Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Двойная подпись создается путем генерации хэш-кодов для двух сообщений (H(Ml) и Н(М2)), вычисления итогового хэш-кода (Н(МЗ)) от первых двух хэш-кодов и генерации ЭЦП для трех хэш-кодов (S(H(Ml)), S(H(M2)), S(H(M3))). После чего покупатель направляет по два сообщения в банк и продавцу.
Система защиты информации
Определенный интерес для защиты представляет разработка фирмы «АйТи», обеспечивающая разграничение доступа и организацию защищенного обмена информацией мелсду пользовательскими приложениями.
404 Компьютерная безопасность и практическое применение криптографии
Компьютер клиента 4
ПО клиента
.11
Транспортный модуль
Модуль работы со смарт-картой и функциями криптографической защиты
I
Смарт-карта клиента
Разработано в "Ай-Ти"
Сервер
Транспортный модуль
10
ПО сервера
Модуль администрирований пользователей
Модуль работы с базой клиентов, со смарт-картами и криптографией (SV_TOKEN.DLL)
1
БД
3Z
Смарт-карта клиента
Рис. 3.39. Структура защищенного обмена информацией
Достоинством системы является легкая интегрируемость в прикладное ПО. Фактически данное средство защиты информации представляет собой набор динамических подключаемых библиотек (DLL) с реализованными в них функциями по организации защиты информации. Для подключения к прикладному ПО необходимо на этапе его разработки встроить в него обращение к функциям, реализованным в DLL. Полностью документированный интерфейс позволяет использовать библиотеки с ПО, написанным на Visual С++, Visual Basic, Delphi, Java 1.1 и др.
Система защиты информации работает по схеме «клиент-сервер». Хранение секретной информации осуществляется на серверной стороне в базе данных, а на клиентской - на смарт-картах пользователей.
Системе присущи следующие функциональные возможности:
• аутентификация пользователей;
• обеспечение конфиденциальности и целостности передаваемой информации;
• административные функции в отношении пользователей (добавление/ удаление пользователей, изменение прав доступа пользователей, генерация ключей с записью на смарт-карты и базу данных, просмотр информации по пользователям и их смарт-картам).
Структура защищенного обмена информацией и этапы прохождения сообщения представлены на рис. 3.39.
Электронные платежные системы и Internet
405
Передача зашифрованного сообщения с ЭЦП от клиента к серверу производится следующим образом:
1. Клиентское ПО приглашает клиента идентифицировать себя (ввести PIN-код) и передает эту информацию модулю cl_token.dll, который работает со смарт-картами и функциями криптографической защиты.
2. Модуль идентифицирует клиента. Если введенный PIN-код и PIN-код, записанный на карте, совпадают, то модуль зашифровывает и подписывает сообщение с помощью ключей, хранящихся на карте.
3. Модуль возвращает в ПО зашифрованное сообщение с ЭЦП.
4. Клиентское ПО передает зашифрованное сообщение с ЭЦП транспортному модулю для передачи его на сервер.
5. Транспортный модуль клиента передает сообщение транспортному модулю сервера по каналу связи.
6. Серверное ПО получает зашифрованное сообщение с ЭЦП от транспортного модуля.
7. Сообщение передается модулю sv__token.dll, который работает с базой клиентов и функциями криптографической защиты.
8. Модуль расшифровывает сообщение и проверяет ЭЦП, используя информацию о клиенте.
9. Модуль возвращает серверному ПО расшифрованное сообщение и код результата проверки ЭЦП.
Передача зашифрованного сообщения с ЭЦП от сервера к клиенту выглядит следующим образом:
1. Серверное ПО подготавливает сообщение для передачи определенному клиенту. Затем передает эту информацию модулю sv_token.dll, который работает с базой клиентов и функциями криптографической защиты.
2. Модуль зашифровывает и подписывает сообщение с помощью ключей, хранящихся в базе данных.
3. Модуль возвращает приложению зашифрованное сообщение с ЭЦП.
4. Серверное ПО передает зашифрованное сообщение с ЭЦП транспортному модулю.
5. Транспортный модуль сервера передает сообщение транспортному модулю клиента.
6. Клиентское ПО получает зашифрованное сообщение с ЭЦП от транспортного модуля.
7. Сообщение передается модулю cl_token.dll для расшифрования и проверки ЭЦП.
406 Компьютерная безопасность и практическое применение криптографии
8. Модуль расшифровывает сообщение и проверяет ЭЦП с помощью информации о сервере, хранящейся в карте клиента.
9. Модуль возвращает ПО клиента, расшифрованное сообщение и результат проверки ЭЦП.
10. Добавление нового клиента и выпуск карты с помощью утилиты администрирования:
11. Администратор системы с помощью модуля администрирования вводит информацию о новом клиенте и передает ее серверному модулю.
12. Модуль создает запись о новом клиенте, генерирует сертификат клиента (а также открытый ключ клиента) и сохраняет его в базе данных по картам и владельцам.
13. Кроме этого, модуль генерирует закрытый ключ клиента и записывает его вместе с сертификатом на карте клиента.
14. Модуль возвращает серверному ПО информацию о результатах операции.
В заключение хотелось бы сказать, что тематика, которой посвящена представленная работа, далеко не исчерпывается рассмотренными вопросами, да и рамки одной книги не позволяют детализировать многие из из-ложенных здесь тем. Для тех, кто интересуется проблемами компьютерной безопасности и криптографическими методами защиты информации, можно порекомендовать поискать нужные сведения в Internet (список наиболее интересных, по мнению автора, Internet-ресурсов приведен ниже) либо обратиться к дополнительной литературе (список рекомендованной литературы тоже прилагается).
