2017-12-14
782
Цифровые подписи, цифровые сертификаты.
ACL (англ. Access Control List — список контроля доступа, по-английски произносится «экл») — определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.
Списки контроля доступа являются основой систем с избирательным управлением доступом.
В типичных ACL каждая запись определяет субъект воздействия и операцию: например, запись (Vasya, delete) в ACL для файла XYZ даёт возможность пользователю Vasya удалить файл XYZ.
В системе с моделью безопасности, основанной на ACL, когда субъект запрашивает выполнение операции над объектом, система сначала проверяет список разрешённых для этого субъекта операций, и только после этого даёт (или не даёт) доступ к запрошенному действию.
При централизованном хранении списков контроля доступа можно говорить о матрице доступа, в которой по осям размещены объекты и субъекты, а в ячейках — соответствующие права. Однако в большом количестве систем списки контроля доступа к объектам хранятся отдельно для каждого объекта, зачастую непосредственно с самим объектом.
Традиционные ACL системы назначают права индивидуальным пользователям, и со временем и ростом числа пользователей в системе списки доступа могут стать громоздкими. Вариантом решения этой проблемы является назначения прав группам пользователей, а не персонально. Другим вариантом решения этой проблемы является «Управление доступом на основе ролей», где функциональные подмножества прав к ряду объектов объединяются в «роли», и эти роли назначаются пользователям. Однако, в первом варианте группы пользователей также часто называются ролями.
В файловых системах для реализации ACL используется идентификатор пользователя процесса (UID в терминах POSIX).
Список доступа представляет собой структуру данных (обычно таблицу), содержащую записи, определяющие права индивидуального пользователя или группы на специальные системные объекты, такие как программы, процессы или файлы. Эти записи также известны как ACE (англ. AccessControlEntries) в операционных системах MicrosoftWindows и OpenVMS. В операционной системе Linux и MacOSX большинство файловых систем имеют расширенные атрибуты, выполняющие роль ACL. Каждый объект в системе содержит указатель на свой ACL. Привилегии (или полномочия) определяют специальные права доступа, разрешающие пользователю читать из (англ. read), писать в (англ. write), или исполнять (англ. execute) объект. В некоторых реализациях ACE могут определять право пользователя или группы на изменение ACL объекта.
Концепции ACL в разных операционных системах различаются, несмотря на существующий «стандарт» POSIX. (Проекты безопасности POSIX,.1e и.2c, были отозваны, когда стало ясно что они затрагивают слишком обширную область и работа не может быть завершена, но хорошо проработанные части, определяющие ACL, были широко реализованы и известны как «POSIXACLs».)
В сетях ACL представляют список правил, определяющих порты служб или имена доменов, доступных на узле или другом устройстве третьего уровня OSI, каждый со списком узлов и/или сетей, которым разрешен доступ к сервису. Сетевые ACL могут быть настроены как на обычном сервере, так и на маршрутизаторе и могут управлять как входящим, так и исходящим трафиком, в качестве межсетевого экрана.
Криптография
Криптография — наука о защите информации.
В наше время преимущественное значение имеет информация, существующая в электронном виде, т.е. в виде компьютерных файлов, областей памяти в компьютере и т.д. Соответственно, первостепенное значение имеет защита электронной информации.
Чаще всего приходится решать задачу защиты информации при ее передаче по различным каналам связи, прежде всего через Интернет. Может также возникнуть необходимость защищать информацию при ее хранении, но защита информации при ее передаче является первостепенной задачей (наибольшей опасности информация подвергается именно при передаче).
Защита информации при передаче включает две основные функции:
обеспечение подлинности и корректности передаваемой информации;
защита передаваемой информации от доступа посторонних лиц.
Обеспечение подлинности и корректности передаваемой информации
Обеспечение подлинности и корректности передаваемой информации означает, что получатель уверен, что он знает, кто является отправителем информации, и что во время передачи информация не была изменена.
Если информация передается в виде бумажных документов, то заверение подлинности выполняется путем подписывания этих документов от руки: человек, ставящий подпись, подтверждает подлинность информации. Корректность обеспечивается тем, что в бумажных документах не допускается исправлений (кроме особых случаев, также заверямых подписью). Но как быть в случае передачи электронных документов? Очевидно, нужен электронный аналог подписи. Такой аналог существует и называется электронной цифровой подписью (ЭЦП). Задача обеспечения подлинности и корректности передаваемой информации решается с помощью выработки и проверки электронной цифровой подписи.
Защита передаваемой информации от доступа посторонних лиц
Защита передаваемой информации от доступа посторонних лиц означает, что во время передачи содержание передаваемого сообщения не становится известным никому до того момента, как сообщение попадает к тому человеку, которому оно предназначено.
Поскольку все методы передачи информации сами по себе не обеспечивают защиты передаваемой информации — разговор может быть подслушан, письмо, отправленное по почте, прочитано третьими лицами, а файлы, передаваемые по каналам Интернета, перехвачены — для защиты информации прибегают к ее шифрованию. Шифрование — это выполненное по определенным правилам преобразование текста. Результатом такого преобразования является текст, который нельзя прочитать, не имея информации, необходимой для обратного преобразования. Такой текст называется зашифрованным.
Криптографические алгоритмы и стандарты
Для выработки и проверки электронной подписи, а также зашифрования и расшифрования документов используются определенные последовательности действий, называемые криптографическими алгоритмами.
Криптографический алгоритм — это серьезная разработка, требующая немалого труда специалистов и отвечающая определенным требованиям. Одним и тем же алгоритмом может пользоваться для защиты информации большое количество пользователей, т.к. алгоритмы не являются секретной информацией.
На криптографические алгоритмы существуют стандарты, т.е. официально оформленные совокупности требований, которым эти алгоритмы должны отвечать. Эти стандарты различны в разных странах и изменяются со временем. Популярные американские алгоритмы — RSA, DSA и т.д. — которые часто используются в распространенных программных продуктах, отвечают американским стандартам.
