- •Методы и средства защиты информации
- •Оглавление
- •Введение.
- •Понятие информационной безопасности
- •Классификация Угроз иб
- •Сетевая безопасность Эталонная модель взаимодействия открытых систем.
- •Модель osi
- •Стек Протоколов Internet Основы протокола передачи информации tcp/ip
- •Протокол ip
- •Адресация в ip-сетях
- •Протокол icmp
- •Протокол arp
- •Протокол dhcp
- •Протокол tcp
- •Безопасность протокола tcp/ip
- •Безопасность протокола tcp/ip . Классификация сетевых атак и способы их реализации. Методы борьбы с атаками.
- •Защита протоколов прикладного уровня (Telnet, ftp, www-сервера, электронной почты) Telnet
- •Протокол ftp
- •Электронная почта
- •Протокол smtp
- •Протокол рор-3
- •Протокол imap-4
- •Протокол http
- •Аутентификация
- •Вопросы безопасности www
- •Организация защиты информации на основе маршрутизаторов, межсетевых экранов, прокси-серверов. Построение vpn Сетевые адаптеры
- •Концентраторы
- •Коммутатор
- •Маршрутизаторы
- •Прокси-сервер
- •Межсетевой экран
- •Построение виртуальных частных сетей
- •Классификация сетей vpn
- •Криптографические методы защиты информации
- •Симметричные криптоалгоритмы Классификация симметричных криптоалгоритмов:
- •Блочные шифры Сеть Фейштеля
- •Алгоритм des
- •Алгоритм гост 28147-89
- •Методы хеширования
- •Secure Hash Algorithm (sha)
- •Хэш-функция гост 3411
- •Логика выполнения гост 3411
- •Технологии цифровых подписей
- •Алгоритм цифровой подписи rsa
- •Алгоритм цифровой подписи Эль Гамаля (egsa)
- •Отечественный стандарт электронной подписи (гост р 34.10-94)
- •Безопасность операционных систем Методы идентификации и аутентификации пользователей Аутентификация на основе многоразовых паролей.
- •Аутентификация на основе одноразовых паролей
- •Аутентификация на основе биометрических данных
- •Авторизация и управление доступом
- •Механизм реализации доступа
- •Матричная модель доступа
- •Дискреционный доступ (произвольное управление доступом)
- •Полномочный или мандатный доступ
- •Обеспечение безопасности Операционных систем Управление доступом в unix [10,13]
- •Управление доступом в Windows 2000
- •Ролевое управление
- •Защита от вирусов
- •Классификация вирусов
- •Этапы жизненного цикла
- •Методы обнаружения вирусов
- •Обзор антивирусных программ
- •Методы защиты в субд
- •Механизмы разграничения доступа..
- •Методы обеспечения безотказности Классификация методов дублирования информации
- •Зеркальное дублирование
- •Raid технология
- •Магнитные ленты
- •Инженерно-технические средства защиты информации Обнаружение каналов утечки , пассивные и активные методы защиты
- •Пассивные методы защиты включающие в себя:
- •Активные методы защиты
- •1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
- •2. Выявление на основе проведенного анализа уязвимых элементов, через которые возможна реализация угроз информации:
- •Законадательная база Механизмы безопасности «Оранжевая книга»
- •Руководящие документы Гостехкомиссии России.
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Управление рисками Основные понятия и определения
- •Технология анализа и управления рисками. Средства автоматизации оценки информационных рисков.
Алгоритм гост 28147-89
С 1989 года в России установлен единый алгоритм криптографического преобразования данных для систем обработки информации в сетях ЭВМ, который определяется ГОСТ 28147-89. Стандарт обязателен для организаций, предприятий и учреждений, применяющих криптографическую защиту информации. Алгоритм предназначен для аппаратной и программной реализации, удовлетворяет криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации.
ГОСТ 28147 является блочным алгоритмом шифрования, длина блока равна 64 битам, длина ключа равна 256 битам, количество раундов равно 32. Алгоритм представляет собой классическую сеть Фейштеля:
1. 64 битный блок делится на левую и правую половины, обозначенные L и R. При этом данные правой половины меняется местами с левой:
.
2.Для 32-битного блока правой половины выполняется сложение по модулю 232 с 32-битным подключом Ki.
3. Блок размером в 32-бита разбивается на 8 подблоков по 4 бита, которые можно представить как числа от 0 до 15, тогда полученное число является порядковым номером входа в таблицу S-box, а цифра в таблице - выходным значением S-box. Выходы таблицы объединяются в 32-битное слово.
4. Производится циклический сдвиг на 11 бит 32-битного подблока. После чего складывается по модулю 2 с блоком левой половины, результат помещается в правую половину.
Генерация подключей:
256-битный ключ разбивается на восемь 32-битных подключей.
Каждый подключ используется в четырех раундах по следующей схеме:
|
Раунд | |||||||
1, 9, 17, 32 |
2, 10, 18, 31 |
3, 11,19,30 |
4, 12, 20, 29 |
5, 13, 21, 28 |
6, 14, 22, 27 |
7, 15, 23, 26 |
8, 16, 24, 25 | |
подключ |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
Рис.
Методы хеширования
Хеш-функцией называется преобразование h, превращающее сообщение M произвольной длины H в последовательность фиксированной длины h(M) (т.е. происходит сжатие подписываемого документа p до нескольких десятков или сотен бит).
h = H(M)
Хеш-код функции h обозначается как m
Большинство хэш-функции строится на основе однонаправленной функции h(M), где входное значение (М) рассматривается как последовательность n-битных блоков, обрабатывается последовательно блок за блоком, и создается m-битное значение хэш-кода. При этом часто выходная последовательность предыдущего блока, является входной для последующего.
Secure Hash Algorithm (sha)
Алгоритм безопасного хэширования SHA-1 принят в 1993 г в США.
Алгоритм получает на входе сообщение максимальной длины 264 бит и создает в качестве выхода дайджест сообщения длиной 160 бит.
1. Сообщение М дополняется единицей, за которой следует необходимое количество нулей таким образом, чтобы его длина была кратна 448 по модулю 512
2. К сообщению добавляется блок из 64 битов, содержащий длину исходного сообщения до добавления. Результатом первых двух шагов является сообщение, длина которого кратна 512 битам.
3. Используется 160-битный буфер для хранения промежуточных и окончательных результатов хэш-функции. Буфер может быть представлен как пять 32-битных регистров A, B, C, D, E. Эти регистры инициализируются следующими шестнадцатеричными числами:
A = 67452301
B = EFCDAB89
C = 98BADCFE
D = 10325476
E = C3D2E1F0
4. Каждый текущий 512-битный обрабатываемый блок Yqи 160-битное значение буфераABCDEпоступают на модуль, состоящий из 80 циклических обработок, обозначенный как HSHA. В циклические обработки входят следующие операции: сдвиг влево, сложение по модулю 2.
В каждом цикле используется дополнительная константа Кt, которая принимает значения:
0 t19 Kt = 5A827999
20 t39 Kt = 6ED9EBA1
40 t59 Kt = 8F1BBCDC
60 t79 Kt = CA62C1D6
Номер цикла |
ft (B, C, D) |
(0 t19) |
(B C)(¬ BD) |
(20 t39) |
B CD |
(40 t59) |
(B C)(BD)(CD) |
(60 t79) |
B CD |
Для получения SHAq+1 выход 80-го цикла складывается со значением SHAq. Сложение по модулю 232 выполняется независимо для каждого из пяти слов в буфере с каждым из соответствующих слов в SHAq.
5. После обработки всех 512-битных блоков выходом L-ой стадии является 160-битный дайджест сообщения.