- •Проблема защиты информации и подходы к ее решению.
- •Основные понятия защиты информации.
- •Угрозы безопасности и каналы утечки информации.
- •Классификация методов и средств защиты информации. Специфика программных средств.
- •Правовое обеспечение защиты информации.
- •Способы нарушения защищенности информации и защиты от него в компьютерных системах.
- •Организация базы учетных записей пользователей в ос Unix.
- •Организация базы учетных записей пользователей в ос Windows
- •Способы аутентификации пользователей.
- •Аутентификация пользователей на основе паролей.
- •Аутентификация пользователей на основе модели «рукопожатия».
- •Программно-аппаратная защита от локального несанкционированного доступа.
- •Аутентификация пользователей на основе их биометрических характеристик.
- •Протоколы прямой аутентификации.
- •Протоколы непрямой аутентификации.
- •Протокол ipSec.
- •Виртуальные частные сети.
- •Разграничение прав пользователей в ос Windows.
- •Дискреционное, мандатное и ролевое разграничение доступа к объектам.
- •Подсистема безопасности ос Windows.
- •Разграничение доступа к объектам в ос Windows.
- •Разграничение прав пользователей в ос Unix.
- •Разграничение доступа к объектам в ос Unix.
- •Аудит событий безопасности в ос Windows и Unix.
- •Средства защиты информации в глобальных компьютерных сетях.
- •Стандарты оценки безопасности компьютерных систем и информационных технологий.
- •Часть 1 «Введение и общая модель». Определение методологии оценки безопасности и требований безопасности (функциональных требований и требований доверия).
- •Часть 2 «Функциональные требования безопасности». Универсальный систематизированный каталог с возможностью добавления новых требований.
- •Часть 3 «Требования доверия к безопасности». Систематизированный каталог требований доверия и шкала оценочных уровней доверия (от 1 до 7).
- •Элементы теории чисел.
- •Способы симметричного шифрования.
- •Абсолютно стойкий шифр. Генерация, хранение и распространение ключей.
- •Криптографическая система des и ее модификации.
- •Криптографическая система гост 28147-89.
- •Применение и обзор современных симметричных криптосистем.
- •Принципы построения, свойства и применение асимметричных криптосистем.
- •Криптографическая система rsa.
- •Криптографические системы Диффи-Хеллмана, Эль-Гамаля и эллиптических кривых.
- •Электронная цифровая подпись и ее применение. Функции хеширования.
- •Протокол ssl.
- •Криптографический интерфейс приложений ос Windows.
- •Файловая система с шифрованием в ос Windows.
- •Компьютерная стеганография и ее применение.
- •Принципы построения систем защиты от копирования.
- •Защита инсталляционных дисков и установленного программного обеспечения.
- •Защита программных средств от изучения.
- •Вредоносные программы, их признаки и классификация.
- •Программные закладки и защита от них.
- •Методы обнаружения и удаления вредоносных программ.
-
Протокол ssl.
Разработан компанией Netscape. Достоинства:
-
обеспечение безопасности и удобства использования (автоматическая установка криптографически защищенного соединения между клиентом и сервером).
-
аутентификация сервера;
-
возможность автоматической аутентификации клиента;
-
расширяемость (возможность добавления новых криптоалгоритмов).
Стандартная реализация SSL
-
Использование алгоритма RSA для обмена сеансовыми ключами.
-
Использование алгоритма RC4 для симметричного шифрования сообщений.
-
Использование функции хеширования MD5 для защиты целостности сообщений.
-
Отсутствие автоматической аутентификации клиента (клиент может быть аутентифицирован после установки защищенного соединения с сервером).
Составные части протокола SSL
-
протокол записи (передачи) – протокол сеансового уровня, обеспечивающий базовый набор средств защиты для протоколов уровня представления и прикладного;
-
протокол квитирования (установки сеанса связи между клиентом и сервером);
-
протокол изменения параметров шифрования;
-
протокол извещения (три последних протокола относятся к протоколам уровня представления).
Протокол записи SSL
-
Разбиение данных сообщения на фрагменты длиной ≤ 214 байт.
-
Сжатие фрагментов (необязательное).
-
Добавление HMAC, вычисленного с помощью соответствующего ключа.
-
Шифрование фрагмента и HMAC симметричным алгоритмом с помощью ключа шифрования и (при использовании блочного шифрования) начального вектора.
-
Добавление заголовка.
Протокол квитирования SSL
Согласование параметров защиты:
-
Клиент C->Сервер S: случайное число NC, идентификатор сеанса ID, предлагаемые клиентом криптоалгоритмы {CAC}.
-
S->C: случайное число NS, ID (или ID′, если ID=0), выбранные сервером криптоалгоритмы {CAS}.
Аутентификация и передача ключей сервера:
-
S->C: сертификат своего открытого ключа C(PKS).
-
S->C (дополнительное сообщение server_key_exchange требуется при выборе криптографической системы Диффи-Хеллмана с одноразовыми ключами): основание a, модуль p, открытый ключ сервера yS, ESKS(H(NC,NS,a,p,yS)) (ЭЦП для подтверждения подлинности выбранных параметров).
Аутентификация и передача ключей сервера
-
S->C: тип запрашиваемого сервером сертификата открытого ключа клиента C(PKC) и список доверенных удостоверяющих центров.
-
S->C: сообщение Server_Hello_Done (без параметров).
Аутентификация и передача ключей клиента:
-
C->S: сертификат своего открытого ключа C(PKC) (если у клиента есть удовлетворяющий условиям сертификат) или сообщение no_certificate (без параметров).
-
C: генерация предварительного мастер-ключа pmk (для криптосистемы RSA) или вычисление открытого ключа клиента yC (для криптосистемы Диффи-Хеллмана), вычисление мастер-ключа mk и других параметров устанавливаемого с сервером защищенного соединения (ключей шифрования сообщений клиента KC и сервера KS, ключей для вычисления HMAC клиента и сервера, начальных векторов для клиента и сервера).
-
C->S: EPKS(pmk) (для криптографической системы RSA) или открытый ключ клиента yC (для криптографической системы Диффи-Хеллмана).
-
C->S: ESKC(H(mk,все сообщения кроме данного)) (ЭЦП) (дополнительное сообщение, если у клиента есть сертификат и связанный с ним личный ключ).
Завершение квитирования:
-
C->S: Change_Cipher_Spec (без параметров).
-
C->S: EKC(H(mk, все сообщения кроме данного, C)).
-
S: расшифрование pmk с помощью своего закрытого ключа (для криптосистемы RSA), вычисление мастер-ключа mk и других параметров устанавливаемого с клиентом защищенного соединения, расшифрование полученного от клиента сообщения с помощью только что вычисленного ключа симметричного шифрования клиента.
-
S->C: Change_Cipher_Spec (без параметров).
-
S->C: EKS(H(mk, все сообщения кроме данного, S)).
-
C: расшифрование полученного от сервера сообщения с помощью вычисленного на шаге 8 ключа шифрования сервера и проверка расшифрованного сообщения.
Из-за включения в пересылаемые между клиентом и сервером сообщения случайных одноразовых чисел (NC и NS) атака перехвата и воспроизведения невозможна.