Электронная цифровая подпись

 

Электро́нная цифрова́я по́дпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося.

В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.[2] В 1977 году, Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.[3] Вскоре после RSA были разработаны другие ЭЦП, такие как алгоритмы цифровой подписи Рабина, Меркле. В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям.

В 1994 году Главным управлением безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации был разработан первый российский стандарт ЭЦП — ГОСТ Р 34.10-94, основанный на вычислениях в группе точек эллиптической кривой и на хеш-функции, описанной в ГОСТ Р 34.11-94. В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р 34.10-94 был введен стандарт ГОСТ Р 34.10-2001.[6] В соответствии с этим стандартом термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами.

Существует несколько схем построения цифровой подписи:

1. На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.

2. На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭЦП наиболее распространены и находят широкое применение.

Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем. Их появление обусловлено разнообразием задач, решаемых с помощью ЭЦП.

Цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:

Доказательное подтверждение авторства документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

Контроль целостности передаваемого документа. При любом случайном или преднамеренном изменении документа изменится подпись, следовательно, она станет недействительной.

Защиту от изменений (подделки) документа.

Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.

Все эти свойства ЭЦП позволяют использовать её для следующих целей[8]:

1. Декларирование товаров и услуг (таможенные декларации)

2. Регистрация сделок по объектам недвижимости

3. Использование в банковских системах

4. Электронная торговля и госзаказы

5. Контроль исполнения государственного бюджета

6. В системах обращения к органам власти

7. Для обязательной отчетности перед государственными учреждениями

8. Организация юридически значимого электронного документооборота

9. В расчетных и трейдинговых системах

 

Цифровой сертификат

 

Цифровой сертификат — выпущенный удостоверяющим центром электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.

Сертификат открытого ключа

Сертификат открытого ключа удостоверяет принадлежность открытого ключа некоторому субъекту, например, пользователю. Сертификат открытого ключа содержит имя субъекта, открытый ключ, имя удостоверяющего центра, политику использования соответствующего удостоверяемому открытому ключу закрытого ключа и другие параметры, заверенные подписью удостоверяющего центра. Сертификат открытого ключа используется для идентификации субъекта и уточнения операций, которые субъекту разрешается совершать с использованием закрытого ключа, соответствующего открытому ключу, удостоверяемому данным сертификатом. Формат сертификата открытого ключа X.509 v3 описан в RFC 2459.

Сертификат атрибутов

Структура сертификата атрибутов аналогична структуре сертификата открытого ключа. Отличие же заключается в том, что сертификат атрибутов удостоверяет не открытый ключ субъекта, а какие-либо его атрибуты — принадлежность к какой-либо группе, роль, полномочия и т.п. Сертификат атрибутов применяется для авторизации

субъекта. Формат сертификата атрибутов описан в RFC 3281.

 

В любой сети, где есть больше, чем один сервер, очень полезно бывает иметь перед глазами полную картину происходящего. В крупных сетях, где количество хостов переваливает за несколько десятков, следить за каждым в отдельности — непосильная задача для администраторов. Для облегчения задачи наблюдения применяются системы мониторинга

Термином мониторинг сети называют работу системы, которая выполняет постоянное наблюдение за компьютерной сетью в поисках медленных или неисправных систем и которая при обнаружении сбоев сообщает о них сетевому администратору с помощью почты, пейджера или других средств оповещения. Эти задачи являются подмножеством задач управления сетью.

В то время как система обнаружения вторжений следит за появлением угроз извне, система мониторинга сети выполняет наблюдение за сетью в поисках проблем, вызванных перегруженными и/или отказавшими серверами, другими устройствами или сетевыми соединениями. Например, для того, чтобы определить состояние веб-сервера, программа, выполняющая мониторинг, может периодически отправлять запрос HTTP на получение страницы; для почтовых серверов можно отправить тестовое сообщение по SMTP и получить по IMAP или POP3. Неудавшиеся запросы (например, в том случае, когда соединение не может быть установлено, оно завершается по тайм-ауту, или когда сообщение не было доставлено) обычно вызывают реакцию со стороны системы мониторинга. В качестве реакции может быть:

1. отправлен сигнал тревоги системному администратору;

2. автоматически активирована система защиты от сбоев, которая временно выведет проблемный сервер из эксплуатации, до тех пор, пока проблема не будет решена, и так далее.

 

Мониторинг сетей

Средства для мониторинга сети и обнаружения в её работе «узких мест» можно разделить на два основных класса:

1. стратегические;

2. тактические.

Назначение стратегических средств состоит в контроле за широким спектром параметров функционирования всей сети и решении проблем конфигурирования ЛВС.

Назначение тактических средств – мониторинг и устранение неисправностей сетевых устройств и сетевого кабеля.

К стратегическим средствам относятся:

1. системы управления сетью

2. встроенные системы диагностики

3. распределённые системы мониторинга

4. средства диагностики операционных систем, функционирующих на больших машинах и серверах.

Наиболее полный контроль за работой, осуществляют системы управления сетью, разработанные такими фирмами, как DEC, Hewlett – Packard, IBM и AT&T. Эти системы обычно базируются на отдельном компьютере и включают системы контроля рабочих станций, кабельной системой, соединительными и другими устройствами, базой данных, содержащей контрольные параметры для сетей различных стандартов, а также разнообразную техническую документацию.

Одной из лучших разработок для управления сетью, позволяющей администратору сети получить доступ ко всем её элементам вплоть до рабочей станции, является пакет LANDesk Manager фирмы Intel, обеспечивающий с помощью различных средств мониторинг прикладных программ, инвентаризацию аппаратных и программных средств и защиту от вирусов. Этот пакет обеспечивает в реальном времени разнообразной информацией о прикладных программах и серверах, данные о работе в сети пользователей.

Встроенные системы диагностики стали обычной компонентой таких сетевых устройств, как мосты, репиторы и модемы. Примерами подобных систем могут служить пакеты Open – View Bridge Manager фирмы Hewlett – Packard и Remote Bridge Management Software фирмы DEC. К сожалению большая их часть ориентирована на оборудование какого – то одного производителя и практически несовместима с оборудованием других фирм.

Распределённые системы мониторинга представляют собой специальные устройства, устанавливаемые на сегменты сети и предназначенные для получения комплексной информации о трафике, а также нарушениях в работе сети. Эти устройства, обычно подключаемые к рабочей станции администратора, в основном используются в много сегментных сетях.

К тактическим средствам относят различные виды тестирующих устройств (тестеры и сканеры сетевого кабеля), а также устройства для комплексного анализа работы сети – анализаторы протоколов. Тестирующие устройства помогают администратору обнаружить неисправности сетевого кабеля и разъёмов, а анализаторы протоколов – получать информацию об обмене данными в сети. Кроме того, к этой категории средств относят специальное ПО, позволяющее в режиме реального времени получать подробные отчёты о состоянии работы сети.

 

Утилиты тестирования

Ping – yтилитa для пpoвepки coeдинeний в ceтяx нa ocнoвe TCP/IP. Oнa oтпpaвляeт зaпpocы (ICMP Echo-Request) пpoтoкoлa ICMP yкaзaннoмy yзлy ceти и фикcиpyeт пocтyпaющиe oтвeты (ICMP Echo-Reply). Bpeмя мeждy oтпpaвкoй зaпpoca и пoлyчeниeм oтвeтa (RTT, oт aнгл. Round Trip Time) пoзвoляeт oпpeдeлять двycтopoнниe зaдepжки (RTT) пo мapшpyтy и чacтoтy пoтepи пaкeтoв, тo ecть кocвeннo oпpeдeлять зaгpyжeннocть нa кaнaлax пepeдaчи дaнныx и пpoмeжyтoчныx ycтpoиcтвax.

Taкжe пингoм инoгдa oшибoчнo нaзывaют вpeмя, зaтpaчeннoe нa пepeдaчy пaкeтa инфopмaции в кoмпьютepныx ceтяx oт клиeнтa к cepвepy и oбpaтнo oт cepвepa к клиeнтy. Этo вpeмя нaзывaeтcя лaгoм (aнгл. oтcтaвaниe; зaдepжкa, зaпaздывaниe) или coбcтвeннo зaдepжкoй и измepяeтcя в миллиceкyндax. Лaг cвязaн co cкopocтью coeдинeния и зaгpyжeннocтью кaнaлoв нa вcём пpoтяжeнии oт клиeнтa к cepвepy.

Пoлнoe oтcyтcтвиe ICMP-oтвeтoв мoжeт тaкжe oзнaчaть, чтo yдaлённый yзeл (или кaкoй-либo из пpoмeжyтoчныx мapшpyтизaтopoв) блoкиpyeт ICMP Echo-Reply или игнopиpyeт ICMP Echo-Request.

Пpoгpaммa ping являeтcя oдним из ocнoвныx диaгнocтичecкиx cpeдcтв в ceтяx TCP/IP и вxoдит в пocтaвкy вcex coвpeмeнныx ceтeвыx oпepaциoнныx cиcтeм. Фyнкциoнaльнocть ping тaкжe peaлизoвaнa в нeкoтopыx вcтpoeнныx OC мapшpyтизaтopoвПpoгpaммa былa нaпиcaнa Maйкoм Myyccoм (aнгл. Mike Muuss), yчёным Иccлeдoвaтeльcкoй Лaбopaтopии Бaллиcтики (aнгл. Ballistics Research Lab) CШA в дeкaбpe 1983 гoдa.