которой основана стойкость криптосистемы RSA
Зашифрование – процесс преобразования открытых данных в закрытые (зашифрованные)
Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности
Информационная безопасность – защищенность информации и поддерживающей инфраструктуры от случайных и умышленных деструктивных воздействий
Конфиденциальность – необходимость предотвращения утечки (разглашения) какой-либо информации
Криптоалгоритм – алгоритм криптографического преобразования
Криптоанализ – научная дисциплина, оценивающая надежность криптосистем, разрабатывающая способы анализа стойкости шифров и способы их вскрытия
Криптографический примитив – «строительный блок» (операция или процедура), используемый для решения какой-либо частной задачи криптографической защиты информации (например, генератор ПСЧ, хеш-генератор и пр.)
Криптографический протокол – протокол, использующий криптографическое преобразование
Криптографическое преобразование – специальное преобразование (шифрование, хеширование) сообщений или хранимых данных для решения задач обеспечения секретности или аутентичности (подлинности) информации
Криптография – научная дисциплина, разрабатывающая способы преобразования информации с целью ее защиты от противника, обеспечения ее секретности, аутентичности (целостности, подлинности) и неотслеживаемости
Криптология – научная дисциплина, включающая в себя два основных раздела, цели которых прямо противоположны: криптографию и криптоанализ
Криптостойкость (стойкость к криптоанализу) – способность криптосистемы, противостоять различным атакам на нее
Метод грубой силы (brute force attack) – метод преодоления криптографической защиты перебором большого числа вариантов (например, перебор всех возможных ключей для расшифрования сообщения или всех возможных паролей для неавторизованного входа в систему)
Нарушение целостности информации динамическое – нарушение атомарности транзакций, переупорядочение, дублирование или внесение дополнительных сообщений
Нарушение целостности информации статическое – несанкционированное изменение данных или ввод злоумышленником неверных (искаженных или фальсифицированных) данных
Недекларируемые возможности – функциональные возможности аппаратуры или ПО, не описанные или не соответствующие описанным в документации
Неотслеживаемость (untracebility) – свойство транзакции, когда покупатель не только анонимен, но и два платежа, совершенных одним и тем же лицом, не могут быть увязаны между собой ни при каких условиях
Несанкционированный доступ к информации – ознакомление, обработка, копирование, модификация или уничтожение информации в нарушение установленных правил разграничения доступа
Несимметричное шифрование (шифрование с открытым ключом) – криптоалгоритм, использующий для за- и расшифрования различные ключи, соответственно открытый и закрытый (секретный); при этом знание открытого ключа не дает возможности вычислить закрытый; используется для реализации криптографических протоколов, в частности протокола электронной подписи
Нулевая статистическая гипотеза – гипотеза о том, что проверяемая последовательность является случайной
Обеспечение доступности – исключение возможности атак, вызывающих отказ в обслуживании (DoS-атак)
Обеспечение секретности – исключение возможности пассивных атак на передаваемые или хранимые данные
Оценочный статистический тест – тест, при проведении которого статистические свойства последовательностей определяются числовыми характеристиками; на основе оценочных критериев делаются заключения о степени близости свойств анализируемой и истинно случайной последовательностей
Ошибка 1-го рода (для статистического теста) – ситуация, когда тест указывает на неслучайность последовательности в то время, как она является случайной (ложноположительный результат)
Ошибка 2-го рода (для статистического теста) – ситуация, когда тест указывает на случайность последовательности в то время, как она является неслучайной (ложноотрицательный результат)
Политика информационной безопасности – совокупность мер противодействия угрозам ИБ, целью применения которых является уменьшение риска либо за счет уменьшения вероятности осуществления угрозы, либо за счет уменьшения последствий реализации угрозы
Поточный (потоковый) шифр – криптоалгоритм, обеспечивающий шифрование в реальном масштабе времени или близком к нему; обеспечивает преобразование каждого элемента входного потока данных на своем элементе потока ключей (гаммы); главное требование к поточному шифру – высокое быстродействие; именно поточные шифры используются при программной реализации симметричных криптоалгоритмов
Протокол – многораундовый обмен сообщениями между участниками, направленный на достижение конкретной цели (выработку общего секретного ключа, аутентификацию абонентов и пр.); протокол включает в себя: характер и последовательность действий каждого из участников, спецификацию форматов пересылаемых сообщений, спецификацию синхронизации действий участников, описание действий при возникновении сбоев
Псевдослучайная последовательность (ПСП) – последовательность псевдослучайных чисел, которая по своим статистическим свойствам не отличается от истинно случайной последовательности, но в отличие от последней может быть повторена необходимое число раз
Разграничение доступа – совокупность реализуемых правил доступа к ресурсам системы
Разделение доступа (привилегий) – разрешение доступа только при одновременном предъявлении полномочий всех членов группы
Рассеивание – свойство криптографического преобразования, назначение которого – скрыть статистические особенности открытого текста за счет распространения влияния каждого отдельного элемента открытого текста на множество элементов зашифрованного текста
Расшифрование – процесс преобразования закрытых (зашифрованных) данных в открытые при известном ключе
Риск – вероятность того, что конкретная атака будет осуществлена с использованием конкретной уязвимости
Секретность информации – гарантия невозможности доступа к информации для неавторизованных пользователей
Сертификат – документ, удостоверяющий какой-либо факт, например, подлинность открытого ключа
Симметричное шифрование (шифрование с секретным ключом) – криптоалгоритм, использующий для за- и расшифрования один и тот же секретный ключ
Статистические методы – методы крипто- и стегоанализа, основанные на проведении статистических тестов, обнаруживающих закономерности в проверяемой информационной последовательности
Стеганография – научная дисциплина, разрабатывающая методы скрытия факта передачи или хранения секретной информации
Стегоанализ – научная дисциплина, оценивающая надежность стегосистем, разрабатывающая способы анализа стойкости стеганографических методов защиты и способы их вскрытия
Стохастический метод защиты –
в широком смысле – метод, основанный на использовании генераторов псевдослучайных чисел или хеш-генераторов;
в узком смысле – метод защиты, основанный на использовании стохастических сумматоров (R-блоков), т. е. сумматоров с непредсказуемым результатом работы; для не знающих ключевой информации результат работы стохастического сумматора выглядит случайным; метод сочетает в себе эффективную реализацию (как программную, так и аппаратную) и высокую крипто- и имитостойкость
Угроза информационной безопасности – потенциально возможное событие, действие (воздействие), процесс или явление, которое посредством воздействия на информацию или другие компоненты ИС может прямо или косвенно привести к нанесению ущерба. Различают угрозы секретности (конфиденциальности) информации, угрозы аутентичности (целостности, подлинности) информации и угрозы доступности информации
Управление рисками ИБ – процедура постоянной (пере)оценки рисков и выбора эффективных и экономичных защитных механизмов для их нейтрализации
Уровень риска – функция вероятности реализации соответствующей угрозы ИБ и размера возможного ущерба
Хеш-генератор – устройство (или программа), реализующее операцию хеширования
Хеширование – необратимое сжатие данных с использованием хеш-функции
Хеш-образ – результат действия хеш-функции; иногда называемый дайджестом сообщения или массива данных
Хеш-функция – необратимая функция сжатия, принимающая на входе массив данных произвольной длины и дающая на выходе хеш-образ фиксированной длины; результат действия хеш-функции зависит от всех бит исходного массива данных и их взаимного расположения; используется для организации парольных систем, реализации протокола электронной подписи, формирования контрольного кода целостности (кода MDC)
Целостность информации – отсутствие случайных или умышленных (несанкционированно внесенных) искажений информации
Цель защиты информации – уменьшение размеров ущерба от различных нарушений ИБ до допустимых значений
Шифр – совокупность алгоритмов за- и расшифрования
Шифрование – процедура за- или расшифрования
Электронная подпись (цифровая подпись, электронная цифровая подпись) – результат шифрования хеш-образа подписываемого массива данных на секретном ключе подписывающего; электронная подпись в отличие от обычной допускает неограниченное копирование подписанной информации и может существовать отдельно от нее; процедура проверки электронной подписи для своего выполнения не требует никакой секретной информации
MAC (Message Authentication Code) – код аутентификации сообщений; в отличие от кода MDC для своего вычисления требует знания секретного ключа
MDC (Manipulation Detection Code) – код обнаружения манипуляций с данными, в отличие от кода MAC для своего вычисления не требует знания секретного ключа
P-value – вероятность того, что совершенный генератор случайных чисел произвел бы последовательность менее случайную, чем исследуемая, для типа неслучайности, проверяемого статистическим оценочным тестом
R-блок (R – random) – стохастический сумматор, т. е. сумматор с непредсказуемым результатом работы (см. стохастические методы защиты)
S-блок (S – substitution) – блок замены (подстановки)