Мельников Д. А. - Информационная безопасность открытых систем - 2013
.pdf2) способы, которые обнаруживают модификацию данных или последовательности элементов данных, включая слу чаи неавторизованного генерирования, удаления и по вторения данных:
•КПС;
•ЭЦП;
•повторение данных (используется в качестве средства борьбы с другими типами нарушений);
•цифровой отпечаток данных в сочетании с криптогра фическими преобразованиями;
•нумерация последовательности сообщений.
Сточки зрения надежности защиты эти СПЦЛ можно клас сифицировать следующим образом:
a) не защищающие;
B) для обнаружения модификации и генерирования;
c)для обнаружения модификации, генерирования, удале ния и повторения;
d)для обнаружения модификации и генерирования с вос становлением;
e)для обнаружения модификации, генерирования, удале ния и повторения с восстановлением.
7 .1 .4 . Угрозы целостности
С точки зрения предоставляемых услуг обеспечения целост ности, угрозы можно классифицировать следующим образом:1
1)неавторизованное генерирование/модификация/удаление/вставка/повторение в тех зонах, которые обеспечи вают защиту целостности на основе предотвращения (на пример прослушивание в защищенных каналах);
2)неавторизованное и не обнаруживаемое генерирование/ модификация/удаление/вставка/повторение в тех зонах, которые обеспечивают защиту целостности на основе об наружения (например, целостность данных может быть гарантирована с помощью шифрования защищаемых
334
данных и соответствующей проверочной суммы; если взаимодействующие субъекты А и В используют один и тот же ключ шифрования и источник данных, то данные, целостность которых защищена и которые были переда ны от Л к В, могут быть в последствие получены А под видом того, что они якобы были отправлены В — атака типа «отражение»).
С точки зрения среды нахождения данных, угрозы можно классифицировать следующим образом:
a)угрозы на среду, в которой данные хранятся;
b)угрозы на среду, по которой данные передаются;
c) угрозы, не зависящие от среды нахождения данных.
7 .1 .5 . Типы а та к н а целостность
Каждой из перечисленных выше угроз может соответство вать одна или несколько атак, т.е. реализации конкретной угро зы. Атаки нацелены на способ защиты, который используется для обеспечения целостности, и могут быть классифицированы следующим образом:1
1)атаки, нацеленные на взлом криптографических способов (алгоритмов) защиты или использование уязвимостей в таких способах (алгоритмах):
•взлом криптографического способа (алгоритма);
•(селективное) удаление и повторение;
2)атаки, нацеленные на взлом используемого контекстно зависимого способа защиты (контекстно-зависимые спо собы защиты обеспечивают обмен данными в определен ные моменты времени и/или на определенных позициях в сообщениях):
•массовый и скоординированный обмен копиями эле ментов данных;
•получение несанкционированного доступа к средству (взлом способа) формирования контекстно-зависи мой структуры данных;
335
3) атаки, нацеленные на взлом способов защиты, связанных с обнаружением нарушений и передачей ответных кви танций:
•отправка фальшивых квитанций;
•использование некорректной последовательности пере даваемых квитанций, не соответствующей смыслу при нимаемых данных;
4)атаки, нацеленные на взлом, разрушение или компроме тацию способов защиты:
•атаки на сам способ защиты;
•получение несанкционированного доступа к служ бам, от которых зависит соответствующий способ за щиты;
•использование вспомогательных функций не по их прямому назначению.
7 .2 . П о л и т и к и о б е с п е ч е н и я ц е л о с т н о с т и
Политика обеспечения целостности (ПЛЦЛ) —часть ПЛБ, которая связана с обеспечением и использованием СЛЦЛ.
Данные, целостность которых защищена, являются объектом управления со стороны субъектов, имеющих право на их фор мирование, изменение и удаление. ПЛЦЛ, кроме всего прочего, должна определять, какие данные являются объектом управле ния и каким субъектам разрешено (или может быть разрешено) формирование, изменение или удаление данных.
В зависимости от реальной значимости целостности различ ных типов данных ПЛЦЛ может определять типы и стойкость способов защиты, которые используются при предоставлении услуг обеспечения целостности для каждого отдельного типа данных.
7 .2 .1 . О п и с ан и е политики
При описании политики необходимы средства ПЛЦЛ, кото рые бы идентифицировали используемую информацию и при влекаемых объектов/субъектов.
336
ПЛЦЛ может быть представлена как набор правил. Каждое правило в ПЛЦЛ может включать характеристическое описание данных и объектов/субъектов, а также совокупность допусти мых процедур обработки данных (как правило, генерирование, изменение и удаление). В некоторых ПЛЦЛ такие правила мо гут не указываться в явном виде, но могут быть установлены на основании анализа описания ПЛЦЛ.
ПРИМЕЧАНИЕ. Несмотря на то что некоторые СПЦЛ имеют определенную степень схожести с некоторыми типами описания ПЛЦЛ, способ описания ПЛЦЛ напрямую не использует описание СПЦЛ при внедрении ПЛЦЛ.
7.2.1.1. Характеристическое описание данных
Используемые в ПЛЦЛ данные могут описываться различ ными способами. Например:
a)путем описания и идентификации объектов/субъектов, которые авторизованы для генерирования/изменения/ удаления таких данных;
B) путем их размещения;
c)путем описания контекста, в котором представлены дан ные (т.е. их функциональное предназначение).
7.2.1.2.Характеристическое описание объекта/субъекта
Существует много способов характеристического описания объектов/субъектов, по отношению к которым применяется ПЛЦЛ. Рассмотрим два основных примера.
ПЛЦЛ. основанные на параметрах подлинности. В этой фор ме представления политики объекты/субъекты идентифициру ются либо индивидуально, либо как часть группы одинаковых объектов/субъектов (в соответствии с целями ПЛЦЛ), либо по функциональной роли, исполняемой теми или иными объек тами/субъектами. Таким образом, каждому объекту/субъекту, которому разрешено заниматься тем или иным видом обработ кой данных, будет присвоено либо индивидуальное значение параметра подлинности, либо групповое значение параметра
337
подлинности, либо значение идентификатора функциональной роли, используемое для его характеристического описания.
В случае идентификации функциональных ролей ПЛЦЛ определяет выделенные группы функциональных ролей, кото рые может исполнять каждый объект/субъект, и соответствен но, функциональные роли из различных групп, которые не мо гут исполняться одновременно.
ШШЛ. основанные на правилах. В этой форме представле ния политики используются атрибуты, присваиваемые каждо му объекту/субъекту и элементу данных, целостность которого защищена. Допускается использование глобальных всеобъем лющих правил применения атрибутов объектов/субъектов и определенных данных. ПЛЦЛ, основанные на правилах, более подробно рассмотрены в главе 1.
7.3. Вспомогательная информация и средства обеспечения целостности
7 .3 .1 . В И Г н еобход и м ая для о б есп еч ен и я целостности
Для того чтобы данные проходили процедуры защиты, про верки целостности и снятия защиты, может использоваться ВИ. Такая ВИ называется информацией, необходимой для обеспече ния целостности (ВИЦЛ). ВИЦЛ может быть классифициро вана следующим образом:
•ВИЦЛ для процедуры защиты;
•ВИЦЛ для процедуры обнаружения модификации;
•ВИЦЛ для процедуры снятия защиты.
73.1.1. ВИЦЛ для защиты
ВИЦЛ для защиты является информацией, используемой для защиты данных. Такая информация может включать:1
1)закрытые ключи;
2)секретные ключи;
3)идентификатор алгоритма и соответствующие крипто графические параметры;
338
4) переменные временные параметры (например метки времени).
73.1.2. ВИЦЛ для обнаружения модификации
ВИЦЛ для обнаружения модификации является информа цией, используемой при подтверждении целостности защищен ных данных. Такая информация может включать:
1)открытые ключи;
2)секретные ключи.
7.3.13. ВИЦЛ для снятия защиты
ВИЦЛ для снятия защиты является информацией, исполь зуемой для снятия защиты данных, целостность которых была защищена. Такая информация может включать:
1)открытые ключи;
2)секретные ключи.
Средства, используемые в процедурах обеспечения
Рис. 7.1 |
целостности |
339
7 .3 .2 . С редства об есп еч ен и я целостности
Средства обеспечения целостности (СРЦЛ) делятся на два основных класса (рис. 7.1):
•функциональные средства, которые непосредственно уча ствуют в процедурах обеспечения целостности (ПРЦЛ);
•вспомогательные средства, которые могут привлекаться к обеспечивающим (управляющим) процедурам.
73.2.1. Функциональные СРЦЛ
Такими средствами являются:
1)СРЦЛ для процедуры защиты. Это средство реализует функцию защиты целостности данных. Входными дан ными для этого средства являются:
•данные, подлежащие защите;
•ВИЦЛ для процедуры защиты;
•идентификаторы соответствующих СПЦЛ. Выходными данными для этого средства являются:
•данные, целостность которых защищена;
•ответные коды завершения процедуры защиты.
2)СРЦЛ для процедуры подтверждения целостности. Это средство реализует функцию проверки целостности дан ных на предмет выявления каких-либо модификаций. Входными данными для этого средства являются:
•данные, целостность которых защищена;
•ВИЦЛ для процедуры обнаружения модификации;
•идентификаторы соответствующих СПЦЛ. Выходными данными для этого средства являются:
•результат процедуры обнаружения модификации (была ли обнаружена модификация или нет).
3)СРЦЛ для процедуры снятия защиты. Это средство реа лизует функцию снятия защиты целостности данных. Входными данными для этого средства являются:
•данные, целостность которых защищена;
•ВИЦЛ для процедуры снятия защиты;
•идентификаторы соответствующих СПЦЛ.
340
Выходными данными для этого средства являются:
•данные, целостность которых была защищена;
•ответные коды завершения процедуры снятия защиты.
73.2.2. Вспомогательные СРЦЛ
Вспомогательные СРЦЛ могут применяться пользователем для получения, модификации и удаления информации (напри мер ключей), которая необходима для ПРЦЛ. В широком смыс ле, этими СРЦЛ являются:
•средства инсталляции ВИЦЛ;
•средства модификации ВИЦЛ;
•средства удаления ВИЦЛ;
•средства регистрации ВИЦЛ;
•средства блокирования ВИЦЛ;
•средства разблокирования ВИЦЛ.
7.4. Классификация способов обеспечения целостности
7 .4 .1 . О б е с п е ч ен и е целостности на основе кри птограф и и
Существуют два класса криптографических СПЦЛ, к кото рым относятся:
1) СПЦЛ, основанные на симметричных криптографических методах, в которых проверка целостности защищенных данных возможна только в том случае, когда известен тот же самый се кретный ключ, использовавшийся в процедуре защиты целост ности данных;
2)СПЦЛ, основанные на асимметричных криптографиче ских методах, в которых проверка целостности защищенных данных возможна только в том случае, когда известен открытый ключ, соответствующий закрытому ключу, использовавшемуся
впроцедуре защиты целостности данных.
3)СПЦЛ первого типа соответствуют процедура вычисле ния КПС, а СПЦЛ второго типа — ЭЦП.
341
Совместно с криптографическими СПЦЛ, такими как за щита от атак типа «повторная передача», могут использоваться переменные временные параметры.
7.4.1.1. Обеспечение целостности на основе вычисления КПС
Процедуры вычисления КПС обеспечивают защиту целост ности путем присоединения полученных КПС к защищаемым данным. При вычислении КПС один и тот же секретный ключ используется для защиты и подтверждения целостности, дан ных. При использовании этого класса СПЦЛ все потенциаль ные средства подтверждения целостности данных либо должны знать заранее используемый секретный ключ, либо иметь сред ства для получения такого секретного ключа.
Группа объектов/субъектов, способных вычислить КПС за щищаемых данных, и группа объектов/субъектов, способных подтвердить целостность защищенных данных являются, со гласно определению самого СПЦЛ, полностью совместимыми.
Этот СПЦЛ позволяет обнаруживать модификации следую щим образом:1
1)защита целостности обеспечивается путем присоедине ния КПС к данным, целостность которых должна быть защищена (например, вычисление ОНФ по всей после довательности защищаемых данных, а результат вычис ления ОНФ преобразуется с помощью криптографиче ского алгоритма);
2)подтверждение целостности обеспечивается на основе использования защищенных данных, КПС и секретно го ключа с целью определения, совпадает ли вновь вы численная КПС с КПС, прикрепленной к защищенным данным (например, средство подтверждения целост ности могло бы передать средству защиты целостности данные и секретный ключ, которое в ответ направило бы КПС; далее средство подтверждения целостности могло бы сравнить полученную КПС с той, которая в действи тельности была присоединена к защищаемым данным).
342
Если обе КПС совпадают, то принимается решение о том, что данные не были модифицированы;
3)снятие защиты целостности обеспечивается путем уда ления КПС после того, как была подтверждена целост ность защищенных данных.
7.4.1.2.Обеспечение целостности на основе ЭЦП
ЭЦП вычисляются с использованием закрытого ключа и асимметричного криптографического алгоритма. Целостность защищенных данных (данные с присоединенной к ним ЭЦП) может быть подтверждена с помощью соответствующего откры того ключа. Как правило, открытый ключ находится в открытом доступе.
ЭЦП позволяют группе объектов/субъектов, которые могут подтвердить целостность данных, проверить их размер (объем) и состав.
Этот СПЦЛ позволяет обнаруживать модификации следую щим образом:
1)защита целостности обеспечивается путем присоедине ния КПС к данным, целостность которых должна быть защищена (например, вычисление цифрового отпечатка по всей последовательности защищаемых данных, а ре зультат вычисления цифрового отпечатка вместе с за крытым ключом и, возможно, с другими параметрами, предназначенными для вычисления определенных необ ходимых значений, образуют ЭЦП);
2)подтверждение целостности обеспечивается на основе использования цифрового отпечатка принятых защи щенных данных, ЭЦП, открытого ключа и соответству ющего алгоритма проверки, который осуществляет про верку ЭЦП. Если проверка ЭЦП выявила изменение, то принимается решение о том, что данные были модифици рованы;
3)снятие защиты целостности обеспечивается путем уда ления КПС после того, как была подтверждена целост ность защищенных данных.
343