Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 71

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 65 66 67 68 69 70 < 71 > 72 73 74 75 76 77 .. 181 >> Следующая

Встраивание программных средств защиты информации может осуществляться одним из следующих способов:
• с использованием программных интерфейсов;
• с использованием криптосервера.
Существуют также некоторые специфические способы интеграции программных средств защиты информации в целевые системы, например интеграция в операционную систему (ОС) Windows NT криптопротокола Kerberos через архитектуру DCE.
Очевидно, что основная проблема встраивания заключается в корректном использовании вызываемых функций. Субъекты, связанные с выполнением подобных операций, могут использовать некоторое общее подмножество криптографических функций логического преобразования объектов (в частности, алгоритмы контроля целостности объектов). При проектировании конечной системы защиты исторически сложившийся подход к использованию общего ресурса связан с применением разделяемых субъектов, выполняющих общие для других субъектов функции.
Программным интерфейсом (далее - API) называется детальное описание функций и используемых ими параметров. Формат обращения к функциям, описанный в программном интерфейсе, поддерживает прикладное ПО.
Общие сведения
175
Для того чтобы интегрировать защитный механизм в данное ПО, необходимо согласовать форматы функций (вызываемых и реализованных). Однако при таком подходе возникает следующая трудность: не всегда API предоставляет все необходимые форматы обращения для обеспечения надежной безопасности. Например, API может предоставлять возможность обращения к функциям работы с шифрованием и ЭЦП, но при этом возможность обращения к функциям распределения сеансовых ключей предоставлена не будет.
Наиболее известными на сегодняшний день API являются Crypto API, GSS API и SSPL В ОС Windows NT 4.0 используется программный интерфейс Crypto API, дающий возможность шифрования (RC2, RC4, DES, RSA), выработки и проверки электронной подписи, однако в этой системе нет действующих программных средств с механизмами криптографической защиты. Но необходимо отметить, что алгоритмы шифрования, применяемые в Crypto API, используют укороченные ключи.
В рамках данного подхода необходимо реализовывать процедуры проверки прикладным ПО программных модулей (например, библиотек dll), в которых реализован механизм защиты, на предмет того, что это именно те программные модули, которые предполагалось использовать. Реализовать этот процесс можно, используя механизм запросов и ответов между прикладным ПО и программными модулями, выполняющими защитные функции, или проводя контроль целостности ПО средствами защиты перед тем, как начать с ним работать. Необходимость выполнения этого требования основывается на следующем: злоумышленник может подменить программные модули средства защиты и пользователь не сможет обнаружить, что его открытая информация, которая должна была быть зашифрована, уйдет в канал связи незашифрованной.
Следующий подход с использованием криптографического сервера заключается в локализации средства защиты информации, работающего с критической к компрометации информацией (секретные ключи, пароли и т.д.) на особо выделенной рабочей станции. В прикладное ПО, работающее на другой (находящейся на связи) рабочей станции, встраиваются только вызовы функций, реализованных в ПО криптосервера. Использование криптосервера позволяет выполняться средству защиты информации в доверенной программной среде.
Данный подход используется в случае, когда сложно гарантировать отсутствие негативного влияния прикладного ПО на функционирование средства защиты. Например, такой подход применяется к мейнфреймам. Взаимодействие же криптосервера с целевой станцией осуществляется
176 Компьютерная безопасность и практическое применение криптографии
с использованием выделенного сегмента локальной сети; несанкционированный доступ к этому сегменту предотвращается организационными мерами.
В большинстве случаев непосредственное встраивание осуществляется при работе с исходными текстами прикладного ПО и программного обеспечения средств защиты и последующем совместном компилировании и линковании.
Использование аппаратно-программных средств защиты информации позволяет вынести некоторые, особенно критичные к негативному воздействию процедуры, осуществляемые в данном средстве защиты, для реализации в аппаратной части, что заметно повышает уровень защиты информации. Например, функции подсчета контрольных сумм защищаемых файлов реализуются в аппаратной части, где и хранятся выработанные значения этих сумм.
Средства защиты информации подразделяются в зависимости от уровня взаимодействия открытых систем (в качестве телекоммуникационной основы рассмотрим стек протоколов TCP/IP). Причем для каждого уровня существует свой набор механизмов и служб обеспечения безопасности и соответственно свои наборы угроз. При этом каждый уровень с точки зрения реализации средств безопасности имеет свои преимущества и недостатки.
Каждая подобная конфигурация также может быть охарактеризована набором специфических действий, которые способна предпринять атакующая систему сторона. Если рассматривать проблему в теоретическом плане, такие атаки проводятся с целью компрометации, изменения или уничтожения критичных ресурсов данного уровня. В соответствии с возможными угрозами каждый уровень должен быть защищен специальными средствами защиты, которые взаимно дополняют друг друга и в совокупности обеспечивают информационную безопасность системы в целом.
Предыдущая << 1 .. 65 66 67 68 69 70 < 71 > 72 73 74 75 76 77 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed