ГОСТ 28147-89

date image 2015-04-30
views image 1241
Поделись с друзьями: 
2345678

ГОСТ 28147-89 — блочный шифр с 256-битным ключом и 32 циклами преобразования, оперирующий 64-битными блоками. Основа алгоритма шифра —сеть Фейстеля. Выделяют четыре режима работы ГОСТ 28147-89:простой замены, гаммирование, гаммирование с обратной связью, режим выработки имитовставки.

5. Реализация защиты информации и криптографических функций в продуктах фирмы Microsoft:

- аутентификация;

При обмене данными в ходе аутентификации с использованием протокола NTLM серверный ресурс (например, файл-сервер) генерирует запрос, который направляется клиенту. Клиент формирует NTLM-ответ, включающий хеш пароля пользователя, а сервер проверяет правильность этого ответа. Если клиент использует локальную учетную запись, сервер проверяет ответ пользователя с помощью хеша пароля пользователя, Если же клиент применяет доменную учетную запись, сервер передает ответ для проверки контроллеру домена,

В системе Windows Kerberos доверенной третьей стороной является контроллер домена Windows 2000 или более поздней версии, на котором размещается служба центра распространения ключей Kerberos Key Distribution Center (KDC). Центр KDC облегчает процедуру аутентификации между оснащенным средствами Kerberos клиентом и сервером. Служба KDC автоматически устанавливается как компонент системы AD и состоит из двух подсистем: службы аутентификации Authentication Service (AS) и службы предоставления билетов Ticket-Granting Service (TGS).

Когда пользователь регистрируется в домене Windows с использованием протокола Kerberos, клиент Windows первым делом проверяет подлинность пользователя на контроллере домена с помощью пользовательского пароля. В то же время клиент запрашивает билет на выдачу билета Ticket Grant Ticket (TGT) в службу аутентификации. TGT можно рассматривать как временный пароль (по умолчанию время его жизни составляет 8 часов), который будет заменять пароль пользователя в последующих запросах на аутентификацию. Когда пользователю нужно будет обратиться к серверному ресурсу, клиент представит TGT на выдачу TGT для проверки подлинности на серверном ресурсе.

- цифровая подпись:

Например, Microsoft Outlook использует протокол S/MIME для шифрования и подписи сообщений с помощью открытого ключа. S/MIME обеспечивает аутентификацию, целостность сообщения, сохранение авторства и безопасность данных (посредством шифрования).

Чтобы подписать сообщение усиленной квалифицированной электронной подписью, применение которой предусмотрено для обмена документами по вопросам лицензирования, одного Outlook недостаточно. Для создания и проверки электронной подписи нам также понадобится сертифицированное средство электронной подписи, например КриптоПро CSP.

При наличии установленных квалифицированного сертификата и средства криптографической защиты можно будет подписать сообщение.
S/MIME (Secure/Multipurpose Internet Mail Extensions) — стандарт для шифрования и подписи в электронной почте с помощью открытого ключа.

- защита транзакций

SET Окончательная версия протокола SET была выпущена в мае 1997 года. Протокол работает с четырьмя субъектами: владельцем кредитной карточки, банком, эту карточку выпустившим (issuer - эмитент), продавцом (merchant) и банком, где помещен счет продавца (acquirer). Помимо этих функциональных субъектов в процессе обычно (опционно) участвует центры сертификации, в задачу которых входит подтверждение подлинности предъявляемых параметров аутентификации, причем в случае крупных сделок с этими центрами должны взаимодействовать все участники. Основной целью сертификатов является подтверждение того, что присланный общедоступный ключ прибыл от настоящего отправителя, а не от самозванца.

SSH (англ. S ecure Sh ell — «безопасная оболочка»[1]) — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования.

3D Secure - протокол, работающий непосредственно через домен Visa, тем самым домен Visa осуществляет идентификацию сторон и покупатель уверен в том, что магазин сертифицирован Visa, иначе транзакция не произойдет.

- защита файловой системы:

NTFS – new technology file system - обеспечивает широкий диапазон разрешений, в отличие от FAT, что дает возможность индивидуальной установки разрешений для конкретных файлов и каталогов. Это позволяет указать, какие пользователи и группы имеют доступ к файлу или папке и указать тип доступа.
Имеет встроенные средства восстановления данных; поэтому ситуации, когда пользователь должен запускать на томе NTFS программу восстановления
диска, достаточно редки. Даже в случае краха системы NTFS имеет возможность автоматически восстановить непротиворечивость файловой системы, используя журнал транзакций и информацию контрольных точек.
Реализованная в виде В-деревьев структура папок файловой системы NTFS позволяет существенно ускорить доступ к файлам в папках большого объема по сравнению со скоростью доступа к папкам такого же объема на томах FAT.
NTFS позволяет осуществлять сжатие отдельных папок и файлов, можно читать сжатые файлы и писать в них без необходимости вызова программы, производящей декомпрессию.

NTFS ≈ наилучший выбор для работы с томами большого объема. При этом следует учесть, что если к системе предъявляются повышенные требования (к числу которых относятся обеспечение безопасности и использование эффективного алгоритма сжатия), то часть из них можно реализовать только с помощью NTFS. Поэтому в ряде случаев нужно использовать NTFS даже на небольших томах.

6. Реализация защиты в Unix подобных ОС:

- аутентификация;

uid - user id цифровое значение пользователя

gid - group id цифровое значение группы пользователей.

В UNIX сеанс работы пользователя начинается с его аутентификации и заканчивается его выходом из системы. Вход в систему:

процесс getty ожидает реакции пользователя на одной из терминальных линий, в случае активности пользователя выводит приглашение ввести регистрационные данные пользователя;

1. после ввода имени пользователя запускается программа login, которая проверяет подлинность данных пользователя. Стандартным механизмом является проверка пароля, заданного для данного пользователя;

2. убедившись, что пароль введён правильно, login запускает командную оболочку с установленными UID и GID данного пользователя. Таким образом, права доступа любого процесса (действительного субъекта), запущенного пользователем в этом сеансе работы, будут определяться правами номинального субъекта UID+GID.

Рисунок 2.20. Регистрация пользователя в системе

В современных UNIX-системах существуют расширения систем авторизации и аутентификации, позволяющие интегрировать в процесс аутентификации любые дополнительные процедуры. Например, в Linux-системах этот механизм называется подключаемые модули аутентификации (Pluggable Authentication Modules, PAM).

- цифровая подпись;

КриптоПро – линейка шифровальных программ - так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации электронной подписи (ЭП), работы с сертификатами, организации структуры PKI (открытых ключей) и т.д. Средство криптографической защиты КриптоПро CSP разработано по согласованному с ФАПСИ техническому заданию в соответствии с криптографическим интерфейсом фирмы Microsoft — Cryptographic Service Provider (CSP). КриптоПро CSP имеет сертификаты соответствия ФАПСИ и может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну

- защита транзакций

SET Окончательная версия протокола SET была выпущена в мае 1997 года. Протокол работает с четырьмя субъектами: владельцем кредитной карточки, банком, эту карточку выпустившим (issuer - эмитент), продавцом (merchant) и банком, где помещен счет продавца (acquirer). Помимо этих функциональных субъектов в процессе обычно (опционно) участвует центры сертификации, в задачу которых входит подтверждение подлинности предъявляемых параметров аутентификации, причем в случае крупных сделок с этими центрами должны взаимодействовать все участники. Основной целью сертификатов является подтверждение того, что присланный общедоступный ключ прибыл от настоящего отправителя, а не от самозванца.

SSH (англ. S ecure Sh ell — «безопасная оболочка»[1]) — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования.

3D Secure - протокол, работающий непосредственно через домен Visa, тем самым домен Visa осуществляет идентификацию сторон и покупатель уверен в том, что магазин сертифицирован Visa, иначе транзакция не произойдет.

- защита файловой системы.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

2345678

double arrow
Сейчас читают про:
article image
Примеры решения задач. Определите рентабельность продукции по следующим данным: количество выпущенных изделий за квартал - 1 500 штук
article image
Виды деятельности. Существуют различные классификации видов деятельности:
article image
Показатели движения численности работников. Пример 1,2
article image
Технология изготовления порошков
article image
Анализ финансового состояния предприятия
article image
ОСНОВЫ МЕТОДИКИ САМОСТОЯТЕЛЬНЫХ ЗАНЯТИЙ ФИЗИЧЕСКИМИ УПРАЖНЕНИЯМИ
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Стол, кресло, блюдо с фруктами и скрипка – что еще нужно человеку для счастья? © Эйнштейн ==> читать все изречения...
like icon 6051
like icon 5988
Понравился сайт? Поделись им с друзьями: