 |
Личные сертификаты. Краткое описание процесса работы с личными сертификатами. Подлинность электронной подписи. Архитектуры PKI
|
|
|
|
Личные сертификаты
Краткое описание процесса работы с личными сертификатами
Для того чтобы получить сертификат, нужно обратиться в Удостоверяющий Центр. Перед запросом на получение сертификата нужно удостовериться, что данный УЦ аккредитован в той сфере, где владелец сертификата будет его использовать. Для получения сертификата необходимо сгенерировать пару открытый-закрытый ключи; это производит либо пользователь, либо УЦ. в зависимости от политики Удостоверяющего Центра или договоренностей между клиентом и УЦ.
Для использования сертификатов (подписи или проверки подписи), пользователь должен установить на используемую Операционную систему криптографические средства, поддерживающие работу с данными сертификатами и алгоритмами электронной подписи.
После получения сертификата его нужно установить в свою систему. При использовании ОС семейства Windows, после установки сертификата его можно будет увидеть через оснастку «хранилище личных сертификатов»» (Пуск -> Выполнить -> certmgr. msc -> OK). В свойствах можно увидеть время действия сертификата, кем он был выдан, кому был выдан, его уникальный номер и другие атрибуты. Для того, чтобы клиент мог работать с удостоверяющим центром, необходимо включить центр в список доверенных.
Подлинность электронной подписи
Архитектуры PKI
В основном выделяют 5 видов архитектур PKI, это:
1. простая PKI (одиночный УЦ)
2. иерархическая PKI
3. сетевая PKI
4. кросс-сертифицированные корпоративные PKI
5. архитектура мостового УЦ
В основном PKI делятся на разные архитектуры по следующим признакам
• количество УЦ (а также количество УЦ, которые доверяют друг-другу)
|
|
|
• сложность проверки пути сертификации
• последствия выдачи злоумышленника себя за УЦ
Рассмотрим более подробно каждую из архитектур PKI в отдельности.
Классификация средств защиты информации
СВТ
Гостехкомиссия России, ныне ставшая ФСТЭК, разделила понятия АС и средств вычислительной техники (СВТ). Выделение СВТ в отдельную категорию обусловлено тем, что СВТ представляют собой компоненты при построении АС, т. е. если СВТ не интегрированы в АС и не решают какой-то прикладной задачи, они не содержат пользовательской информации. Помимо этого, АС является более широким понятием, включающим в себя персонал, помещения, технологии обработки информации, полномочия пользователей системы.
Пример: ПЭВМ с установленной на ней операционной системой формально является СВТ. Но если её поставить в конкретную комнату, закрепить за ней пользователя, выполняющего какую-то работу, - АС. Следует отметить, что средства защиты информации также относятся к СВТ.
СВТ - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
СВТ классифицируются в соответствии с Руководящим документом Гостехкомиссиии России «СВТ. Защита от НСД к информации. Показатели защищённости от НСД».
Аутентификация
ски меняться. Для обеспечения достаточной стойкости протоколов аутентификации с фиксированными паролями используется ряд приёмов:
• хранение в компьютерной системе файлов паролей в защищённом режиме (с защитой от чтения-записи);
• хранение в системе не самих паролей, а их образов, полученных как результат вычисления однонаправленной функции от пароля, взятого в качестве аргумента;
• задание правил выбора паролей (минимальное количество символов, недопущение использования осмысленных слов, необходимость сочетания букв и цифр и т. п. ), имеющих целью максимизировать энтропию пароля:
|
|
|
• искусственное замедление процесса ввода пароля в систему с целью резкого увеличения времени на перебор паролей; выбор в качестве пароля осмысленного предложения (фразы) с последующим преобразованием посредством хеш-функции в короткое сообщение, которое обычно обладает большей энтропией, чем пароль такой же длины, выбираемый человеком;
• добавление системой случайной величины к паролю перед обработкой его однонаправленной функцией - метод солтинга.
Разновидностью фиксированных паролей являются PIN-коды (от английских слов -Personal Identification Number). Это числовые пароли длиной от 4 до 8 десятичных цифр. Чаще всего они используются в соединении с методом «обладания чем-либо»: обычно микропроцессорной пластиковой картой или картой с магнитной полосой. PIN-код обеспечивает второй уровень защиты на случай, если карта потеряна или украдена. Для защиты от полного перебора такого маленького ключевого пространства необходимы дополнительные меры: организационная и физическая защита. Например, банкомат может забрать у пользователя пластиковую карту или блокировать её после нескольких подряд неудачных попыток ввода пароля.
Третий вариант - использование двухфакторной аутентификации на базе новейших технологий аутентификации. Основным преимуществом двухфакторной аутентификации является наличие физического ключа и пинкода к нему, что обеспечивает дополнительную устойчивость к взлому. Ведь утрата аппаратного ключа не влечёт за собой компрометации пароля. так как кроме ключа для доступа к системе нужен ещё и пинкод к ключу.
|
|
|
