Учебное пособие Часть Методы и средства защиты информации - davaiknam.ru o_O
Главная
Поиск по ключевым словам:
Похожие работы
Название работы Кол-во страниц Размер
Программа-минимум кандидатского экзамена по специальности 05. 1 66.83kb.
Рабочая программа по дисциплине «Методы и средства защиты информации»... 1 124.88kb.
Программа вступительного экзамена в аспирантуру по специальности 05. 1 66.25kb.
Курсовая работа по дисциплине: «Методы и средства защиты информации» 1 124.31kb.
Краткая аннотация курса Методы и средства защиты компьютерной информации 1 11.46kb.
Математические методы защиты информации 1 42.42kb.
Учебное пособие по статистике часть I новосибирск 2001 ббк а. 9 1553.1kb.
Учебное пособие Часть I санкт-петербург 2006 10 1200.64kb.
Учебно-методический комплекс по дисциплине выбору «Информационная... 4 597.21kb.
Курсовой проект по дисциплине «Методы и средства защиты компьютерной... 1 268.71kb.
«Информационная безопасность: современные средства и методы защиты»... 1 25.51kb.
Программа-минимум кандидатского экзамена по специальности 05. 1 66.83kb.
Направления изучения представлений о справедливости 1 202.17kb.

Учебное пособие Часть Методы и средства защиты информации - страница №9/9


Использование сертификатов. Альтернативой безопасной передаче ключа служит использование доверенной третьей стороны - центра сертификации (агентства по сертификатам) - для подтверждения того, что открытый ключ принадлежит именно владельцу карточки.

Центр сертификации создает сообщение, содержащее имя владельца карточки и его открытый ключ, после предъявления владельцем карточки доказательств идентификации личности (водительские права или паспорт). Такое сообщение называется сертификатом. Сертификат снабжается подписью центра сертификации и содержит информацию об идентификации владельца, а также копию одного из открытых ключей владельца.

Участники протокола SET имеют две пары ключей и рас полагают двумя сертификатами. Оба сертификата создаются и подписываются одновременно центром сертификации.

Сертификаты владельцев карточек функционируют как электронный эквивалент кредитных карточек. Они снабжаются цифровой подписью финансового учреждения и поэтому не могут быть изменены третьей стороной. Эти сертификаты содержат номер счета и срок действия, которые шифруются с использованием однонаправленного алгоритма хэширования. Если номер счета и дата окончания действия известны, то связь с сертификатом можно подтвердить, однако эту информацию невозможно получить путем изучения данного сертификата. В рамках протокола SET владелец карточки представляет информацию о счете в тот платежный межсетевой интерфейс, где проводится данная связь.

Сертификат выдается владельцу карточки только с разрешения финансового учреждения - эмитента карточки. Запрашивая сертификат, владелец карточки указывает свое намерение использовать торговлю электронными средствами. Эти сертификаты передаются коммерсантам вместе с запросами о покупке и за шифрованными платежными инструкциями. Когда коммерсант получает сертификат владельца карточки, он может не сомневаться в том, что номер счета подтвержден финансовым учреждением.



Сертификаты коммерсантов являются электронным аналогом фирменной картинки, которая выставляется в витрине электронного магазина. Эти сертификаты снабжены цифровой подписью финансового учреждения коммерсанта и, следователь но, не могут быть изменены третьей стороной. Сертификаты служат гарантией того, что коммерсант имеет действующее соглашение с эквайером.

Коммерсант должен иметь по меньшей мере одну пару сертификатов для того, чтобы участвовать в операционной среде SET, но у одного коммерсанта может быть множество пар сертификатов - для каждого типа кредитных карточек, которые он принимает к оплате.



Сертификаты платежных межсетевых интерфейсов выдаются эквайерам или их обработчикам для систем, которые обрабатывают авторизации и получают сообщения. Ключ шифрования конкретного интерфейса, который владелец карточки получает из этого сертификата, используется для защиты информации о счете владельца карточки. Сертификаты платежного интерфейса выдаются эквайеру оператором карточек определенного типа.

Сертификаты эквайеров выдаются эквайерам для того, чтобы они могли принимать и обрабатывать запросы о сертификатах, инициированных коммерсантами. Эквайеры получают сертификаты от каждой ассоциации кредитных карточек.

Сертификаты эмитентов нужны эмитентам для того, чтобы пользоваться услугами центра сертификации, который может принимать и обрабатывать запросы о сертификатах непосредственно от владельцев карточек по открытым и частным сетям. Эмитенты получают сертификаты от ассоциации кредитных карточек.

Сертификаты SET проверяются в иерархии доверия (рис.30). Каждый сертификат связан с сертификатом подписи того объекта, который снабдил его цифровой подписью. Следуя по "дереву доверия" до известной доверенной стороны, можно быть уверенным в том, что сертификат является действительным. На пример, сертификат владельца карточки связан с, сертификатом эмитента (или ассоциации по поручению эмитента), который, в свою очередь, связан с корневым ключом через сертификат ассоциации.

Открытый ключ для корневой подписи известен всем программным средствам SET и может быть использован для проверки каждого из сертификатов. Корневой ключ будет распространяться в сертификате с автоподписью. Этот сертификат корневого ключа будет доступен поставщикам программного обеспечения для включения в их программные средства.



Рис.30. Иерархическое дерево доверия

Протокол SET определяет множество протоколов транзакций, которые используют криптографические средства для безопасного ведения электронной коммерции. Среди этих протоколов транзакций - регистрация владельца карточки, регистрация коммерсанта, запрос о покупке, авторизация платежа, получение платежа.

Новые достижения в области безопасности использования кредитных карточек, реализованные в стандарте SET, способны удовлетворить самых недоверчивых клиентов электронных платежных систем, поскольку устраняются все их опасения путем внедрения средств шифрования для скремблирования кредитной карточки в таком порядке, чтобы ее могли читать только продавец и покупатель.

Системы такого типа имеют ряд преимуществ.

• Деньги клиента находятся под надежным присмотром банка. Если клиент потеряет карточку, то его счет все равно связан с его именем. В отличие от систем с использованием наличности у банка есть возможность проверить остаток на счете клиента, поэтому деньги клиента не теряются.

• Отпадает необходимость в открытии нового счета. В банке для обработки транзакций данного типа клиент может продолжать пользоваться действующим счетом и кредитной карточкой. Этот фактор имеет большое значение на начальных стадиях электронной торговли в WWW сети Internet.

Однако имеется и недостаток, причем существенный - отсутствие конфиденциальности. В отличие от транзакций с электронной наличностью, которые являются анонимными, в транзакциях с кредитными картами имя клиента жестко связано со счетом.

Технологические решения для электронной торговли

В настоящее время наибольшее распространение получи ли два программно-аппаратных решения, предложенные компаниями Microsoft, VeriFone и Netscape.

Оба этих решения предполагают использование следующего набора компонентов:

• клиентский компьютер, имеющий доступ к Internet и Web-brouser;

• сервер электронной торговли, на котором ведется каталог товаров и принимаются зашифрованные запросы клиентов на покупку тех или иных товаров;

• средство для обеспечения взаимной конвертации протоколов Internet и стандартных протоколов авторизации (ISO 8583 и др.).

Рассмотрим реализацию данной схемы на примере продуктов Microsoft (Merchant Server) и VeriFone (vPOS и vGate). Программное обеспечение vPOS устанавливается на рабочей станции клиента и осуществляет поддержку протокола SET, шифрование и аутентификацию информации, получение необходимых сертификатов и др.

Microsoft Merchant Server помимо указанных выше функций ведения каталога и приема запросов клиентов осуществляет связь с другим продуктом VeriFone-vGate. Программное обеспечение vGate, получая запросы в формате SET, расшифровывает их и конвертирует в формат ISO 8583. Таким образом, становится воз­можным осуществлять платежи в сети Internet с использованием обычных кредитных карт.

Следует отметить, что описанные выше решения являются по существу адаптацией технологий кредитных карт, существую­щих еще с 60-х годов, к современным электронным техно­логиям.

Альтернативный путь - внедрение концепции "чисто" элек­тронных денег, концепции DigiCash и CyberCash. Электронные деньги представляют собой специальную последовательность электронных деноминации и электронных подписей, подготовлен­ных банками. Системы, подобные DigiCash, CyberCash и NetCash, позволяют клиентам вносить реальные деньги на банковский счет, после чего использовать эту наличность в электронной форме для приобретения различных товаров через Internet. Клиент банка за­водит виртуальный электронный "кошелек", поместив в него опре­деленную сумму денег. Клиенты системы DigiCash в качестве эк­вивалента любой мелкой монеты получают 64-битовый номер, ко­торый затем переводится на жесткий диск конкретного пользователя. Дальнейшая оплата товаров и услуг осуществляет­ся перечислением соответствующей битовой информации. Клиент может перечислять эту электронную наличность продавцам в Internet (если данный продавец согласен с такой формой оплаты). Затем продавец возвращает электронную наличность банку в об­мен на настоящие деньги.

К достоинствам систем такого типа относятся:

• конфиденциальность (движение электронной наличности нель­зя проследить; банк не связывает номера с каким-либо конкретным лицом, поэтому не может раскрыть инкогнито пла­тельщика),

• гарантированная безопасность для банков (любой покупатель может потратить только ту сумму, которую он имеет на счете).

Недостатком транзакций описанного типа является то, что электронные деньги ничем не гарантированы. Например, если же­сткий диск компьютера выходит из строя, или разоряется элек­тронный банк, или хакеры расшифровывают номера электронной наличности, во всех этих случаях нет никакого способа вернуть утраченную клиентом наличность. Поскольку банк не связывает деньги с именем клиента, он не может компенсировать потери клиента.

Другим технологическим решением является система пла­тежей с использованием смарт-карт Mondex, которую недавно приобрела компания MasterCard. В отличие от традиционных платежных систем система на основе смарт-карт Mondex предполага­ет эмиссию электронных денег, которые помещаются на смарт-карту и могут переписываться на другие смарт-карты, сниматься с карты в пунктах продажи и т.д. Еще одним отличием системы Mondex от других платежных систем типа "электронный кошелек" является анонимность платежей. Однако следует иметь в виду, что во многих странах законодательно запрещены анонимные платежи на крупные суммы.

В системе Mondex решены и проблемы конвертации валю­ты. В каждой из стран, присоединившихся к этому проекту, плани­руется организовать специальный банк, который будет эмитиро­вать электронную наличность. При переводе средств из одной ва­люты в другую в системе организуется специальная транзакция между электронными банками двух стран. Перерасчет осуществ­ляется по официальному курсу, а затем на карту клиента помеща­ется действующая сумма в другой валюте.

Все перечисленные факторы имеют самое непосредственное отношение к такой бурно прогрессирующей предметной области как банковское дело. Автоматизированные системы обработки информации в банковской сфере выступают в качестве технической основы для развития и совершенствования существующих банковских технологий и платежных систем в частности. Позволяя ускорить процессы движения финансовых ресурсов, АСОИ способствуют повышению эффективности функционирования всех финансово-кредитных механизмов государства. От качества платежной системы, в конечном счете, существенно зависит эффективность всей экономики.

В условиях обострения конкурентной борьбы между коммерческими банками за завоевание (сохранение) ведущих позиций и привлечение новых клиентов возможно только при условии предоставления большего количества услуг и сокращения времени обслуживания. Это достижимо лишь при обеспечении необходимого уровня автоматизации всех банковских операций. В то же время применение вычислительной техники не только разрешает возникающие проблемы, но и приводит к появлению новых, нетрадиционных для банка угроз.

Анализ существующего положения показывает, что уровень мероприятий по защите информации в банковской сфере, как правило, отстает от темпов автоматизации.

Сложность определения мер защиты банковских информационных технологий и их реализации состоит в том, что:


  • на сегодняшний день не существует единой теории защищенных систем, в достаточной мере универсальной в различных предметных областях (как в государственном, так и в коммерческом секторе);

  • производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя решение вопросов формирования системы защиты и совместимости этих средств своим потребителям;

  • для обеспечения надежной защиты необходимо решить целый комплекс технических и организационных проблем с разработкой соответствующей документации.

Руководство и отделы автоматизации банков, действующие в условиях дефицита времени, вынуждены самостоятельно разрабатывать концепцию защиты, методики оценки средств защиты и организационные меры поддержки.

Общеизвестно, что создать абсолютно надежную систему защиты невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому можно говорить только о некотором достаточном уровне безопасности, обеспечении такого уровня защиты, когда стоимость ее преодоления становится больше стоимости получаемой при этом информации (достигаемого эффекта), или когда за время получения информации она обесценивается настолько, что усилия по ее получению теряют смысл.

Система защиты должна строиться эшелонировано в виде концентрических колец безопасности (обороны). Самое внешнее кольцо безопасности обеспечивается морально-этическими и законодательными средствами (неотвратимость возмездия за совершенное деяние). Второе кольцо безопасности представлено физическими и организационными средствами - это внешняя защита системы (защита от стихийных бедствий и внешних посягательств). Внутренняя защита (защита от ошибочных и умышленных действий со стороны персонала и законных пользователей) обеспечивается на уровне аппаратуры и операционной системы и представлена линией обороны, исключающей возможность работы посторонних с системой (механизм идентификации и аутентификации), и кольцами защиты всех ресурсов системы от неавторизованного использования (механизм разграничения доступа в соответствии с полномочиями субъекта). Механизмы регистрации событий и обеспечения целостности повышают надежность защиты, позволяя обнаруживать попытки преодоления других уровней защиты и своевременно предпринимать дополнительные меры, а также исключать возможность потери ценной информации из-за отказов и сбоев аппаратуры (резервирование, механизмы отслеживания транзакций). И, наконец, последнее кольцо безопасности представлено средствами прикладной защиты и криптографии.

Организационные меры должны выступать в качестве обеспечения эффективного применения других методов и средств защиты в части, касающейся регламентации действий людей.

Защиту, основанную на административных мерах, надо везде, где только можно, усиливать соответствующими более надежными современными физическими и техническими средствами.

Опыт создания систем защиты позволяет выделить следующие основные принципы построения систем компьютерной безопасности, которые необходимо учитывать при их проектировании и разработке:



  • системность подхода;

  • комплексность решений;

  • непрерывность защиты;

  • разумная достаточность средств защиты;

  • простота и открытость используемых механизмов защиты;

  • минимум неудобств пользователям и минимум накладных расходов на функционирование механизмов защиты.

К сожалению, как и почти любое достижение человеческого гения, компьютер, решая одни экономические и социальные проблемы, одновременно порождает и другие, порою не менее сложные. Сегодня, когда масштабы выпуска и применения средств вычислительной техники в нашей стране должны резко увеличиться, к решению возможных в будущем проблем надо готовиться загодя, чтобы они не застали врасплох.
ЛИТЕРАТУРА

  1. Касперски К. Фундаментальные основы хакерства.-М.:Солон, 2010, 448с.

  2. Бабаш А. Криптография . –М.:Солон, 2008, 512 с.

  3. Леонтьев Б. Компьютерный «террор». Методы взлома информационных систем и компьютерных сетей. – М.: Позн.Книга, 2010,560 с.

1 При написании данного раздела использован источник: В. Жельников. Криптография от папируса до компьютера. М., ABF, 1997

2 Шифрование (encipherment) - способ засекречивания данных, при котором преобразования ведутся над последовательностью битов или символов в отличие от криптографического кодирования (encryption), в котором единицами кодирования являются смысловые слова или фразы.

3 Операция XOR выполняет следующие действия: (0 XOR 0)=0, (0 XOR 1)=1, (1 XOR 0)=1, (1 XOR 1)=0. Из-за специфики операции XOR процедура шифрования совпадает с процедурой расшифрования.

4 [9] National Computer Security Center. Trusted Network Interpretation. - NCSC-TG-005, 1987.

<< предыдущая страница  



Самые тонкие инструменты — как раз те, которыми легче всего пораниться. Кароль Ижиковский
ещё >>