Сделай Сам Свою Работу на 5

Сертификация и стандартизация криптосистем

 

Как уже было сказано, криптосистема не может считаться надёжной, если не известен полностью алгоритм её работы. Только зная алгоритм, можно проверить, устойчива ли защита. Однако проверить это может лишь специалист, да и то зачастую такая проверка настолько сложна, что бывает экономически нецелесообразна. Как же обычному пользователю, не владеющему математикой, убедиться в надёжности криптосистемы, которой ему предлагают воспользоваться?

Для неспециалиста доказательством надёжности может служить мнение компетентных независимых экспертов. Отсюда возникла система сертификации. Ей подлежат все системы защиты информации, чтобы ими могли официально пользоваться предприятия и учреждения. Использовать несертифицированные системы не запрещено, но в таком случае вы принимаете на себя весь риск, что она окажется недостаточно надёжной или будет иметь <чёрные ходы>. Но чтобы продавать средства информационной защиты, сертификация необходима.

Для сертификации необходимым условием является соблюдение стандартов при разработке систем защиты информации. Стандарты выполняют сходную функцию. Они позволяют, не проводя сложных, дорогостоящих и даже не всегда возможных исследований, получить уверенность, что данный алгоритм обеспечивает защиту достаточной степени надёжности.

 

Использование криптографии

 

PGP – Pretty Good Privacy – (почти полная приватность) – это семейство программных продуктов, которые используют самые стойкие из существующих криптографических алгоритмов. В основу их положен алгоритм RSA. PGP реализует технологию, известную как "криптография с открытыми ключами". Она позволяет, как обмениваться зашифрованными сообщениями и файлами по каналам открытой связи без наличия защищенного канала для обмена ключами, так и накладывать на сообщения и файлы цифровую подпись.

PGP была разработана американским программистом и гражданским активистом Филиппом Циммерманном, обеспокоенным эрозией личных прав и свобод в информационную эпоху. В 1991 г. в США существовала реальная угроза принятия закона, запрещающего использование стойких криптографических средств, не содержащих "чёрного хода", используя который, спецслужбы могли бы беспрепятственно читать зашифрованные сообщения. Тогда Циммерманн бесплатно распространил PGP в Internet. В результате, PGP стал самым популярным криптографическим пакетом в мире (свыше 2 млн. используемых копий), а Циммерманн подвергся трёхлетнему преследованию властей по подозрению в "незаконном экспорте вооружений".

 

Простейшие практические технологии защиты информации

 

Правила обращения с секретной информацией и ключами

 

· Очень часто люди, не надеясь на память, записывают пароли где-то в пределах своего рабочего места.

· Другой благоприятный с точки зрения "взлома" защиты вариант – когда неаккуратно подходят к выбору пароля. Чаще всего в качестве пароля выбирают что-то крепко сидящее в голове: имя, номер телефона или автомашины. Люди с бедной фантазией назначают паролем то, что попадается им на глаза на рабочем месте: марку монитора, название книги, номер комнаты и т.п. Перепробовать все такие варианты можно вручную, и часто это приносит результаты.

· Набираемый пароль можно не только найти на бумажке или угадать, его можно подсмотреть, подслушать, вынудить человека проговориться, наконец, вытянуть обманом или угрозами.

 


Как работать с паролями

 

Как известно, слабейшим звеном всякой системы защиты является человек. Даже в самой надёжной криптосистеме можно подобрать пароль, если пользователь выбрал его неаккуратно. Ниже приведены правила выбора паролей и обращения с ними. Несоблюдение их может свести на нет всю сложную систему защиты.

1. Пароль не должен быть значимым словом или сочетанием слов какого-либо языка. Словари всех языков давно составлены вместе со всеми возможными формами слов. Распространённые системы подбора паролей начинают перебор, используя словарь, в котором слова расставлены по частоте их употребления. Например, у вас длина пароля до 12 символов. Противник начинает взламывать вашу защиту, перебирая пароль со скоростью 10 000 вариантов в секунду (средний компьютер). Если в качестве пароля выбрано случайное сочетание символов (цифр и латинских букв разного регистра), то возможных вариантов примерно 1262, и перебор вариантов займёт

лет.

Возраст вселенной существенно меньше этого срока. Но если вы для более лёгкого запоминания поставили в качестве пароля осмысленное слово, то количество вариантов резко сокращается. В языке примерно 100 000 слов, вместе два языка дадут 200 000, с учётом всех возможных форм и кодировок пусть 106. Такое число будет перебрано за

Несколько выше ваши шансы, если использовалась пара слов. Сочетаний из двух слов – 1012. Перебор займёт 108 с – около 3 лет. Однако стоит противнику применить более мощный компьютер, как время полного перебора вновь упадёт до нескольких минут. Если же ваше сочетание слов сколь-нибудь осмысленно, то задача упрощается на несколько порядков.

2. Не записывайте свой пароль в файл или на бумажке. Это приведёт к тому, что пароль не только станет известен тому, кто захочет его узнать, но и вы не будете подозревать, что пароль скомпрометирован. Когда вы не рискуете положиться на свою память, пароль записывается в специальный журнал паролей, который опечатывается и хранится в сейфе или в другом месте, исключающем доступ посторонних.

3. Не используйте один пароль для нескольких целей. Предположим, что вы придумали и ухитрились запомнить хороший пароль. И вы ставите его на свой аккаунт в локальной сети, на свой почтовый ящик, аккаунт в системе баннерного обмена, электронный кошелёк, шифруете им свои архивы и т.д. У всех этих систем разная степень стойкости. Грамотному хакеру не составит большого труда перехватить ваш пароль на почтовый ящик. После этого, если не полный лентяй, он попробует его ко всем вашим аккаунтам и, конечно, будет прав. Чтобы избежать такой "цепной реакции", придётся вам запоминать несколько паролей. Надо заметить, что не везде нужны пароли длинные и стойкие. Где-то возможно применение и простых паролей, если информация не представляет особой ценности.

4. При наборе пароля, хотя он, как правило, на экране не отображается, следует всё же избегать чужих глаз. Будет очень полезно, если вы заведёте в коллективе такой порядок, что когда кто-то набирает свой пароль, остальные, как истинные джентльмены, отворачиваются, независимо от того, видно им или нет.

 

Шифрованные архивы

 

Программы-архиваторы, как правило, имеют опцию шифровки. Ею можно пользоваться для не слишком важной информации. Во-первых, используемые там методы шифровки не слишком надёжны (подчиняются официальным экспортным ограничениям), во-вторых, детально не описаны. Всё это не позволяет всерьёз рассчитывать на такую защиту. Архивы с паролем можно использовать только "для чайников".

На некоторых сайтах в Internet можно найти "ломалки" для зашифрованных архивов. Например, архив ZIP взламывается на хорошем компьютере за несколько минут, при этом от пользователя не требуется никакой особой квалификации.

 



©2015- 2017 stydopedia.ru Все материалы защищены законодательством РФ.