По словарю Владимира Даля криптография – тайно-писанное, шифрованное тарабарское письмо, знаками вместо букв.

Информационная безопасность.

В настоящее время используются следующие услуги безопасности:

Аутентификация. Различают аутентификацию партнеров по взаимодействию и аутентификацию источника данных (сообщений).

Аутентификация партнеров по взаимодействию используется при установлении соединения или выполняется периодически во время сеанса связи и служит для предотвращения таких угроз, как маскарад и несанкционированное воспроизведение данных (сообщений) предыдущего сеанса связи.

Аутентификация источника заключается в подтверждении подлинности источника отдельных сообщений. Следует отметить, что данный вид аутентификации не обеспечивает защиты от несанкционированного воспроизведения сообщений предыдущего сеанса.

Управление доступом. Управление доступом обеспечивает защиту от несанкционированного использования ресурсов сети.

Конфиденциальность данных. Конфиденциальность обеспечивает защиту от несанкционированного получения информации. Различают следующие конфиденциальности:

· конфиденциальность при взаимодействии с установлением соединения (в этом и следующем случае защищается вся пользовательская информация);

· конфиденциальность при взаимодействии без установления соединения;

· конфиденциальность отдельных полей сообщения (избирательная конфиденциальность);

· конфиденциальность трафика (противодействие различным методам раскрытия, основанным на анализе потоков сообщения).

Целостность данных. Данная услуга подразделяется на подвиды в зависимости от того, какой тип взаимодействия используется – с установлением соединения или без, защищается ли сообщение целиком или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.

Принадлежность. Данная услуга (доказательство принадлежности в случае отказа от ранее переданного/принятого сообщения) обеспечивает:

· доказательство принадлежности с подтверждением подлинности источника сообщений;

· доказательство принадлежности с подтверждением доставки.

Для реализации услуг безопасности могут использоваться следующие механизмы и их комбинации.

Шифрование. Шифрование подразделяется на симметрическое (один и тот же секретный ключ для шифрование и дешифрование) и ассиметрическое (различные ключи для шифрования и дешифрования).

Электронная (цифровая) подпись. Механизм электронной подписи включает в себя две процедуры:

· выработку (вычисление подписи);

· проверку подписанных сообщений.

Процедура выработки подписи использует информацию, известную только подписывающему. Процедура проверки подписи является общедоступной, при этом, однако, она не позволяет раскрывать секретную информацию подписывающего.

Механизмы управления доступом. В ходе принятия решения о предоставлении запрашиваемого доступа могут использоваться следующие виды и источники информации:

· базы данных управления доступом. В такой базе, поддерживаемой централизованно или на оконченных системах, могут храниться списки управления доступом или структуры аналогичного назначения;

· пароли или иная аутентификация информации;

· различные удостоверения, предъявление которых свидетельствует о наличии прав доступа;

· метки безопасности, ассоциированные с субъектами и объектами доступа;

· время запрашиваемого доступа;

· маршрут запрашиваемого доступа;

· длительность запрашиваемого доступа.

Механизмы управления доступом могут находиться у любой из взаимодействующих сторон или в промежуточной точке. В промежуточных точках целесообразно проверять права доступа к коммуникационным ресурсам. Требования механизма, расположенного на приемном конце, должны быть известны заранее, до начала взаимодействия.

Механизмы контроля целостности. Различают два аспекта целостности: целостность сообщения или отдельных его полей и целостность потока сообщений.

Процедура контроля целостности отдельного сообщения (или поля) включает в себя два процесса – один на передающей стороне, другой на приемной. На передающей стороне к сообщению добавляется избыточность (та или иная разновидность контрольной суммы), которая является функцией сообщения. Полученное приемной стороной сообщение также используется для вычисления контрольной суммы. Решение принимается по результатам сравнения принятой и вычисленной контрольной суммы. Отметим, что данный механизм не защищает от несанкционированного воспроизведения (например дублирования) сообщений.

Для проверки целостности потока сообщений (то есть для защиты от изъятия, переупорядочивания, реплицирования и вставки сообщений) используються порядковые номера, временные метки, криптографические методы (в виде различных режимов шифрования) или иные аналогичные приемы.

При взаимодействии без установления соединения использование временных меток может обеспечить частичную защиту от несанкционированного воспроизведения сообщений.

Механизмы аутентификации. Аутентификация может достигаться за счет использования паролей, персональных карточек или иных устройстваналогичного назначения, криптографических методов, устройств измерения и анализа биометрической информации.

Аутентификация бывает односторонней (например, клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – вход пользователя в систему.

Для защиты от несанкционированного доступа воспроизведения аутентификационной информации могут использоваться временные метки и система единого времени, а так же различные методы на основе хеш-функций.

Механизм дополнения («набивки») трафика. Механизм «набивки» трафика эффективны только в сочетании с мерами по обеспечению конфиденциальности; в противном случае злоумышленник сможет выделить полезные сообщения из общего потока, содержащего шумовую «набивку».

Механизм нотаризации. Механизм нотаризации служит для заверения подлинности. Заверение обеспечивается надежной третьей стороной, которая обладает достаточной информацией, для того, чтобы ее заверениям можно было доверять. Как правило, нотаризация опирается на механизм электронной цифровой подписи.

Общие принципы и модели.

Криптография составляет основу сформулированных выше услу безопасности и является наиболее мощным средством обеспечения конфиденциальности, контроля целостности и аутентификации.

Рис 1.

Базовая модель (рис 1) предполагает существование противника, имеющего доступ к открытому каналу связи и перехватывающего путем прослушивания все сообщения, передаваемые от отправителя к получателю. Прослушивание со стороны противника называется пассивным перехватом сообщений. Кроме того противник может активно вмешиваться в процесс передачи информации – модифицировать передаваемые сообщения и даже изымать сообщения из канала. Такие действия называются активным перехватом сообщений.