- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Електронний цифровий підпис
- •Призначення ецп
- •Політична роль ецп
- •Механізм ецп
- •Особистий ключ ецп
- •Відкритий ключ ецп і Сертифікат відкритого ключа
- •Підписання електронного документу ецп
- •Перевірка ецп одержаного документу
- •Використання Властивості інформації
- •Фіксація точного часу підписання
- •Обмеження використання національного ецп Термін валідності ецп
- •Критична вразливість
- •Обмеження придатності національного ецп для електронного документообігу
- •Послуги з надання ецп
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Яким є найвищий гриф секретності в Україні? (10 балів)
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •А) шифрування
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Криптографія з відкритим ключем
- •Ідея створення
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Доступність
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Цифровий підпис забезпечує цілісність, автентичність та ідентифікацію повідомлень.
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •2.Вимоги до криптографічних систем
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Цілісності
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •2. Особливості інформації як предмета захисту.
- •Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»
- •1. … Та особливої важливості.
Критична вразливість
Чинне законодавство не визначає особливості застосування ЕЦП, щодо документів, термін дії яких перевищує термін дії ЕЦП. Також не визначено статус підписаних документів, термін дії яких не закінчився, у разі компрометації ЕЦП. Це дозволяє реалізувати два види атак на ЕЦП:
використання недійсного ЕЦП (скомпрометованого, або ЕЦП, термін дії якого закінчився) для підпису документів заднім числом;
визнання підписаного документу без позначки часу, сертифікат якого на час перевірки підпису не діє, недійсним на підставі того, що неможливо встановити чи був документ підписаний дійсним ЕЦП, чи був підписаний заднім числом недійсним ЕЦП. Ця атака може супроводжуватись брехливою заявою про компрометацію ключа ЕЦП.
Ця вразливість позбавляє змісту такі послуги сертифікаційних центрів, як призупинення дії ЕЦП або реєстрація компрометації ключа ЕЦП.
Головною помилкою, що призвела до з'явлення вразливості, є сприйняття інфраструктури ЕЦП обмеженою відношеннями двох сторін, що перевіряють підпис на момент складання документу. При цьому не враховується роль арбітра при виникненні спорів, щодо підписаного документу. Тобто валідність підписаного документа розглядається у статиці, а має розглядатися у динаміці.
Атака підпису заднім числом була успішно змодельована з використанням чинного ЕЦП і сертифікованого ПЗ переведенням системного годинника комп'ютера назад.
Обмеження придатності національного ецп для електронного документообігу
Враховуючи наявність такої критичної вразливості, національний електронний документообіг, у якому не застосовується позначка часу, обмежується підписанням документів, валідність яких перевіряється тільки на момент підпису. Прикладом таких документів є подача електронної звітності.
Щодо електронного цифрового підпису довгострокових документів, то кожний такий документ може буди визнаний недійсним навіть протягом терміну валідності ЕЦП за наступним алгоритмом:
при виникненні спорів щодо підписаного документу сторона, що зацікавлена у визнанні документу недійсним, подає заяву про компрометацію ключа, наприклад, у зв'язку з наявністю вірусів на комп'ютері де використовується ЕЦП, або за фактом наявності на цьому комп'ютері програмного забезпечення, що надає можливість несанкціонованого доступу;
при початку судового процесу, який має встановити валідність підписаних документів, стверджувати, що документ був складений після факту компрометації ключа ЕЦП особою - викрадачем ключа і підписаний заднім числом;
продемонструвати можливість підписання документу заднім числом.
Висновок: при чинній законодавчій базі і засобах ЕЦП, що використовуються сьогодні, національний ЕЦП непридатний для електронного документообігу у широкому змісту цього терміну.
Послуги з надання ецп
Послуги з надання ЕЦП в Україні впроваджуються акредитованими центрами сертифікації ключів
Актуальний перелік акредитованих центрів сертифікації ключів публікується на сайті Центрального засвідчувального органу (Акредитовані ЗЦ та ЦСК)
Білет № 3
Завдання до підсумкового контролю з курсу «Основи інформаційної безпеки та захист інформації»