Криптографические средства защиты информации с открытым ключом

1.2.5. Предотвращение неизвестных эксплойтов

на рабочих станциях и серверах – TRAPS.

Не все можно проконтролировать на сетевом уровне: реализация защиты от вредоносного кода и эксплойтов должна быть одновременно на рабочих станциях и серверах. PaloAltoNetworks использует уникальный метод установки ловушек на все способы проникновения эксплойтов в операционные системы MS Windows – он реализован в продукте TRAPS. Этим продуктом уже остановлены различные виды неизвестных ранее атак.

 

 

 

 

2. Практическое применение криптографических  примитивов и протоколов с  открытым ключом в системах  защиты информации.

Протокол - это распределенный алгоритм, определяющий последовательность шагов, точно специфицирующих действия, которые требуются от двух или более участников для решения некоторой задачи.

Алгоритм называется распределенным по той причине, что действия, описанные в нем, выполняются не одним лицом, не одним только участником, а несколькими, действующими независимо друг от друга.

Свойства протокола:

• Действия имеют очередность от начала и до конца;
• Ни одно действие не выполняется, пока не закончилось предыдущее;
• Должно быть точно определено каждое действие;
• Не должно быть двусмысленности, из каждой ситуации должен быть определенный выход;
• Одного действующего лица недостаточно для протокола (должно быть два или более);
• Все участвующие в протоколе стороны должны заранее знать последовательность действий и быть согласны ее выполнять;
• Стороны решают некоторую конкретную задачу - это не бесцельные действия.

Криптографический протокол - такой протокол, в котором используются криптографические алгоритмы и который служит для решения некоторой криптографической задачи, например, обеспечивает секретность, целостность, аутентичность информации. (Далее под словом «протокол» всегда имеется в виду криптографический протокол.)

В теоретической криптографии протокол рассматривается как «черный ящик», который имеет т входов и п<т выходов:

Очевидно, любой протокол можно тривиально сконструировать, если есть такой участник криптосистемы (Доверенное лицо), которому все остальные участники полностью и, безусловно, доверяют.

Однако на практике такие ситуации почти не встречаются, поэтому задача конструирования криптографических протоколов, как правило, заключается в следующем. Криптографический протокол должен быть построен таким образом, чтобы частично или полностью не доверяющие друг другу участники криптосистемы могли бы «эмулировать» эту доверенную сторону общими усилиями.

В частном случае, когда в криптографическом протоколе участвуют только две стороны, рассматривается «черный ящик» с двумя входами и двумя выходами.

Если оба участника в результате выполнения протокола должны получить одинаковые выходные данные, тогда как уже отмечалось, протокол - структура более высокого уровня, чем криптографические примитивы и алгоритмы. В одном протоколе могут использоваться разнообразные примитивы и алгоритмы. Неправильное применение одного или нескольких из них может привести к утрате безопасности всего протокола. Вот простейший пример такой ситуации: в протоколе для закрытия передаваемых данных используется какой-либо алгоритм шифрования, но ключ к нему в процессе выполнения протокола передается в открытом виде. Очевидно, что здесь причиной утраты безопасности является именно неверная конструкция протокола, хотя шифр может быть сколь угодно стойким.

Грамотное конструирование криптографических протоколов, как правило, преследует две цели: защиту от стороннего нарушителя и защиту от взаимного обмана. Криптографический протокол - такая процедура взаимодействия участников, в результате которой законные участники достигают своей цели, а противник не достигает.

Робастный (robust) протокол - протокол, обладающий «внутренней», конструктивной устойчивостью к попыткам его «сломать». В лучшем случае можно сконструировать протокол так, что если большинство участников, верно, следуют протоколу, то они получат верный результат.

Упругий (resilient) протокол - протокол, сохраняющий безопасность, если противник узнает некоторую часть секретных данных участников.

Один и тот же протокол может выполняться одними и теми же лицами многократно в течение какого-то промежутка времени. Сеанс (сессия) - это однократное выполнение протокола. Раунд протокола - это однократная двусторонняя пересылка сообщений.

В зависимости от контекста раунд может включать две или более единичные пересылки сообщений. Иногда внутри протокола встречаются циклические конструкции: тогда однократное выполнение цикла и называется раундом.

Описание криптографических протоколов, как правило, кроме описания действий участников, включает спецификацию требуемых характеристик алгоритмов и начальных условий, требуемых для корректной работы протокола.

Участники протокола в общем случае подразделяются на две группы:

непосредственно решающие задачу протокола (как правило, обозначаются буквами латинского алфавита А, В, С, D... либо символическими именами Алиса, Боб, Карл, Виолетта и т. п.);

обслуживающие участников первой группы: арбитр, третейский судья, дилер, центр доверия, центр распределения ключей и др.

В зависимости от количества участников, принадлежащих к первой группе, протоколы делятся на двусторонние и многосторонние. Таких участников, в свою очередь, можно подразделить на честных (honest) и нечестных (dishonest). В числе последних отмечают умышленно мешающих честным решать задачу протокола, т.е. противников, или злоумышленников, и неумышленно нечестных, допускающих непреднамеренные ошибки. Вместе с тем на практике бывает весьма трудно достоверно определить, преднамеренным или случайным является отклонение того или иного лица от предписанных протоколом действий. В связи с этим обычной практикой является принятие более сильного предположения о том, что в протоколе действует злоумышленник, и конструирование протокола в расчете именно на реализацию этой угрозы. Противник в разных задачах может иметь различные возможности: взаимодействовать с абонентами от имени других, вмешиваться в обмен информацией, противником может быть один из абонентов или несколько, вступивших в сговор.

По способу вторжения в протокол противник может быть пассивным (eavesdropper) или активным (active adversary). Пассивный обычно обозначается буквой Е (Eva). Он может только прослушивать каналы связи и выборочно или полностью сохранять информацию, передаваемую по этим каналам. Активный, который чаще всего обозначается буквой М (Mallory может вставлять,

модифицировать, удалять сообщения из каналов связи) овладевать частью секретных ключей участников протокола.

История возникновения теории криптографических протоколов проистекает из тех сфер человеческой деятельности, где существует взаимное недоверие сторон, потенциальная возможность обмана ими друг друга, несовпадающие интересы. К таким отраслям относятся, прежде всего, банковское дело, нотариат, коммерческие, финансовые сделки, деловая переписка, документооборот и др.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2.1 . Характеристика Компании ООО «Группа Титан».

http://www.group-titan.ru

Компания ООО «Группа Титан» ведет свою деятельность вот уже более 15 лет, и за это время стала одним из крупнейших игроков на рынке юридических и бухгалтерских услуг широкого спектра в Москве. Сотрудничая и с юридическими, и с физическими лицами, представителями малого, среднего и крупного бизнеса.

2.1.1.Юридические услуги

• Представительство интересов (в судебном и досудебном порядке)
• Юридическое сопровождение и консалтинг бизнеса
• Корпоративное и трудовое право
• Вопросы интеллектуальной собственности
• Специализированные юридические услуги

2.1.2.Бухгалтерские услуги

• Постановка, ведение и восстановление бухгалтерского учета
• Налоговое планирование и оптимизация
• Аудит и оценка
• Финансово-хозяйственное консультирование
• Разблокировка расчетного счета и другие специальные бухгалтерские и налоговые услуги

2.1.3.Регистрационные услуги

• Регистрацию НКО
• Ликвидацию фирм
• Проекты готовых фирм
• Лицензирование
• Сертификацию
• Допуск и членство СРО

 

 

 

 

 

2.2.Исследование программно-аппаратных  комплексов защиты информации  с открытым ключом.

В наше время развитых технологий самым дорогим товаром становится информация. Сейчас вопросом ее защиты озаботились не только крупные и солидные корпорации, но и небольшие фирмы, и даже частные лица. Никому не хочется, чтобы произошла утечка маркетинговых исследований, бухгалтерских данных или просто неопубликованного еще материала. На российском рынке работает большое количество различных компаний, предоставляющих программные продукты с целью обеспечения информационной безопасности для любого пользователя.

Для проведения исследования различных программных продуктов рассмотрим четыре представленных продукта различных производителей. Задачей исследования является попытка определить наиболее приемлемое программное обеспечение информационной безопасности исходя из требований Компании ООО «Группа Титан». Основное внимание при проведении исследования необходимо уделить:

1. – оказание технической поддержки
2. – простота инсталляции и удобство пользования в рабочей среде
3. - Использование групп объектов
4. - Журнал регистрации IP-пакетов и преобразования сетевых адресов
5. - Создание нескольких конфигураций и быстрое переключение между ними.
6. -Прозрачное шифрование данных, производимое в реальном времени, позволяет работать с документами в обычном режиме.
7. -Возможность сохранения автоматически и вручную, а также восстановления конфигурации программы по состоянию на определенный момент времени

 

 

 

 

 

 

 

2.2.1.ViPNet Personal Firewall (сертифицированный)

Категория: Сетевые экраны 

Исполнение: Программный комплекс 

Тип операционной системы: Windows (desktop & server) 

 

государственным структурам и организациям, продукт сертифицирован ФСБ России по требованиям к межсетевым экранам и может использоваться для защиты информации от НСД в государственных структурах и организациях.

 

ViPNet Personal Firewall 4.1 — программный межсетевой экран, предназначенный для контроля и управления трафиком рабочих мест и серверов пользователей информационных систем.

 

 

ViPNet Personal Firewall 4.1 — простая в управлении и эксплуатации программа, функционирующая под управлением операционных систем семейства Microsoft Windows:

XP SP3 (32-разрядная),

Server 2003 (32-разрядная),

Vista (32/64-разрядная),

Server 2008 (32/64-разрядная),

Server 2008 R2,

Windows 7 (32/64-разрядная),

Windows 8 (32/64-разрядная),

Server 2012.

Основные возможности программы:

• Использование технологии MSI для установки ПО ViPNet.

Для программы ViPNet Personal Firewall версии 4.1 разработан установочный пакет, который позволяет устанавливать программу с использованием Microsoft System Center, а также с помощью программ, обращающихся к командной строке Windows для запуска автоматической установки ViPNet Personal.

• Возможность использования экранной клавиатуры для аутентификации

В версии 4.1 во время загрузки Windows для аутентификации в программе ViPNet Personal Firewall вы можете использовать экранную клавиатуру. Для этого нажмите кнопку и в меню выберите пункт Экранная клавиатура.

• Специальные правила обработки IP-трафика от приложений, использующих протоколы FTP, DNS, H.323, SCCP, SIP.

Специальная функция обработки прикладных протоколов обеспечивает активацию разрешающего сетевого фильтра для дополнительного соединения на случайно выбранный порт, открываемый прикладным протоколом.

• Использование групп объектов.

Группы объектов — это средство, позволяющее упростить создание сетевых фильтров и правил трансляции адресов в программе ViPNet Personal Firewall.

 Они объединяют несколько  значений одного типа и могут  быть заданы при настройке  параметров фильтра или правила вместо отдельных объектов.

• Работа сетевых фильтров по расписанию.

Реализована возможность применения правил фильтрации по заранее заданному расписанию, позволяющая гибко управлять и ограничивать расходы на оплату каналов связи.

 

 

 

• Журнал регистрации IP-пакетов и преобразования сетевых адресов (NAT).

В программе реализованы средства регистрации и отображения результатов (событий) обработки IP-пакетов. Поддерживается автоматическая архивация журналов и экспорт данных в формат html или MS Excel.

• Создание нескольких конфигураций и быстрое переключение между ними.

Реализована возможность создавать различные конфигурации с разными наборами фильтров и оперативно переключаться между ними.

Дополнительные возможности программы: Поддержка неограниченного количества сетевых адаптеров, встроенный контроль приложений для обнаружения и ограничения сетевой активности программ, осуществляющих попытку обращения к сетевым ресурсам, использование drag-and-drop в интерфейсе программы для перемещения фильтров.

Системные требования:

Процессор — Intel Core 2 Duo или другой схожий по производительности x86-совместимый процессор с количеством ядер 2 и более.

Объем оперативной памяти — не менее 1 Гбайт.

Свободное место на жестком диске — не менее 300 Мбайт.

Операционная система — Microsoft Windows XP (32-разрядная), Server 2003 (32-разрядная), Vista (32/64-разрядная), Server 2008 (32/64-разрядная), Server 2008 R2, Windows 7 (32/64-разрядная), Windows 8 (32/64-разрядная), Server 2012.

При использовании Internet Explorer — версия 6.0 или выше.

2.2.2.ViPNet Safe Disk 3.3

коммерческим организациям и индивидуальным пользователям

ViPNet SafeDisk обеспечивает высокий уровень защиты любой информации, сохраняя при этом все удобства работы с данными как с обычными файлами.

Защита данных:

• Прозрачное шифрование данных, производимое в реальном времени, позволяет работать с документами в обычном режиме.
• Информация хранится в контейнере в виде зашифрованного файла на диске или внешнем носителе и защищается  файл-ключом или электронным ключом.
• При подключении контейнер отображается в системе как обычный диск. При отключении контейнера логический диск перестает отображаться в системе, поэтому установить факт наличия конфиденциальной информации и получить к ней доступ невозможно.
• В программе существуют режимы экстренного отключения контейнеров и выхода из программы (режим «Опасность»), а также режим экстренного уничтожения доступа к информации для всех пользователей программы (режим «Большая опасность»).