Please enable JavaScript.
Coggle requires JavaScript to display documents.
Secure «Безопасность компьютерных сетей и систем» (Терминология…
Secure
«Безопасность компьютерных сетей и систем»
Терминология
Безопасность информации
- состояние инфы, при котором исключается возможность ознакомления, изменения или ее уничножения лицами, не имеющими на это права (злоумышленик)
Защита информации
- это действия, направленные на обеспечение безопасности инфы
Уязвимость
- слабое место в системе, с использованием которого может быть осуществлена атака
Риск
- вероятность того, что конкретная атака будет осуществлена с использованием конкретной уязвимости. Уровень риска должен найти отражение в политике безопасности компании.
Политика безопасности
- правила, стандарты и практические навыки, которые определяют то, как инфа обрабатывается, защищается и распространяется внутри организации и между ними; набор критериев для предоставления служб безопасности
Атака
- любое действие, нарушающее безопасность инфы, это действие (умышленное или нет) или последовательность связанных действий, использующих уязвимости данной инфо-системы и приводящих к нарушению политики безопасности.
Механизм безопасности
- програмное и-или аппаратное средство, коротое определяет и-или предотвращает атака
Алгоритмы симметричного шифрования
- алгоритм шифрования, в которых для шифрования и дешифрования используется один и тот же ключ
Традиционная или симметричная криптография решает проблемы алгоритмов с помощью применения ключа К.
Симметричной
называется, потому что ключ шифрования и дешифрования одинаковы или могут быть легко быть получены один из другого
Делится на
Блочное шифрование
и
потоковое
При
потоковом
открытый текст обрабатывается алгоритмом побитно или побайтно, не популярны з-за сложности обеспечения безопасности при малых порциях данных.
1 more item...
Требования:
6 more items...
Алгоритм асимметричного шифрования
- для шифро- и дешифрования используется два разных ключа, отрытый и закрытый, причем зная один, вычислить другой невозможно.
Надежный закрытый ключ 128 бит, а открытый ключ 2048 бит, а то и 4096бит
RSA Rivert-Shamir-Adleman (Шифрование/Цифровая подпись/Обмен ключей)
Алгоритм Диффи-Хеллмана (Обмен ключей)
Требования
вычислительно легко создать пару ключей (открытый ключ и закритый ключ
вычислительно легко, имея открытый ключ и незашифрованное сообщение, создать соответствующее зашифрованное сообщение
вычислительно легко дешифровать сообщение, используя закрытый ключ
вычислительно невозможно, зная открытый ключ, определить закрытый ключ
вычислительно невозможно, зная открытый ключ и зашифрованное сообщение, расшифровать исходное сообщение
Хэш-функции
- функции, входным значение которых является сообщение произвольной длины, а выходным - сообщение фиксированной длины.
(Целостность и аутентичность)
Предназначена для получение "отпечаков пальцев", так наз. Контрольной суммы.
Особенности:
должна применяться к сообщению любой длины
создает на выходе профиль фиксированной длины
должна быть односторонней (восстановить исходное сообщение невозможно)
отсутствие коллизий (нет другое такое же сообщение)
MD5 128 бит
Размер блока обработки
512 бит
, число операций
64
(4 раунда по 16 циклов в каждом)
SHA-1 160 бит
Размер блока обработки
512 бит,
число операций
80
SHA-2 или SHA-256, SHA-384, SHA-512
Отличаются не только длиной создаваемого хэш-кода, но и длиной обрабатываемого блока, длиной слова (
64 бита
, а не 32 как в MD5 или SHA-1) и используемыми внутренними функциями
MAC (Message Authentication Code)
- криптографически созданный небольшой блок данных фиксированного размера, аутентификатор, с помощью которого проверяется аутентичность.
Быстрая, надежная и простая в реализации альтернатива односторонним ф-ям хеширования.
Цифровая подпись
Управление распределения ключами
(сертификаты)
Служба безопасности
- служба, которая обеспечивает задаваемую политикой безопасности систем и/или передаваемых данных, либо определяет осуществление атаки. Использует один или более механизмов безопасности.
Конфиденциальность
- предотвращение пассивных атак (невозможность прослушивания трафика) - реализация данной службы это шифрование
Аутентификация
- подтверждение того, что инфа получена из законного источника, и получатель действительно является тем, за кого себя выдает.
Целостность
- сервис, гарантирующий, что инфа при хранении или передаче не изменилась.
Управление доступом (контроль доступа)
- обеспечение возможности гибкого управления доступностью инфы для пользователей, узлов, приложений
Доступность
- результатом атак может быть потеря или снижение доступности того или иного сервиса.
Невозможность отказа
- невозможность, как для получателя так и для отправителя, отказаться от факта передачи.
Цели злоумышленников:
Нарушение нормального течения коммуникаций между объектами
Получение несанкционированного доступа к информации
Несанкционированное изменение инфы
Несанкционированное уничтожение инфы
Фальсификация инфы
Классы атак
Пассивная
- противник не может модифицировать передаваемые сообщения и вставлять в информационный канал свои сообщения. Задача - прослушивание трафика
Активная атака
- противник может модифицировать передаваемые сообщения и вставлять свои.
Отказ в обслуживании (DoS - Denial of Service)
- нарушает нормальное использование служб или систем в целом. Примером является создание значительного трафика, в результате чего, сетевой сервис не может обрабатывать запросы клиентов.
Модификация потока данных
-
атака Man in the middle
- означает либо изменение содержимого пересылаемого сообщения, либо изменение порядка сообщений.
Фальсификация
-
spuffing
- нарушение аутентичности означает попытку одного субьекта выдать себя за другого
Повторное использование (replay атака)
- означает пассивный захват данных с последующей их пересылкой для получения несанкционированного доступа.
Криптоанализ
- процесс воссоздания открытого текста или ключа шифрования, или обоих.
Анализ с известным (или вероятно известным) фрагментом открытого текста
- известен алгоритм шифрования, подлежащий расшифровке текст и некоторые фрагменты исходного текста.
Анализ с избранным открытым текстом
- известен алгоритм шифрования, подлежащий расшифровке текст, кроме того, есть возможность шифровать с помощью того же ключа.
Анализ с избранным шифрованным текстом
- известен алгоритм, подлежащий расшифровке текст, есть возможность расшифровать с помощью того же ключа.
Анализ с избранным текстом
- известен алгоритм шифрования, подлежащий расшифровке текст, есть возможность как шифровать с помощью того же ключа, так и расшифровать с тем же ключом.
Анализ на основе знания зашифрованного текста
- известны только несколько сообщений зашифрованных одним и тем же алгоритмом.
Криптография
- наука о том, как обеспечить секретность сообщения. Покрывает все практические аспекты секртного обмена сообщениями, включая аутентификацию, цифровые подписи, электронные деньги и т.д.
Включает в себя:
симметричные криптосистемы
системы электронной подписи
управление ключами
хэш-функции
Криптология
- раздел математики, изучающий мат. основы криптографических методов
Алгоритм шифрования
представляет собой математическую операцию или набор таковых
Безопасность алгоритмов
Криптографически безопасный алгоритм
- если зашифрованное сообщение не содержит никакой инфы об исходном сообщении и ключе
Вычислительно безопасен
если:
цена расшифровки сообщений больше цены самого сообщения;
время, необходимое для расшифровки больше срока жизни сообщения
Если алгоритм известен только отправителю и получателю, то это
ограниченний (секретный) алгоритм
Открытые алгоритмы
Надежность и безопасность обеспечивается секретным ключом, а не самим алгоритмом
Открытый текст
Шифрованный текст
Алгоритм дешифрования
Секретный ключ
- обычный текст, известный только нам
Причины, делающие атаки возможными
Недостатки сетевых протоколов (TFTP, SMTP - нет авторизации, ТСР - верит квитанциям)
Недостатки (ошибки) реализации сетевых протоколов (увеличение окна перегрузки по количеству пришедших квитанций без учета кол-ва квитированных байтов)
Недостатки (ошибки) реализации сетевых служб (подверженность службы переполнения буфера)
Недостатки (ошибки) конфигурирования сетевых служб (неверные разрешения на чтение/запись данных)
Недостатки политики выбора паролей, приводящие к возможности организации эффективного перебора паролей
Недостатки, связанные с низкой квалификацией пользователей, использующих простые, но небезопасные способы выполнения задачи
Недостатки, связанные с низким уровнем понимания проблем безопасности пользователями (хранение паролей на задней крышке клавиатуры и т.д.)