Документ взят из кэша поисковой машины. Адрес
оригинального документа
: http://oit.cmc.msu.ru/lectures/sec_it.htm
Дата изменения: Wed Nov 24 14:51:52 1999 Дата индексирования: Mon Oct 1 20:22:17 2012 Кодировка: Windows-1251 |
Безопасность Информационных Технологий
Вопросы, связанные с безопасностью,
можно разделить на безопасный обмен сообщениями
в сетях и защиту локальных сетей и отдельных
компьютеров, подключенных к глобальным сетям, от
любого рода нежелательных воздействий.
Безопасный обмен
сообщениями.
Для безопасного обмена сообщениями разработан
целый ряд приложений, которые используют
различные протоколы безопасного обмена. Каждый
протокол безопасного обмена в свою очередь может
использовать различные алгоритмы симметричного
шифрования, шифрования с открытым ключом, хеш
функции и сертификаты.
Начнем рассмотрение с алгоритмов шифрования и
хеш функций, а затем рассмотрим протоколы и
приложения, в которых они используются.
Симметричное
шифрование
DES
Размер блока шифрования, размер ключа, фазы
шифрования. Детали единственной итерации, S-boxes.
Генерация подключей. Режимы выполнения DES.
Двойной DES. Тройной DES с двумя ключами.
IDEA
Размер блока шифрования, размер ключа. Основные
характеристики IDEA. Используемые операции. Детали
единственной итерации. Генерация подключей.
Дешифрование IDEA. Режимы выполнения IDEA.
SKIPJACK
Двойная система - обеспечение
конфиденциальности с механизмами для раскрытия
коммуникаций криминальных элементов.
Шифрование
с открытым ключом и хеш функции
RSA
Принципы криптографических систем с открытым
ключом. Использование криптографических систем
с открытым ключом: шифрование/ дешифрование,
цифровая подпись, обмен ключей. Требования к
криптографическим системам с открытым ключом.
Описание алгоритма. Вычислительные аспекты.
Генерация ключа. Обсуждение криптоанализа.
MD5
Алгоритм дайджеста сообщения MD5. Цели разработки
MD5: безопасность, скорость, простота и
компактность. Принципы работы MD5. Шаги обработки
сообщения. Усиление MD5 по сравнению с MD4.
SHA
Принципы работы SHA. Шаги обработки сообщения.
Сравнение SHA и MD5.
DSS
DSS использует алгоритм SHA, разработан
для обеспечения только функции цифровой подписи.
Его нельзя использовать для шифрования или
обмена ключа. DSS основан на трудности вычисления
дискретных логарифмов.
Diffie-Hellman
Цель алгоритма состоит в том, чтобы два
пользователя могли безопасно обменяться ключом,
который может использоваться для последующего
шифрования сообщений. Сам алгоритм ограничен
обменом ключей. Описание алгоритма.
Эффективность алгоритма зависит от трудности
вычислений дискретных логарифмов.
Цифровая
подпись, аутентификация и обмен ключей
Аутентификация
Возможные атаки в контексте сетевых
коммуникаций. Понятие аутентификации. Классы
аутентификационных функций: шифрование
сообщения (симметричное и открытым ключом),
криптографическая контрольная сумма (создание
небольшого блока данных фиксированной длины,
который присоединяется к сообщению), хеш функция.
Криптографическая контрольная сумма, основанная
на DES.
Цифровая подпись
Понятие цифровой подписи. Основные требования к
цифровой подписи. Прямая цифровая подпись.
Различные технологии арбитражной цифровой
подписи: симметричное шифрование, арбитр видит
сообщение; симметричное шифрование, арбитр не
видит сообщение; шифрование открытым ключом,
арбитр не видит сообщение.
Алгоритмы обмена ключей и
протоколы аутентификации
Атаки повторения (replay атаки). Возможные способы
предотвращения этих атак: использование отметки
времени и nonce (случайного числа). Подходы
симметричного шифрования: протокол Needham/ Schroeder
распределения секретного ключа с использованием
центра распределения ключей (KDC); протокол Denning
распределения секретного ключа; протокол
распределения секретного ключа с использованием
билета. Подходы шифрования открытым ключом:
протокол с использованием отметки времени;
различные протоколы с использованием nonce
(случайного числа).
X.509
Сертификат открытого ключа. Х.509 основан на
использовании шифрования с открытым ключом и
цифровой подписи. Получение пользовательского
сертификата. Анализ сертификатов. Процедуры
аутентификации: одношаговая аутентификация,
двухшаговая аутентификация, трехшаговая
аутенитфикация.
Приложения
и протоколы, использующие шифрование и
аутентификацию
Kerberos
Основная цель разработки Kerberos. Подход Kerberos:
используется трехсторонний аутентификационный
сервис на основе протокола Needham/ Schroeder. Билеты
Kerberos. Kerberos версии 4: простой аутентификационный
диалог, более безопасный аутентификационный
диалог. Области Kerberos и многочисленные Kerberi. Kerberos
версии 5: различия между версиями 4 и 5,
аутентификационный диалог версии 5.
SSL/TLS
Цель разработки протокола SSL/TLS. Уровни протокола.
Протокол Рукопожатия. Используемые алгоритмы
шифрования.
SSH
Удаленное администрирование с помощью SSH.
Аутентификация пользователей и серверов.
Шифрование и сжатие данных. Безопасная передача
данных.
SNMP v2
Модель сетевого управления, используемая в SNMP:
станция управления, агент управления,
управляющая информационная база (MIB), сетевой
протокол управления. Архитектура протокола
управления сетью. Политика доступа. Концепция
прокси сервиса. Недостатки SNMP v1: отсутствие
поддержки распределенного управления сетью,
функциональные недостатки, недостатки
безопасности. SNMP v2: распределенное управление
сетью, функциональное усиление - включено две
новые команды, усиления безопасности -
аутентификация, защита передаваемых данных,
управление доступом к определенным частям MIB.
Защита
компьютеров от несанкционированного доступа
Формальные модели
Основные формальные модели. Понятие
дискреционного и мандатного контроля доступа.
Стандарт POSIX
Понятие эталонной модели. Интерфейсы защиты,
аудита и управления доступом.
Материалы Гостехкомиссии
России
Принципы классификации автоматизированных
систем и средств вычислительной техники по
уровню защищенности от несанкционированного
доступа.
Литература
William Stalling, Ph.D. Network and internetwork security: principles and practice. 1995 by Prentice-Hall, Inc. ASimon & Schuster Company Englewood Cliffs, New Jersey 07632, ISBN 0-02-415483-0
Джон Вакка. Секреты безопасности в Internet. ДИАЛЕКТИКА. Киев, 1997, ISBN 966-506-045-7
STANDARDS PROJECT. Draft Standard for Information Technology - Portable Operating System Interface (POSIX) - Part 1: System Application Program Interface (API) - Amendment: Protection, Audit and Control Interfaces. PSSG/D15. December 1995
RFC 1510 - The Kerberos Network Authentication Service (V5). September 1993
Руководящие документы Гостехкомиссии России