- множество прав доступа всех субъектов системы, включая субъект sx, к объекту ox становится пустым (права доступа субъектов системы к объекту ox неопределенны):

a'ij = ø, если j = x и i = 1,…,m.

Остальные подмножества матрицы доступа не изменяются: a'ij= aij, если i ≠ x и j ≠ y

при изменении i = 1,…,m и j = 1,…,m+n.

4.Удаление существующего субъекта sx Destroy subject sx

При выполнении этой операции изменяются следующие состояния системы: - из множества объектов системы удаляется объект ox

O' = O \ {ox}

- из множества субъектов системы удаляется субъект sx

S' = S \ {sx}

- права доступа субъекта sx к объектам системы уничтожаются a'ij = ø, i =x, j = 1,…,m+n - права доступа всех субъектов системы к объектуox уничтожаются

a'ij = ø, j =x, i = 1,…,m

- остальные подмножества матрицы доступа не изменяются a'ij= aij, если i ≠ x и j ≠ x

при изменении i = 1,…,m и j = 1,…,m+n.

5.Создание в системе нового объекта oy Create object oy

При выполнении этой операции изменяются следующие состояния системы:

- множество прав доступа всех субъектов к новому объекту oy системы становится пустым

a'ij = ø, j =y, i = 1,…,m

- остальные подмножества матрицы доступа остаются без изменения

a'ij= aij, если j ≠ y

при изменении i = 1,…,m и j = 1,…,m+n.

6.Удаление существующего объекта oy из системы Destroy object oy

При выполнении этой операции изменяются следующие состояния системы:

- права доступа всех субъектов к объекту oy уничтожаются

a'ij = ø, j =y, i = 1,…,m

- остальные подмножества матрицы доступа остаются без изменения

a'ij= aij, если i ≠ y при изменении i = 1,…,m и j = 1,…,m+n.

Описание критерия безопасности. Для обеспечения безопасности системы необходимо наложить запрет на права доступа, которые могут порождать нелегальные потоки.

Критерий безопасности

Начальное состояние системы считается безопасным относительно права доступа rg, если не существует применимой к Q0 последовательности команд, в результате выполнения которых право доступа rg будет приобретено субъектом sx для объекта oy, если это право не принадлежит подмножеству axy в состоянии Q0. Следовательно, субъект sx не приобретёт право доступа rg к объекту oy, если субъект sx не имел этого права при определении начального состояния Q0. Харрисон-Руззо-Ульман доказали, что в общем случае не существует алгоритма, позволяющего решить является ли конфигурация системы, соответствующая ее начальному состоянию Q0 = (S0, O0, A0) безопасной.

Указанная задача может быть разрешена в одном из следующих случаев:

•команды cz (аргументы), z = 1, 2,… l являются монооперационными, т.е. состоят только из одной операции;

•команды cz (аргументы), z = 1, 2,… l являются одноусловными и монотонными, т. е. содержат не более одного условия и не содержат операций Destroy и Delete;

•команды cz (аргументы), z = 1, 2,… l не содержат команды Create.

Вывод: дискреционная модель Харрисона-Руззо-Ульмана в своей общей постановке не дает гарантий безопасности системы, однако именно она послужила основой для целого класса моделей политик безопасности, которые используются для управления доступом и контролем за распространением прав доступа во всех современных системах.

6.Критериев безопасности компьютерных систем Министерства обороны США («Оранжевая книга»).

Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга») Впервые критерии безопасности компьютерных систем, были изложены в «Оранжевой книге» и ориентированны в основном на разработку и сертификацию многопользовательских операционных

систем.

«Критерии безопасности компьютерных систем» (Trusted Computer System Evalualion Criteria)

были разработаны и опубликованы Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному программному и информационному обеспечению компьютерных систем и выработки методики и технологии анализа степени поддержки политики безопасности в компьютерных системах в основном военного назначения.

Вданном документе были впервые формально определены (хотя и не вполне строго) также понятия, как «политика безопасности», «корректность» и др.

Согласно «Оранжевой книге» безопасная КС – это система, поддерживающая управление доступом к обрабатываемой в ней информации таким образом, что только авторизованные пользователи или процессы (субъекты), действующие от их имени, получают права доступа к информации такие как чтение, запись, создание, удаление и др.

Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

В«Оранжевой книге» предложены три критерия требований безопасности:

-политика безопасности

-аудит

-корректность,

и сформулированы шесть базовых требований безопасности.

1. Требования в отношении политики безопасности:

1.1Система должна поддерживать точно определенную политику безопасности. Возможность осуществления доступа субъекта к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где необходимо, должна пользоваться политика мандатного управления доступом.

1.2С объектами должны быть ассоциированы метки безопасности, используемые в качестве

исходной информации для процедур контроля доступа.

2. Требования в отношении аудита:

2.1 Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должны осуществлять на основании идентификации и аутентификации субъектов и объектов доступа и

правил разграничения доступа.

2.2 Все происходящие в системе события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.

3. Требования в отношении корректности:

3.1 Все средства защиты, обеспечивающие политику безопасности, управление атрибутами и штатами безопасности, идентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип корректности должен состоять в том, что средства контроля должны быть полностью независимы от средств

защиты.

3.2 Все средства защиты должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты компьютерной системы. Выполнение этого требования является одной из ключевых аксиом, используемых для функционального доказательства безопасности системы.

«Оранжевая книга» предусматривает четыре группы критериев: D,C,B,A, которые соответствуют различной степени защищённости. Каждая группа включает один или несколько классов:D;C1,C2;B1,B2,B3;A. Уровень безопасности возрастает от группы D к группе A, а внутри группы с возрастанием номера класса.

К наиболее значимым нормативным документам можно отнести следующие:

–Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга»).

–Европейские критерии безопасности информационных технологий.

–Федеральные критерии безопасности информационных технологий.

–Канадские критерии безопасности компьютерных систем.

–Единые критерии безопасности информационных технологий.

7. Математическая структура секретных систем. Теорема Шеннона. Принципы Шеннона.

Математическая структура секретных систем. Теорема Шеннона. Принципы Шеннона.

Рис.1. Схема общей секретной системы.

На передающем конце имеются два источника информации - источник сообщений и источник ключей. Источник ключей отбирает конкретный ключ среди всех возможных ключей данной системы. Этот ключ передается некоторым способом на приемный конец, причем предполагается, что его нельзя перехватить (например, ключ передается посыльным). Источник сообщений формирует некоторое сообщение (незашифрованное), которое затем зашифровывается, и готовая криптограмма передается на приемный конец, причем криптограмма может быть перехвачена (например, пересылается по радио). На приемном конце шифровальщик с помощью ключа по криптограмме восстанавливает исходное сообщение.

Очевидно, шифровальщик на передающем конце выполняет некоторую функциональную операцию. Если M - сообщение, K - ключ и E - зашифрованное сообщение (криптограмма), то имеем E = f(M,K), т.е. E является функцией от M и K. Удобнее, однако, понимать E не как функцию двух переменных, а как (однопараметрическое) семейство операций или отображений, и записывать его в виде: E = TiM. Отображение Ti примененное к сообщению M, дает криптограмму E. Индекс i соответствует конкретному используемому ключу.

Должна иметься возможность восстанавливать M на приемном конце, когда известны E и K. Поэтому отображение Ti, из нашего семейства должно иметь единственное обратное отображение Ti-1, так что TiTi-1 = I, где I - тождественное отображение. Таким образом: M = Ti-1E. Во всяком случае, это обратное отображение Ti-1 должно существовать и быть единственным для каждого E, которое может быть получено из M с помощью ключа i. Приходим, таким образом, к следующему определению: секретная система есть семейство однозначно обратимых отображений Ti множества возможных сообщений во множество криптограмм, при этом отображение Ti имеет вероятность pi. Обратно, любое множество объектов такого типа будет называться "секретной системой". Множество возможных сообщений для удобства будет называться "пространством сообщений", а множество возможных криптограмм - "пространством криптограмм".

Необходимое и достаточное условие для того, чтобы система была совершенно секретной, можно записать в следующем виде. По теореме Байеса

где

P(M) – априорная вероятность сообщения M;

PM(E) – условная вероятность криптограммы E при условии, что выбрано сообщение M, т.е. сумма вероятностей всех тех ключей, которые переводят сообщение M в криптограмму E;

P(E) – вероятность получения криптограммы E;

PE(M) – апостериорная вероятность сообщения M при условии, что перехвачена криптограмма E.

Для совершенной секретности системы величины PE(M) и P(M) должны быть равны для всех E и M. Следовательно, должно быть выполнено одно из равенств: или P(M)=0 [это решение должно быть отброшено, так как требуется, чтобы равенство осуществлялось при любых значениях P(M)], или же PM(E) = P(E) для любых M и E. Наоборот, если PM(E) = P(E), то PE(M) = P(M), и система совершенно секретна. Таким образом, можно сформулировать следующее:

Теорема Шеннона?????. Необходимое и достаточное условие для совершенной секретности состоит в том, что PM(E) = P(E) для всех M и E, т.е. PM(E) не должно зависеть от M.

Другими словами, полная вероятность всех ключей, переводящих сообщение Mi в данную криптограмму E, равна полной вероятности всех ключей, переводящих сообщение Mj в ту же самую криптограмму E для всех Mi, Mj и E.

Принципы Шеннона По К. Шеннону, шифрование должно использовать следующие принципы:

•Рассеивание (Diffusion) – распространение влияния одного знака открытого текста на много знаков шифртекста, а также распространение влияния одного элемента ключа на много знаков шифртекста.

•Перемешивание, усложнение, запутывание (Confusion) – свойство шифрующего преобразования усложнять взаимосвязи между элементами данных, что затрудняет восстановление функциональных и статистических связей между открытым текстом, ключом и шифртекстом

8.Протокол Диффи-Хеллмана и его модификации.

Алгоритм Диффи – Хеллмана позволяет двум или более пользователям обменяться без посредников ключом, который может быть использован затем для симметричного шифрования.

Данный алгоритм не применяется для шифрования сообщений или формирования электронной подписи. Его назначение – в распределении ключей.

Описание алгоритма Предположим, существует два абонента: Алиса и Боб. Обоим абонентам известны некоторые два

числа g и p, которые не являются секретными и могут быть известны также другим заинтересованным лицам. Для того, чтобы создать неизвестный более никому секретный ключ, оба абонента генерируют большие случайные числа: Алиса — число a, Боб— число b. Затем Алиса вычисляет значение A=gamodp(1) и пересылает его Бобу , а Боб вычисляет B=gbmodp(2) и передаёт Алисе. Предполагается, что злоумышленник может получить оба этих значения, но не модифицировать их (то есть у него нет возможности вмешаться в процесс передачи).

На втором этапе Алиса на основе имеющегося у нее a и полученного по сети B вычисляет значение

Bamodp=gabmodp(3)

Боб на основе имеющегося у него b и полученного по сети A вычисляет значение Abmodp=gabmodp(4) Как нетрудно видеть, у Алисы и Боба получилось одно и то же число K= gabmodp

Его они и могут использовать в качестве секретного ключа, поскольку здесь злоумышленник встретится с практически неразрешимой (за разумное время) проблемой вычисления (3) или (4) по перехваченным (1) и (2), если числа p,a,b выбраны достаточно большими. Наглядная работа алгоритма показана на рисунке

Модификация алгоритма Дифи-Хелмана

Протокол "точка-точка"

Обмен ключами Diffie-Hellman чувствителен к вскрытию "человек в середине". Одним из способов предотвратить это, является необходимость для Алисы и Боба подписывать сообщения, которые они посылают друг другу.

Этот протокол предполагает, что у Алисы есть сертифицированный открытый ключ Боба, а у Боба есть сертифицированный открытый ключ Алисы. Эти сертификаты подписаны некоторым заслуживающим доверия органом власти, непосредственно не участвующим в протоколе. Вот как Алиса и Боб генерируют секретный ключ k.

(1)Алиса генерирует случайное число x и посылает его Бобу.

(2)Боб генерирует случайное число y. Используя протокол Diffie-Hellman, он вычисляет общий ключ k на базе x и y. Он подписывает x и y и шифрует подпись ключом k. Затем он посылает получившееся вместе с y Алисе.

y,Ek(SB(x,y))

(3)Алиса также вычисляет k. Она расшифровывает оставшуюся часть сообщения Боба и проверяет его подпись. Затем она посылает Бобу подписанное сообщение, состоящее из x и y, зашифрованных общим ключом k.

Ek(SA(x,y))

(4) Боб расшифровывает сообщение и проверяет подпись Алисы.

Hughes

Этот вариант алгоритма Diffie-Hellman позволяет Алисе генерировать ключ и послать его Бобу .

(1)Алиса выбирает случайное большое целое число x и генерирует k = gx mod n

(2)Боб выбирает случайное большое целое число y и посылает Алисе

Y = gy mod n

(3)Алиса посылает Бобу

X= Yx mod n

(4)Боб вычисляет z = y-1

k' = Xz mod n

Если все выполнено правильно, k = k'.

Преимуществом этого протокола над Diffie-Hellman состоит в том, что k можно вычислить заранее, до взаимодействия, и Алиса может шифровать сообщения с помощью k задолго до установления соединения с Бобом. Она может послать сообщение сразу множеству людей, а передать ключ позднее каждому по отдельности.

Diffie-Hellman с тремя и более участниками

Протокол обмена ключами Diffie-Hellman легко можно расширить на случай с тремя и более участниками. В приводимом примере Алиса, Боб и Кэрол вместе генерируют секретный ключ.

(1)Алиса выбирает случайное большое целое число x и вычисляет

X = gx mod n

(2)Боб выбирает случайное большое целое число y и посылает Кэрол

Y = gy mod n

(3)Кэрол выбирает случайное большое целое число z и посылает Алисе

Z = gz mod n

(4)Алиса посылает Бобу

Z'=Zx mod n

(5)Боб посылает Кэрол *

X'=Xy mod n

(6)Кэрол посылает Алисе

Y'=Yzmod n

(7)Алиса вычисляет

k = Y'x mod n

(8)Боб вычисляет k = Z'y mod n

(9)Кэрол вычисляет k = X'z mod n

Секретный ключ k равен gxyz mod n, и никто из подслушивающих каналы связи не сможет вычислить это значение. Протокол можно легко расширить для четверых и более участников, просто добавляются участники и этапы вычислений.

9.Математические основы схем ЭЦП на основе задачи дискретного логарифмирования в группе точек эллиптической кривой. Схема ЭЦП ГОСТ Р 34.10-2012.

1.ЭЦП удостоверяет, что подписанная информация исходит от абонента, сгенерировавшего подпись. Системы ЭЦП относятся к асимметричным криптосистемам. Генерация ЭЦП выполняется с использованием закрытого ключа, а проверка – с помощью открытого. Так как закрытый ключ известен только отправителю сообщения, то никто, кроме отправителя, не может сгенерировать ЭЦП, благополучно проходящую проверку на соответствующем открытом ключе.

2.ЭЦП гарантирует целостность подписанной информации.

Генерация ЭЦП основана на использовании хеш-образа (дайджеста, цифрового отпечатка)

сообщения. По сути своей хеш-образ напоминает имитовставку: это есть некий блок данных, характеризующий подписанную информацию. Хеш-образ вычисляется с помощью криптографических хешфункций, главным требованием к которым является требование однозначности: в идеале разным сообщениям должны соответствовать разные хеш-образы. ЭЦП, в свою очередь, включает в себя результат преобразований хеша или сама по себе является преобразованным хешем. Таким образом, любые изменения в сообщении при передаче, включая искажение и подмену, отражаются на ЭЦП. В случае нарушения целостности проверка ЭЦП установит, что ЭЦП не подходит к данному сообщению.

3.ЭЦП не дает отправителю возможности отказаться от обязательств, связанных с подписанной информацией.

7.1 Системы ЭЦП на основе задачи дискретного логарифмирования в конечном поле

7.3.1 Общие сведения

Рассмотрим множество систем поддержки ЭЦП, имеющих следующие общие параметры.

p – простое число (разрядность зависит от криптосистемы); натуральное число a: 1 < a < p;

x – секретный ключ отправителя сообщения, такой что НОД(x, p – 1) = 1;

y = ax (mod p) – открытый ключ отправителя сообщения;

h – хеш-образ сообщения.

Параметры p и a распространяются в открытом виде, по открытым каналам связи.

Подпись s должна зависеть от секретного ключа и от значения h. Условие, при котором подпись считается действительной, представляет собой уравнение, в котором обязательно фигурируют h, y, p и s. Однако практика показала, что уравнения, в которых участвуют только указанные параметры, описывают либо неэффективные, либо плохо защищенные системы ЭЦП.

В криптостойких системах поддержки ЭЦП используется дополнительный параметр –

разовый дополнительный открытый ключ r, вычисляемый по формуле r = k (mod p), где k

– случайно выбираемое число.

Следующие уравнения описывают криптографически стойкие ЭЦП.

В этих схемах подпись легко вычисляется и проверяется. Вычислить x невозможно без знания k.

Зная y, p и a, злоумышленник может попытаться вычислить x. Однако для этого ему требуется решить вычислительно сложную задачу дискретного логарифмирования в конечном поле (x – показатель степени, который вычисляется как логарифм y по основанию x), что требует значительных затрат времени при достаточно больших значениях p.

7.3.3 Протокол ЭЦП на основе ГОСТ Р 34.10 – 2001

Данный стандарт основан на использовании операций в группе точек эллиптической кривой, определѐнной над конечным полем. Криптостойкость схемы основана на сложности дискретного логарифмирования в группе точек эллиптической кривой, а также на стойкости хеш-функций.

Эллиптическая кривая описывается уравнением вида:

Множество точек эллиптической кривой образует группу по сложению, т. е. любая точка эллиптической кривой может быть получена, как сумма других точек.

Пусть имеются точки P1(x1, y1) и P2(x2, y2). Требуется вычислить координаты x3 и y3 точки P3.

Если P1 и P2 не совпадают, то вычисление выполняется по следующим формулам:

Если же P1 = P2, формулы преобразуются следующим образом:

На эллиптической кривой существует нулевая точка O, такая что P + O = P. Также для любой точки P(x, y) найдется точка –P(x, -y).

Групповой закон сложения точек ЭК, как элементов циклической группы, обладает следующим криптографическим свойством. Пусть P и G - элементы (точки) циклической подгруппы A кривой E(GF(q)), причем G является примитивным элементом (генератором) этой подгруппы. Тогда, если P = n G, где n GF(q) – секретный ключ (случайное число),

" " - означает многократное сложение точки G, то нахождение числа n по двум заданным элементам P A и G A при n является вычислительно сложной задачей. Задача нахождения индекса n по двум заданным элементам группы становится вычислительно невыполнимой при размерностях n в 120 бит и более. Далее для простоты, будем использовать обозначение nG = n G.

В схеме ЭЦП на основе ГОСТ Р 34.10-2001 используются следующие параметры: p – простое число, превосходящее 2255;

a и b – коэффициенты уравнения, задающего эллиптическую кривую

E(GFp);

m = #E(GFp) – порядок группы точек эллиптической кривой;

q – порядок циклической подгруппы (2254 < q < 2256), простое целое число, делитель m;

d – закрытый ключ подписи, 0 < d < q;

P – точка эллиптической кривой, генератор циклической подгруппы;

Q = dP – открытый ключ проверки подписи. Чтобы подписать сообщение, отправитель:

1. Вычисляет хеш-образ сообщения m и число e: e = H(m) mod q.

2.Генерирует число k < q.

3.Вычисляет точку эллиптической кривой

C = kP.

4. Вычисляет значения r, s

r = xC mod q;

s = (rd + ke) mod q.

Если r или s равны 0, происходит переход к шагу 2.

Подписью является пара чисел r и s, которая передается второму абоненту вместе с сообщением. Чтобы проверить подпись, получатель:

5. Проверяет, выполнены ли следующие условия:

0 < r < q;

0 < s < q.

Невыполнение условий говорит о том, что подпись неверна.

6. Вычисляет:

e = H(m) mod q; ν = e-1 mod q; z1 = sν mod q; z2 = -rν mod q;

C = z1P + z2Q;

R = xC mod q.

Если R и r равны, значит, подпись верна.