- •1. Угрозы, обусловленные действиями субъекта (антропогенные);
- •2. Угрозы, обусловленные техническими средствами (техногенные);
- •3. Угрозы, обусловленные стихийными источниками.
- •Достоинства
- •Недостатки
- •Применение
- •Преимущества
- •Недостатки
- •Шифрование сообщений
- •Авторизация
- •Криптографические примитивы
Шифрование сообщений
Сторона Б зашифровывает документ открытым ключом стороны А. Чтобы убедиться, что открытый ключ действительно принадлежит стороне А, сторона Б запрашивает сертификат открытого ключа у удостоверяющего центра. Если это так, то только сторона А может расшифровать сообщение, так как владеет соответствующим закрытым ключом.
Авторизация
Сертификаты могут использоваться для подтверждения личности пользователя и задания полномочий, которыми он наделён. В числе полномочий субъекта сертификата может быть, например, право просматривать информацию или разрешение вносить изменения в материал, представленный на web-сервере.
VPN (англ. Virtual Private Network — виртуальная частная сеть[1]) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).
В системе существуют следующие инструменты криптографической защиты:
Электронная подпись (ЭП) ‑ последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭП используется в качестве аналога собственноручной подписи.
Электронная подпись и шифрование транспортных пакетов ‑ механизм системы, позволяющий защитить электронной подписью транспортные пакеты, используемые в ходе документооборота банка и подсистемы Банк-Клиент.
Шифрование данных в подсистеме Интернет-Клиент ‑ механизм системы, позволяющий защитить электронной подписью пакеты данных, используемые в ходе документооборота банка и подсистемы Интернет-Клиент.
В зависимости от типа документа и от настроек подсистемы криптозащиты, для его подписи требуются наличие одной или двух (первой и второй) подписей. Выполнение процедуры подписи также зависит от наличия прав подписи документов у пользователя.
Право подписи документов наделяет пользователя (абонента) возможностью подписывать документы:
первой подписью;
второй подписью;
единственной подписью.
Рассмотрим возможности подписи документов, требующих наличия двух подписей, для абонентов с различными правами:
Абонент, наделенный правом первой подписи, может подписывать документ первой подписью, если первая подпись под документом еще не поставлена. При этом, данный абонент не может поставить вторую подпись под документом. Пример: главный бухгалтер организации клиента, осуществляет первую подпись, но не может подписать документ и за себя, и за руководителя организации.
Абонент, наделенный правом второй подписи, может поставить вторую подпись под документом, если ее еще нет, и не может подписать документ первой подписью.
Абонент, обладающий правом единственной подписи может подписать документы, требующие наличия двух подписей. Пример: руководитель организации может подписать документ, даже не имеющий подписи главного бухгалтера.
Порядок подписи документа (сначала первой подписью, затем второй или наоборот) системой "ДБО BS-Client x64" не регламентируется, он может быть произвольным.
В случае, когда документ требует наличия только одной подписи, все указанные абоненты обладают возможностью подписи документа в равной степени.
Если для хранения секретных ключей используются USB-токен, при выполнении операции подписи документов системой "ДБО BS-Client x64" может запрашиваться ввод PIN-кода для доступа к USB-токену, на котором хранится требуемая ключевая информация. При использовании криптографий Message-Pro и Крипто-Ком система "ДБО BS-Client x64" указывать PIN-кода с помощью виртуальной клавиатуры. Использование виртуальной клавиатуры позволяет предотвратить хищения PIN-кодов USB-токенов.
Криптоанализ (от др.-греч. κρυπτός — скрытый и анализ) — наука о методах расшифровки зашифрованной информации без предназначенного для такой расшифровки ключа.
Термин был введён американским криптографом Уильямом Ф. Фридманом в 1920 году в рамках его книги «Элементы криптоанализа»[1]. Неформально криптоанализ называют также взломом шифра.
В большинстве случаев под криптоанализом понимается выяснение ключа; криптоанализ включает также методы выявления уязвимости криптографических алгоритмов или протоколов.
Первоначально методы криптоанализа основывались на лингвистических закономерностях естественного текста и реализовывались с использованием только карандаша и бумаги. Со временем в криптоанализе нарастает роль чисто математических методов, для реализации которых используются специализированные криптоаналитические компьютеры.
Попытку раскрытия конкретного шифра с применением методов криптоанализа называют криптографической атакой на этот шифр. Криптографическую атаку, в ходе которой раскрыть шифр удалось, называют взломом или вскрытием.
Методы криптоанализа
Брюс Шнайер выделяет 4 основных и 3 дополнительных метода криптоанализа, предполагая знание криптоаналитиком алгоритма шифра:
Основные методы криптоанализа:
Атака на основе шифротекста
Атака на основе открытых текстов и соответствующих шифротекстов
Атака на основе подобранного открытого текста (возможность выбрать текст для шифрования)
Атака на основе адаптивно подобранного открытого текста
Дополнительные методы криптоанализа:
Атака на основе подобранного шифротекста
Атака на основе подобранного ключа
Бандитский криптоанализ