Le coût des solutions commerciales d'authentification à deux facteurs est souvent élevé et de placer des dispositifs d'identification et de gérer cela est difficile. Toutefois, vous pouvez créer votre propre solution pour une authentification à deux facteurs à l'aide de l'adresse IP de l'utilisateur, du fichier "phare" ou d'un certificat numérique.
Diverses solutions commerciales assurent la protection des sites Web qui vont au-delà des méthodes d'authentification traditionnelles utilisant un facteur (c'est-à-dire des combinaisons du nom d'utilisateur et du mot de passe). En tant que deuxième facteur, vous pouvez prendre un emplacement géographique, un comportement de l'utilisateur, des demandes avec des images, ainsi que des cartes à puce, des périphériques et des empreintes digitales plus familières. Des informations supplémentaires sur des solutions commerciales à deux facteurs peuvent être trouvées dans les articles énumérés dans la "littérature supplémentaire".
Mais les solutions commerciales ne sont pas la seule option. Une procédure d'authentification à deux facteurs peut être préparée indépendamment. Cet article propose des recommandations pour la conception de l'authentification à deux facteurs pour les applications Web et fournissent également des exemples du texte source, sur la base desquels vous pouvez démarrer votre propre projet.
Vue d'ensemble des contrôles à deux facteurs
Revenons à une brève révision de l'authentification à deux facteurs, c'est-à-dire l'utilisation de deux formes différentes d'identification d'utilisateurs potentiels. Vous pouvez vérifier l'authenticité avec l'utilisation de trois formes:
Quelque chose de célèbre;
Certaines caractéristiques de l'utilisateur;
Quelque chose qui est disponible à l'utilisateur.
La plupart des applications n'utilisent qu'une de ces formes, généralement le premier. Le nom d'utilisateur et le mot de passe sont des données connues.
Ce niveau de sécurité est tout à fait acceptable pour la plupart des nœuds et applications Web. Cependant, étant donné une augmentation significative du nombre de vols de données à caractère personnel et d'autres types de fraude au réseau, l'authentification à deux facteurs est entrée sur certains nœuds Web. Conformément à la nouvelle législation, depuis 2007, tous les sites bancaires électroniques devraient appliquer une vérification à deux facteurs. Bientôt, ces exigences peuvent être distribuées aux sites de recrutement, aux sites médicaux, gouvernementaux et autres que vous pouvez accéder à des données à caractère personnel.
Comme indiqué ci-dessus, il existe de nombreux produits commerciaux pour des contrôles à deux facteurs. Leurs prix sont plus différents, bien que le niveau initial soit assez élevé. Toutes les entreprises n'ont pas de moyens pour une solution majeure. Et certaines entreprises utilisent des programmes hautement spécialisés mal compatibles avec les produits commerciaux. En tout état de cause, il est utile de penser à sa propre solution à deux facteurs. Les recommandations données dans cet article aideront à atteindre la bonne voie de conception.
Adresse IP de l'application
Dans l'article "Protégez le site des attaques", publié dans. Une brève description de l'application de l'adresse IP est donnée pour une identification supplémentaire de l'utilisateur. Cette méthode fait référence à la catégorie "certaines caractéristiques de l'utilisateur". Dans de nombreuses solutions commerciales, des caractéristiques biologiques sont utilisées (par exemple, des empreintes digitales ou le motif de l'iris). Grâce à une diminution du coût du matériel et de l'amélioration des programmes, cette option est devenue plus pratique, mais les prix sont encore assez élevés.
De plus, certains utilisateurs s'opposent au stockage de leurs données biométriques dans la société. C'est une chose si quelqu'un enquête découvre le nombre de cartes de sécurité sociale et un autre vol d'empreintes digitales!
Utilisez une solution basée sur le code de programme est plus facile et moins cher. Naturellement, sa précision est inférieure aux solutions physiques, mais pour de nombreuses applications, il offre une précision suffisante. Chaque utilisateur a une adresse IP pouvant être utilisée comme deuxième facteur de vérification.
L'essence de la méthode est réduite au fait que lorsque vous essayez de vous inscrire, l'adresse IP de l'utilisateur est extraite des journaux du serveur Web ou une autre source. L'adresse est ensuite soumise à un ou plusieurs chèques. En cas de succès et si le nom d'enregistrement et le mot de passe sont corrects, l'utilisateur est fourni avec accès. Si l'utilisateur ne transmet pas ce niveau de vérification, la demande est rejetée ou envoyée à un niveau d'analyse plus profond. En particulier, l'utilisateur peut être demandé de questions personnelles supplémentaires (par exemple, d'appeler le nom de la mère de la mère) ou il est proposé de contacter le représentant autorisé pour la mission.
Il existe plusieurs façons de vérifier l'adresse IP, chacun d'entre eux fournissant un certain niveau de fiabilité lors de l'identification de l'utilisateur. Le test le plus simple consiste à comparer l'adresse IP de l'utilisateur avec une liste d'adresses non connues non désirées en dehors de la zone de service. Par exemple, si les utilisateurs sont principalement dans un pays, vous pouvez comparer avec la liste des adresses indésirables en dehors de ce pays. Étant donné qu'une partie importante des tentatives de vol de données à caractère personnel se déroule de l'extérieur du pays spécifique, bloquer les adresses dangereuses en dehors du pays empêchera certainement un grand nombre de tentatives de fraude.
Obtenir des listes d'adresses dangereuses ne sera pas difficile. Liste de la liste des blocs de Bob à l'adresse http://www.unixhub.com/block.html commence par des blocs d'adresses en Asie, en Amérique latine et dans les pays des Caraïbes. Comparaison avec elle peut être utile si la société n'a aucun utilisateur dans ces régions. Il convient de noter que dans les listes reçues des nœuds libres, certaines modifications sont nécessaires pour ne pas bloquer les sites utiles. Les listes commerciales sont caractérisées par une plus grande précision, telles que Maxmind à l'adresse http://www.maxmind.com. Le listage 1 montre un échantillon de pseudocode pour mettre en œuvre cette approche.
Toutefois, si vous souhaitez bloquer les utilisateurs par région ou besoin d'une sélectivité plus élevée, vous pouvez enregistrer l'adresse IP de l'utilisateur lors de votre inscription au cours de la première visite, à condition que le processus d'enregistrement dispose d'outils de vérification de l'utilisateur. En particulier, vous pouvez offrir à l'utilisateur de répondre à une ou deux questions (par exemple, demander à nommer le numéro d'école dans lequel il a étudié) ou vous demander d'entrer le code d'enregistrement précédemment transféré par courrier électronique. Une fois l'adresse IP reçue et les contrôles, vous pouvez utiliser cette adresse pour évaluer les tentatives d'enregistrement ultérieures.
Si tous les utilisateurs accèdent à l'accès uniquement avec des sites d'entreprise avec des adresses IP bien connues et bien connues, une méthode très efficace est une correspondance avec une liste d'adresses pré-approuvées. Dans le même temps, les utilisateurs avec des sites inconnus perdent des droits d'accès. Toutefois, si les utilisateurs font appel à des sites dont les adresses sont inconnues à l'avance, par exemple, de la Chambre, où il n'ya généralement aucune adresse IP statique, l'exactitude de la définition diminue fortement.
Une solution moins fiable consiste à comparer les adresses IP "floues". Home User Internet Les fournisseurs d'Internet attribuent des adresses IP de la plage qui leur appartiennent, généralement des sous-réseaux de classe C ou B de classe C ou B. Par conséquent, vous ne pouvez utiliser que les deux ou trois premières oscillations d'adresse IP. Par exemple, si l'adresse est enregistrée 192.168.1.1 pour l'utilisateur, il peut être ultérieur de recevoir des adresses de 192.168.1.1 au 192.168.254.254. Cette approche est associée à un risque d'attaque par un attaquant, qui utilise les services du même fournisseur, mais il donne néanmoins de bons résultats.
De plus, les utilisateurs peuvent être vérifiés à l'aide d'adresses IP pour déterminer leur emplacement. Il est nécessaire d'acheter une base de données commerciale contenant tous les domaines connus d'adresses IP et de leur emplacement approximatif, par exemple, d'une telle entreprise que maxmind ou Geobytes (http://www.geobytes.com). Si l'emplacement enregistré de l'utilisateur est Houston et, par la suite, il essaiera de contacter des sites de Roumanie ou même de New York, vous pouvez alors refuser ou au moins effectuer un chèque plus profond. Cette méthode résout le problème de la modification de l'adresse du bloc d'adresses. Cependant, l'attaquant reste une chance d'accès de l'endroit où il y a des utilisateurs enregistrés.
Vous pouvez effectuer une authentification avec un facteur à double seconde, à partir de l'exception de toutes les adresses IP correspondant à la liste de verrouillage ou à la comparaison avec la liste "Blanc". Si la liste "White" est appliquée et qu'il n'y a pas d'adresse IP à vérifier, l'utilisateur peut être posé une question supplémentaire. Si l'adresse IP est enfin approuvée, l'utilisateur peut être invité à ajouter l'adresse IP actuelle à la liste blanche (les utilisateurs doivent être expliqués que seules les adresses des ordinateurs utilisées régulièrement peuvent être ajoutées à la liste). Le listage 2 montre Pseudocode pour comparer la liste de la liste de verrouillage et de la liste "Blanc".
L'authentification utilisant des adresses IP ne convient pas à ces cas lorsque de nombreux utilisateurs mobiles se tournent vers le site des chambres d'hôtel et d'autres endroits du pays et de l'étranger, modifiant constamment les adresses IP, les fournisseurs Internet et l'emplacement. Pour ces utilisateurs, vous ne pouvez pas appliquer une liste d'adresses IP interdites. Ces utilisateurs ne figureront pas dans la liste des adresses IP admissibles. Cependant, ils peuvent toujours répondre à la question du test lors de l'authentification.
Pour fournir une protection plus fiable des "utilisateurs errants", vous pouvez approfondir le chèque, en tenant compte de la version du navigateur (qui, en règle générale, change rarement), le système d'exploitation et même l'adresse MAC de la carte réseau. Toutefois, lors de l'utilisation de telles méthodes, vous devez généralement exécuter un programme spécial sur le client pour accéder aux paramètres nécessaires. Les adresses et les versions de navigateur VRAI, MAC et le système d'exploitation peuvent être façonnés et cette méthode de protection n'est pas imprudente fiable.
Utiliser des "phares" et des certificats
Une option alternative consiste à utiliser l'une des deux autres formes de vérification: "quelque chose qui a un utilisateur". Systèmes de vérification du matériel Demandez un périphérique spécial. Dans les systèmes logiciels conçus indépendamment, vous pouvez utiliser les fichiers «phares» ou le certificat stocké dans les ordinateurs utilisateur. Cette approche est similaire aux certificats de sécurité sur les sites Web de commerce électronique, ce qui s'assure que les informations de commande sont transférées sur le site souhaité.
Le moyen le plus simple d'appliquer les fichiers «phares». De nombreuses entreprises les utilisent pour suivre les clés de session et d'autres informations pour les utilisateurs. Il est seulement nécessaire de créer un fichier permanent "phare" et de l'enregistrer dans un ordinateur d'un utilisateur pour identifier à l'avenir. Vous ne pouvez pas être limité au simple fichier "phare" et chiffrer une partie du fichier afin que le fraudeur soit plus difficile à simuler.
Les niveaux de sécurité plus élevés fournissent des certificats numériques. Ils nécessitent une certaine préparation de l'utilisateur: le certificat doit être créé au sein de la société ou recevoir de l'autorité de certification, CA). La dernière méthode est plus fiable, car un faux certificat externe est plus difficile. Toutefois, les coûts actuels de maintenance du certificat sont comparables au coût d'une solution à deux facteurs basée sur des dispositifs d'identification.
Bien sûr, les fichiers «phares» et les certificats ne sont applicables qu'aux ordinateurs domestiques des employés et d'autres ordinateurs enregistrés dans le système d'authentification. Vous avez besoin d'une autre méthode d'identification des utilisateurs travaillant avec des ordinateurs qui ne leur appartiennent pas. L'une de ces méthodes est les problèmes de contrôle mentionnés ci-dessus et énumérés dans la liste 2. Toutefois, pensez si l'accès à des applications importantes d'ordinateurs disponibles au public est justifiée, en tenant compte de la menace des programmes qui enregistrent les clés sur les clés, les logiciels espions et autres malveillants. programmes.
L'article traite de deux façons d'organiser une authentification simple à deux facteurs pour les applications Web: l'une utilisant "une sorte de caractéristiques utilisateur" (adresse IP), l'autre avec l'utilisation de "quelque chose qui a un utilisateur" ("phares" ("phares" ou certificats). Il convient de rappeler que ces solutions ne fournissent pas de très haut niveau de sécurité requis, par exemple dans le secteur financier pour lequel le matériel est plus approprié. Mais les décisions données dans l'article sont parfaitement combinées à d'autres méthodes de protection plus fiable des réseaux d'entreprise et des sites de commerce électronique.
Paul Hensarling ([Email protégé]) - Analyste sur la sécurité dans une société de conseil. A un certificat CSSA;
Tony Haulett ([Email protégé]) - Président du cabinet de conseil de réseau de services de sécurité réseau. CISSP et CSNA Certificats
Tu auras besoin de
- Carte de bibliothèque
- accès Internet
- Capacité à travailler avec les catalogues de la bibliothèque
- Capacité à travailler avec les services de recherche sur Internet
Instruction
Découvrez ce que vous traitez - avec un fait ou une évaluation, avec laquelle nous sommes confrontés lors de la réception de nouvelles informations, ce sont les faits. Le fait s'appelle des informations déjà testées pour la fiabilité. Cette information qui n'a pas été vérifiée ou ne peut être vérifiée, le fait n'est pas. Les faits peuvent être des chiffres, des dates, des noms, des événements. Tout ce qui peut être touché, mesurer, liste, confirmer. Des faits sont fournis par diverses sources - instituts de recherche, agences sociologiques, agences de statistique, etc. L'essentiel est que cela distingue le fait de l'évaluation - objectivité. L'évaluation exprime toujours la position subjective de quelqu'un, une attitude émotionnelle, appelant à certaines actions. Le fait ne donne aucune évaluation, n'appelle rien.
Vérifiez les sources d'informations, avec lesquelles nous sommes confrontés sont des sources d'information. Tous les faits que nous puissions vérifier vous-même, nous ne savons donc donc que notre connaissance est largement basée sur la confiance dans les sources. Comment vérifier la source d'informations? On sait que le critère de la vérité est la pratique, en d'autres termes, n'est vrai que, avec ce que nous pouvons résoudre une tâche spécifique. Les informations doivent être efficaces. Cette efficacité reflète le nombre de personnes qui ont appliqué ces informations avec succès. Plus les gens font confiance à la source, se réfèrent à cela, plus les informations les plus coûteuses fournies.
Comparez les sources d'informations pour le bonheur, la popularité et l'autorité de la source ne sont pas encore une garantie de fiabilité. L'un des signes d'informations fiables est sa consistance. Tout fait doit être confirmé par les résultats de la recherche indépendante, c'est-à-dire Il doit répéter. Les chercheurs indépendants doivent venir aux mêmes conclusions. Aux aléatoires, des informations simples doivent être traitées avec beaucoup de soin. Plus les mêmes informations reçues de différentes sources sont grandes, l'information est plus chère.
Vérifiez la réputation des informations source est que la source est toujours responsable des faits fournis. Cette responsabilité n'est pas seulement morale et morale, mais aussi réelle. Pour la fourniture de données douteuses d'organisations, elles peuvent perdre leurs moyens de subsistance. Perte de lecteurs, de pénalité ou même d'emprisonnement - les conséquences pour les menteurs peuvent être les plus graves. Les organisations solides protègent la réputation et ne risqueront jamais de publier des informations peu fiables. Lisez l'histoire de l'organisation, découvrez les noms de ses dirigeants, de lire les examens des lecteurs et les opinions d'experts.
En savoir plus sur l'auteur de la source des informations d'information, est finalement transmis par des personnes. Si l'information vous cause des doutes, vérifiez qui est l'auteur. Lisez d'autres œuvres de l'auteur, apprenez sa biographie, qu'il ait un diplôme scientifique, quel poste l'expérience possède-t-elle dans ce domaine et, bien sûr, à qui. S'il est impossible de savoir sur l'auteur, il n'est pas recommandé de faire confiance aux informations douteuses.
La précision est ce qui montre la qualité de l'information, reflète sa complétude et sa précision. Il a des signes tels que l'intelligibilité de la parole écrite et orale, l'absence de faux ou de quelque manière que ce soit des informations déformées, une petite possibilité d'une utilisation erronée des unités d'information, y compris des lettres, des symboles, des bits, des chiffres. La précision des informations est également classée directement et sa source sur la balance (par exemple, "principalement fiable", "fiable en totalité", "relativement fiable", puis - à "l'état peu fiable, très" ou "n'est pas défini" ).
Qu'est-ce que ça veut dire?
La précision caractérise l'indiscutabilité des informations. Il n'est pas seulement influencé par l'authenticité des informations, mais également l'adéquation des méthodes obtenues.
Le manque de fiabilité peut impliquer une préparation de données intentionnelle comme fausse. Il existe des cas où des informations peu fiables sont en conséquence fournissent des informations caractérisées par une précision. Cela se produit lorsque, pendant leur préparation, le degré de manque de fiabilité des informations est déjà connu du destinataire. En général, le modèle suivant est observé: plus la quantité de données source est élevée, plus la précision de l'information devient élevée.
Adéquation de l'information
Ainsi, la fiabilité est directement liée à l'adéquation de l'information, de sa plénitude et de l'objectivité. Cette propriété a une signification très sérieuse, principalement dans le cas de la demande de données pour effectuer des solutions. Les informations différentes dans le manque de fiabilité conduit à de telles décisions qui auront des conséquences négatives en termes d'arrangement social, de la situation politique ou de la situation économique.
Alors, considérons plus en détail le concept de précision de l'information.
Définir les concepts d'informations fiables et peu fiables
Ainsi, les informations ne sont pas fiables si elle ne correspond pas à la position réelle des choses, contient de telles données sur les phénomènes, les processus ou les événements qui n'existaient en principe que jamais, mais des informations sur eux diffèrent de ce qui se passe en réalité est déformée ou caractérisé par une incomplétude.
Il est possible d'appeler de telles informations qui ne causent absolument aucun doute, est réelle, authentique. Il inclut ces informations que dans le cas où peuvent être confirmées par les procédures correctes d'un point de vue juridique lorsque divers documents ou opinions d'experts sont utilisés, des témoins peuvent être invités, etc. En outre, les données peuvent être considérées comme fiables si elles appelez nécessairement à la source. Cependant, dans ce cas, le problème de la détermination de la fiabilité de la source d'informations elle-même.
Types de sources d'information
Les sources d'information peuvent être:
Les personnes qui, grâce à leur autorité ou à leur disposition, ont accès à de telles informations intéressées par différents types de médias;
Divers documents;
Milieu réel (par exemple, urbain, matière-matière, qui est un habitat naturel, naturel);
Environnement virtuel;
Publications imprimées qui ont une sortie, c'est-à-dire des manuels, des livres, des encyclopédies ou des articles dans la revue;
Sites Web sur Internet, Portails, Pages pouvant également être basés sur des médias.
Sans aucun doute, l'une des sources les plus réputées et les plus sûres sont des documents, cependant, ils sont considérés comme uniquement lorsqu'il y a la possibilité de leur audit juridique. Ils sont caractérisés par toute la plénitude des informations. 
Compétent et incompétent
En plus de la division sur des sources fiables et peu fiables, peut également être compétente et incompétente.
Les plus largement représentaient de telles sources d'informations autorisées par les structures officielles du pouvoir. Tout d'abord, les agences gouvernementales doivent fournir aux citoyens les informations les plus objectives et les plus précises. Cependant, même les informations du service de presse du gouvernement peuvent être forgées et il n'est pas garantissant que les informations ne soient pas fiables de la source de l'État. C'est pourquoi pour obtenir des informations - ne veut pas dire la confiance inconditionnellement.
Lien vers la source
Ainsi, la précision des informations peut être déterminée par une référence à la source présente. Si le second ait des pouvoirs dans n'importe quel domaine ou se spécialise dans une certaine zone, il est compétent.
Mais la présence de la référence ne doit pas toujours être obligatoire, car il arrive qu'une confirmation soit obtenue directement dans le processus de présentation d'informations. Cela se produit lorsque l'auteur de l'information est un spécialiste, c'est-à-dire qu'une personne est assez compétente dans la zone concernée. Dans ce cas, vous pouvez le plus souvent pas en doute que les informations seront fiables.
Dans la majorité écrasante, des sources sans nom contribuent à une diminution de la fiabilité du matériel, en particulier lorsque l'article présente des nouvelles négatives, que le lecteur n'a pas été connu auparavant. Les gens suscitent principalement la source de ces informations.
Le meilleur est la meilleure information qui fait référence aux sources qui possèdent certaines autorités, telles que le statut officiel, diverses agences statistiques, instituts de recherche, etc.
Ensuite, il est plus facile de vérifier l'exactitude des informations.
Méthodes de widget
Étant donné que seules les informations qui sont corrélées avec la réalité sont fiables, il est très important de vérifier les données obtenues et de déterminer leur degré de fiabilité. Si nous saisissons une telle compétence, vous pouvez éviter différents types de pièges désinfectifs. Pour ce faire, tout d'abord, il est nécessaire de révéler quel type de charge sémantique est l'information obtenue: facteur ou estimé.
Le contrôle de la précision de l'information est extrêmement important. Les faits sont ce que la personne est confrontée à tout d'abord lorsqu'elle reçoit de nouvelles informations pour cela. Ils sont nommés déjà testés pour la fiabilité. Si les informations n'ont pas été vérifiées ou ne peuvent pas être effectuées, il ne contient pas de faits. Ceux-ci incluent des chiffres, des événements, des noms, des dates. En outre, le fait est ce qui peut être mesuré, confirmer, toucher ou lister. Le plus souvent, la possibilité de leur présentation est disponible dans les instituts sociologiques et de recherche, agences spécialisées dans les statistiques, etc. La principale caractéristique qui distingue le fait que l'exactitude de l'information est l'objectivité du premier. L'évaluation est toujours un reflet de quelqu'un qui a un look subjectif ou une relation émotionnelle, et appelle également certaines actions.
Rémunération des sources d'information et leur comparaison
En outre, il est important lors de la réception d'informations pour distinguer ses sources. Étant donné que le nombre écrasant de faits n'est guère possible de vérifier, la précision des données obtenues est prise en compte à partir de la position de confiance aux sources les fournies. Comment vérifier la source d'information? Le principal facteur déterminant la vérité est la pratique, ou ce qui agit comme assistant dans l'exécution d'une tâche spécifique. Le critère dominant de toute information préconise également son efficacité, ce qui montre le nombre de sujets qui appliquaient ces informations. Plus il est élevé, plus la confiance sera testée aux données obtenues et leur précision est plus élevée. C'est le principe de base de la fiabilité des informations. 
Comparaison des sources
De plus, il sera très utile de comparer les sources les uns avec les autres, car de telles qualités de crédibilité et de popularité ne donnent pas de garanties complètes de fiabilité. C'est pourquoi sa cohérence est le prochain signe important d'informations. Chaque fait reçu de la source doit être prouvé par les résultats de recherches indépendantes, c'est-à-dire qu'il devrait être répété. Si une analyse répétée concerne des conclusions identiques, cela signifie que les informations sont vraiment cohérentes. Cela suggère que des informations d'une nature unique, aléatoire, de grande confiance ne méritent pas à elles-mêmes.
Degré de fiabilité
On observe la proportion suivante: plus le nombre d'informations similaires dérivées de diverses sources, plus leur degré de fiabilité de l'information est élevé. Chaque source est responsable des faits fournis non seulement du point de vue de la moralité et de la moralité, mais également du point de vue du réel. Si une organisation fournit des données de douteuses d'origine, il peut facilement perdre sa réputation et parfois même des fonds garantissant son existence. En outre, il est possible non seulement de perdre les bénéficiaires, mais même d'être puni sous la forme d'une amende ou d'une peine d'emprisonnement. C'est pourquoi les sources de solides, ayant une certaine autorité, ne seront à aucun risque de leur propre réputation, publiant des informations peu fiables.
Comment faire si une source d'informations devient une personne spécifique?
Il existe de telles situations lorsque la source d'informations ne devient pas une organisation, mais une personne donnée. Dans ces cas, il est nécessaire d'apprendre autant d'informations sur cet auteur afin de déterminer dans quelle mesure vous devez faire confiance aux informations qui y sont reçues. Vous pouvez vous assurer que vous pouvez vous assurer que vous connaissez d'autres œuvres de l'auteur, avec ses sources (le cas échéant), ou de savoir si la liberté de la parole est la liberté de la parole, peut fournir de telles informations.
Ce critère est déterminé par l'existence d'un diplôme scientifique ou d'une expérience dû dans une certaine sphère, ainsi que la position qu'il occupe. Sinon, les informations peuvent bien être inutiles et uniformes. Si vous ne pouvez pas vérifier de quelque manière que ce soit la précision des informations, elles peuvent immédiatement être considérées comme sans signification. Lors de la recherche d'informations, tout d'abord, il est nécessaire de formuler clairement le problème qui nécessite une autorisation de réduire la possibilité de désinformation.
Si les informations sont anonymes, alors pour la précision des informations, en aucun cas ne peut être traitée. Toute information devrait avoir leur auteur et renforcer la réputation. Le plus précieux en principe concerne ces données, dont la source est une personne expérimentée et non aléatoire.
1.1 Concepts de base et concepts
Avec chaque objet d'un système informatique (COP), certaines informations sont connectées sans ambiguïté l'identifiant. C'est peut-être un nombre chaîne de caractères, algorithme, Définir cet objet. Cette information est appelée un identifiant de l'objet. Si l'objet a un certain identifiant, il est inscrit sur le réseau, il est appelé objet légitime (légal); Les objets restants se rapportent à illégal (illégal).
Identification L'objet est l'une des caractéristiques du sous-système de protection. Cette fonctionnalité est principalement effectuée lorsque l'objet tente d'entrer dans le réseau. Si la procédure d'identification est terminée avec succès, cet objet est considéré comme légal pour ce réseau.
L'étape suivante - authentification d'objet (Authentification d'objet). Cette procédure établit si cet objet est exactement ce qu'il se déclare.
Une fois que l'objet est identifié et confirmé par son authenticité, il est possible d'établir sa portée et les ressources disponibles. Une telle procédure est appelée fourniture de pouvoirs (autorisation).
Les trois procédures d'initialisation énumérées sont des procédures de protection et appartiennent à un objet de la COP.
Lorsque vous protégez les canaux de transmission de données, l'authentification (authentification) des objets signifie une authentification mutuelle des objets se liant entre eux par l'intermédiaire de lignes de communication. La procédure d'authentification est généralement effectuée au début de la session lors de la création de la connexion des abonnés. (Le terme "connexion" indique une connexion logique (potentiellement bilatérale) entre deux objets de réseau. Le but de cette procédure est de garantir la confiance que la connexion est établie avec l'objet juridique et toutes les informations atteindront la destination.
Une fois la connexion établie, il est nécessaire de s'assurer que les exigences sont remplies lors de la communication de messages:
(a) le destinataire doit être confiant dans l'authenticité de la source de données;
(b) le destinataire doit être confiant dans l'authenticité des données transmises;
(c) l'expéditeur doit être sûr de fournir les données au destinataire;
(D) L'expéditeur doit être confiant dans l'authenticité des données livrées.
Pour répondre aux exigences (a) et b), les moyens de protection sont signature numérique . Pour répondre aux exigences (c) et (d), l'expéditeur doit recevoir notification de livraison de Mail certifié (courrier certifié). Les moyens de défense dans une telle procédure sont une signature numérique d'un message de réponse de confirmation, ce qui est à son tour la preuve de transfert du message source.
Si ces quatre exigences sont implémentées dans la CdP, il est garanti de protéger les données lorsqu'elles sont transmises via le canal de communication et la fonction de protection est fournie, appelée fonction de confirmation de programme (indiscutabilité). Dans ce cas, l'expéditeur ne peut pas nier le fait d'envoyer un message ni son contenu, et le destinataire ne peut pas nier le fait d'obtenir un message, ni l'authenticité de son contenu.
1.2 Mécanismes d'identification et d'authentification des utilisateurs
Avant d'accéder à la COP, l'utilisateur doit s'identifier, puis les outils de protection du réseau doivent confirmer l'authenticité de cet utilisateur, c'est-à-dire. Vérifiez si cet utilisateur est vrai pour lequel il se donne. Les composants du mécanisme de protection des utilisateurs légaux sont placés sur l'ordinateur de travail auquel l'utilisateur est connecté à travers son terminal (ou de toute autre manière). Par conséquent, les procédures d'identification, de confirmation de l'authenticité et de l'autonomisation sont effectuées au début de la session sur l'ordinateur de travail local.
Lorsque l'utilisateur commence à fonctionner dans la COP, à l'aide du terminal, le système demande son nom et son numéro d'identification. Selon les réponses des utilisateurs, le système informatique conduit l'identification. Le système vérifie ensuite si l'utilisateur est valide pour lequel il donne. Pour cela, elle demande un mot de passe pour cela. Le mot de passe n'est que l'un des moyens de confirmer l'authentification de l'utilisateur.
Nous énumérons les moyens possibles de confirmer l'authenticité.
Informations prédéfinies À la disposition de l'utilisateur: mot de passe, numéro d'identification personnel, accord sur l'utilisation de phrases codées spéciales.
Éléments matériels qui sont à la disposition de l'utilisateur: clés, cartes magnétiques, microcircuits, etc.
Caractéristiques personnelles de l'utilisateur: empreintes digitales, dessin de l'œil de la rétine, Timbre voix, etc.
Techniques caractéristiques et caractéristiques du comportement de l'utilisateur en temps réel: caractéristiques des haut-parleurs et style de travail sur le clavier, techniques de travail avec manipulateur, etc.
Compétences et connaissances de l'utilisateur en raison de l'éducation, de la culture, de la formation, de l'éducation, des habitudes, etc.
Appliquez un mot de passe pour confirmer l'authenticité de l'utilisateur. Traditionnellement, chaque utilisateur légitime du système informatique reçoit un numéro d'identification et / ou un mot de passe. Au début de la session de travail sur le terminal, l'utilisateur spécifie son système d'identification (ID utilisateur), qui demande ensuite au mot de passe de l'utilisateur.
La méthode la plus simple de confirmation d'authentification à l'aide d'un mot de passe est basée sur la comparution du mot de passe représenté par l'utilisateur avec la valeur initiale stockée dans le centre de l'ordinateur. Étant donné que le mot de passe doit être gardé secret, il doit être crypté avant expédition sur un canal non protégé. Si les valeurs de l'utilisateur et du système coïncident, le mot de passe est considéré comme authentique et que l'utilisateur est légal.
Si quelqu'un qui n'a aucune autorisation de se connecter, découvre de quelque manière que ce soit le mot de passe et le numéro d'identification de l'utilisateur légal, il aura accès au système.
Parfois, le destinataire ne doit pas divulguer la forme ouverte initiale du mot de passe. Dans ce cas, l'expéditeur doit envoyer au lieu d'un formulaire de mot de passe ouvert affiche le mot de passe obtenu à l'aide d'une fonction à une seule face A (*) mot de passe. Cette transformation devrait garantir l'impossibilité de divulguer le mot de passe par l'adversaire selon son affichage, car l'ennemi est rencontré dans une tâche numérique insoluble.
Par exemple, la fonction A (*) peut être définie comme suit:
où R - envoi de mot de passe;
ID - Identifiant de l'expéditeur;
EP - Procédure de cryptage effectuée à l'aide d'un mot de passe P en tant que clé.
Ces fonctions sont particulièrement pratiques si la longueur du mot de passe et la longueur de la clé sont identiques. Dans ce cas, la confirmation de l'authenticité utilisant le mot de passe consiste à envoyer au destinataire du mappage A (P) et à la comparer avec l'équivalent d'équivalent pré-calculé et stocké A "(P).
En pratique, les mots de passe ne consistent que de plusieurs lettres pour permettre aux utilisateurs de se souvenir d'eux. Les mots de passe courts sont vulnérables à l'attaque de toutes options. Afin d'éviter une telle attaque, la fonction A (P) est déterminée autrement, à savoir:
t (p) \u003d e p xor k (id),
où et ID-ID-respectivement identifiant de la clé et de l'expéditeur.
Évidemment, la valeur A (p) est calculée à l'avance et stockée sous la forme A "(P) dans la table d'identification au destinataire. L'authentification consiste en une comparaison de deux paires de mots de passe A (PA) et a" (P A ) et la reconnaissance de mot de passe du mot de passe RA, si ces mappages sont égaux. Bien sûr, quiconque a accès au tableau d'identification peut changer illégalement son contenu sans craindre que ces actions ne soient détectées.
La connaissance des données à être authentiques et les propriétés des systèmes pour pouvoir assurer l'authenticité des données.
L'authenticité des données signifie qu'ils ont été créés par des participants légaux dans le processus d'information et n'ont pas été soumis à une distorsion aléatoire ou délibérée.
Authentification (authentification)
La procédure de vérification de l'authenticité des données et des sujets d'interaction de l'information.
Bloc, bloc cryptographique, bloc cryptographique)
La partie des données est fixée pour une taille de ferme cryptale donnée transformée par celle-ci par le cycle de son fonctionnement.
Impossibilité de calcul, incapacité de calcul
L'incapacité à remplir une certaine conversion de données en utilisant actuellement ou destinée à apparaître dans un calcul futur non séparé séparé pour un délai raisonnable.
Fonction de calcul irréversible (fonction à sens unique)
La fonction, facilement calculée dans le sens avant, tout en déterminant la valeur de son argument avec une valeur connue de la fonction elle-même est calculable.
Calcul de la valeur inverse pour une fonction de calcul parfaitement conçue est impossible à plus efficacement que le buste par le multiple des valeurs possibles de son argument.
Synonyme: fonction unilatérale.
Gamma (gamma)
La séquence numérique pseudo-aléatoire produite par l'algorithme spécifié et utilisée pour chiffrer les données ouvertes et le déchiffrement crypté.
Hardinage
Le processus d'imposition selon une loi spécifique de CIFRA gamma sur des données ouvertes pour le cryptage.
Déchiffrement
Obtention de données ouvertes sur cryptées dans des conditions lorsque l'algorithme de déchiffrement n'est pas complètement (ainsi que tous les paramètres secrets) connus et le décryptage ne peut être effectué de manière habituelle.
Le processus de convertir des données ouvertes en chiffre crypté.
Intrus (intrus)
Protection des systèmes d'information et de stockage d'imposer de fausses données.
Imitovstavka
Le segment des informations de longueur fixe obtenues selon une règle spécifique des données ouvertes et la clé secrète et ajoutées aux données pour fournir des imitobackers.
Processus d'information, interaction de l'information
Le processus d'interaction entre deux sujets ou plus, l'objectif et le contenu principal consiste à modifier les informations disponibles pour au moins une d'entre elles.
Touche cryptographique clé (clé, clé cryptographique)
La valeur secrète spécifique de l'ensemble des paramètres de l'algorithme cryptographique, qui assure le choix d'une transformation de l'ensemble de l'ensemble possible de cet algorithme de transformation.
Code d'authentification (code d'authentification)
Le code de longueur fixe généré à partir des données à l'aide d'une fonction de calcul et irréversible afin de détecter le fait des modifications des données stockées ou transmises via le canal de données.
Cryptanalyse (cryptanalyse)
Un mot utilisé par les amateurs au lieu d'un cryptage à terme standard, ce qui donne des lamers complets. Ces cryptographes n'utilisent jamais ce mot, ainsi que ses dérivés "Exchange", "Données échangées", "Discours", etc.
Cryptographe (cryptographe)
L'algorithme de conversion de données, qui est secrètement ou partiellement, ou utilisant les paramètres secrets pendant le fonctionnement.
La cryptographie est également généralement attribuée aux algorithmes qui ne sont pas objectifs dans le sens de la définition ci-dessus, mais travaillant avec eux dans une seule chaîne technologique de transformation de données lorsque l'utilisation de l'une d'elles n'a pas de sens sans utiliser l'autre. Les exemples sont des algorithmes pour tester la signature numérique et le cryptage dans des cryptosystèmes asymétriques de signature et de cryptage, respectivement - ils ne sont pas secrets et non utilisés dans l'exploitation de paramètres secrets, mais néanmoins également considérés comme cryptographiques, comme ils sont utilisés dans une seule chaîne technologique ensemble. avec l'algorithme de formation correspondante Signature numérique ou décryptage.
Transformation cryptographique
La branche des connaissances dont l'objectif est d'étudier et de créer des transformations et des algorithmes cryptographiques.
Actuellement, deux secteurs de cryptographie sont clairement distingués: cryptographie classique ou traditionnelle et cryptographie «moderne».
Cryptologie (cryptologie)
La science, étudier les transformations cryptographiques, comprend deux directions - la cryptographie et la cryptanalyse.
Cryptosystème, système cryptographique (cryptosystème, système cryptographique)
Un ensemble insupportable de paramètres du système cryptographique asymétrique, nécessaire et suffisant pour effectuer des transformations cryptographiques individuelles.
Texte ouvert (texte brut)
Une gamme de données non cryptées.
Agitation (confusion)
La propriété de conversion de cryptage complique la relation entre les éléments de données, ce qui rend difficile la restauration des connexions fonctionnelles et statistiques entre le texte ouvert, la clé et le cipriniste.
Principe de Kirchhoff
Le principe de construction d'algorithmes cryptographiques, selon lequel seul un certain ensemble de leurs paramètres (clé) détient dans le secret, et tout le reste peut être ouvert sans réduire la résistance de l'algorithme sous la valeur admissible. Il a été élaboré pour la première fois dans les travaux de la cryptographie néerlandaise de Kirchhoff dans la liste des exigences relatives aux chiffres pratiques et à la seule de l'ensemble de la liste "vécue" à nos jours associés au nom de l'auteur.
Protocole de protocole de crictographie (protocole cryptographique)
Un ensemble de règles régissant l'utilisation de transformations cryptographiques et d'algorithmes dans des processus d'information.
Déploiement clé (clé Sheeduling)
L'algorithme qui vous permet d'obtenir une clé de cryptage relativement courte de la clé ronde.
Randomisation (Randomisation)
Conversion des données source avant ou pendant le cryptage à l'aide d'un générateur de nombres pseudo-aléatoires, visant à masquer la présence de blocs de données identiques.
La diffusion
Distribution de l'influence d'un texte de texte ouvert sur de nombreux signes CIPHERText, ainsi que la propagation de l'effet d'un élément clé sur beaucoup de signes de chiffrement.
Déchiffrement (déchiffrement)
Le processus de convertir des données cryptées en ouvert par chiffrement
Rond (rond)
L'élément secret obtenu à partir de la clé de kryptoalgorithme et utilisé par le chiffre Fayastel et des cryptoalgorithmes similaires sur une partie de cryptage.
Secrecy (secret)
La propriété des données à connaître et accessibles uniquement au même cercle des sujets auxquels ils sont destinés et la propriété cryptosystème pour assurer le secret des données protégées.
Touche secrète (clé secrète)
Un ensemble de paramètres secrets de l'un des algorithmes de cryptosystème asymétrique.
Réseau Firestel (réseau Feistel)
Section de la cryptographie Étudier et développer des systèmes cryptographiques asymétriques
Synonymes: cryptographie double, cryptographie de clé ouverte.
FORCE)
L'ingrédient actif, le participant du processus d'interaction de l'information, peut être un utilisateur (personne), un périphérique ou un processus informatique.
