<< Предыдущая

стр. 4
(из 39 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

тельный сертификат был использован для подписи, а затем соответствую-
щей службой сертифицирующего центра была проставлена метка времени,
то такая подпись должна признаваться правильной и после выхода серти-
фиката из употребления. Если же отметка времени отсутствует, то после
16 Часть I. Кому нужна защита?

истечения срока действия сертификата подпись не может быть признана
корректной.
Аннулирование используется для отмены действия сертификатов, полномо-
чий или подписей. Если какой-либо участник информационного обмена
или принадлежащие ему ключи и сертификаты оказались скомпрометиро-
ваны, необходимо предотвратить доступ этого пользователя к ресурсам и
отказать в доверии соответствующим сертификатам, т. к. ими могли вос-
пользоваться злоумышленники. Также процедура аннулирования может
быть использована в отношении удостоверяющего центра.
Свидетелъствование — удостоверение (подтверждение) факта создания или
существования информацией некоторой стороной, не являющейся созда-
телем.
Анонимность — довольно редко вспоминаемая задача. Сильным мира сего —
правительствам и корпорациям — не выгодно, чтобы пользователь мог ос-
таться анонимным при совершении каких-либо действий в информацион-
ном пространстве. Возможно, по этой причине проекты по обеспечению
анонимности носят единичный характер и, как правило, долго не живут.
Да и средства коммуникации, в подавляющем большинстве, позволяют оп-
ределить маршрут передачи того или иного сообщения, а значит, вычислить
отправителя.
Все перечисленные задачи сформулированы, исходя из потребностей суще-
ствующего информационного мира. Возможно, со временем часть задач по-
теряет свою актуальность, по более вероятно, что появятся новые задачи,
нуждающиеся в решении.
Глава 2


Основные способы
обеспечения защиты
Наверное, потребность в защите информации появилась одновременно
с самой информацией. И возможные методы защиты информации почти
всегда определялись формой ее представления и предполагаемыми способа-
ми использования.

2.1.Общаяклассификация
В первом приближении все методы защиты информации можно разделить
на три класса:
• законодательные;
О административные;
• технические.
Законодательные методы определяют, кто и в какой форме должен иметь
доступ к защищаемой информации, и устанавливают ответственность за на-
рушения установленного порядка. Например, в древнем мире у многих на-
ций были тайные культы, называемые мистериями. К участию в мистериях
допускались только посвященные путем особых обрядов лица. Содержание
мистерий должно было сохраняться в тайне. А за разглашение секретов мис-
терий посвященного ждало преследование, вплоть до смерти. Также смер-
тью каралось недозволенное участие в мистериях, даже произошедшее по
случайности. В современном мире существуют законы о защите государст-
венной тайны, авторских прав, положения о праве на тайну личной пере-
писки и многие другие. Такие законы описывают, кто и при каких условиях
имеет, а кто не имеет право доступа к определенной информации. Однако
законодательные методы не способны гарантировать выполнение установ-
ленных правил, они лишь декларируют эти правила вместе с мерой ответст-
венности за их нарушение.
Административные методы заключаются в определении процедур доступа
к защищаемой информации и строгом их выполнении. Контроль над со-
блюдением установленного порядка возлагается на специально обученный
18 Часть I. Кому нужна защита?


персонал. Административные методы применялись многие века и диктова-
лись здравым смыслом. Чтобы случайный человек не прочитал важный до-
кумент, такой документ нужно держать в охраняемом помещении. Чтобы
передать секретное сообщение, его нужно посылать с курьером, который
готов ценой собственной жизни защищать доверенную ему тайну. Чтобы из
библиотеки не пропадали в неизвестном направлении книги, необходимо
вести учет доступа к библиотечным ресурсам. Современные административ-
ные методы защиты информации весьма разнообразны. Например, при ра-
боте с документами, содержащими государственную тайну, сначала необхо-
димо оформить допуск к секретным документам. При получении документа
и возврате его в хранилище в журнал регистрации заносятся соответствую-
щие записи. Работа с документами разрешается только в специально обору-
дованном и сертифицированном помещений. На любом этапе известно ли-
цо, несущее ответственность за целостность и секретность охраняемого
документа. Схожие процедуры доступа к информации существуют и в раз-
личных организациях, где они определяются корпоративной политикой
безопасности. Например, элементом политики безопасности может являться
контроль вноса и выноса с территории организации носителей информации
(бумажных, магнитных, оптических и др.). Административные методы защи-
ты зачастую совмещаются с законодательными и могут устанавливать ответ-
ственность за попытки нарушения установленных процедур доступа.
Технические методы защиты, в отличие от законодательных и администра-
тивных, призваны максимально избавиться от человеческого фактора. Дей-
ствительно, соблюдение законодательных мер обуславливается только
добропорядочностью и страхом перед наказанием. За соблюдением админи-
стративных мер следят люди, которых можно обмануть, подкупить или за-
пугать. Таким образом, можно избежать точного исполнения установленных
правил. А в случае применения технических средств зашиты перед потенци-
альным противником ставится некоторая техническая (математическая, фи-
зическая) задача, которую ему необходимо решить для получения доступа к
информации. В то же время легитимному пользователю должен быть досту-
пен более простой путь, позволяющий работать с предоставленной в его
распоряжение информацией без решения сложных задач. К техническим
методам защиты можно отнести как замок на сундуке, в котором хранятся
книги, так и носители информации, самоуничтожающиеся при попытке не-
правомерного использования. Правда, такие носители гораздо чаще встре-
чаются в приключенческих фильмах, чем в реальности.

Самоуничтожающиеся DVD-диски
Компания Walt Disney объявила о выходе на рынок в августе 2003 года пробной
партии самоуничтожающихся DVD-дисков. Такие диски можно будет использо-
вать только в течение 48 часов после вскрытия упаковки. Затем поверхность
Глава 2. Основные способы обеспечения защиты 19

диска должна почернеть, что сделает невозможным прохождение лазерного
луча DVD-проигрывателя.

Технические методы, пожалуй, имеют наибольшее разнообразие среди всех
методов защиты, и эта книга посвящена в основном рассмотрению именно
технических методов защиты информации, представленной в цифровой
форме.

2.2. Технические методы защиты
Технические методы защиты информации начали разрабатываться очень
давно. Так, например, еще в V—IV вв. до н. э. в Греции применялись шиф-
рующие устройства. По описанию древнегреческого историка Плутарха,
шифрующее устройство состояло из двух палок одинаковой толщины, назы-
ваемых сциталами, которые находились у двух абонентов, желающих обме-
ниваться секретными сообщениями. На сциталу по спирали наматывалась без
зазоров узкая полоска папируса, и в таком состоянии наносились записи. По-
том полоску папируса снимали и отправляли другому абоненту, который
наматывал ее на свою сциталу и получал возможность прочесть сообщение.
Элементом, обеспечивающим секретность в таком шифрующем устройстве,
являлся диаметр сциталы.
Вместе с техническими методами защиты разрабатывались и методы обхода
(взлома) зашиты. Так древнегреческий философ Аристотель предложил ис-
пользовать длинный конус, на который наматывалась лента с зашифрован-
ным сообщением. В каком-то месте начинали просматриваться куски сооб-
щения, что позволяло определить диаметр сциталы и расшифровать все
сообщение.
Применительно к информационной безопасности, технические методы за-
щиты призваны обеспечить решение всех задач, перечисленных в разд. 1.2.
Условно методы решения этих задач можно разделить на те, которые имеют
математическое обоснование стойкости к взлому, и те, которые такого
обоснования не имеют.
Методы, не имеющие математического обоснования стойкости, проще всего
рассматривать как "черный ящик" — некоторое устройство, которому на
вход подаются данные, а на выходе снимается результат. Процессы, проис-
ходящие внутри "черного ящика", предполагаются неизвестными и непод-
властными ни пользователю, ни потенциальному противнику. Собственно,
стойкость таких методов основывается именно на предположении, что
"ящик" никогда не будет вскрыт и его внутреннее устройство не будет про-
анализировано. Однако в реальной жизни случается всякое, и иногда или
возникает ситуация, при которой раскрывается устройство "черного ящика",
20 Часть I. Кому нужна защита?


или упорному исследователю удается разгадать алгоритмы, определяющие
функционирование зашиты, без вскрытия самого "ящика". При этом стой-
кость системы защиты становится равна нулю. Методы защиты, функцио-
нирующие по принципу "черного ящика", называют Security Through Obscu-
rity (безопасность через неясность, незнание).
Особенность методов защиты, имеющих математическое обоснование стой-
кости, заключается в том, что их надежность оценивается, исходя из пред-
положения открытости внутренней структуры. То есть предполагается, что
потенциальному противнику известны в деталях все алгоритмы и протоко-
лы, использующиеся для обеспечения защиты. И, тем не менее, противник
должен быть не в состоянии обойти средства защиты, т. к. для этого ему
надо решить некоторую математическую проблему, которая на момент раз-
работки защиты не имела эффективного решения. Однако существует веро-
ятность того, что через некоторое время будет разработан эффективный ал-
горитм решения математической проблемы, лежащей в основе метода
защиты, а это неминуемо приведет к снижению ее стойкости. Большинство
методов, имеющих математическое обоснование стойкости, относятся к мето-
дам криптографии (см. гл. 5). И именно криптографические методы в основ-
ном позволяют эффективно решать задачи информационной безопасности.
Теперь рассмотрим, какие методы защиты применяются при решении ос-
новных задач информационной безопасности.

2.3. Методы решения задач
информационной безопасности
Для обеспечения секретности в подавляющем большинстве случаев исполь-
зуются методы криптографии. Современные алгоритмы шифрования при
условии обеспечения секретности ключа предоставляют возможность защи-
ты даже от таких противников, как правительственные агентства. Однако
существуют ситуации, когда секретность одних и тех же данных должна
обеспечиваться только при попытке выполнения запрещенных действий,
а в остальных случаях доступ к данным должен быть свободным.

Защита содержимого DVD-дисков
DVD-диски с кинофильмами могут быть записаны для какого-то определенного
региона (Северная Америка, Европа и т. д.) и должны без проблем воспроизво-
диться на проигрывателях этого региона. Но диск, купленный в США, не должен
воспроизводиться на DVD-проигрывателе, купленном в Европе. Также не
должно быть возможным извлечение содержимого диска на персональном ком-
пьютере. Однако интуитивно понятно, что если данные на DVD-диске зашиф-
рованы и какой-то DVD-проигрыватель может их воспроизвести, значит, диск
Глава 2. Основные способы обеспечения защиты 21

вместе с проигрывателем содержат достаточно информации для расшифровки
содержимого диска. Отсюда следует вывод, что ключ шифрования присутству-
ет в системе, а значит, выполнив те же действия, что выполняет DVD-
проигрыватель, можно расшифровать содержимое диска. Получается, что
криптография не способна обеспечить секретность в таких сложных условиях, и
защиту приходится основывать на запутывании процесса извлечения содержи-
мого диска. Стоит заметить, что для DVD-дисков задача защиты пока так и не
была решена эффективно.

С непреднамеренными нарушениями целостности, возникающими из-за
ошибок при передаче данных по каналам связи или сбоев при чтении носи-
телей информации, можно бороться путем добавления избыточности к за-
щищаемой информации, что позволит обнаружить и иногда даже исправить
случайно возникающие ошибки. Для этого существует целая теория помехо-
устойчивого кодирования. В большинстве современных архиваторов (про-
грамм для сжатия данных) для контроля целостности распакованного файла
используется алгоритм CRC32 (Cyclic Redundant Code, 32-разрядный цикли-
ческий избыточный код). Перед упаковкой файла для него вычисляется зна-
чение CRC32, которое сохраняется вместе со сжатыми данными в архиве.
После распаковки снова вычисляется CRC32, и если вычисленное значение
не совпало с сохраненным в архиве, файл признается поврежденным. Одна-
ко для защиты от умышленного внесения изменений данный метод не под-
ходит — противнику не составит большого труда подкорректировать данные,
вычислить от них CRC32 и сохранить исправленные версии в архиве. Даже
если противник не имеет возможности исправлять контрольную сумму, ис-
пользовать CRC32 для защиты не стоит, т. к. этот алгоритм является обра-
тимым — изменением всего четырех байт в файле можно добиться любого
нужного значения CRC32. Поэтому для зашиты от нарушений целостности
целесообразно использовать стойкие криптографические хэш-функции (hash
function), предотвращающие внесение изменений в защищаемые данные,
вместе с шифрованием, препятствующим подмене значения хэш-функции.
Для этих целей можно использовать шифрование как с секретным, так и с
открытым ключом.

При идентификации, как правило, не возникает особенных сложностей:
пользователь предъявляет свой идентификатор, а система принимает его.
Идентификатором может являться вводимое с клавиатуры имя пользователя,
информация, содержащаяся на магнитной полосе пластиковой карты или
в памяти смарт-карты, или какой-либо биометрический показатель (отпеча-
ток пальца, форма руки, голос, рисунок радужной оболочки глаза и т. д.).
Но почти всегда сразу за идентификацией следует аутентификация, т. к. кор-
ректность идентификатора, за исключением биометрического, не гарантирует,
что он предъявлен владельцем, а не неким посторонним лицом.


2 3ак. 1310
Часть I. Кому нужна защита?

Аутентификация заключается в том, что пользователь, предъявивший иденти-
фикатор, вводит некоторую, известную только ему, секретную информацию,
которая после некоторого преобразования передается проверяющей стороне.
Это может быть пароль, PIN-код (Personal Identification Number, персональ-
ный идентификационный номер) и т. п. Проверяющая сторона на основе
имеющейся у нее информации (хэша пароля, зашифрованного значения PIN-
кода) принимает решение об аутентичности (подлинности) пользователя.
Правильное решение задач идентификации и последующей аутентификации
включает в себя решение нескольких подзадач.
П Обеспечить невозможность успешного повторения идентификации и ау-
тентификации путем перехвата сетевого трафика и повторной отсылки
правильных ответов. Для этого используется схема запрос/ответ
(challenge/response), когда проверяющая сторона присылает некоторый
случайный запрос (challenge), который используется при аутентификации
для преобразования введенных пользователем данных перед отправкой их
проверяющей стороне. При таком подходе перехват сетевого трафика
оказывается бесполезным — проверяющая сторона каждый раз присыла-
ет новый запрос, на который существует единственный правильный от-
вет, который невозможно быстро вычислить, не зная секретной инфор-
мации (пароля или PIN-кода).

Аутентификация сетевых подключений
в Windows 95/98
5 января 1999 года компания LOpht опубликовала статью о найденной уязвимо-
сти в реализации схемы запрос/ответ при подключении сетевых ресурсов
Windows 95/98. Как оказалось, при попытках подключения Windows 95/98 посы-

<< Предыдущая

стр. 4
(из 39 стр.)

ОГЛАВЛЕНИЕ

Следующая >>