- •1. Доступ к данным. Этапы идентификации и аутентификации, реализуемые ос Windows. Разграничение доступа к устройствам.
- •2. Идентификация и аутентификация субъекта "процесс" при запросах на доступ. Замкнутая программная среда. Вопросы корректности идентификации пользователя.
- •4. Электронные увип. Приборы на базе iButton. Смарт-карты.
- •5. Биометрическая идентификация пользователей. Идентификация по манере работы по клавиатуре. Идентификация по голосу. Распознавание пользователей по лицу.
- •6. Идентификация по отпечатку пальцев
- •7. Технологии аутентификации. Аутентификации по многоразовым паролям.
- •8. Технологии аутентификации. Аутентификация на основе одноразовых паролей.
- •9. Технологии аутентификации. Аутентификация по предъявлению цифрового сертификата. Использование смарт-карт и usb-ключей.
- •10. Принципы организации контроллера зи.
- •11. Принципы организации контролера зи.
- •12. Характеристики сзи.
- •13. Аппаратные системы разграничения доступа. Использование архитектур, отличных от фоннеймановской.
- •14. Аппаратные системы разграничения доступа. Системы перлюстрации запросов на обращение к данным. Защита от считывания со сменных носителей.
- •15. Программно-аппаратные криптосистемы. Алгоритмы шифрования.
- •16. Общие сведения об аппаратных криптосистемах. Механизмы аппаратной шифрации. Криптографический контроль целостности.
- •18. Варианты реализации криптосистем. Сравнение аппаратных и прогаммных шифраторов.
- •19. Виды защиты от несанкционированного копирования программ. Программно-аппаратная защита от копирования программ.
- •20. Защита программ от изучения. Цели, методы, средства изучения программ.
- •21. Защита программ от дизассемблирования.
- •22. Борьба с трассировкой программы пошаговыми отладчиками.
- •23. Ошибки в созданных и предлагаемых защитах от копирования.
- •24. Виды деструктивных программ. Компьютерные вирусы и их классификация.
- •25. Шпионские программы. Общая характеристика.
- •26. Программные кейлогеры.
- •27. Варианты реализации программных кейлогеров
- •28. Аппаратные кейлогеры.
- •29. Методы противодействия программам-шпионам и аппаратным кейлогерам.
15. Программно-аппаратные криптосистемы. Алгоритмы шифрования.
Существует несколько видов шифрования:
• Пофайловое шифрование. Пользователь сам выбирает файлы, которые следует зашифровать. Такой подход не требует глубокой интеграции средства шифрования в систему, а следовательно, позволяет производителям криптографических средств реализовать мультиплатформенное решение для Windows, Linux, MAC OS X и т. д.
• Шифрование каталогов. Пользователь создает папки, все данные в которых шифруются автоматически. В отличие от предыдущего подхода шифрование происходит на лету, а не по требованию пользователя. Шифрование каталогов довольно удобно и прозрачно, хотя в его основе лежит все то же пофайловое шифрование. Такой подход требует глубокого взаимодействия с операционной системой, поэтому зависит от используемой платформы.
• Шифрование виртуальных дисков. Концепция виртуальных дисков реализована в некоторых утилитах компрессии, например Stacker или Microsoft DriveSpace. Шифрование виртуальных дисков подразумевает создание большого скрытого файла на жестком диске. Этот файл в дальнейшем доступен пользователю как отдельный диск (операционная система «видит» его как новый логический диск). Все сведения, хранящиеся на виртуальном диске, зашифрованы. Главное отличие от предыдущих подходов в том, что криптографическому ПО не требуется шифровать каждый файл по отдельности. Данные шифруются автоматически только тогда, когда они записываются на виртуальный диск или считываются с него. При этом работа с данными ведется на уровне секторов (обычно размером 512 байт).
• Шифрование всего диска. В этом случае шифруется абсолютно все: загрузочный сектор, системные файлы и другая информация на диске.
• Защита процесса загрузки. Если зашифрован весь диск целиком, то операционная система не сможет запуститься, пока какой-либо механизм не расшифрует файлы загрузки. Поэтому шифрование всего диска обязательно подразумевает и защиту процесса загрузки. Обычно пользователю требуется ввести пароль, чтобы операционная система могла стартовать. Если пользователь введет пароль правильно, программа шифрования получит доступ к ключам шифрования, что позволит читать дальнейшие данные с диска.
16. Общие сведения об аппаратных криптосистемах. Механизмы аппаратной шифрации. Криптографический контроль целостности.
Общие сведения об аппаратных криптосистемах Шифрующая плата вставляется в слот расширения (PCI или ISA) на материнской плате компьютера и выполняет функцию шифрования. Режим шифрования может быть прозрачным или предварительным. На плате находится датчик псевдослучайных чисел для генерации ключей и узлы шифрования, аппаратно реализованные в специализированных однокристальных микроЭВМ. Ключи шифрования хранятся на специально созданном носителе. Программная часть комплекса содержит драйвер платы для взаимодействия программ пользователя с платой шифрования. Шифровальные платы обладают высокой гарантией защиты информации, но их применение вносит определенные неудобства в работу ПЭВМ, прежде всего – это значительное снижение скорости обработки данных, а также необходимость инициализировать плату при каждом включении компьютера. К тому же устройства этого вида, являясь довольно нестандартными, часто могут вызывать аппаратные конфликты. В последнее время функцией аппаратной шифрации снабжены программно – аппаратные СЗИ, поддерживающие доверительную среду работы пользователя. Механизмы аппаратной шифрации (на примере Secret Net 5.0). Обычно в программно – аппаратных криптосистемах управление шифрованием файлов и доступом к ним осуществляются на уровне каталога или тома. Поэтому каталог, в котором размещаются зашифрованные файлы, называют "шифрованный каталог" или "шифрованный ресурс". Для того чтобы каталог стал шифрованным, необходимо включают с помощью ПО ПАКС параметр "Шифровать содержимое папки" в свойствах каталога. Там же можно указать и список пользователей, которым разрешен доступ к шифрованному каталогу. Затем файлы, находящиеся в этом каталоге, могут быть автоматически зашифрованы. Новые файлы, создаваемые в данном каталоге, будут зашифровываться автоматически. Управляющая структура для каталога хранится в каталоге в отдельном скрытом файле. Это позволяет выполнять шифрование ресурсов на различных файловых системах (FAT, NTFS). Для того чтобы пользователь обладал возможностью создавать шифрованные ресурсы, администратор должен предоставить ему привилегию “Шифрование файлов: Создание шифрованного ресурса”. Пользователь, создавший шифрованный ресурс, является его владельцем и может предоставлять доступ к ресурсу другим пользователям, а также делегировать им полномочия на управление шифрованным ресурсом. Пользователь ресурса может создавать новые зашифрованные файлы, удалять их, выполнять с ними любые операции чтения и записи.В некоторых системах предусмотрена специальная административная привилегия "Удаление шифрованного ресурса при отсутствии ключа", которая может быть использована при потере ключей доступа к шифрованному ресурсу. Администратор, которому будет предоставлена эта привилегия, сможет удалить такие шифрованные ресурсы. Результат операций с шифрованными ресурсами фиксируется в журнале ПАКС. ГОСТ Р34.10–2001 определяет требования, предъявляемые к алгоритмам генерации ключей пользователей. Аппаратно генерируются закрытый и открытый ключ пользователя. Открытые ключи пользователей хранятся в локальной базе данных ПАКС, закрытые ключи – в персональном идентификаторе пользователя (УВИП). Для каждой ключевой пары в системе хранится время ее генерации, при необходимости можно установить для нее минимальное и максимальное время жизни. Если пользователь выполнит операцию смены ключей, то в системе будут храниться две ключевые пары (текущая и предыдущая). При первом же обращении к шифрованному ресурсу управляющая информация расшифровывается на старом ключе и зашифровывается на новом, при этом сами данные повторно не перешифровываются. Ключи, используемые ПАКС: Ключи Наименование Алгоритмы генерации SKr Закрытый ключ ресурса Генерируется в соответствии с требованиями к ключам ГОСТ Р34.10-2001 PKr Открытый ключ ресурса - " - SKu Закрытый ключ пользователя - " - PKu Открытый ключ пользователя - " - Kr Ключ шифрования ресурса Генерируется с помощью датчика случайных чисел (ДСЧ) Kf Ключ шифрования файла - " - SKur Сессионный ключ Генерируется в соответствии с алгоритмом Diffie-Hellman Для ключей, хранящихся в зашифрованном виде, используется алгоритм шифрования, соответствующий ГОСТ 28147-89 в режиме гаммирования с обратной связью. При включении режима шифрования каталога: 1. В каталоге создается файл !Res.key. 2. Генерируются закрытый и открытый ключи ресурса (SKr, PKr) и ключ шифрования ресурса (Kr). 3. На основании закрытого ключа пользователя (SKu) и открытого ключа ресурса (PKr) вычисляется сессионный ключ (SKur). 4. Ключи Kr и SKr зашифровываются на ключе SKur и получаются соответственно значения Kr(SKur) и SKr(SKur), которые вместе с открытым ключом пользователя PKr сохраняются в файле !Res.key. При зашифровании файла: 1. Из файла !Res.key считывается открытый ключ ресурса (PKr). 2. На основании открытого ключа ресурса (PKr) и закрытого ключа пользователя(SKu) вычисляется сессионный ключ (SKur). 3. С помощью сессионного ключа (SKur) из Kr(SKur) вычисляется ключ шифрования ресурса (Kr). 4. Генерируется ключ шифрования файла (Kf). 5. Содержимое файла шифруется на ключе шифрования файла (Kf). 6. С помощью ключа шифрования ресурса (Kr) зашифровывается ключ шифрования файла Kf(Kr) и помещается в отдельный служебный файл. При расшифровании файла: 1. Из файла !Res.key считывается открытый ключ ресурса (PKr). 2. На основании открытого ключа ресурса (PKr) и закрытого ключа пользователя (SKu) вычисляется сессионный ключ (SKur). 3. С помощью сессионного ключа (SKur) из Kr(SKur) вычисляется ключ шифрования ресурса (Kr). 4. Из служебного файла считывается Kf(Kr) и расшифровывается. 5. Зашифрованное содержимое файла расшифровывается на ключе шифрования файла (Kf). 6. При последующем сохранении файла происходит его зашифрование на ключе шифрования файла (Kf). Для предоставления другому пользователю доступа к шифрованному каталогу: Владелец ресурса в свойствах каталога выбирает в списке имя пользователя, которому будет разрешен доступ к ресурсу. В список попадают только те пользователи, открытые ключи которых имеются в базе данных ПАКС 1. На основании закрытого ключа владельца (SKu) и открытого ключа ресурса (PKr) из файла !Res.key вычисляется сессионный ключ (SKur). С использованием сессионного ключа расшифровываются другие ключи SKr и Kr. 2. Вычисляется значение сессионного ключа для нового пользователя ресурса S Ku2r на основании закрытого ключа ресурса (SKr) и открытого ключа новогопользователя (PKu2). 3. Ключи SKr и Kr зашифровываются на сессионном ключе нового пользователя и сохраняются в файле !Res.key в виде дополнительного управляющего блока. Криптографический контроль целостности Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации и предназначен не только за контролем целостности файлов пользователя, но контролем целостности компонентов ОС, что немаловажно с точки зрения надёжности работы ЭВМ и сохранности данных вообще. Обычно контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием. При этом на аппаратуру ложится, как и при шифрации, функция выработки контрольных разрядов по заранее определённым алгоритмам. Использование аппаратуры повышает быстродействие систем контроля целостности, особенно если контроль осуществляется к часто запрашиваемым ресурсам. Кроме этого, реализация криптоустройства в виде отдельного модуля, подключаемого к интерфейсной шине, позволяет в некоторых случаях (например, при контроле целостности секторов ЖМД) выполнять формирование контрольных разрядов в фоновом режиме, непосредственно при обращении к контролируемым объектам) Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков (что отличает аппаратные криптосистемы от программных). Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т. е. на наличие файлов по заданному пути. Совокупность ресурсов, которые используются для решения определенных производственных задач, объединяются в группы. Для каждого из входящих в группу объектов рассчитываются эталонные значения контролируемых параметров. Предусматривается возможность выбора времени контроля. В частности, контроль может быть выполнен при загрузке ОС, при входе в систему или выходе пользователя из системы, по заранее составленному расписанию. Для этого составляется задание на контроль. Кроме того, может быть проведен и немедленный контроль. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности: регистрация события в журнале ПАКС; блокировка компьютера; отклонение или принятие изменений. Таким образом, для каждого типа контролируемых объектов хранятся список имен объектов и задания для контроля тех или иных параметров указанных объектов по определенному расписанию. Эта информация размещается в БД контроля целостности, которая реализована в виде набора файлов определенного формата, расположенных в отдельном каталоге. База данных содержит всю необходимую информацию для функционирования системы. Задание на контроль содержит информацию об эталонном состоянии объекта, порядке контроля характеристик и действий, которые надо выполнить при обнаружении изменений. Результаты контроля и обработки запросов фиксируются в журнале. Система контроля целостности самостоятельно выполняет контроль системных объектов.
17. Атаки на аппаратные шифраторы