Мельников Д. А. - Информационная безопасность открытых систем - 2013

a)использование слабостей (уязвимостей) физической защиты каналов;

В ) ;

d)встраивание программных закладок (типа «троян­ ский конь») в доверенное программное обеспечение;

2)преодоление защиты, которая предотвращает доступ на основе доверенного использования других служб обеспе­ чения безопасности (например, нелегальное проникно­ вение («маскарад»), когда доступ основан на процедуре аутентификации (проверке параметра подлинности), некорректное использование сертификатов или взлом способа обеспечения целостности, который используется для защиты сертификатов);

3)использование вспомогательных программ системы с це­ лью вскрытия (прямого или косвенного) информации о самой системе;

4)скрытые каналы.

6.1.4.2. Угрозы конфиденциальности, обеспечиваемой

спомощью закрытия информации

Ктаким угрозам относятся:

•взлом криптографического способа защиты (с помощью криптоанализа, похищенных ключей, проведения атак типа «подбор открытого текста» и других способов и средств);

•анализ трафика;

•анализ заголовков протокольных элементов данных;

•скрытые каналы.

304

6.1.5. Типы атак на конфиденциальность

Каждая угроза, рассмотренная выше, может быть реализова­ на в форме одной или нескольких атак.

Атаки можно разделить на активные и пассивные, т.е. атаки на конфиденциальность, в результате которых соответственно происходят или не происходят изменения в системе.

ПРИМ ЕЧАНИЕ. Является ли атака пассивной или активной можно определить с помощью характеристик и параметров ата­ куемой системы и с помощью действий, осуществляемых атакую­ щим.

Примеры пассивных атак следующие:

1)прослушивание и перехват;

2)анализ трафика;

3)анализ заголовков протокольных элементов данных с це­ лью, которая не является легитимной;

4)копирование данных из протокольных элементов данных в системах, которые не являются получателями этих дан­ ных;

5)криптоанализ.

Примеры активных атак следующие:

1)программные закладки типа «троянский конь» (вызыва­ ют возникновение незадокументированных свойств, что приводит к появлению уязвимостей в системе обеспече­ ния безопасности);

2)скрытые каналы;

3)взлом способов обеспечения конфиденциальности (на­ пример взлом способа аутентификации (успешная атака «маскарад» под маской авторизованного объекта), взлом способа УД и перехват ключевой информации);

4)ложное применение криптографических способов защи­ ты информации (например проведение атак типа «под­ бор открытого текста»).

305

6 .2 . П о л и т и к и о б е с п е ч е н и я к о н ф и д е н ц и а л ь н о с т и

Политика обеспечения конфиденциальности (ПЛКН) явля­ ется частью общей ПЛБ и связана с обеспечением и использова­ нием СЛКН.

Данные, представляющие информацию, конфиденциаль­ ность которой подлежит защите, являются объектом управле­ ния по отношению к тем субъектам, которые могут их читать. Более того, ПЛКН должна идентифицировать информацию, которая является объектом управления, а также определять каким субъектам предпочтительнее разрешить чтение этой ин­ формации.

Кроме этого, в зависимости от степени важности конфи­ денциальности различных типов информации ПЛКН может определять тип и уровень надежности каждого СПКН, которые используются СЛКН для обеспечения конфиденциальности каждого типа информации.

6 .2 .1 . О то б р а ж е н и е (о п и с а н и е ) пол итики

При отображении (описании) ПЛКН требуются специаль­ ные средства для идентификации привлекаемых объектов и ин­ формации.

ПЛБ может быть выражена как совокупность правил. Каж­ дое правило в ПЛКН может включать описание данных и описа­ ние объектов/субъектов. В некоторых политиках такие правила не представлены в явном виде, но могут быть извлечены из по­ литики.

Рассмотрим некоторые возможные способы отображения ПЛКН.

ПРИМЕЧАНИЕ. Несмотря на то, что некоторые СПКН име­ ют очевидные аналогии со специфическими видами отображения политики, способ, по которому отображается политика, напрямую не предполагает применения специфического способа для реали­ зации политики.

306

6.2.1.1. Описание информации

Политика может идентифицировать информацию различ­ ными способами:

a)путем идентификации субъекта, который сформировал эту информацию;

B) путем идентификации группы субъектов, каждый из ко­ торых может читать эту информацию;

c)путем ее размещения;

d)путем идентификации контекста, в соответствие с кото­ рым представлены данные (например их функциональ­ ное предназначение).

6.2.1.2. Описание объектов/субъектов

Существует много способов описания объектов/субъектов, включаемых в правила ПЛКН. Тем не менее существуют два наи­ более общих альтернативных способа: на основе персональной

иуникальной идентификации объектов/субъектов и на основе привязки атрибутов к каждому объекту/субъекту. Также суще­ ствуют две формы описания объектов/субъектов, которые в итоге

иопределяют два типа политик обеспечения безопасности: поли­ тики, основанные на параметрах подлинности, и политики, осно­ ванные на правилах. Эти политики рассматриваются в главе 3.

6 .3 . В с п о м о га т е л ь н а я и н ф о р м а ц и я и с р е д с т в а о б е с п е ч е н и я к о н ф и д е н ц и а л ь н о с т и

6 .3 .1 . В спом огательная инф орм ация

В некоторых СПКН процедуры закрытия и раскрытия осно­ ваны на использовании ВИ. Такая информация называется вспо­ могательной информацией для процедуры закрытия (ВИЗК, hiding confidentiality information) и вспомогательной информа­ цией для процедуры раскрытия (БИРС, revealing confidentiality information).

6.3.1.1. ВИ для процедуры закрытия

ВИЗК используется процедурой закрытия (ПРЗК). Приме­ ры ВИЗК следующие:

307

•открытые ключи;

•симметричные ключи;

•место хранения данных;

•правила сегментирования.

6.3.1.2.ВИ для процедуры раскрытия

БИРС используется процедурой раскрытия (ПРРС). При­ меры БИРС следующие:

•закрытые ключи;

•симметричные ключи;

•место хранения данных;

•правила сегментирования.

6 .3 .2 . С редства о б есп ечен и я кон ф и д ен ц иал ьн о сти

Средства обеспечения конфиденциальности (СРКН) могут быть разделены на те, которые затрагивают функциональные аспекты процедуры обеспечения конфиденциальности (ПРКН), и те, которые затрагивают вспомогательные аспекты ПРКН (рис. 6.2).

Рис. 6.2. Средства, используемые в процедурах обеспечения конфиденциальности

308

63.2.1. Функциональные СРКН

СРКН для процедур закрытия. Эти СРКН используются для защиты конфиденциальности данных. Возможные входные данные СРКН для ПРЗК следующие:

1)данные (конфиденциальность которых, возможно, уже защищена);

2)ВИПЗ;

3)специальные идентификаторы СПКН.

Возможные выходные данные СРКН для ПРЗК следующие:

1)данные, конфиденциальность которых защищена;

2)другие результаты проведенной ПРЗК;

3)УИД зоны защиты конфиденциальности, в которой были размещены данные, конфиденциальность которых защи­ щена.

СРКН для процедур раскрытия. Это СРКН снимает защиту с данных, которые были ранее подвергнуты обработке с помо­ щью ПРЗК.

Возможные входные данные СРКН для ПРРС следующие:

1)данные, конфиденциальность которых защищена;

2)ВИПР;

3)специальные идентификаторы СПКН.

Возможные выходные данные СРКН для ПРРС следую­ щие:

1)данные (конфиденциальность которых, возможно, уже защищена);

2)другие результаты проведенной ПРРС;

3)УИД зоны защиты конфиденциальности, в которой были размещены выходные данные.

63.2.2. Вспомогательные СРКН

Вспомогательные СРКН позволяют пользователю получить, модифицировать и удалить ВИЗК и БИРС (например ключи),

309

которая необходима при проведении ПРКН. В широком смысле такими СРКН являются:

•средства инсталляции ВИКН;

•средства модификации ВИКН;

•средства удаления ВИКН;

•средства регистрации ВИКН.

6 .4 . С п о с о б ы о б е с п е ч е н и я к о н ф и д е н ц и а л ь н о с т и

Конфиденциальность данных может зависеть от среды, в ко­ торой данные размещены или по которой доставляются. Более того:

1)конфиденциальность хранимых данных может быть га­ рантирована за счет использования способов, которые скрывают семантику (например шифрование) или кото­ рые фрагментируют данные;

2)конфиденциальность транслируемых данных может быть гарантирована за счет использования способов, которые преграждают доступ (например физическая защита кана­ лов или управление маршрутизацией), с помощью спосо­ бов, скрывающих семантику данных (например шифрова­ ние), или с помощью способов, «размазывающих» данные по спектру (например метод программно-перестраиваемой рабочей частоты, ППРЧ, frequency hopping).

Эти типы способов могут использоваться по отдельности или в сочетании.

Рассмотренная выше классификация позволяет сгруппиро­ вать СПКН следующим образом:1

1)способы, которые предотвращают несанкционированный (неавторизованный) доступ к данным;

2) способы шифрования, которые скрывают данные, остав­ ляя их доступными;

3)контекстно-зависимые способы, которые оставляют дан­ ные частично доступными, т.е. данные не могут быть

310

полностью восстановлены из ограниченного объема ото­ бранных данных.

6 .4 .1 . О б е с п е ч ен и е кон ф и д ен ц иал ьн о сти н а основе предотвращ ения доступа

Обеспечение конфиденциальности на основе предотвраще­ ния доступа может быть реализовано на основе процедур УД (глава 3), защиты физической среды и управления маршрути­ зацией.

6.4.1.1. Защита конфиденциальности на основе защиты физической среды

Средства физической защиты могут быть выбраны для обе­ спечения гарантий того, что данные, находящиеся в определен­ ной физической среде, могут быть проверены только с помощью специальной и ограниченной совокупности способов. Конфи­ денциальность данных гарантируется за счет обеспечения того, что только авторизованные субъекты могут воспользоваться та­ кими способами.

6.4.1.2. Защита конфиденциальности на основе управления маршрутизацией

Целевое предназначение этого способа — предотвратить несанкционированное вскрытие информации, содержащейся в доставляемых элементах данных. Этот СПКН основан на ис­ пользовании только доверенных и безопасных средств маршру­ тизации данных.

6 .4 .2 . О б е с п е ч ен и е кон ф и д ен ц иал ьн о сти н а основе ш иф рования

Целевое предназначение этих СПКН — предотвратить вскрытие семантики данных, которые либо доставляются, либо хранятся. Эти способы могут рассматриваться в форме функцио­ нального взаимодействия между двумя группами объектов:

311

•любой объект первой группы, который изначально мог обладать данными (с доступом к их семантике);

•любой объект второй группы, который является автори­ зованным получателем информации, представленной в формате данных.

Существуют два различных класса СПКН, которые пред­ ставляют наибольший интерес:

1)СПКН, основанные на симметричном шифровании, в ко­ тором один и тот же ключ используется для зашифрова­ ния (ПРЗК) и для расшифрования (ПРРС) данных;

2)СПКН, основанные на асимметричном шифровании, в котором открытый ключ используется для зашифрова­ ния (ПРЗК) данных и соответствующий закрытый ключ используется для их расшифрования (ПРРС).

Важнейшее различие между этими двумя основными клас­ сами СПКН состоит в том, что в первом случае те СПКН, ко­ торые способны осуществлять ПРЗК, способны осуществлять ПРРС и наоборот, в то время как во втором случае, все или поч­ ти все СПКН могут осуществлять ПРЗК, а ПРРС могут осуще­ ствлять только те СПКН, которые имеют доступ к закрытому ключу.

6.4.2.1. Обеспечение конфиденциальности на основе дополнения данных

Целевым предназначением этого СПКН является предот­ вращение знания информации, которая представляет собой размер (длину) элемента данных. При реализации этого СПКН увеличивается длина элементов данных и причем так, что длина дополненных данных имеет незначительную корреляцию с их реальной длиной. Одним из способов выполнения этого усло­ вия является добавление случайно сформированных данных в начало или конец защищаемого элемента данных. Это должно быть сделано таким образом, чтобы дополнение могло распозна­ ваться только авторизованными субъектами, но не могло быть выделено из реальных данных неавторизованными субъектами.

312

Для достижения такой цели дополнение данных может исполь­ зоваться во взаимосвязи с криптографическими преобразова­ ниями.

Этот способ может использоваться совместно с сегменти­ рованием данных на сетевом уровне ЭМВОС (стандарт ITU-T Rec. X.273|ISO/IEC 11577) или Интернет-архитектуры.

Дополнение данных может использоваться для защиты раз­ мера элементов данных, что соответствует маскированию кана­ ла доставки данных.

6.4.2.2. Обеспечение конфиденциальности на основе ложных событий (имитозащита)

Целевым предназначением этого СПКН является пре­ дотвращение атак типа «умозаключение» (глава 1), которые основываются на оценке того, что произошло события. При­ меры реализации этого способа можно найти в протоколах обеспечения безопасности сетевого уровня, которые стремят­ ся скрыть объем трафика, циркулирующего по ненадежным каналам.

Средство, реализующее этот способ, формирует имитовстав- ки1(pseudo-events), например ложные протокольные элементы данных (bogus protocol data units, PDU-элемент), которые мо­ гут идентифицировать (т.е. определить, что это имитовставки) только авторизованные участники информационного взаимо­ действия. Данный способ может использоваться для париро­ вания атак на закрытые каналы доставки, которые основаны на анализе передачи сигналов, зависящей от изменений интенсив­ ности источника сообщений.

ПРИМЕЧАНИЕ. Дополнение данных и заполнение трафика являются примерами этого СПКН. В обоих примерах СПКН ма­ скирует атрибуты объекта путем передачи нескольких имитовставок и криптографической защиты в целом.

1Имитозащита —защита от навязывания ложной информации. Ими­ тозащита достигается обычно за счет включения имитовставки в переда­ ваемый пакет данных.

313