Размещено на http://www.Allbest.Ru/

Міністерство освіти та науки України

Донецький національний університет імені Василя Стуса

Факультет інформаційних та прикладних технологій

Кафедра радіофізики та кібербезпеки

Спеціальність 125 “Кібербезпека”

Освітня програма “Кібербезпека”

КУРСОВА РОБОТА

Дисципліна “Розробка профілів захисту”

Тема:

Профіль захисту цифрового підпису

Виконав Тимчук О.Г.

Студент 2 курсу гр. Б19д/125А

Керівник: к.т.н. Барибін О.І.

Вінниця 2021



Зміст

Вступ

• Розділ 1. Основні поняття. Загрози та вразливості
• 1.1 Електронний цифровий підпис
• 1.2 Класифікація електронних цифрових підписів
• 1.3 Призначення ЕЦП
• 1.4 Алгоритми побудови цифрових підписів
• 1.5 Аналіз вразливостей алгоритмів ЕЦП
• 1.6 Вразливості електронних підписів
• 1.7 Критична вразливість
• Розділ 2. Принцип роботи. Вимоги безпеки
• 2.1 Обмеження придатності ЕЦП
• 2.2 Схеми ЕЦП
• 2.3 Критерії оцінки захищеності ЕЦП
• 2.4 Функціональні вимоги
• 2.5 Вимоги довіри
• Висновок
• Список використаних джерел


Вступ

На даний час переважна частина світу використовує цифрові технології для покращення життя та полегшення виконання рутинних справ. І сфера безпеки не стала виключенням. Для полегшення ідентифікації людини розробили електронний цифровий підпис.

Електронний цифровий підпис (або скорочено ЕЦП) - це дані в електронній формі, отримані за результатами криптографічного перетворення, які додаються до інших даних або документів і забезпечують їх цілісність та ідентифікацію автора. За допомогою послуг ЕЦП можна підписувати електронні документи, користуватися електронними послугами, реєструватися на державних порталах тощо. Документи, підписані за допомогою ЕЦП, мають таку саму юридичну силу, як і звичайні. [1]

Ця робота присвячена дослідженню в галузі цифрових технологій, і стосується вивчення профілю захисту цифрового підпису.

Тему обрано за її актуальність у наш час, оскільки в нашому сьогоденні неможливо уявити щось, що не пересікається з цифровими технологіями, і сфера безпеки не стала винятком.

Основним завданням є дослідження профілю безпеки цифрового підпису, який визначає вимоги безпеки до цифрового підпису.

Мета курсової роботи: розробити пропозицію щодо профілю захисту цифрового підпису.

Для досягнення поставленої мети пропонуються наступні завдання:

- окреслити основні характеристики об'єкту роботи з точки зору побудови інформаційної безпеки;

- виділити основні загрози та вразливості властиві об'єкту, що розглядається;

- запропонувати та обґрунтувати набір функціональних вимог та вимогу довіри до забезпечення інформаційної безпеки об'єкту.



Розділ 1. Основні поняття. Загрози та вразливості

1.1 Електронний цифровий підпис

Електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача. [2] Електронний цифровий підпис (далі - ЕЦП) створюється за допомогою особистого ключа та перевіряється за допомогою відкритого ключа.

Використання ЕЦП дозволяє:

1) Замінити традиційні печатку та підпис;

2) Удосконалити та мінімізувати процедуру підготовки, доставки, обліку і зберігання документів, гарантувати достовірність документації;

3) Значно скоротити час руху документів, прискорити і полегшити процес візування одного документа декількома особами;

4) Використовувати одні і ті ж засоби ЕЦП при обміні інформацією зі всіма міністерствами, відомствами, адміністраціями на території України.

Перевірка (верифікація) підпису (рисунок 1.1). Для даних документа та підпису за допомогою відкритого ключа визначається дійсність підпису.

Рисунок 1.1 - Ілюстрація цифрового підпису даних [3]



Нижче приведено малюнок, як це відбувається:

1.2 Класифікація електронних цифрових підписів

Станом на 2021 рік в Україні з 5 жовтня 2017 року, за законом “Про електронні довірчі послуги” електронний цифровий підпис може бути 3 категорій (рисунок 1.2):

1) Простий електронний підпис та печатка - низький рівень довіри;

2) Удосконалений електронний підпис та печатка - середній рівень довіри;

3) Кваліфікований електронний цифровий підпис та печатка - високий рівень довіри.

Рисунок 1.2 - Класифікація цифрових підписів

Високий рівень довіри прирівнюється до власноручного підпису людини.

Відповідно до закону України про “Електронні документи та електронний документообіг” (Стаття 18) електронний документ з ЕЦП має рівносильну юридичну силу, як і паперова версія.



1.3 Призначення ЕЦП

Електронний цифровий підпис призначений для забезпечення діяльності фізичних та юридичних осіб, що здійснюється з використанням електронних документів.

Електронний цифровий підпис використовується фізичними та юридичними особами - суб'єктами електронного документообігу для ідентифікації підписувача та підтвердження цілісності даних в електронній формі.

Використання електронного цифрового підпису не змінює порядку підписання договорів та інших документів, встановленого законом для вчинення правочинів у письмовій формі.

Нотаріальні дії із засвідчення справжності електронного цифрового підпису на електронних документах вчиняються відповідно до порядку, встановленого законом. [4]

1.4 Алгоритми побудови цифрових підписів

Існує декілька схем побудови цифрового підпису:

1) На основі алгоритмів симетричного шифрування;

Дана схема передбачає наявність у системі третьої особи - арбітра, який користується довірою обох сторін. Авторизацією документа є сам факт шифрування його секретним ключем і передача його арбітру.

2) На основі алгоритмів асиметричного шифрування.

На даний момент такі схеми ЕЦП найбільш поширені і знаходять широке застосування.

Крім цього, існують інші різновиди цифрових підписів (груповий підпис, незаперечний підпис, довірений підпис), які є модифікаціями описаних вище схем. Їх поява обумовлена різноманітністю завдань, що вирішуються за допомогою ЕЦП.

Використання хеш-функцій. Хеш функція - функція, що перетворює вхідні дані будь-якого розміру в дані фіксованого розміру (рисунок 1.3).

Рисунок 1.3 - Принцип роботи та використання хеш-функцій [5]

Криптографічна хеш-функція повинна забезпечувати:

1) стійкість до колізій (два різні набори даних повинні мати різні результати перетворення);

2) необоротність (неможливість обчислити вхідні дані за результатом перетворення).

Оскільки підписуванні документи - змінного обсягу, в схемах ЕЦП найчастіше підпис ставиться не на сам документ, а на його хеш. Для обчислення хеша використовуються криптографічні хеш-функції, що гарантує виявлення змін документа при перевірці підпису. Хеш-функції не є частиною алгоритму ЕЦП, тому в схемі може бути використана будь-яка надійна хеш-функція.

Використання хеш-функції дає наступні переваги:

1) Обчислювальна складність. Зазвичай хеш цифрового документа робиться у багато разів меншого обсягу, ніж обсяг вихідного документа, і алгоритми обчислення хешу є більш швидкими, ніж алгоритми ЕЦП. Тому формувати хеш документа і підписувати його виходить набагато швидше, ніж підписувати сам документ.

2) Сумісність. Більшість алгоритмів оперує з рядками біт даних, але деякі використовують інші уявлення. Хеш-функцію можна використовувати для перетворення довільного вхідного тексту у відповідний формат.

3) Цілісність. Без використання хеш-функції великий електронний документ у деяких схемах потрібно розділяти на досить малі блоки для застосування ЕЦП. При верифікації неможливо визначити, чи всі блоки отримані і в правильному чи вони порядку.

Варто зауважити, що використання хеш-функції не є обов'язково, а сама функція не є частиною алгоритму ЕЦП, тому хеш-функція може використовуватися будь-яка або не використовуватися взагалі.

У більшості ранніх систем ЕЦП використовувалися функції з секретом, які за своїм призначенням близькі до односторонніх функцій. Такі системи уразливі до атак з використанням відкритого ключа, так як, вибравши довільний цифровий підпис і застосувавши до неї алгоритм верифікації, можна отримати вихідний текст. Щоб уникнути цього, разом з цифровим підписом використовується хеш-функція, тобто, обчислення підпису здійснюється не щодо самого документа, а щодо його хешу. У цьому випадку в результаті верифікації можна отримати тільки хеш вихідного тексту, отже, якщо використовується хеш-функція криптографічно стійка, то отримати вихідний текст буде обчислювально складно, а значить атака такого типу стає неможливою.

1.5 Аналіз вразливостей алгоритмів ЕЦП

Щоб зрозуміти вразливості ЕЦП потрібно зрозуміти, яке шифрування буде надійним. Для визначення надійності алгоритмів шифрування проаналізуємо надійність ЕЦП, які створенні за алгоритмами шифрування RSA і DSA. Вони відносяться до асиметричних, тобто криптосистем з відкритим ключем, що є вимогою створення ЕЦП.

Для з'ясування, яка довжина ключа необхідна для захисту використаємо оцінки обчислювальної складності у вигляді числа операцій, яка потрібна для пошуку ключа в алгоритмах (таблиця 1.1).

Таблиця 1.1

Захищеність алгоритмів RSA та DSA в залежності від довжини ключа

Довжина ключа L	Число операцій N, необхідне для пошуку ключа	Час, потрібний для пошуку T = N/ 109, c
16	16	1.6000e-008
32	256	2.5600e-007
64	65536	6.5536e-005
128	4.2950e+009	4.2950
256	1.8447e+019	1.8447e+010 584.9505 років
512	3.4028e+038	3.4028е+029 (1.0790е+022 років)

Робимо висновок, що використання алгоритмів RSA та DSA не є ефективним, якщо довжина ключа менше ніж 256 біт. [6]

1.6 Вразливості електронних підписів

Стійкість більшості ЕЦП залежить від стійкості асиметричних алгоритмів шифрування та хеш-функцій (рисунок 1.4).

Рисунок 1.4 - Принцип роботи асиметричного алгоритму шифрування ([7] в перекладі)

Існує наступна класифікація атак на схеми ЕЦП:

1) Атака з відомим відкритим ключем;

2) Атака з відомими підписаними повідомленнями - атакуючий, крім відкритого ключа має і набір підписаних повідомлень;

3) Проста атака з вибором підписаних повідомлень - атакуючий має можливість вибирати повідомлення, при цьому відкритий ключ він отримує після вибору повідомлення;

4) Спрямована атака з вибором повідомлення;

5) Адаптивна атака з вибором повідомлення.

Кожна атака переслідує певну мету, їх можна розділити на наступні класи:

1) Повне розкриття. Противник знаходить секретний ключ користувача;

2) Універсальна підробка. Противник знаходить алгоритм, функціонально аналогічний алгоритму генерації ЕЦП;

3) Селективна підробка. Підробка підпису під обраним повідомленням;

4) Екзистенціальна підробка. Підробка підпису хоча б для одного випадково вибраного повідомлення.

Так само існують порушення, від яких неможливо відгородити систему обміну повідомленнями - це повтор передачі повідомлення і фальсифікація часу відправлення повідомлення. Протидія даним порушенням може ґрунтуватися на використанні тимчасових вставок і суворому обліку вхідних повідомлень.

1.7 Критична вразливість

Чинне законодавство не визначає особливості застосування ЕЦП, щодо документів, термін дії яких перевищує термін дії ЕЦП. Також не визначено статус підписаних документів, термін дії яких не закінчився, у разі компрометації ЕЦП.

Це дозволяє реалізувати два види атак на ЕЦП:

1) Використання недійсного ЕЦП (скомпрометованого, або ЕЦП, термін дії якого закінчився) для підпису документів заднім числом;

2) Визнання підписаного документу без позначки часу, сертифікат якого на час перевірки підпису не діє, недійсним на підставі того, що неможливо встановити чи був документ підписаний дійсним ЕЦП, чи був підписаний заднім числом недійсним ЕЦП. Ця атака може супроводжуватись брехливою заявою про компрометацію ключа ЕЦП.

Ця вразливість позбавляє змісту такі послуги сертифікаційних центрів, як призупинення дії ЕЦП або реєстрація компрометації ключа ЕЦП.

Головною помилкою, що призвела до з'явлення вразливості, є сприйняття інфраструктури ЕЦП обмеженою відношеннями двох сторін, що перевіряють підпис на момент складання документу. При цьому не враховується роль арбітра при виникненні спорів, щодо підписаного документу. Тобто валідність підписаного документа розглядається у статиці, а має розглядатися у динаміці. [13]

інформаційний безпека електронний цифровий підпис



Розділ 2. Принцип роботи. Вимоги безпеки

2.1 Обмеження придатності ЕЦП

Враховуючи наявність критичної вразливості, національний електронний документообіг, у якому не застосовується позначка часу, обмежується підписанням документів, валідність яких перевіряється тільки на момент підпису. Прикладом таких документів є подача електронної звітності.

Щодо електронного цифрового підпису довгострокових документів, то кожний такий документ може буди визнаний недійсним навіть протягом терміну валідності ЕЦП за наступним алгоритмом:

1. При виникненні спорів щодо підписаного документу сторона, що зацікавлена у визнанні документу недійсним, подає заяву про компрометацію ключа, наприклад, у зв'язку з наявністю вірусів на комп'ютері де використовується ЕЦП, або за фактом наявності на цьому комп'ютері програмного забезпечення, що надає можливість несанкціонованого доступу;

2. При початку судового процесу, який має встановити валідність підписаних документів, стверджувати, що документ був складений після факту компрометації ключа ЕЦП особою - викрадачем ключа і підписаний заднім числом;

3. Продемонструвати можливість підписання документу заднім числом.

2.2 Схеми ЕЦП

Криптосистема RSA належить до числа перших криптосистем з відкритим ключем з підтримкою електронного цифрового підпису.

У широкому вжитку також знаходяться криптосистеми DSA та ECDSA.

1) RSA - криптографічний алгоритм з відкритим ключем, що базується на обчислювальній складності задачі факторизації великих цілих чисел. [8]

Алгоритм RSA складається з 4 етапів: генерації ключів, шифрування (рисунок 2.1), розшифрування та розповсюдження ключів.

Безпека алгоритму RSA побудована на принципі складності факторизації цілих чисел. Алгоритм використовує два ключі - відкритий і секретний разом відкритий і відповідний йому секретний ключі утворюють пари ключів. Відкритий ключ не потрібно зберігати в таємниці, він використовується для шифрування даних. Якщо повідомлення було зашифровано відкритим ключем, то розшифрувати його можна тільки відповідним секретним ключем.

Рисунок 2.1 - Ілюстрація роботи шифрування за RSA [9]

2) DSA (Digital Signature Algorithm) - криптографічний алгоритм з використанням відкритого ключа для створення електронного підпису, але не для шифрування (на відміну від RSA). Підпис створюється таємно, але може бути публічно перевірений (рисунок 2.2). Це означає, що тільки один суб'єкт може створити підпис повідомлення, але будь-хто може перевірити її коректність. Алгоритм заснований на обчислювальній складності взяття логарифмів в кінцевих полях. [10]

3) ECDSA (Elliptic Curve Digital Signature Algorithm) - алгоритм з відкритим ключем для створення цифрового підпису, аналогічний за своєю будовою DSA, але визначений, на відміну від нього, не над кільцем цілих чисел, а в групі точок еліптичної кривої. [12]

Рисунок 2.2 - Ілюстрація роботи шифрування за DSA([11] в перекладі)

За умови правильного зберігання власником секретного (особистого) ключа його підробка неможлива. Електронний документ також не можливо підробити: будь-які зміни, не санкціоновано внесені в текст документа, будуть миттєво виявлені. [13]

2.3 Критерії оцінки захищеності ЕЦП

Для формулювання критеріїв захисту Цифрового підпису використовують 2 розділ стандарту ISO/IEC 15408.

Стандарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інформаційних технологій» описує інфраструктуру в якій користувачі комп'ютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки продуктів, а експерти з безпеки визначити, чи задовольняє продукт заявам. Таким чином цей стандарт дозволяє бути впевненим, що процес опису, розробки та перевірки продукту був проведений в суворому порядку. Прообразом даного документа послужили «Критерії оцінки безпеки інформаційних технологій», робота над якими почалася ще в 1990 році.

Стандарт містить два основних види вимог безпеки: функціональні, що висуваються до функцій безпеки і реалізує їх механізмів, і вимоги довіри, які пред'являються до технології та процесу розробки та експлуатації.

2.4 Функціональні вимоги

Функціональні вимоги згруповані на основі виконуваної ними ролі або обслуговуваної цілі безпеки, всього існує 11 функціональних класів (в трьох групах), 66 сімейств, 135 компонентів.

Далі розглянемо класи які необхідні для критеріїв захисту саме електронного підпису.

1) Клас FIA

Сімейства класу FIA містять вимоги до функцій встановлення і верифікації заявленого коду користувача.

Ідентифікація та автентифікація потрібні для забезпечення асоціації користувачів з відповідними атрибутами безпеки (такими як ідентифікатор, групи, ролі, рівні безпеки або цілісності).

FIA поділяється на:

1.1 FIA_ALF - відмови автентифікації

FIA_ALF поділяється на:

1.1.1 FIA_ALF.1- обробка відмов автентифікації

1.2 FIA_ATD - визначення атрибутів користувача

FIA_ATD поділяється на:

1.2.1 FIA_ATD.1 - визначення атрибутів користувача

1.3 FIA_SOS - специфікація секретів

FIA_SOS поділяється на:

1.3.1 FIA_SOS.1 - верифікація секретів

1.3.2 FIA_SOS.2 - генерація секретів ФБО

1.4 FIA_UAU - автентифікація користувача

FIA_UAU поділяється на:

1.4.1 FIA_UAU.1 - вибір моменту автентифікації

1.4.2 FIA_UAU.2 - автентифікація до будь-яких дій користувача

1.4.3 FIA_UAU.3 - автентифікація, захищена від підробок

1.4.4 FIA_UAU.4 - механізм одноразової автентифікації

1.4.5 FIA_UAU.5 - поєднання механізмів автентифікації

1.4.6 FIA_UAU.6 - повторна автентифікація

1.4.7 FIA_UAU.7 - автентифікація з захищеним зворотнім зв'язком

1.5 FIA_UID - ідентифікація користувача

FIA_UID поділяється на:

1.5.1 FIA_UID.1 - вибір моменту ідентифікації

1.5.2 FIA_UID.2 - ідентифікація до будь-яких дій користувача

1.6 FIA_USB - зв'язування користувач-суб'єкт

FIA_USB поділяється на:

1.6.1 FIA_USB.1 - пов'язання користувач-суб'єкт

2) Клас FAU

Аудит безпеки включає в себе розпізнавання, запис, збереження та аналіз інформації, пов'язаної з діями, що стосуються безпеки (наприклад, з діями, контрольованими ПБО). Записи аудиту, одержувані в результаті, можуть бути проаналізовані, щоб визначити, які дії, пов'язані з безпекою, відбувалися, і хто з користувачів за них відповідає.

FAU поділяється на:

1.1 FAU_GEN - визначає вимоги по реєстрації виникнення подій, що відносяться до безпеки, які підконтрольні ФБО.

FAU_GEN поділяється на:

1.1.1 FAU_GEN.1 - генерація даних аудита

1.1.2 FAU_GEN.2 - асоціація ідентифікатора користувача

1.2 FAU_SEL - Вибір подій аудиту безпеки

FAU_SEL поділяється на:

1.2.1 FAU_SEL.1 - виборчий аудит

1.3 FAU_STG - зберігання даних аудиту безпеки

FAU_STG поділяється на:

1.3.1 FAU_STG.1 - захищене зберігання журналу аудиту

1.3.2 FAU_STG.2 - гарантії доступності даних аудиту

1.3.3 FAU_STG.3 - дії в разі можливої втрати даних аудиту

1.3.4 FAU_STG.4 - запобігання втрати даних аудиту

1.4 FAU_SAR - перегляд аудиту безпеки

FAU_SAR поділяється на:

1.4.1 FAU_SAR.1 - перегляд аудиту

1.4.2 FAU_SAR.2 - обмежений перегляд аудиту

1.4.3 FAU_SAR.3 - вибірковий перегляд аудиту

1.5 FAU_SAA - визначає вимоги для автоматизованих засобів, які аналізують показники функціонування системи і дані аудиту в цілях пошуку можливих або реальних порушень безпеки.FAU_SAA поділяється на:

1.5.1 FAU_SAA.1 - аналіз потенційного порушення

1.5.2 FAU_SAA.2 - виявлення аномалій, засноване на профілі

1.5.3 FAU_SAA.3 - проста евристика атаки

1.5.4 FAU_SAA.4 - складна евристика атаки

1.6 FAU_ARP - визначає реакцію на виявлення подій, що вказують на можливе порушення безпеки.

FAU_ARP поділяється на:

1.6.1 FAU_ARP.1 - сигнали порушення безпеки

3) Клас FCO

FCO містить два сімейства, пов'язані з упевненістю в ідентичності сторін, що беруть участь в обміні даними: ідентичністю відправника переданої інформації (доказ відправлення) та ідентичністю одержувача переданої інформації (доказ отримання). Ці родини забезпечують, що відправник не зможе заперечувати факт відправлення повідомлення, а одержувач не зможе заперечувати факт його отримання.

FCO поділяється на:

1.1 FCO_NRO - неспростовності відправлення

FCO_NRO поділяється на:

1.1.1 FCO_NRO.1 - виборчий доказ відправлення

1.1.2 FCO_NRO.2 - примусовий доказ відправлення

1.2 FCO_NRR - неспростовності отримання

FCO_NRR поділяється на:

1.2.1 FCO_NRR.1 - виборчий доказ отримання

1.2.2 FCO_NRR.2 - примусовий доказ отримання

4) Клас FCS

ФБО можуть використовувати криптографічні функціональні можливості для досягненню деяких, найбільш важливих цілей безпеки. До них відносяться (але ними не обмежуються) такі цілі: ідентифікація і автентифікація, невідмовність, довірений маршрут, довірений канал, поділ даних. Клас FCS застосовують, коли ГО має криптографічні функції, які можуть бути реалізовані апаратними, програмно-апаратними та / або програмними засобами.

Клас FCS складається з двох сімейств: FCS_CKM "Управління криптографічними ключами" і FCS_COP "Криптографічні операції". У сімействі FCS_CKM розглянуті аспекти управління криптографічними ключами, тоді як в сімействі FCS_COP рас-дивлено практичне застосування цих криптографічних ключів.

FCS поділяється на:

1.1 FCS_CKM- управління криптографічними ключами

FCS_CKM поділяється на:

1.1.1 FCS_CKM.1 - генерація криптографічних ключів

1.1.2 FCS_CKM.2 - розподіл криптографічних ключів

1.1.3 FCS_CKM.3 - доступ до криптографічних ключів

1.1.4 FCS_CKM.4 - знищення криптографічних ключів

1.2 FCS_COP - криптографічні операції

FCS_COP поділяється на:

1.2.1 FCS_COP.1 - криптографічні операції

2.5 Вимоги довіри

Після ознайомлення з загрозами та вразливостями цифрового підпису, є можливим зробити висновок, що найкращим рівнем довіри буде 1 рівень.

1 рівень безпеки довіри застосовується там, де потрібна певна впевненість у правильній роботі, але загрози безпеці не розглядаються як серйозні. Це буде цінним де необхідне незалежне запевнення для підтвердження твердження про належну обережність. ([14, с. 33] в перекладі)

Таблиця 2.1

1 рівень забезпечення довіри ([14, с. 34] в перекладі)

Клас довіри	Компоненти довіри
ADV: Розробка	ADV_FSP.1 Базова функціональна специфікація
AGD: Керівництво	AGD_OPE.1 Керівництво користувача по експлуатації
	AGD_PRE.1 Підготовчі процедури
ALC: Підтримка життєвого циклу	ALC_CMC.1 Маркування ОО
	ALC_CMS.1 Охоплення УК об'єкта оцінки
ASE: Оцінка завдання з безпеки	ASE_CCL.1 Твердження про відповідність
	ASE_ECD.1 Визначення розширення компонентів
	ASE_INT.1 Введення ЗБ
	ASE_OBJ.1 Цілі безпеки для операційного середовища
	ASE_REQ.1 Встановлені вимоги безпеки
	ASE_TSS.1 Коротка специфікація ОО
ATE: Тестування	ATE_IND.1 Незалежне тестування на відповідність
AVA: Оцінка вразливостей	AVA_VAN.1 Огляд вразливостей



Висновок

На основі всього, що було зазначено вище робляться висновки:

1. Аналізуючи всі літературні джерела виявлено основні характеристики цифрового підпису:

· Класифікація цифрових підписів

· Призначення цифрових підписів

· Алгоритми побудови

2. У курсовій роботі було досліджено і встановлено, що основними вразливостями цифрового підпису є:

· Екзистенціальна підробка

· Селективна підробка

· Універсальна підробка

· Повне розкриття

3. Була виявлена критична вразливість ЕЦП:

Чинне законодавство не визначає особливості застосування ЕЦП, щодо документів, термін дії яких перевищує термін дії ЕЦП.

4. Було запропоновано набір функціональних вимог, а саме:

· Клас FIA - відповідає за безпеку біометричних даних, цей клас базується на встановленні верифікації заявленого ідентифікатора користувача.

· Клас FAU - включає в себе розпізнавання, запис, збереження та аналіз інформації, пов'язаної з діями, що стосуються безпеки.

· Клас FCO - відповідає за упевненість в ідентичності сторін, що беруть участь в обміні даними: ідентичністю відправника переданої інформації (доказ відправлення) та ідентичністю одержувача переданої інформації (доказ отримання).

· Клас FCS - відповідає за забезпечення безпеки для уникнення криптографічного злому.

5. На основі проаналізованих загроз та вразливостей було запропоновано першу вимогу довіри, адже вона відповідає саме за захист персональних даних та цілісність.



Список використаних джерел

1. Про електронні довірчі послуги: Закон України від 5 жовтня 2017 р. №2155-VIII. - Ст. 400. - [Електронний ресурс]

2. Про електронний цифровий підпис: Закон України від 22 травня 2003 р. №852-IV. - Ст. 276. - [Електронний ресурс]

3. Гулько О.С. Дослідження вразливості алгоритмів електронного цифрового підпису. - 2018. - вип.53 - ст. 20. -[Електронний ресурс]

4. RSA - 2021. - [Електронний ресурс])

5. Як працює шифрування за RSA. - [Електронний ресурс]

6. DSA - 2021. - [Електронний ресурс]

7. ECDSA - 2021. - [Електронний ресурс]

8. ЕЦП - 2021. - [Електронний ресурс]

9. Common Criteria for Information Technology Security Evaluation, Part 3: Security assurance components, Version 3.1, 2017, c. 33-34

Размещено на allbest.ru

...