Новые методы защиты

3. Обфускация,

4. Водяные знаки,

5. Отпечатки пальцев.

Обфускация (obfuscation) – запутывание. Направлена против обратного проектирования и модификаций. Сущность: Преобразование кода программы к виду, при котором она менее «читаема», т.е. менее подвержена обрат проектированию.

А) лексическая обфускация: выполняется для снижения читабельности текста программы за счет: удаления или затруднен чтения комментариев, назначения идентификаторам имен, не имеющим смысловой нагрузки либо сложных для восприятия.

Б) обфускация потока выполнения. Сущность. Преобразуется граф передачи управления программы за счет локальных преобразований кода либо алгоритма.

В) Непрозрачные предикаты. НП – выражение, результат которого известен обфускатору и не известен другому лицу.С помощью НП выполняют преобразования, модифицирующие передачу управления в программе.

Водяные знаки

Цифровой ВЗ – копирайт-строка, внедряемая автором в объект его интеллектуальной собственности. ВЗ может быть видимым и невидимым. Цифровой ОП используется для обозначения ВЗ.

Требования к ВЗ в ПО:

• Не должен влиять на размер и время вып-я программы,

• Должен быть скрытым,

• Сложен для несанкционированного удаления,

• Автор должен иметь возможность доказать, что именно он внедрил ВЗ.

ВЗ является видимым, если функция его распознавания является общедоступной. ВЗ является невидимым, если функция его распознавания известна только автору.

Пример. Простейший ВЗ – строка кода:

char strWM[ ]=“Copyright 2009 MyCompany Ltd.”

Размещается в данных, которые программой не используется.

Динамический ВЗ – извлечение его требует выполнения программы и получения некоторого рез-та.

Статический ВЗ - извлечение его требует только анализа программы (анализа последовательности байтов).

Отпечатки пальцев

Цифровые ОП – характеристика, позволяющая различать схожие объекты. ОП позволяют различать копии ПО.

Пример. Разработчик ПО формирует ОП из 64 бит: 32 бита – для идентификации Покупателя, 16 – продавца (автора), 16 – для идентификации ПО.

Такая информация преобразуется с использованием ключа – это является ОП. Она позволяет идентифицировать Кл и доказать, что была зашифрована Разработчиком.

Далее ОП (Wi) вносится в копию ПО.

Важно. 1.Даже если атакующий имеет доступ к нескольким копиям ПО с ОП вероятность прочтения, удаления или модификации ОП должна быть минимальной.

2.Вероятность возникновения коллизий д.б. минимальной.

129. Безопасное время использования пароля. Формула Андерсена.

Существуют методы количественной оценки стойкости парольных систем:  (формула Андерсона), где k - количество попыток подбора пароля в минуту; M - время действия пароля в месяцах; P - вероятность подбора пароля; A¹ - мощность пространства паролей (А - мощность алфавита паролей, l - длина пароля).

Вероятность взлома пароля:

double p = k*60*24*30*M/(Math.pow(A, l));

Безопасное время использования пароля:

double M = (1.0*Math.pow(A, l)/k)/60/24/30;

130. Протокол Керберос.

Протокол Kerberos был разработан в Массачусетском технологическом институте в середине 1980-х годов и сейчас является фактическим стандартом системы централизованной аутентификации и распределения ключей симметричного шифрования. Поддерживается операционными системами семейства Unix, Windows (начиная с Windows'2000), есть реализации для Mac OS. В сетях Windows (начиная с Windows'2000 Serv.) аутентификация по протоколу Kerberos v.5 (RFC 1510) реализована на уровне доменов. Kerberos является основным протоколом аутентификации в домене, но в целях обеспечения совместимости c с предыдущими версиями, также поддерживается протокол NTLM.

Централизованное распределение ключей симметричного шифрования подразумевает, что у каждого абонента сети есть только один основной ключ, который используется для взаимодействия с центром распределения ключей (сервером ключей). Чтобы получить ключ шифрования для защиты обмена данными с другим абонентом, пользователь обращается к серверу ключей, который назначает этому пользователю и соответствующему абоненту сеансовый симметричный ключ.

Протокол Kerberos обеспечивает распределение ключей симметричного шифрования и проверку подлинности пользователей, работающих в незащищенной сети. Реализация Kerberos - это программная система, построенная по архитектуре "клиент-сервер". Клиентская часть устанавливается на все компьютеры защищаемой сети, кроме тех, на которые устанавливаются компоненты сервера Kerberos. В роли клиентов Kerberos могут, в частности, выступать и сетевые серверы (файловые серверы, серверы печати и т.д.).

Серверная часть Kerberos называется центром распределения ключей (англ. Key Distribution Center, сокр. KDC) и состоит из двух компонент:

• сервер аутентификации (англ. Authentication Server, сокр. AS);

• сервер выдачи разрешений (англ. Ticket Granting Server, сокр. TGS).

Каждому субъекту сети сервер Kerberos назначает разделяемый с ним ключ симметричного шифрования и поддерживает базу данных субъектов и их секретных ключей.

сервер SS (англ. Service Server - сервер, предоставляющий сетевые сервисы).

http://www.intuit.ru/studies/courses/531/387/lecture/8998

Kerberos использует 2 типа удостоверений:

• Мандаты (для безопасной передачи Серверу данных о личности Клиента):

Tc,s = S, {C, A, v, K_c,s}K_s

Клиент не может расшифровать мандат, поскольку он не знает секретный ключ Ks, но он может предъявить его Се-ру, как док-во его аутентичности, т.е. прочитать либо изменить мандат ни Клиент, ни кто-либо иной не может.

• Аутентификаторы (это дополнительная информация, предъявляемая вместе с мандатом):

Ac,s = {C, t, Ключ} K_c,s

Клиент создает аутентификатор на каждый сеанс, Ключ - является просто ключом и необязательным дополнительным элементом сеанса и все эти данные шифруются общим ключом, известным Клиенту и Серверу: K_c,s. В отличие от мандата, аутентификатор используется только один раз

1 — Клиент запрашивает Керберос разрешение на обращение к службе TGS.

2 — После анализа предоставленных документов о возможности организации

сообщения между Кл и Серв Керберос выдает Кл-ту соответствующее разрешение.

3 — Пользуясь разрешением службы Керберос, Кл запрашивает TGS о выделении

ему мандата на организацию канала между Клиентом и Сервером.

4 — Получение такого мандата.

5 — Клиент пересылает соответствующее сообщение серверу

131. Стеганографические методы защиты информации. Цели, базовые методы.

Цель методов — скрыть сам факт существования секретного сообщения. Стеганографическая система (стегосистема) —методы и средства, используемые для создания скрытого канала передачи информации. Контейнер (стегоконтейнер) —любая информация для сокрытия тайного сообщения. Стеганографический канал (стегоканал) — канал передачи стегоконтейнера (стегосообщения). Ключ (стегоключ) — секретная информация для сокрытия стегоконтейнера и извлечения информации из него. Стегосообщение – контейнер с осажденной тайной информацией.

Существующие методы в рассматриваемой предметной области и реализующие их алгоритмы (стегоалгоритмы) можно разбить на 4 основные категории:

1) преобразования текста;

2) методы, использующие избыточность аудиоинформации; 

3) методы, использующие избыточность видеоинформации;

4) методы, использующие избыточность графической информации.