Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• защиту от несанкционированного доступа;
• обеспечение конфиденциальности и целостности передаваемой информации с использованием средств криптографической защиты;
• регистрацию и учет действий пользователей и событий в системе.
Основу подсистемы защиты составляет СКЗИ «Крона» (разработка МО ПНИЭИ), однако наряду с ней могут применяться следующие средства защиты информации:
392 Компьютерная безопасность и практическое применение криптографии
• средства типа брандмауэров (рекомендуются к применению в качестве дополнительных блоков, поскольку они не входят в состав поставки системы), обеспечивающие защиту от удаленных атак нарушителей;
• система оповещения администратора безопасности о нарушениях защиты;
• ведение журналов безопасности, позволяющих администраторам производить анализ функционирования средств защиты информации и оперативно выявлять возникающие проблемы;
• встроенные средства контроля, фиксирующие ошибочные действия оператора;
• механизм повторной передачи информации по требованию клиента (специальный запрос), использующийся для предотвращения потери данных, передаваемых и хранящихся в системе;
• парольная защита при входе в ПО «Декарт» и при обращении к крип-тосерверу (КС).
СКЗИ «Крона» позволяет выполнить следующие задачи информационной безопасности:
• конфиденциальность и целостность передаваемой информации на основе ГОСТ 28147-89;
• двустороннюю аутентификацию в режиме online на основе ГОСТ P 34.10-94, ГОСТ 28147-89 и рекомендаций Х.509;
• обеспечение юридической значимости передаваемых электронных документов на основе ГОСТ P 34.10-94;
• единое управление ключевой структурой из единого центра.
Симметричная ключевая структура построена по принципу «звезда» -в центре находится банковская часть системы, а на периферии - клиенты. Соответственно каждый клиент имеет симметричные ключи, предназначенные исключительно для связи с банковской частью. Это приводит к тому, что защищенное взаимодействие можно устанавливать только с банком и при компрометации ключей у какого-то единичного пользователя не потребуется менять ключ во всей системе в целом. В качестве ключевых носителей могут использоваться гибкие магнитные диски, смарт-карты и touch memory.
Другой положительный момент - встраивание СКЗИ «Крона» происходит с применением криптосервера (о достоинствах данного подхода говорилось выше). Таким образом, в банковскую часть системы встраиваются только процедуры удаленного вызова функций КС с использованием разработанного МО ПНИЭИ CryptoAPI.
Электронные платежные системы и Internet
393
3.9.2. Теоретические основы электронных денег
Совершенно уникальные возможности для реализации возможностей электронных платежных систем предоставляют так называемые электронные деньги. Фактически они выступают электронным эквивалентом бумажных денег, хотя при этом у них есть и своя специфика:
• электронные деньги могут пересылаться с использованием Internet или обычных телефонных каналов;
• для их хранения могут использоваться как физические устройства (например, смарт-карты), так и рабочая станция пользователя;
• электронные деньги (как, впрочем, и любую другую информацию, представленную в электронном виде) молено легко размножить или скопировать, поэтому при построении систем, имеющих дело с подобной формой плателсей, необходимо обеспечить уникальность каждой электронной банкноты;
• передача по общедоступным каналам связи приводит к тому, что появляется потенциальная возмолшость отследить, где, когда и какие средства были потрачены тем или иным субъектом. Понятно, что это обстоятельство приводит к необходимости разрабатывать особые меры по обеспечению анонимности плательщика. Кстати, подобная проблема возникает и в существующих на сегодняшний день электронных платежных системах, в которых при проведении платежа между покупателем и плательщиком обязательно участвует финансовая организация. В результате появляется еще одна инстанция, которая обладает всей полнотой информации о проводимых сделках и их деталях.
Вывод очевиден - создание электронных денег невозможно без повсеместного использования как широко известных криптографических механизмов (симметричные алгоритмы шифрования, хэш-функции и ЭЦП), так и совершенно новых идей, например затемняющей подписи и др.
Примеры построения платежных систем с использованием электронных денег
Пример 1
Представляемая здесь система построена с участием третьей стороны -банка или другой финансовой организации, в функции которой входит как создание электронных монет, так и проверка их подлинности и уникальности при проведении платежа между покупателем и продавцом.
394 Компьютерная безопасность и практическое применение криптографии
Перед тем как прибегнуть к услугам предлагаемой системы, пользователь должен пройти процедуру регистрации, которая заключается в следующем:
1. Пользователь создает пару ключей для подписи - KP (открытый) и KP1 (секретный).
2. Банк создает сертификат для пользователя, содерлсащий имя банка (В), имя пользователя (P), срок действия сертификата (е), сумму денежного лимита пользователя (S), открытый ключ пользователя (KP), и подписывает его на своем секретном ключе подписи (KB1). В итоге сертификат имеет следующий вид:
