Услуги, предоставляемые доверенной третьей стороной

В жизненном цикле управления ключами важную роль играет так называемая доверенная третья сторона. Эти функции могут быть определены следующим образом.

1. Сервер имен абонентов — обеспечивает придание каждому из абонентов индивидуального имени.

2. Регистрационный центр — обеспечивает включение каждого из абонентов в данную сеть засекреченной связи и выдачу ему соответствующей ключевой информации.

3. Центр производства ключей.

4. Ключевой (идентификационный) сервер — обеспечивает установку общего сеансового ключа между двумя абонентами путем передачи этого ключа по защищенному каналу, образуемому сервером с каждым из абонентов. При этом может осуществляться и идентификация абонентов.

5. Центр управления ключами — обеспечивает хранение, архивацию, замену и отмену ключей, а также аудит действий, связанных с жизненным циклом ключей.

6. Сертификационный центр — обеспечивает аутентичность открытых ключей путем придания им сертификатов, заверенных цифровой подписью.

7. Центр установки временных меток — обеспечивает привязку временной метки к электронному сообщению или транзакции, заверяя тем самым их наличие в определенный момент времени.

8. Центр нотаризации — обеспечивает невозможность отказа от сделанного в определенный момент заявления, зафиксированного в электронной форме.

3. Методи та засоби несанкціонованого знімання інформації з телефонних ліній

При організації захисту телефонних ліній необхідно враховувати кілька аспектів

1. Телефонні апарати (навіть при покладеній слухавці) можуть бути використані для прослуховування розмов, що ведуться в приміщеннях, де вони встановлені;

2. Телефонні лінії, що проходять через приміщення, можуть використовуватися в якості джерел живлення електронних обладнань перехоплення мовний (акустичної) інформації, установлених у цих приміщеннях, а також для передачі перехопленої ними інформації;

3. Можливе прослуховування телефонних розмов шляхом гальванічного або через індукційний датчик підключення до телефонної лінії електронних обладнань перехоплення мовної інформації;

4. Можливо несанкціоноване використання телефонної лінії для ведення телефонних розмов.

Методи й засоби захисту телефонних ліній повинні бути спрямовані на виключення

• Використання телефонних ліній для прослуховування розмов, що ведуться в приміщеннях, через які проходять ці лінії;

• Прослуховування телефонних розмов, що ведуться по даних телефонних лініях;

• Несанкціонованого використання телефонних ліній для ведення телефонних розмов.

Прослуховування розмов у приміщенні де встановлений телефон

1.1 Без застосування мікрофонів

1.2 Із застосуванням виносних мікрофонів

Метод ВЧ нав’язування

В одну з жил телефонного кабелю відносно точки заземлення вводиться ВЧ гармонійний сигнал з частотою від 50 кГц до 1 МГц. Приймальна частина прибору підключається до другої жили телефонного кабелю. ВЧ коливання проходить в телефоні через елементи дзвінкового кола. Акустичні сигнали з приміщення впливають на якір електромагнітного дзвінка та викликають його коливання в обмотці, через що опір обмотки на ВЧ стає змінним. Тому ВЧ коливання стають модульованими по амплітуді.

Прослуховування розмов, що ведуться в приміщеннях, можливо

• За рахунок перетворення акустичних коливань в електричні різними елементами телефонного апарата. ДО них відносяться: дзвінковий ланцюг, телефонний, мікрофонний капсулі і т.д.

• За рахунок акустично-електричних перетворень у цих елементах виникають інформаційні (небезпечні) сигнали.
При покладеній слухавці і телефонний і мікрофонний капсулі гальванічно відключені від телефонної лінії, і інформаційні сигнали виникають в елементах тільки дзвінкового ланцюга. Амплітуда цих небезпечних сигналів, як правило, не перевищує часток мВ.

Використання “ мікрофонного ефекту ”

• Характерний для телефонів з електромагнітними дзвінками.

• Виникає через коливання якоря дзвоника в обмотці під впливом акустичних коливань в приміщенні.

Під час руху сталого магніту в котушці на її клемах виникає напруга, що відповідає звуковим коливанням в приміщенні.

ЕКЗАМЕНАЦІЙНИЙ БІЛЕТ № 25

1. ЗУ «Про радіочастотний ресурс України»

Цей Закон встановлює правову основу користування
радіочастотним ресурсом України, визначає повноваження держави
щодо умов користування радіочастотним ресурсом України, права,
обов'язки і відповідальність органів державної влади, що
здійснюють управління і регулювання в цій сфері, та фізичних і
юридичних осіб, які користуються та/або мають намір користуватися
радіочастотним ресурсом України.

ЗАГАЛЬНІ ПОЛОЖЕННЯ

Стаття 1. Терміни та їх визначення

У цьому Законі наведені нижче терміни вживаються в такому
значенні:

виділення радіочастот - надання відповідним записом у Плані
використання радіочастотного ресурсу України права використовувати
певні смуги радіочастот для застосування в Україні визначених цим
Планом радіотехнологій;

випромінювальний пристрій - технічний пристрій, що
використовується для виробничих, наукових, медичних, побутових
потреб, за винятком потреб радіозв'язку, який випромінює
електромагнітну енергію в навколишній простір і який не є
радіоелектронним засобом;

висновок щодо електромагнітної сумісності (далі - висновок) -
технічний висновок щодо можливості застосування конкретного
радіоелектронного засобу у визначених умовах (vr215295-08); Стаття 2. Мета Закону

Метою цього Закону є створення правових засад для ефективного
та раціонального використання радіочастотного ресурсу України для
забезпечення економічного, соціального, інформаційного та
культурного розвитку, державної безпеки, обороноздатності,
виконання міжнародних зобов'язань.

Стаття 3. Законодавство про радіочастотний ресурс України

Законодавство про радіочастотний ресурс України складається з
цього Закону та інших нормативно-правових актів, що регулюють
відносини в цій сфері.

Стаття 4. Сфера дії Закону

Дія цього Закону поширюється на відносини між органами
державної влади України, фізичними та юридичними особами щодо
розподілу, виділення смуг радіочастот, присвоєння радіочастот
радіоелектронним засобам, користування радіочастотним ресурсом
України, забезпечення конверсії радіочастотного ресурсу України,
електромагнітної сумісності.

2. Взаємна автентифікація суб’єктів

Автентифікація користувача може бути заснована на наступних принципах

• на пред'явленні користувачем пароля;

• на пред'явленні користувачем доказів, що він володіє секретної ключовою інформацією;

• на відповідях на деякі тестові питання;

• на пред'явленні користувачем деяких незмінних ознак, нерозривно пов'язаних з ним;

• на наданні доказів того, що він перебуває в певному місці в певний час;

• на встановленні достовірності користувача деякої третій довіреної стороною

•

• Автентифікація суб'єкта- Мета суб'єкта взаємодії при автентифікації – довести верифікатор справжність пред'явленого ідентифікатора.

Класичним засобом автентифікації суб'єкта є парольні схеми.

• При цьому для усунення наслідків несанкціонованого доступу противника до інформації, що зберігається в пам'яті комп'ютера верифікатори, зберігається не сам пароль PW (pass word), а його хеш-образ q = h (PW)

•

Автентифікація суб'єкта може бути як односторонній, так і взаємною.

• У першому випадку процедуру автентифікації проходить один суб'єкт, у другому автентифікує один одного два взаємодіючих суб'єкта, наприклад зв'язуються між собою по лініям зв'язку.

• Взаємна автентифікація не є просте об'єднання двох сеансів односторонньої автентифікації, так як в останньому випадку супротивник легко може здійснити атаку перехоплення і повтору, видаючи себе за верифікатори перед претендентом і за претендента перед верифікаторів.

Перевірка справжності передбачає

• використання неповторюваних блоків даних, в якості яких використовуються тимчасові мітки,

• механізми запит – відповідь;

• процедури рукостискання (handshake).

Використання позначок часу дозволяє

• реєструвати час відправлення конкретного повідомлення, що дає можливість одержувачеві визначити, наскільки «застаріло» повідомлення яке прийшло, а значить, захиститися від повтору.

Суб'єкт А, який хоче взаємодіяти з суб'єктом В, посилає З повідомлення, що містить ідентифікатори суб'єктів запитуваної взаємодії

B, отримавши повідомлення, формує сеансовий ключ для взаємодії суб'єктів А і В і посилає А зашифроване повідомлення

Суб'єкт А, розшифрувавши отримане повідомлення, визначає ключ і дозвіл

яке він розшифрувати не може, оскільки не знає ключа; після цього А відправляє В повідомлення

В, прочитавши шифровку дізнається ідентифікатор суб'єкта взаємодії і сеансовий ключ для роботи з ним, читає запит; після цього В формує відповідь на запит і відправляє А повідомлення

Суб'єкт А, отримавши повідомлення, розшифровує його і перевіряє відповідь В; у разі позитивного результату перевірки процес автентифікації успішно завершується.

3. Загрози інформації в мережах

Класифікація загроз за їхніми характеристиками

• За цілями реалізації загрози

• За принципом впливу на систему

• За характером впливу на систему

• За причинами появи помилок у системі захисту

• За способом впливу на об'єкт атаки

• За способом впливу на систему

• За об'єктом атаки

• За засобами атаки, що використовуються

• За станом об'єкта атаки

За цілями реалізації загрози класифікуються

• порушення конфіденційності інформації;

• порушення цілісності (повна або часткова компрометація інформації; дезінформація; несанкціоноване знищення або модифікація інформації чи програмного забезпечення);

• порушення (часткове або повне) працездатності системи

За принципом впливу на систему загрози класифікуються:

• за допомогою доступу до об'єктів системи (файлів, даних, каналів зв'язку);

• за допомогою прихованих каналів (у тому числі, через роботу з пам'яттю)

За характером впливу на систему загрози класифікуються

• активний вплив - виконання користувачами деяких дій поза межами своїх обов'язків, які порушують систему захисту та змінюють стан системи;

• пасивний вплив - спостереження побічних ефектів роботи системи та їх аналіз, які не змінюють стан системи, але дають можливість отримання конфіденційної інформації.

За причинами появи помилок у системі захисту класифікуються:

• некоректність системи захисту, що призведе до дій, які можна розглядати як несанкціоновані, але система захисту не розрахована на їх припинення або недопущення;

• помилки адміністрування системи;

• помилки в алгоритмах програм, зв'язках між ними тощо, які виникають на етапі проектування;

помилки реалізації алгоритмів, тобто помилки програмування, які виникають на етапі реалізації або тестування програмного забезпечення

За способом впливу на об'єкт атаки загрози класифікуються

• безпосередній вплив на об'єкт атаки (у тому числі, за допомогою використання привілеїв);

• вплив на систему привілеїв (у тому числі, захоплення привілеїв) і потім доступ до системи, який система вважатиме санкціонованим;

• опосередкований вплив через інших користувачів.

За об'єктом атаки загрози класифікуються

• на систему в цілому;

• на об'єкти системи з порушенням конфіденційності, цілісності або функціонування об'єктів системи (дані, програми, устаткування системи, канали передачі даних);

• на суб'єкти системи (процеси користувачів);

• на канали передачі даних, причому як на пакети даних, що пере­даються, так і на самі канали передачі даних.

За засобами атаки, що використовуються, загрози класифікуються

• за допомогою штатного програмного забезпечення;

• за допомогою спеціально розробленого програмного забезпечення

За станом об'єкта атаки, загрози класифікуються:

• під час зберігання об'єкта (на диску, в оперативній пам'яті тощо) у пасивному стані;

• під час передачі;

• під час обробки, тобто об'єктом атаки є сам процес користувача або системи.

Пасивна атака - перехоплювання інформації

Активна атака з роз’єднанням лінії зв’язку (порушенням доступності компоненту або ресурсу інформаційної системи)

Активна атака із штучним створенням перешкод (порушення доступності)

Активна атака з модифікацією даних (порушенням цілісності)