Односторонние функции шифрования (one-way
function, hash function, digest function)
Эта функция, примененная к шифруемым данным, дает в результате значения (дайджест), состоящие из фиксированного небольшого числа байт. Дайджест передается вместе с исходным сообщением.
Получатель сообщения, зная, какая односторонняя функция шифрования (ОФШ) была применена для получения дайджеста, заново вычисляет его, используя незашифрованную часть сообщения. Если значения полученного и вычисленного дайджестов совпадают, это значит, что содержимое сообщения не было подвергнуто никаким изменениям.
Значение дайджеста не дает возможности восстановить исходное сообщение, но зато позволяет проверить целостность данных. Обязательным является знание секретного ключа отправителем и получателем (ключ в данном случае является параметром ОФШ).
Операционные сист |
51 |
емы |
|
Односторонние функции шифрования (one-way
function, hash function, digest function)
Другой вариант использования ОФШ для обеспечения целостности данных.
В данном случае ОФШ не имеет параметра - ключа, но применяется не просто к сообщению, а к сообщению, дополненному ключом. Получатель также дополняет полученное сообщение, ключом, после чего к нему применяет ОФШ. Результат вычислений сравнивается с полученным по сети дайджестом.
Помимо обеспечения целостности сообщений дайджест может быть использован в качестве электронной подписи для аутентификации передаваемого документа.
ОФШ должны удовлетворять двум условиям:
по дайджесту, вычисленному с помощью ОФШ, невозможно каким- либо образом вычислить исходное сообщение;
должна отсутствовать возможность вычисления двух разных сообщений, для которых с помощью данной функции могли быть вычислены одинаковые дайджесты.
Операционные сист |
52 |
емы |
|
6.7.2.Аутентификация, пароли, авторизация, аудит
1.Аутентификация (authentification) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей.
2.Идентификация заключается в сообщении пользователем своего идентификатора (имени).
Отличие аутентификации от идентификации: аутентификация - это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.
Операционные сист |
53 |
емы |
|
6.7.2.Аутентификация, пароли, авторизация, аудит
Впроцессе аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона - аутентификатор - проверяет эти доказательства и принимает решение.
Вкачестве доказательства аутентичности используются следующие приемы:
1) знание некоего общего для обеих сторон секрета: пароля или факта (дата, место события и др.);
2)владение уникальным
предметом (физическим ключом, электронной магнитной картой);
3) собственные биохарактеристики: радужная оболочка глаза, отпечатки пальцев, голос и т. д.
Операционные сист |
54 |
емы |
|
6.7.2. Аутентификация, пароли, авторизация, аудит
Чаще всего для доказательства аутентичности используются пароли. С целью снижения уровня угрозы раскрытия паролей администраторы применяют встроенные программные средства операционных систем для формирования политики назначения и использования паролей: задание сроков действия, длины пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких попыток неудачного логического входа и др.
В частности в ОС Windows 2000 предусмотрена специальная оснастка, помогающая администратору определить политику задания паролей. Перехват паролей можно предупредить путем их шифрования перед передачей в сеть.
В качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные устройства, приложения, текстовая и другая информация.
Аутентификация взаимная: клиент – сервер, приложение – пользователь и т. д.
Операционные сист |
55 |
емы |
|
Политика паролей |
|
|
Параметр |
По умолчанию |
Рекомендация |
Enforce password history |
Помнить 1 |
Помнить 24 |
|
пароль |
пароля |
Maximum password age |
42 дня |
42 дня |
Minimum password age |
0 дней |
2 дня |
Minimum password |
0 символов |
8 символов |
length |
|
|
Password must meet |
Disabled |
Enabled |
complexity requirements |
|
|
Операционные сист |
56 |
|
емы |
|
|
Политика блокировки учетной записи
Параметр
Account Lockout
Duration
Account Lockout
Threshold
Reset Account Lockout after
По |
Рекомендация |
умолчанию |
|
|
30 минут |
Not Defined |
|
0 |
5 попыток |
Not Defined |
30 минут |
Операционные сист |
57 |
емы |
|
58
емы
Авторизация доступа
1.Система авторизации имеет дело только с легальными пользователями, которые успешно прошли процедуру аутентификации.
2.Цель подсистемы авторизации – предоставить каждому легальному пользователю те виды доступа и к тем ресурсам, которые были для него определены администратором системы.
3.Система авторизации использует различные формы правил доступа к ресурсам: a) избирательные права – определенные операции над определенным ресурсом разрешаются или запрещаются пользователям или группам пользователей, явно указанным своими идентификаторами (в операционных системах универсального назначения); б) мандатный подход – деление информации на уровни в зависимости от степени ее секретности (для служебного пользования, секретно, сов. секретно, особой важности) и деление пользователей на группы, образующие иерархию в соответствии с уровнем допуска (первая форма, вторая форма, третья форма).
Операционные сист |
59 |
емы |
|
Авторизация доступа
4.Процедуры авторизации реализуются программными средствами операционных систем или отдельными программными продуктами.
5.Схемы авторизации:
децентрализованные (средства защиты работают на рабочих станциях); централизованные (сервер управляет процессом предоставления ресурсов пользователю, реализован принцип «единого входа» - пользователь один раз входит в сеть и получает доступ на все время работы некоторый набор разрешений по доступу к ресурсам сети);
комбинированные.
Операционные сист |
60 |
емы |
|