Файловый архив студентов. Файловый архив студентов.
1304 вуза, 5171 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Международный университет информационных технологий
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
iCarnecie_SSD2_RU_v1 / iCarnecie_SSD2_RU_v1.doc
Скачиваний:
60
Добавлен:
25.02.2016
Размер:
9.92 Mб
Скачать
►Содержание►

6.2.3 Идентификация

  • Усиленные пороли

  • Интеллектуальные карточки

  • Биометрия

  • Цифровые подписи

  • Цифровые сертификаты и учреждения сертификатов

  • Протокол SSL

Аутентификация – процесс подтверждения тождества, определение того, являетесь ли вы тем, за кого себя выдаете. Обычно это делается проверкой имени вашего логина и соответствия его паролю. Однако пароли часто крадут, случайно открывают или забывают. Этот раздел описывает некоторые методы, которые сделают процесс аутентификации более строгим, с усиленными паролями, интеллектуальными карточками и биометрией. В последних частях этого раздела вы узнаете о таких технологиях как цифровые подписи, сертификаты и протокол SSL, который гарантирует оригинальность источника данных.

Усиленные пароли

Как описано в предыдущем разделе, 6.1.2 Идентификация воровства и нарушение конфиденциальности, пароли – это как ключи для счетов, которые вы хотите защитить. Слабый пароль может быть легко угадан взломщиком. Первая линия защиты, которую можно поставить перед взломщиком – это пароль, который будет сложно взломать. Ниже приведены несколько правил, позволяющих составить хороший пароль.

Характеристики хорошего пароля:

  • Сложно отгадать

  • Самое малое 8 символов длиной, чем больше, тем лучше (если вы можете их запомнить)

  • Содержит смесь букв верхнего и нижнего регистра, цифры, символы и знаки пунктуации

  • Символы стоят в непредсказуемом порядке

  • Можно набрать быстро для предотвращения распознавания пароля просмотром нажатых вами клавиш

Характеристики плохого пароля:

  • Основан на персональной информации,такой как ваше имя или его часть, псевдоним, дата рождения, имя компании или имя родственника

  • Основан на ближайших объектах, таких как "компьютер", "стол", "книга".

  • Слова из словаря

  • Имена вымышленных персонажей кино и книг

  • Слова, написанные по образцу (например, пропущенная последняя буква, обратное направление)

  • Последовательность быстро печатаемых символов, такие как "asdf" и "qwer"

  • Символы, следующие по определенному образцу, такие как "abcabcdabcde" и "1122334455"

  • Пароли, использованные вами ранее

Генерация хорошего пароля:

  • Использование специальной программы генерации пароля

  • Использование третьей буквы каждого слова (длиной более двух символов) из случайно выбранного предложения Пример:

    • Предложение: "AUTHENTICATION is the process of confirming an identity, determining whether someone is who he claims to be".

    • " Пароль: "Teonetemoa"

  • Случайная вставка символов (например, "Te*netem$a.")

  • Смесь букв верхнего и нижнего регистров, чисел, символов и знаков пунктуации (например "T1e*netEm$a.")

Интеллектуальные карточки

Интеллектуальная карточка (смарт-карточка) – кредитная пластиковая карточка с встроенной микросхемой (чипом). Она служит безопасным средством для хранения важной личной идентифицирующей информации, такой как идентификационное фото, "образец голоса", отпечатки пальцев, подписи и информации о счете.

Внизу – иллюстрация чипа интеллектуальной карточки.

Рисунок 7 Чип интеллектуальной карточки

Чипы смарт-карты могут быть встроены в телефонные карточки, банковские карты или медицинские карты. Рассмотрим в качестве примера телефонную карточку: чип смарт-карты встроен в телефонную карточку, которая содержит номер вашего телефонного счета или другую информацию. Для использования карточки, нужно вставить ее в card reader (устройство для чтения карт), обычно встроенный в телефон. Card reader должен запросить номер PIN, а затем прочитать информацию со смарт-карты для вашей аутентификации. Как только вы идентифицированы, вы можете сделать телефонный звонок, если имеете достаточно минут на карте. Так же для регистрации в компьютерных системах может использоваться интеллектуальная карточка, которая запоминает логин и информацию о пароле. Чтобы войти в компьютерную систему, вам нужно вставить смарт-карточку в card reader, соединенный с компьютерной системой. После определения вашего PIN-номера, система идентифицирует вас на основе информации в интеллектуальной карточке и числа PIN, которое вы ввели.

Встроенный чип состоит из процессора, ROM, RAM и «электрически стираемой программируемой памяти только для чтения» (EEPROM). Возвращаясь к разделу 2.1.2 Типы памяти, EEPROM позволяет чипу сохранять его состояние даже при выключенном питании. Чип обеспечивает как объем памяти, так как и возможность вычислений. Нахождение интеллектуальной карточки при себе обеспечивает устойчивость к атакам из сети или Интернета. Информацию с интеллектуальной карточки можно просканировать программами для аутентификации владельца карты, чтобы разрешить или отклонить доступ к услугам системы. Современные смарт-карты содержат средства защиты, такие как шифрование данных.

Биометрия

Биометрия относится к автоматической идентификации человека, основанной на его/ее физиологических или поведенческих характеристиках. Основные измеряемые особенности – лицо, отпечатки пальца, почерк, радужная оболочка глаза и голос. Биометрические технологии развиваются для расширения возможностей проверки соответствия. Этот метод идентификации безопаснее по сравнению с традиционными методами, использующими пароли и номера PIN, потому что для идентификации требуется, чтобы человек физически присутствовал в точке идентификации (point-of-identification). Также, он удобнее, потому что исключает необходимость запоминания паролей и пинкодов (PIN) или носить идентификационные карты. ************************************

С расширением областей использования компьютеров, стало необходимым ограничить доступ к конфиденциальным данным. Вместо PIN, биометрические методы могут потенциально предотвратить несанкционированный доступ или мошенническое использование ATM, сотовых телефонов, интеллектуальных карточек, настольных PC, рабочих станций и компьютерных сетей. PIN и пароли можно забыть, а такие средства идентификации как паспорта и лицензии на устройства могут быть забыты, украдены или потеряны. Учреждения, в настоящий момент, использующие решения, основанные на биометрической аутентификации - это правительства, военные подразделения, банковские электронные системы, правоохранительные системы и системы социального обслуживания.

Цифровые подписи

Когда вы хотите показать получателю, что это ваше сообщение, вы можете присоединить цифровую подпись к электронному документу для индикации того, что это сообщение пришло именно от вас. Цифровая подпись должна быть одинаково уникальной как для отправителя, так и для конкретного сообщения, так чтобы она могла удостоверять сообщение, но не могла быть использована многократно.

Решением для генерации уникальной цифровой подписи для сообщения и отправителя – сделать подпись "хэш-кодом" ("hashcode") для текстового сообщения. Хэш-код – цифровое значение, вычисляемое из обычного текста так, что любое изменение обычного текста, даже хотя бы одного символа, повлечет за собой также изменение хэш-кода. Например, Боб пересылает Алисе сообщение и включает свою цифровую подпись. Чтобы генерировать цифровую подпись, Боб сначала генерирует хэш-код сообщения, а затем кодирует хэш-код, используя секретный ключ, чтобы создать подпись, уникальную для него и конкретно для этого сообщения. Когда Алиса получает сообщение, она может использовать общий ключ Боба для расшифровки цифровой подписи и просмотра хэша сообщения. Затем она может вычислить хэш сообщения. Если два хэш-кода одинаковые, то сообщение не было изменено. В противном случае, либо сообщение было изменено в течение передачи, либо его на самом деле подписал не Боб. Сейчас используются два популярных алгоритма хэш-кода – MD5 и SHA-1.

Давайте углубимся в то, как цифровые подписи работают, используя шифрование общим ключом. Вернемся к обсуждению шифрования общим ключом из пункта 6.2.1 Шифрование. Для шифрования сообщения отправитель использует общий ключ получателя. Для дешифрования сообщения получатель использует секретный ключ. Для генерации цифровой подписи процесс шифрования использует общий или секретный ключ в обратном порядке. Отправитель использует секретный ключ для шифрования хэша сообщения, чтобы показать, что данное сообщение от подлинного пользователя и получатель может дешифровать эти данные открытым ключом отправителя. Сообщение подлинно, так как только у отправителя есть секретный ключ для дешифровки данных. Процесс генерации и проверки цифровой подписи проиллюстрирован на схеме внизу.

Схема 3. Использование шифрования общим ключом для генерации и проверки цифровых подписей.

Шаги, изображенные на схеме, следующие:

Отправитель:

1. Изменение входного сообщения, используя алгоритм хеширования для генерации хэша сообщения.

Генерация цифровой подписи шифрованием хэша сообщения с использованием секретного ключа отправителя.

Получатель:

Изменение входного сообщения, используя алгоритм хеширования для генерации хэша сообщения.

2. Дешифрование цифровой подписи, используя открытый ключ отправителя.

3. Сравнение хэш-сообщения и расшифрованной цифровой подписи, которая должна быть такой же, как хэш-сообщение отправителя. Если эти два хэша одинаковы, то получатель может верить, что сообщение было послано от отправителя и что сообщение не было изменено в течение передачи. В другом случае, сообщение, возможно, было изменено.

Цифровые подписи могут генерироваться, используя возможность цифровой подписи PGP. Некоторые почтовые клиенты также допускают прикрепление цифровых подписей к сообщениям.

Имейте в виду, что прикрепление цифровой подписи проверяет истинность отправителя сообщения и неискаженность сообщения. Однако если вы пересылаете секретное сообщение, вы должны также закодировать и самосообщение (наряду с вашей цифровой подписью) открытым ключом получателя. Чтобы прочитать ваше сообщение, получателю нужно сначала расшифровать само сообщение вместе с цифровой подписью, используя секретный ключ получателя, а затем использовать ваш открытый ключ, чтобы расшифровать цифровую подпись. Если у расшифрованной подписи тот же хэш-код что и у сообщения, то получатель может быть уверен, что сообщение пришло именно от вас.

Цифровые сертификаты и учреждение сертификатов

Так же как и лицензия на вождение или паспорт используется для идентификации человека, цифровой сертификат используется, чтобы идентифицировать человека, сервер, компанию или некоторый другой объект. Цифровой сертификат (digital certificate) – электронный идентификационный документ, чья цель – помочь предотвратить имитацию. Для расширения этой аналогии, – так же как вы пошли бы в правительственную организацию для получения паспорта, вам нужно идти в учреждение сертификатов (certificate authority (CA)), чтобы получить цифровой сертификат. CA – доверенная сторонняя организация или компания, которая проверяет подлинность и выпускает сертификаты. Сертификаты используются для связи открытых ключей с объектами (например, организациями, людьми). Роль CA в защите данных также важна как электронный обмен данных в связи и торговле. Например, электронно-коммерческие сайты, такие как Amazon.com и BestBuy.com имеют цифровые свидетельства, чтобы пользователи могли верить, что они используют законные сайты вместо обманного сайта, созданного хакерами.

Вообще, перед изданием сертификата, CA должен проверить подлинность объекта, запрашивая сертификат. Сертификат, выпущенный CA, связывает специальный открытый ключ с объектом, запрашиваемым для сертификата. Сертификат также включает имя идентифицируемого объекта, срок, имя CA, который выпустил сертификат и серийный номер. Важно то, что сертификат включает цифровую подпись выходящего CA для гарантии подлинности свидетельства.

Веб-браузеры обычно предварительно сконфигурированы на доверие определенным законным сертификатам, таким как Verisign, Inc. Вы можете посмотреть список достоверных CA, нажимая на «Инструменты» (Tools) из меню Internet Explorer. Затем выберите «Параметры Интернета» (Internet Options…), нажмите на кнопку «Содержание» (Content). Щелкните на «Certificates» (сертификаты), а затем на «Достоверный источник сертифицирующего ведомства» (Trusted Root Certification Authorities). Чтобы видеть цифровой сертификат, вы можете зайти на веб-узел, который использует цифровые сертификаты, например финансовое учреждение или Интернет-магазин. Например, когда вы просматриваете свою личную информацию на Amazon.com, вы можете дважды щелкнуть на значке "блокировка" ("lock") в нижней правой стороне экрана и посмотреть цифровой сертификат.

Картинка ниже – цифровой сертификат с Amazon.com:

Рисунок 4. Цифровой сертификат.

Источник CAможет также выдавать права на учреждение сертификатов вспомогательнымCA. ВкладкаCertificationPathпоказывает путь от корняCAк папке цифрового сертификата. На снимке с экрана (screenshot) внизу показано, что корнемCAявляется сервер безопасностиVeriSign/RSA.

Рисунок 5. Путь сертификации

Когда вы посещаете сайт, который возможно имеет дефектный сертификат, вы увидите предупреждение, подобное следующему снимку с экрана:

Рисунок 6. Предупреждение сертификации

Вы можете выбрать продолжить “Yes”, несмотря на предупреждение или выбрать "No" для прекращения вашего запроса к странице. Вы также можете просмотреть сертификат и решить, хотите ли вы вернуться к странице. ЕслиCAне из списка техCA, которым вы доверяете, вы можете выбрать установить сертификат. Пожалуйста, будьте осторожны перед установкой сертификата. Злоумышленники могут подделать сертификат, чтобы вы установили его. Как только поддельный сертификат будет установлен на вашей машине, мошеннические программы могут быть запущены с вашего компьютера. Вы можете прочитать о нарушении безопасности, когдаЗлоумышленники представлялись сотрудниками Microsoft и получали сертификаты отVeriSign,Inc. Эти сертификаты могли использоваться для пометки программ,ActiveX,Officeмакросов и других злоумышленных кодов.

Установки стандартов и сервисов, которые управляют использованием криптографии открытых ключей и системой сертификатов называются Инфраструктурой Открытого Ключа(Public Key InfrastructurePKI).

Типичные компании PKIвключают в себя следующее:

  • Выдачу цифровых сертификатов индивидуальным пользователям и организациям

  • Интеграцию с корпоративными каталогами сертификатов; средства для управления, обновления и аннулирования сертификатов

Вы можете прочитать о том, как работают цифровые подписи, сертификаты и PKI для обеспечения безопасности сетевых коммуникаций.

SSLпротокол

Вэб-приложения основываны на шифровании для защиты информации, такой как пароли, номера кредитных карточек, имена заказчиков и адреса, передаваемые между вэб-браузером и сервером. (Secure Socket Layer) – уровень протокола, оперирующий TCP/IPдля обеспечения шифрования связи. Протокол – набор правил, регулирующий аутентификацию сервера, аутентификацию клиента и шифрованную связь между серверами и клиентами.SSLшироко используется в Интернете, особенно для взаимодействия, включающего в себя обмен конфиденциальной информацией, такой как номера кредитных карт.SSLиспользует криптографию общего ключа для передачи уникального сеансового ключа для каждого соединения. Также он использует более быстрый, симметричный алгоритм шифрования, такой какDESиRC4 для шифрования любой информации, передаваемой приложением.

Когда вы устанавливаете связь с веб-узлом, например, с веб-узлом для торговли книгами Amazon.com, вы хотите быть уверенным, что ваши коммуникации не будет прочитаны шпионами, и вы связываетесь с законным веб-сервером, а не самозванцем, притворяющимся Amazon.com. Для того чтобы проверить подлинность веб-сервера, SSL запрашивает сервер о его общем ключе и требует, чтобы ключ имел цифровую подпись учреждения сертификатов.

Когда вы связываетесь с веб-сервером, используя префикс https вместо http, ваш браузер устанавливает SSL-связь. Много веб-узлов, таких как Amazon.com используют эту технику, чтобы сохранить ваш пароль и личные данные в неприкосновенности. Вы увидите значок блокировки, появившийся в правой нижней части окна веб-страницы, указывающий, что данные на странице приходящие к вам, закодированы через протокол SSL. Если вы не видите значка блокировки, передавая секретную информацию, вы должны знать, что ваши данные незакодированны и могут быть видимы шпионам. На изображении внизу выделен URL, который начинается с "https" и значок блокировки, указывающий, что данные на странице будут передаваться безопасно.

Рисунок 6. Использование SSL

Как часть первичного процесса “установления связи” между сервером и клиентом, SSL требует сертификат SSL-сервера. Сервер предоставляет свой сертификат клиенту для аутентификации подлинности сервера. Аутентификационный процесс использует шифрование общим ключом и цифровые подписи для подтверждения подлинности сервера.

Для получения детальной информации о SSLсмотритевведение в SSL.

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности