Приведем несколько практических примеров, связанных с необходимостью обеспечения целостности и подлинности авторства электронных документов. Например, подача налоговой и бухгалтерской отчетности в электронном виде по телекоммуникационным каналам или

передача распоряжений, указов руководством компании своим отделениям по электронной почте.

В данном случае, у получателя и отправителя должна быть гарантия того, что отправленное сообщение не сохранилось, например, где-либо на почтовом сервере, где его мог изменить другой пользователь и отправить по назначению далее, исходное письмо в этом случае до адресата не доходит.

Рассмотрим возможности злоумышленника при реализации угроз, направленных на нарушение целостности передаваемых сообщений и подлинности их авторства [3].

1. Активный перехват. Нарушитель, имеющий доступ к каналу связи перехватывает передаваемые сообщения и изменяет их.

2. Маскарад. Нарушитель посылает документ абоненту B, подписавшись именем абонента A.

3. Ренегатство. Абонент А заявляет, что не посылал сообщения абоненту B, хотя на самом деле посылал. В этом случае, абонент А является злоумышленником.

4. Подмена. Абонент B изменяет или формирует новый документ и заявляет, что получил его от абонента A. В этом случае, в качестве недобросовестного пользователя выступает получатель сообщения B.

5. Повтор. Злоумышленник повторяет ранее переданный документ, который абонент А посылал абоненту B.

Для анализа целостности информации, передаваемой по телекоммуникационным каналам связи, широко используется подход, основанный на вычислении контрольной суммы переданного сообщения и функций хэширования.

Алгоритм вычисления контрольной суммы

Рассмотрим алгоритм вычисления контрольной суммы (КС).

КС -- способ цифровой идентификации некоторой последовательности данных, который заключается в вычислении контрольного значения её кода.

С точки зрения математики КС является типом хэш-функции, используемой для вычисления контрольного кода (КК). КК есть небольшое количество бит внутри большого блока данных, например, сетевого пакета, применяемого для обнаружения ошибок при передаче или хранении информации. Результат вычисления КС добавляется в конец блока данных непосредственно перед началом передачи или сохранения данных на каком -либо носителе информации. Впоследствии он проверяется для подтверждения целостности переданной информации. Популярность КС обусловлена тем, что подобная проверка просто реализуема в двоичном цифровом оборудовании, легко анализируется и хорошо подходит для обнаружения общих ошибок, вызванных наличием шума в каналах передачи данных.

Принцип КС основан на использовании свойств двоичного многочлена, в виде которого представляется исходная битовая последовательность блока данных. При этом каждый бит такой последовательности соответствует одному из полиномиальных коэффициентов. Например, десятичное число 90 (1011010 в двоичной записи) соответствует многочлену следующего вида:

Подобным же образом в виде многочлена может быть представлен любой из блоков обрабатываемых данных.

При вычислении контрольного кода по методу КС используется свойство поведения многочленов, позволяющее выполнять с ними любые арифметические действия. Контрольный код рассчитывается, как остаток от деления по модулю 2 многочлена, полученного из исходной битовой последовательности на некоторый другой заранее определённый многочлен (такой многочлен называется порождающим или примитивным).

где R(x) - контрольный код многочлена Р(х).

Р(х) - исходный многочлен.

G(x) - порождающий многочлен.

r - степень порождающего многочлена.

Применим алгоритм к поиску КС , если задано: Р(х) = 90, х = 2.

Пусть Этот полином скрыт от передачи и неизменен.

r = 3, G(x) = 8+ 0+ 2 + 0 = 10. Тогда, согласно формуле (5.1), получим:



Продолжим решение и внесем изменение в передаваемую информацию, изменив только один последний бит, получим число 91 (1011011 в двоичной записи) соответствует многочлену следующего вида:

Далее действуем по аналогии с выше рассмотренными действиями. Будем иметь: P(x) = 91, x = 2. Пусть

r = 3, G(x) = 8+ 0+ 2 + 0 = 10. Тогда, согласно формуле (5.1), получим:

Как видно из решения, при любом нарушении целостности информации меняется ее контрольная сумма, а значит будет обнаружена ошибка передачи данных. Проверка КС используется в протоколах TCP\IP сетевого и канального уровня, а также там, где необходима проверка целостности полученных данных.

Для обеспечения целостности электронных документов и установления подлинности авторства необходимо использовать дополнительные методы с использованием электронно-цифровой подписи.

5.2 Функции хэширования и электронно-цифровая подпись

Электронно-цифровая подпись (ЭЦП) сообщения является уникальной последовательностью, связанной с сообщением, подлежащей проверке на принимающей стороне с целью обеспечения целостности передаваемого сообщения и подтверждения его авторства.

Электронно-цифровая подпись (ЭЦП) используется для аутентификации текстов, передаваемых по открытым каналам связи. Ее использование позволяет гарантировать выполнение следующих условий.

1. Лицо или процесс, идентифицируемый как отправитель электронного документа, действительно является инициатором отправления.

2. Целостность передаваемой информации не нарушена.

3. Отсутствие возможности отказаться лицу, идентифицируемого как отправителя электронного документа, от обязательств, связанных с подписанным текстом.

ЭЦП представляет собой относительно небольшое количество цифровой информации, дополняющей электронный документ и передаваемой вместе с ним.

Использование ЭЦП предполагает введение ассиметричной системы шифрования и, следовательно, ключевой пары (ОК, СК), а также двух процедур:

1. Процедуру установки ЭЦП (подписание документа).

2. Процедуру проверки ЭЦП (аутентификация документа).

Процедура установки ЭЦП использует секретный ключ отправителя сообщения, а процедура проверки ЭЦП - открытый ключ отправителя сообщения (рис. 5.1). Здесь M - электронный документ, E - электронно-цифровая подпись.

Рис. 5.1. Схема использования ЭЦП

В технологии ЭЦП ведущее значение имеют однонаправленные функции хэширования. Использование функций хэширования позволяет формировать криптографически стойкие контрольные суммы передаваемых сообщений. Функцией хэширования H называют функцию, сжимающую сообщение произвольной длины M, в значение фиксированной длины H(M) (несколько десятков или сотен бит), и обладающую свойствами необратимости, рассеивания и чувствительности к изменениям. Значение H(M) обычно называют дайджестом сообщения M.

Свойство необратимости подразумевает вычислительную трудоемкость воссоздания документа M по хэш-образу H(M), так как хэш-образ сложным образом зависит от документа M и не позволяет его восстановить.

Свойство рассеивания подразумевает то, что вероятность совпадения значений хешей двух различных документов M1 и M2 должна быть чрезмерно мала. Свойство чувствительности к изменениям подразумевает то, что хэш-функция должна быть очень чувствительна к всевозможным изменениям в документе M, таким, как вставки, выбросы, перестановки и т.д.

Наиболее известными алгоритмами хэширования являются MD4, MD5, SHA. Электронно-цифровая подпись формируется, как результат шифрования дайджеста сообщения с помощью секретного ключа, ставящего подпись. Схемы процедур установки и проверки ЭЦП представлены на рис. 5.2.

Рис. 5.2. Схема процедур установки и проверки ЭЦП



Таким образом, схемы установки и проверки ЭЦП выглядят следующим образом.

Схема установки ЭЦП

1. Для документа М формируется дайджест (контрольная сумма) H с помощью заданного алгоритма хэширования.

2. Сформированный дайджест H шифруют на секретном ключе отправителя сообщения. Полученная в результате шифрования последовательность и есть ЭЦП.

3. Сообщение М и его ЭЦП передаются получателю сообщения.

Схема проверки ЭЦП

1. Получатель для проверки ЭЦП должен иметь доступ к самому сообщению М и его ЭЦП.

2. Далее идет автоматическая проверка полученной ЭЦП на основе известного только установщику ЭЦП алгоритма хэширования, , получатель получает хэш присланного сообщения М.

3. Зная открытый ключ отправителя, получатель автоматически дешифрует ЭЦП, в результате чего получает хэш H, сформированный на этапе установки ЭЦП.

4. Критерием целостности присланного сообщения М и подтверждения его автора является совпадение хэшей H и . Если это равенство не выполнено, то принимается решение о некорректности ЭЦП со всеми вытекающими отсюда последствиями.

Целостность передаваемого сообщения гарантируется свойствами функции хэширования. Подлинность авторства сообщения гарантируется используемой технологией асимметричного шифрования. Злоумышленник не сможет подписаться другим пользователем, так как не имеет доступа к его секретному ключу.

Следует отметить, что использование секретного ключа на этапе установки ЭЦП защищает сообщение от активных изменений. Злоумышленник уже не способен скомпрометировать контрольную сумму, в качестве которой здесь выступает дайджест сообщения.

Наиболее известными алгоритмами ЭЦП являются RSA, Эль-Гамаля, DSA. Отечественным стандартом ЭЦП является ГОСТ 34.10-94 [16].

5.3 Инфраструктура открытых ключей PKI

Вступивший в силу с 22 января 2002 года Федеральный закон «Об электронно-цифровой подписи (ЭЦП)» явился базовым законом, в рамках которого возможна организация защищенного документооборота на федеральном уровне. При этом ЭЦП стала иметь доказательную силу при возникновении конфликтных ситуаций.

Одной из наиболее актуальных задач при реализации защищенного документооборота является реализация сервиса безопасности, отвечающего за распределение криптографических ключей. Реализация угроз, нарушающих безопасное функционирование данного сервиса, может иметь катастрофическое значение для безопасности электронного документооборота. Наиболее безопасным способом реализации данного сервиса является способ, основанный на управлении открытыми ключами третьей стороной.

Систематическим, расширяемым, унифицированным и легко управляемым подходом к распределению открытых ключей стало введение сертификатов открытых ключей. Технология PKI (Public Key Infrastructure) является продуманной инфраструктурой безопасности, предназначенной для распространения ОК, управления цифровыми сертификатами и ключами пользователей.

Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов. В число приложений, поддерживающих PKI, входят: защищенная электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью (ЭЦП).

Деятельность инфраструктуры управления открытыми ключами осуществляется на основе регламента системы. Инфраструктура открытых ключей основывается на использовании принципов криптографической системы с открытым ключом. Инфраструктура управления открытыми ключами состоит из центра сертификации, конечных пользователей, центра регистрации и сетевого справочника.

Использование инфраструктуры открытых ключей позволяет обеспечить выполнение следующих условий [17].

1. Лицо или процесс, идентифицируемый как отправитель электронного документа, действительно является инициатором отправления.

2. Лицо или процесс, выступающий получателем электронного документа, действительно является тем получателем, которого имел в виду отправитель.

3. Целостность и конфиденциальность передаваемой информации не нарушена.

Реализация PKI связана с решением ряда проблем. Приведем некоторые из них.

1. Инструментальные системы поддержки инфраструктуры ОК должны отвечать требованиям международных и Российских стандартов. Достижение этого возможно только при использовании специальных сертифицированных программно-аппаратных компьютерных систем.

2. Распространение и хранение ключей должно производиться в юридически точно (де-юре) определенной системе на базе международных криптографических стандартов.

3. Администраторы и пользователи электронного документооборота с ЭЦП должны пройти обучение и получить соответствующие права и сертификаты.

Структура, сервисы и архитектура PKI

Основной информационной единицей, используемой при распространении ОК, является его цифровой сертификат.

Под цифровым сертификатом понимается цифровой документ, подтверждающий соответствие открытого ключа информации, идентифицирующей владельца ключа [17].

Цифровой сертификат позволяет защитить открытый ключ от его подделки злоумышленником. Он содержит подписанную информацию о владельце ОК, сведения об ОК, его назначении, области применения и т.д.

В настоящее время количество приложений, использующих криптографические функции с открытым ключом, постоянно возрастает. Вместе с этим возрастает и количество разнородных сертификатов. Задачу единообразной организации сервиса управления сертификатами и решает инфраструктура открытых ключей.

PKI представляет собой комплексную систему, обеспечивающую все необходимые сервисы для использования цифровых сертификатов, нацеленную на поддержку надежного и доверенного взаимодействия между пользователями. PKI позволяет реализовывать сервисы шифрования и выработки ЭЦП согласованно с широким кругом приложений, функционирующих в среде ОК.

Основными компонентами технологии PKI являются следующие:

1. Удостоверяющий центр.

2. Регистрационный центр.

3. Реестр сертификатов.

4. Архив сертификатов.

5. Конечные субъекты.

Основная функция удостоверяющего центра (УЦ) - заверение цифрового сертификата ОК субъекта своей подписью, поставленной на своем секретном ключе. УЦ является как бы нотариальной конторой, подтверждающей подлинность сторон, участвующих в обмене информацией. Любой субъект может верифицировать сертификат партнера, проверив подпись УЦ под его сертификатом. Это гарантирует то, что злоумышленник не сможет выдать себя за отправителя подписанных данных, заменив значение ОК своим.

Другими функциями УЦ являются:

1. Формирование собственного СК и подписанного сертификата.

2. Выпуск (создание и подписание) сертификатов, подчиненных УЦ.

3. Ведение базы всех изданных сертификатов и формирование списка аннулированных сертификатов.

Регистрационный центр является необязательным компонентом PKI. Он может брать на себя часть функций УЦ, например, регистрацию пользователей; обеспечение их взаимодействия с УЦ; сбор и передачу УЦ информации от заявителя, вносимой в сертификат.

Реестр сертификатов - специальный объект PKI, представляющий собой БД, хранящую сертификаты и списки аннулированных сертификатов.

Архив сертификатов выполняет функцию долговременного хранения информации обо всех изданных сертификатах.

Конечные субъекты - пользователи PKI, делящиеся на две категории: владельцев сертификатов и доверяющие стороны. Владельцем сертификата может быть доверенное физическое или юридическое лицо, приложение, сервер и т.д.

Система PKI должна взаимодействовать с множеством различных приложений: программное обеспечение групповой работы, электронной почты, сетей VPN и т.д. Наиболее общая функциональная схема взаимодействия компонентов PKI представлена на рис. 5.3.

Наиболее часто используемым подходом к реализации PKI является подход, основанный на сертификатах формата X.509.

Формат сертификата открытого ключа X.509.V3 определен в документе RFC 3280 Certificate & CRL Profile. Он представляет собой структурированную двоичную запись, содержащую ряд полей с элементами данных, сопровождаемыми цифровой подписью издателя сертификата. Структура сертификата X.509.V3 представлена в таблице 5.1.

Рис. 5.3. Взаимодействие компонентов PKI

Табл. 5.1. Структура сертификата X.509.V3

Номер поля	Имя поля
1	Номер версии сертификата
2	Уникальный серийный номер сертификата
3	Идентификатор алгоритма ЭЦП, используемого для защиты сертификата от подделки
4	Имя издателя, выпустившего данный сертификат
5	Период действия сертификата (дата начала/дата конца действия)
6	Имя владельца секретного ключа, соответствующего ОК
7	Открытый ключ субъекта
8	Уникальный идентификатор издателя
9	Уникальный идентификатор субъекта
10	Расширения (дополнительная информация, определяющая наличие у владельца сертификата прав доступа к той или иной системе и др.
11	ЭЦП сертификата

Каждый раз, при использовании сертификата необходимо верифицировать его подпись, а также то, что сертификат является действующим. Сертификаты, срок действия которых истек, должны аннулироваться УЦ. Сертификат может также аннулироваться до истечения срока своего действия, например, при компрометации секретного ключа, увольнении служащего организации и т.д.

Программные средства поддержки PKI

Процесс развертывания PKI осуществляется на выбранных программных и программно-аппаратных средствах. Наиболее известными продуктами, на базе которых разворачивается инфраструктура открытых ключей, являются:

1. Entrust/PKI фирмы Entrust Technologies.

2. Baltimore UniCERT фирмы Baltimore Technologies LTD.

3. BT TrustWise Onsite фирмы VeriSign Inc.

4. IBM Trust Authority.

5. RSA Keon Certification Authority фирмы RSA Security Inc.

6. VCERT PKI компании ЗАО «МО ПНИЭИ».

7. Семейство продуктов «КриптоПро».

Для российских условий наиболее адаптированным и полнофункциональным продуктом, на базе которого можно развернуть инфраструктуру открытых ключей, является «КриптоПро».

Программный комплекс «Удостоверяющий центр» - «КриптоПро УЦ» позволяет в полном объеме реализовать инфраструктуру открытых ключей. В состав КриптоПро УЦ входят следующие компоненты:

1. Центр сертификации.

2. Центр регистрации.

3. АРМ администратора.

4. АРМ пользователя.

5. Программный интерфейс взаимодействия с УЦ.

Архитектура УЦ КриптоПро представлена на рис. 5.4.



Рис. 5.4. Архитектура удостоверяющего центра КриптоПро



6. Хранение и распределение ключевой информации

6.1 Типовые схемы хранения ключевой информации

Рассмотрим типовые схемы хранения ключевой информации в открытых КС на примере хранения информации для аутентификации пользователей.

Предположим, что i-й аутентифицируемый субъект содержит два информационных поля: IDi - неизменяемый идентификатор i - ro пользователя, который является аналогом имени и используется для идентификации пользователя, и Ki - аутентифицирующая информация пользователя, которая может изменяться и служит для аутентификации.

Пара (IDi, Ki) составляет базовую информацию, относящуюся к учетной записи пользователя, которая хранится в базе данных аутентификации компьютерной системы.

Базу данных аутентификации в открытых компьютерных системах (не использующих специализированных аппаратных средств) приходится хранить в некотором объекте файловой системы ПК. Это приводит к потенциальной возможности реализации угроз, направленных на кражу базы данных аутентификации злоумышленником и ее дальнейшего исследования.

Базу данных аутентификации в КС необходимо защищать от двух основных видов угроз.

1. Угрозы прямого доступа к базе данных аутентификации с целью ее копирования, исследования, модификации.

Реализация защиты от данного вида угроз в операционных системах (ОС), которая подразумевает контроль доступа к базе данных аутентификации на уровне операционной системы и запрет любого доступа к этим базам за исключением привилегированных системных процессов.

В ОС типа UNIX защита от подобных угроз реализуется путем соответствующего определения дискреционной политики безопасности.

Однако следует отметить, что реализация данных защит практически никогда не работают корректно. Например, базу данных аутентификации ОС, построенных на технологии NT, злоумышленник может получить с помощью специализированных утилит из реестра, куда она копируется при загрузке ОС, либо загрузившись с другого носителя. В связи с этим, при защите баз данных аутентификации большее внимание уделяется защите от второго вида угроз. При этом предполагается, что злоумышленник смог получить доступ к содержимому базы данных аутентификации.

2. Угрозы исследования содержимого базы данных аутентификации.

Пароли доступа не могут храниться в прямом виде в базе данных аутентификации, так как злоумышленник может получить доступ к этой базе и раскрыть все пароли. При хранении пароли должны закрываться. Такой метод закрытия паролей, как шифрование, не обладает необходимой стойкостью, так как шифрование должно производиться на некотором ключе, который также необходимо где-то хранить, следовательно, существует потенциальная возможность раскрытия ключа шифрования злоумышленником. Кроме этого желательно, чтобы подсистема аутентификации пользователя не осуществляла сравнение введенного пользователем пароля с реальным паролем непосредственно в оперативной памяти, так как существующие средства отладки, типа SoftIce, позволяют отладить в пошаговом режиме процедуру аутентификации и получить доступ к реальным паролям (узнать, что хочет видеть компьютерная система на этапе аутентификации).

Таким образом, закрытие паролей в базах данных аутентификации должно осуществляться методами, отличными от шифрования, и так, чтобы эталонные пароли не были известны даже самой подсистеме аутентификации. С другой стороны, подсистема аутентификации должна однозначно определять корректность введенного пароля, не зная эталонного.

Существует две типовые схемы хранения ключевой информации в базах данных аутентификации, позволяющие решить эти задачи [18].

Схема 1. В компьютерной системе выделяется объект-эталон для идентификации и аутентификации. Структура объекта-эталона может быть представлена в виде таблицы 6.1.

Табл. 6.1. Первая типовая схема хранения ключевой информации

Номер пользователя	Информация для идентификации	Информация для аутентификации
1	ID1	E1
2	ID2	E2
…	…	…
N	IDN	EN

Ei=F (IDi, Кi),

где F - некоторая функция хэширования. При этом, зная Ei и IDi вычислительно невозможно восстановить Ki.

Таким образом, в базе данных аутентификации вместо эталонных паролей Ki хранится результат их одностороннего преобразования. В качестве односторонней функции для хэша в Windows NT используется алгоритм хэширования MD4.

Алгоритм идентификации и аутентификации для схемы 1

1. Пользователь предъявляет свой идентификатор ID.

2. Если ID не совпадает ни с одним IDi, зарегистрированным в компьютерной системе, то идентификация отвергается - пользователь не допущен к работе, иначе (существует IDi = ID) устанавливается факт «пользователь, назвавшийся пользователем i, прошел идентификацию».

3. Субъект аутентификации запрашивает у пользователя аутентификатор К и вычисляет значение Y = F (IDi, K).

4. Субъект аутентификации проходит сравнение Еi и Y. При совпадении фиксируется событие «пользователь успешно аутентифицирован в системе», в противном случае аутентификация отвергается и пользователь не допускается к работе.

Вторая типовая схема хранения ключевой информации несколько модифицирует схему 1.

Схема 2. В компьютерной системе выделяется объект-эталон, структура которого показана в таблице 6.2.

Табл. 6.2. Вторая типовая схема хранения ключевой информации

Номер пользователя	Информация для идентификации	Информация для аутентификации
1	ID1, S1	E1
2	ID2, S2	E2
…	…	…
N	IDN,SN	EN

В данной таблице Еi = F (Si, К), где Si - случайный вектор, формируемый при регистрации пользователя с номером i; F - необратимая функция, для которой невозможно восстановить К по Ei и Si.

Алгоритм идентификации и аутентификации для схемы 2

1. Пользователь предъявляет свой идентификатор ID.

2. Если ID не совпадает ни с одним IDi, зарегистрированным в компьютерной системе, то идентификация отвергается - пользователь не допущен к работе, иначе (существует IDi=ID) устанавливается факт «пользователь, назвавшийся пользователем i, прошел идентификацию».

3. По идентификатору IDi из базы данных аутентификации выделяется информация Si.

4. Субъект аутентификации запрашивает у пользователя аутентифицирующую информацию К и вычисляет значение Y = F (Si, K).

5. Субъект аутентификации сравнивает Ei и Y. При совпадении фиксируется событие «пользователь успешно аутентифицирован в КС», в противном случае аутентификация отвергается и пользователь не допускается к работе.

Достоинством второй схемы является то, даже в случае выбора пользователями одинаковых паролей, информация Ei для них будет различаться. В рамках первой же схемы значение Ei = F(IDi,Ki), как правило, вычисляют в виде Ei=F(Ki), что не позволяет достичь такого результата. Вторая схема хранения ключевой информации используется для защиты базы данных аутентификации в ОС UNIX.

Если для защиты паролей используются криптографически стойкие функции F, то единственно возможным способом взлома ключевой системы является полный перебор ключей. В этом случае злоумышленник должен последовательно перебирать ключи K, для каждого из ключей формировать информацию E, закрывая его по известному алгоритму, и сравнивать полученную информацию E с информацией для аутентификации Ei.

Покажем, к чему может привести использование криптографически нестойких алгоритмов хэширования в качестве функции F.

Пример 6.1.

Для защиты книг Microsoft Excel используется подход к защите пароля, аналогичный схеме 1. В документе Excel хранится хэш-образ пароля, с которым производится сравнение хэша пароля, вводимого пользователем при снятии данной защиты. Длина хэша составляет 16 бит. Для взлома данной защиты достаточно просто записать на место хранения хэш-образа эталонного пароля заранее вычисленный хэш-образ известного пароля, либо хэш-образ, соответствующий беспарольному варианту. Так и поступают многочисленные взломщики защит документов Word и Excel.

6.2 Защита баз данных аутентификации в ОС Windows NT и UNIX

Остановимся по протоколах используемых при сетевой аутентификации.

NTLM (NT LAN Manager) -- является протоколом сетевой аутентификации, разработанным фирмой Microsoft для Windows NT (New Technology), NTLM -- это результат дальнейшего развития протокола LANMAN.

Для передачи на сервер аутентификации (англ. Primary Domain Controler (PDC) -- главный контроллер домена) имени пользователя, хэша пароля и мандата домена в Windows 98 применяется протокол LANMAN, а в Windows NT -- протокол NTLM. Windows 2000 и Windows XP по умолчанию делают попытку аутентификации Kerberos (только в случае, когда станция является членом домена), в то же время они сохраняют обратную совместимость с аутентификацией NTLM.

Проверка подлинности NTLM по-прежнему поддерживается и обязательна для использования на системах, работающих под управлением Windows NT Server 4.0 или более ранних версий, а также для компьютеров, настроенных как члены рабочих групп. Проверка подлинности NTLM также используется для проверки подлинности при входе на изолированных системах.

База данных аутентификации в ОС, построенных на технологии NT, имеет название SAM (Security Accounts Manager) и располагается в каталоге Winnt\System32\Config\.

Информация в этой базе данных хранится в служебном формате, а доступ к ней ограничен со стороны ОС. Любое обращение к этой базе со стороны пользователя (копирование, чтение, запись и т.д.) блокируется. Кроме этого, данная база данных при загрузке ОС копируется в реестр.

Существующие средства в Windows NT (New Technology), ограничивающие доступ к базе данных SAM, не работают корректно, и злоумышленник обходными путями может получить доступ к этой базе данных, в том числе и скопировать ее для последующего анализа.

Windows NT -- линейка операционных систем (ОС) производства корпорации Microsoft и название первых версий ОС.

Windows NT дала начало семейству операционных систем, в которое входят: собственно Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012.

Рассмотрим реализованный Microsoft способ защиты баз данных аутентификации SAM от несанкционированного изучения.

В базе данных аутентификации SAM для каждой учетной записи пользователя хранится два вида хэшей пароля - хэш LANMAN, используемый для аутентификации сетевых служб и совместимости с ранее разработанными ОС Windows 9x, и хэш NTLM, используемый при локальной аутентификации пользователя.

Алгоритм хэширования LANMAN

Рис. 6.1.Схема алгоритма хэширования LANMAN

Шаг 1. Пользовательский пароль преобразуется путем замены всех малых символов, входящих в него, большими.

Шаг 2. Результат преобразуется в 14 - символьную цепочку. Если пароль длиннее 14 символов, то лишние символы урезаются; если короче, то недостающие позиции заполняются нулями.

Шаг 3. Полученная цепочка из 14 символов делится на два блока по 7 символов, каждый из которых в дальнейшем обрабатывается независимо.

Шаг 4. Каждый из сформированных блоков используется в качестве ключа шифрования алгоритма DES. На выходе формируются два блока по 8 байт.

Шаг 5. Конкатенация двух 8-байтных блоков является хэшем LANMAN (16 байт).

В алгоритме LANMAN используется свойство стойкости к атакам по открытому тексту алгоритма DES для формирования закрытых паролей. Даже зная 8-байтную последовательность, которая шифруется по данному алгоритму, восстановление ключа шифрования возможно только полным перебором.

Алгоритм хэширования NTLM

В алгоритме NTLM символы не преобразуются к верхнему регистру и могут быть любыми. Разбивка на два блока здесь также не используется. В качестве алгоритма хэширования использован алгоритм MD4.

Следует отметить, что для совмещения с прошлыми версиями Windows, в базе данных SAM хранятся оба хэша - LANMAN и NTLM (за исключением паролей длины, большей 14). Поэтому, наличие хэша NTLM в SAM никак не усиливает защиту, взломать ее злоумышленник может также быстро, подобрав вначале хэш LANMAN и определив пароль с приближением к верхнему регистру, затем найти истинный пароль, подобрав хэш NTLM путем перекомбинации больших и малых букв.

6.3 Иерархия ключевой информации. Распределение ключей

Другой подход, достаточно часто используемый для хранения ключевой информации, состоит в шифровании ключей и хранении их в зашифрованном виде. Кроме этого, данный подход часто используют для распределения ключевой информации в криптографических сетях.

Необходимость в хранении и передаче ключевой информации, зашифрованной с помощью других ключей, привела к развитию концепции иерархии ключей.

Иерархия ключевой информации может включать множество уровней, однако, наиболее часто выделяют:

· главные ключи (мастер-ключи),

· ключи шифрования ключей,

· рабочие ключи (сеансовые).

Сеансовые ключи находятся на самом нижнем уровне и используются для шифрования данных. Когда эти ключи необходимо безопасным образом передать между узлами сети или безопасно хранить, их шифруют с помощью ключей следующего уровня - ключей шифрования ключей.

На верхнем уровне иерархии ключей располагается мастер-ключ. Этот ключ применяют для шифрования ключей шифрования, когда требуется безопасно хранить их на диске. Обычно в каждом компьютере используется только один мастер ключ, который содержится на внешнем носителе, как правило, защищенном от несанкционированного доступа.

Значение мастер- ключа фиксируется на длительное время (до нескольких недель или месяцев). Сеансовые ключи меняются намного чаще, например, при построении криптозащищенных туннелей их можно менять каждые 10-15 минут, либо по результатам шифрования заданного объема трафика (например, 1 Мб).

Распределение ключей является очень ответственным процессом в управлении ключами. Одним из основных требований к реализации этого процесса является сокрытие распределяемой ключевой информации.

Задача распределения ключей сводится к построению протокола распределения ключей, обеспечивающего:

1) взаимное подтверждение подлинности участников сеанса;

2) подтверждение достоверности сеанса для защиты от атак методом

повторов;

3) использование минимального числа сообщений при обмене ключами.

Вообще говоря, выделяют два подхода к распределению ключевой информации в компьютерной сети:

1. Распределение ключевой информации с использованием одного

либо нескольких центров распределения ключей.

2. Прямой обмен сеансовыми ключами между пользователями.

Распределение ключевой информации с использованием центров распределения ключей

Данный подход предполагает, что центру распределения ключей известны распределяемые ключи, в связи с чем, все получатели ключевой информации должны доверять центру распределения ключей.

Достоинством данного подхода является возможность централизованного управления распределением ключевой информацией и даже политикой разграничения доступа удаленных субъектов друг к другу.

Данный подход реализован в протоколе Нидхема-Шредера и базирующемся на нем протоколе аутентификации Kerberos. Распределение ключевой информацией и разграничение доступа основывается в данных протоколах на выдаче мандатов центром распределения ключей. Использование данных протоколов позволяет безопасно распределить сеансовые ключи даже в случае взаимного недоверия двух взаимодействующих сторон.

Прямой обмен сеансовыми ключами между пользователями

Для возможности использования при защищенном информационном обмене между противоположными сторонами криптосистемы с секретным ключом взаимодействующим сторонам необходима выработка общего секрета, на базе которого они смогут безопасно шифровать информацию или безопасным образом вырабатывать и обмениваться сеансовыми ключами. В первом случае общий секрет представляет собой сеансовый ключ, во втором случае - мастер-ключ. В любом случае, злоумышленник не должен быть способен, прослушивая канал связи, получить данный секрет.

Для решения проблемы выработки общего секрета без раскрытия его злоумышленником существует два основных способа:

· использование криптосистемы с открытым ключом для шифрования;

· использование протокола открытого распространения ключей Диффи-Хеллмана.

Реализация первого способа не должна вызывать вопросов. Рассмотрим более подробно реализацию второго способа.

Протокол Диффи-Хеллмана

Протокол Диффи-Хеллмана был первым алгоритмом работы с открытыми ключами (1976 г.). Безопасность данного протокола основана на трудности вычисления дискретных логарифмов [4].

Пусть пользователи A и B хотят выработать общий секрет. Для этого они выполняют следующие шаги.

Стороны A и B договариваются об используемом модуле N, а также о примитивном элементе g, , степени которого образуют числа от 1 до N-1.

1. Числа N и g являются открытыми элементами протокола.

2. Пользователи A и B независимо друг от друга выбирают собственные секретные ключи СКA и CKB (случайные большие целые числа, меньшие N, хранящиеся в секрете).

3. Пользователи A и B вычисляют открытые ключи ОКА и OKB на основании соответствующих секретных ключей по следующим формулам:

4. Стороны A и B обмениваются между собой значениями открытых ключей по незащищенному каналу.

5. Пользователи A и B формируют общий секрет K по формулам:

Пользователь A:

K = (OKB)CKA (mod N) = (gCKB)CKA (mod N) = gCKB.CKA (mod N).



Пользователь B:

K = (OKA)CKB (mod N) = (gCKA)CKB(mod N) = gCKA.CKB (mod N).

Ключ K может использоваться в качестве общего секретного ключа (мастер-ключа) в симметричной криптосистеме.

Пример 6.2.

Возьмем модуль N = 47 и примитивный элемент g = 23. Пусть пользователи A и B выбрали свои секретные ключи СКА = 12, СКВ = 33. Тогда,

В данном случае общий секрет будет иметь вид :

.

Алгоритм открытого распределения ключей Диффи - Хеллмана позволяет обойтись без защищенного канала для передачи ключей. Однако, необходима гарантия того, что получатель получил открытый ключ именно от того отправителя, от которого он его ждет. Данная проблема решается с помощью цифровых сертификатов и технологии ЭЦП.

Протокол Диффи - Хеллмана нашел эффективное применение в протоколе SKIP управления ключами. Данный протокол используется при построении криптозащищенных туннелей в семействе продуктов ЗАСТАВА.



6.4 Протоколы безопасной удаленной аутентификации пользователей

Одной из важнейших задач при удаленной аутентификации пользователей является обеспечение подлинности канала связи. Решение этой задачи путем передачи по каналу связи секретного ключа в закрытом виде (в зашифрованном, либо в виде хэш-образа) не является стойким к атакам. Так как злоумышленник, слушая канал связи, может реализовать атаку методом повторов. Для обеспечения подлинности канала связи и защиты от атак повторами обычно используют метод запрос-ответ, либо механизм отметки времени.

Механизм запрос-ответ заключается в том, что пользователь A при необходимости аутентификации пользователя B посылает ему запрос, в который включает непредсказуемый элемент (как правило, случайное число). Пользователь B должен ответить на этот запрос, предварительно выполнив некую обработку этого элемента. При этом злоумышленник не способен подделать ответ, так как в механизм обработки запроса включена секретная информация. После проверки результата пользователем A, присланным пользователем B, выполняется подтверждение или не подтверждение подлинности сеанса работы.

Механизм отметки времени заключается в том, что для каждого пересылаемого сообщения фиксируется время. Это позволяет каждому субъекту сети определить, насколько старо пришедшее сообщение, и отвергнуть его, если появится сомнение в его подлинности.

Рассмотрим ряд протоколов удаленной аутентификации пользователей.

Протокол CHAP (Challenge Handshaking Authentication Protocol). Предполагается, что аутентифицируемая сторона (клиент) и аутентифицирующая (сервер) уже обладают общим секретом (например, паролем доступа к серверу). Задача состоит в безопасной удаленной аутентификации клиента, проверке его подлинности путем проверки знания общего секрета.

1. При необходимости прохождения аутентификации сервер посылает сообщение «ЗАПРОС» клиенту, в которое включает случайный, уникальный и непредсказуемый номер N.

2. Клиент обрабатывает запрос сервера и формирует ответную последовательность, хэшируя пароль и случайный номер N с помощью алгоритма MD5, то есть вычисляет значение MD5(K, N).

3. Клиент отправляет серверу для аутентификации пакет «ОТВЕТ», в которую включает вычисленное значение MD5(K, N).

4. Сервер, зная эталонный пароль клиента и посланное ему значение N, также вычисляет значение MD5(K, N) и сравнивает его с присланным клиентом. По результатам сравнения сервер принимает решение о прохождении либо не прохождении этапа аутентификации клиентом.

Использование в протоколе случайного числа N практически исключает возможность пересылки от клиента к серверу одинаковых последовательностей в течение длительного времени. Злоумышленник же, зная число N, не сможет восстановить ответ клиента, так как не знает секретного ключа K. В силу высокой криптостойкости функции хэширования MD5, злоумышленник, зная число N и значение MD5(K, N), не сможет восстановить ключ K.

Протокол одноразовых ключей S/KEY. Протокол одноразовых ключей S/KEY основан на независимом формировании клиентом и сервером последовательности одноразовых паролей, основанной на общем секрете K. При этом знание злоумышленником очередного пароля, пересылаемого на фазе аутентификации, не дает ему возможности выяснить следующий пароль. Пусть K - пароль аутентификации, известный как подлинному клиенту, так и серверу. Клиент и сервер на основании ключа K могут вычислить последовательность из M одноразовых ключей S1,...,SM следующим образом [20] :



,

,

Если клиент будет пересылать серверу на этапе аутентификации одноразовые пароли в обратной последовательности: при первой аутентификации , затем ,..., , то знание злоумышленником очередного пароля не позволит восстановить ему пароль , который будет ожидаться сервером при следующей аутентификации, так как для этого ему потребуется обратить функцию хэширования MD4, что является вычислительно трудоемкой задачей. Поэтому описанный подход может быть использован для решения задачи безопасной удаленной аутентификации пользователя.

Недостатком описанной выше схемы является то, что после исчерпания всех одноразовых паролей (после M последовательных аутентификаций) необходимо менять общий секрет K, так как если пароли начнут передаваться заново, начиная с , то злоумышленник, слушая канал связи, будет уже знать всю предысторию передаваемых паролей, и сможет пройти аутентификацию. Для устранения данного недостатка используют подход, основанный на передаче случайного числа N от клиента к серверу в момент формирования списка одноразовых паролей, и использование данного числа как второго аргумента функции хэширования MD4. Схема аутентификации клиента с помощью протокола S/KEY будет выглядеть в данном случае следующим образом.

1. Сервер высылает клиенту число M одноразовых паролей и случайное число N, используемое для генерирования уникального и непредсказуемого списка.

2. Клиент и сервер генерируют последовательность из M одноразовых паролей следующим образом:

,

,

3. При необходимости аутентификации сервер посылает клиенту число t, в ответ клиент посылает серверу одноразовый пароль . Сервер, анализируя принятую информацию, принимает решение о принятии либо отказе аутентификации.

4. В следующий раз сервер требует на этапе аутентификации пароль ... пока не дойдет до .

5. Если список одноразовых паролей исчерпан (переслали ), то клиентом и сервером выполняется повторная инициализация списка одноразовых паролей (при другом N).

Реализация метода «запрос-ответ» в OC Windows при сетевой аутентификации

Метод «запрос-ответ» используется в OC Windows при удаленной аутентификации пользователя, подключающегося к сетевым ресурсам общего пользования, с более старых ОС. При этом используется аутентификация с помощью хэша LANMAN . Схема данного метода представлена на рис. 6.4.

Шаг 1. Клиент запрашивает разрешение у сервера на подключение к сетевому ресурсу общего пользования.

Шаг 2. Сервер отвечает случайным восьмибайтовым числом.

Шаг 3. У клиента открывается окно для ввода идентификатора и пароля.

Шаг 4. Клиент формирует 24-байтный ответ серверу на основе следующего алгоритма:

Алгоритм формирования ответа

1. Пароль, введенный пользователем, хэшируется на стороне клиента с

помощью алгоритма хэширования LANMAN. В результате этого формируется 16-байтовая свертка пароля.

2. Полученный 16-байтовый хэш разбивается на 3 блока по 56 бит. Последний блок до 56 бит дополняется нулями.

3. Пришедший от сервера 8-байтовый ответ шифруется 3 раза с помощью трех ключей шифрования (представляющих собой три полученных на шаге 2 блока хэша LANMAN) по алгоритму DES. В результате этого формируется 24-байтный ответ, отправляемый серверу.

Шаг 5. Сервер, получив ответ от клиента, может проверить его корректность, а по результатам проверки подтвердить либо отклонить аутентификацию.

Кроме рассмотренных выше протоколов безопасной удаленной аутентификации пользователей, широкое распространение получил также протокол аутентификации Kerberos.



7. Защита от разрушающих программных воздействий

7.1 Понятие разрушающего программного воздействия

Важным моментом при работе прикладных программ, и в особенности средств защиты информации, является необходимость обеспечения потенциального невмешательства иных, присутствующих в компьютерной системе прикладных или системных программ, в процесс обработки информации.

Под несанкционированным доступом (НСД) понимают действия по использованию, изменению и уничтожению информации защищенной компьютерной системы, производимые субъектом, не имеющим права на такие действия.

Под опосредованным НСД понимают несанкционированный доступ злоумышленника к информации, произведенный посредством предварительно внедренной в систему программы (или нескольких программ).

Например, предварительно внедренная злоумышленником в компьютерную систему программа, может перехватывать пароли, вводимые с клавиатуры легальным пользователем, и сохранять их в заранее известном и доступном злоумышленнику месте. Затем злоумышленник использует эти пароли для несанкционированного входа в систему.

Опосредованный НСД, как правило, реализуется с использованием особого класса программ, которые способны выполнять любую из перечисленных ниже функций:

1) скрывать признаки своего присутствия в программной среде компьютерной системы;

2) реализовывать само дублирование или ассоциирование себя с другими программами и/или выполнять перенос своих фрагментов в иные области оперативной или внешней памяти. При этом под само дублированием понимается процесс воспроизведения программой своего собственного кода в оперативной или внешней памяти компьютерной системы.

3) разрушать код иных программ в оперативной памяти компьютерной системы;

4) переносить фрагменты информации из оперативной памяти в некоторые области оперативной или внешней памяти прямого доступа;

5) иметь потенциальную возможность исказить, заблокировать и/или подменить выводимый во внешнюю память или в канал связи массив информации.

Такие программы называются программами с потенциально опасными последствиями, программными закладками, разрушающими программными воздействиями (РПВ). Условно их можно разделить на три класса.

1.Вирусы. Особенностью данного класса программ является его не направленность на конкретные программы и также то, что во главу угла здесь ставится само дублирование вируса.

2. Программные черви, троянские кони и фрагменты программ типа логический люк. Для данного типа программ имеет место обратная ситуация - само дублирование не присуще данным программам, но они обладают возможностями перехвата конфиденциальной информации или извлечения информации из сегментов систем безопасности, или ограничения доступа.

3. Программные закладки или разрушающие программные воздействия (РПВ). Программы данного класса, как правило, скрывают себя, и само ликвидируются после совершения целевых действий.

Для того чтобы РПВ смогло выполнить действие по отношению к прикладной программе или данным, оно должно получить управление. Это возможно только при одновременном выполнении двух условий [21]:

1. РПВ должно находиться в оперативной памяти до начала работы программы, которая является целью его воздействия, следовательно, оно должно быть загружено раньше или одновременно с этой программой.

2. РПВ должно активизироваться по некоторому общему, как для него, так и для программы событию, т.е. при выполнении ряда условий в программно-аппаратной среде, управление должно быть передано РПВ. Данное событие называют активизирующим.

Наиболее распространенными видами активизирующих событий являются:

1. Общие системные прерывания: обращение к внешнему устройству, запись в файл и др.

2. Ввод с клавиатуры (свойственно для клавиатурных шпионов).

3. Вывод информации на экран.

4. Операции с файлами (чтение, запись, открытие и т.п.).

5. Прерывание по таймеру.

Выделяют резидентные и нерезидентные РПВ

РПВ резидентного типа находятся в памяти постоянно с некоторого момента времени до окончания сеанса работы компьютерной системы (например, клавиатурный шпион).

РПВ нерезидентного типа заканчивает свою работу самостоятельно через некоторый промежуток времени или по некоторому событию, при этом выгружая себя из памяти целиком для затруднения своего обнаружения.

7.2 Модели взаимодействия прикладной программы и РПВ

Выделяют следующие основные модели работы программных закладок (ПЗ).

1. Модель «перехват». ПЗ внедряется в ПЗУ, ОС или прикладное ПО и сохраняет все или избранные фрагменты вводимой или выводимой информации в скрытой области внешней памяти прямого доступа. Как правило, сохраняемая информация маскируется от просмотра легальными пользователями.

2. Модель «троянский конь». ПЗ встраивается в постоянно используемое ПО и по некоторому активизирующему событию моделирует сбойную ситуацию, парализуя нормальную работу компьютерной системы.

3. Модель «наблюдатель». ПЗ встраивается в постоянно активное ПО и осуществляет контроль за процессами обработки информации в компьютерной системе.

4. Модель «компрометация». ПЗ передает нужную злоумышленнику информацию в канал связи.

5. Модель «искажение или инициатор ошибок». Программная закладка искажает потоки выходных данных, возникающие при работе прикладных программ.

6. Модель «уборка мусора». Программная закладка «изучает остатки информации», оставшиеся после удаления файлов.

7.3 Защита от РПВ. Изолированная программная среда

Методы борьбы с разрушающим программным воздействием ( РПВ) можно разделить не следующие классы.

Общие методы защиты программного обеспечения от РПВ:

1. Контроль целостности системных областей, запускаемых прикладных программ и используемых данных. Следует помнить, что контроль целостности информации может быть обойден злоумышленником путем:

...