Il costo delle soluzioni commerciali di autenticazione a due fattori è spesso elevato e per posizionare dispositivi di identificazione e gestirlo è difficile. Tuttavia, è possibile creare la propria soluzione per l'autenticazione a due fattori utilizzando l'indirizzo IP dell'utente, il file "Lighthouse" o un certificato digitale.
Varie soluzioni commerciali assicurano la protezione dei siti Web che vanno oltre i tradizionali metodi di autenticazione utilizzando un fattore (I.e., combinazioni del nome utente e password). Come secondo fattore, è possibile prendere una posizione geografica, un comportamento utente, richieste con immagini, nonché smart card, dispositivi e impronte digitali più familiari. Ulteriori informazioni sulle soluzioni commerciali a due factor sono disponibili negli articoli elencati nella "letteratura aggiuntiva".
Ma le soluzioni commerciali non sono l'unica opzione. Una procedura di autenticazione a due fattori può essere preparata in modo indipendente. Questo articolo propone alcune raccomandazioni per la progettazione dell'autenticazione a due fattori per le applicazioni Web e forniscono anche esempi del testo sorgente, sulla base del quale è possibile avviare il proprio progetto.
Panoramica dei controlli a due fattori
Torniamo a una breve revisione dell'autenticazione a due fattori, cioè l'uso di due diverse forme di identificazione dei potenziali utenti. È possibile verificare l'autenticità con l'uso di tre forme:
Qualcosa di famoso;
Alcune caratteristiche dell'utente;
Qualcosa che è disponibile all'utente.
La maggior parte delle applicazioni utilizza solo una di queste forme, di solito il primo. Il nome utente e la password sono noti dati.
Questo livello di sicurezza è abbastanza accettabile per la maggior parte dei nodi e delle applicazioni web. Tuttavia, dato un aumento significativo del numero di furto dei dati personali e di altri tipi di frodi di rete, l'autenticazione a due fattori è inserita su alcuni nodi web. In conformità con la nuova legislazione, dal 2007, tutti i siti bancari elettronici dovrebbero applicare un controllo a due fattore. Presto questi requisiti possono essere distribuiti ai siti di reclutamento, ai siti medici, governativi e altri e altri siti in cui è possibile accedere ai dati personali.
Come notato sopra, ci sono molti prodotti commerciali per controlli a due factor. I loro prezzi sono più diversi, anche se il livello iniziale è piuttosto alto. Non tutte le società hanno un mezzo per una soluzione importante. E alcune aziende utilizzano programmi altamente specializzati che sono scarsamente compatibili con i prodotti commerciali. In ogni caso, è utile pensare alla propria soluzione a due fattori. Le raccomandazioni fornite in questo articolo contribuiranno a raggiungere il modo corretto del design.
Indirizzo IP dell'applicazione
Nell'articolo "Proteggi il sito dagli attacchi", pubblicato in., Viene fornita una breve descrizione dell'applicazione dell'indirizzo IP per l'identificazione utente aggiuntiva. Questo metodo si riferisce alla categoria "alcune caratteristiche dell'utente". In molte soluzioni commerciali, vengono utilizzate caratteristiche biologiche (ad esempio, impronte digitali o modello dell'iride). Grazie ad una diminuzione del costo degli hardware e del miglioramento dei programmi, questa opzione è diventata più pratica, ma i prezzi sono ancora piuttosto alti.
Inoltre, alcuni utenti si oppongono alla conservazione dei loro dati biometrici in azienda. È una cosa se qualcuno sondaggi scopre il numero di schede di sicurezza sociale e un altro - furto di impronte digitali!
Utilizzare una soluzione basata sul codice del programma è più facile ed economica. Naturalmente, la sua accuratezza è inferiore alle soluzioni fisiche, ma per molte applicazioni fornisce una precisione sufficiente. Ogni utente ha un indirizzo IP che può essere utilizzato come secondo fattore di verifica.
L'essenza del metodo è ridotta al fatto che quando si tenta di registrarsi, l'indirizzo IP dell'utente viene estratto dai registri del server Web o dall'altra fonte. L'indirizzo viene quindi sottoposto a uno o più controlli. In caso di successo e se il nome e la password di registrazione sono corretti, l'utente è fornito con accesso. Se l'utente non passa questo livello di verifica, la richiesta viene rifiutata o inviata a un livello di analisi più profondo. In particolare, l'utente può essere richiesto di ulteriori domande personali (ad esempio, chiamare il nome della madre della madre) o si propone di contattare il rappresentante autorizzato per l'incarico.
Esistono diversi modi per verificare l'indirizzo IP, ognuno dei quali fornisce un certo livello di affidabilità quando si identifica l'utente. Il test più semplice è confrontare l'indirizzo IP dell'utente con un elenco di noti indirizzi indesiderati al di fuori dell'area di servizio. Ad esempio, se gli utenti sono principalmente in un paese, è possibile confrontare con l'elenco degli indirizzi indesiderati al di fuori di questo paese. Dato che una parte significativa dei tentativi di cui il furto dei dati personali provenga dall'esterno del paese specifico, bloccando gli indirizzi pericolosi al di fuori del paese previene certamente un gran numero di tentativi di frode.
Ottieni elenchi di indirizzi pericolosi non sarà difficile. Elenco elenco di blocchi di Bob all'indirizzo http://www.unixhub.com/block.html inizia con blocchi di indirizzi in Asia, America Latina e Paesi dei Caraibi. Confronto con esso può essere utile se la società non ha utenti in queste regioni. Va notato che negli elenchi ricevuti da nodi liberi, alcune modifiche sono necessarie per non bloccare i siti utili. Gli elenchi commerciali sono caratterizzati da una maggiore precisione, come Maxmind all'indirizzo http://www.maxmind.com. L'elenco 1 mostra un campione di pseudocodice per implementare questo approccio.
Tuttavia, se non sei in discregibilità per bloccare gli utenti per regione o è necessario una maggiore selettività, è possibile registrare l'indirizzo IP dell'utente al momento della registrazione durante la prima visita, a condizione che il processo di registrazione abbia uno strumento di verifica dell'utente. In particolare, è possibile offrire all'utente di rispondere a una o due domande (ad esempio, chiedere di nominare il numero della scuola in cui ha studiato) o chiederti di inserire il codice di registrazione, precedentemente trasferito ad esso via e-mail. Dopo aver ricevuto e controlli l'indirizzo IP, è possibile utilizzare questo indirizzo per valutare i successivi tentativi di registrazione.
Se tutti gli utenti accederanno ad accedere solo con siti aziendali con indirizzi IP ben noti e fissi, un metodo molto efficace è una corrispondenza con un elenco di indirizzi pre-approvati. Allo stesso tempo, gli utenti con siti sconosciuti perdono i diritti di accesso. Tuttavia, se gli utenti si rivolgono ai siti i cui indirizzi sono sconosciuti in anticipo, ad esempio, dalla casa, dove di solito non esiste un indirizzo IP statico, l'accuratezza della definizione diminuisce bruscamente.
Una soluzione meno affidabile è quella di confrontare gli indirizzi IP "fuzzy". Home Utente I provider Internet Assegna gli indirizzi IP dalla gamma appartenenti a loro, in genere Sottoreti di classe C di classe C o B. Pertanto, è possibile utilizzare solo le prime due o tre oscillazioni di indirizzo IP. Ad esempio, se l'indirizzo è registrato 192.168.1.1 per l'utente, successivamente per questo potrebbe essere necessario ricevere indirizzi dal 192.168.1.1.19.254.254. Questo approccio è associato a un rischio di attacco da parte di un utente malintenzionato, che utilizza i servizi dello stesso fornitore, ma tuttavia dà buoni risultati.
Inoltre, gli utenti possono essere controllati utilizzando gli indirizzi IP per determinare la loro posizione. È necessario acquistare un database commerciale contenente tutte le aree conosciute di indirizzi IP e la loro posizione approssimativa, ad esempio, da una tale società come Maxmind o Geobytes (http://www.geobytes.com). Se la posizione registrata dell'utente è Houston e successivamente, cercherà di contattare i siti della Romania o anche da New York, quindi è possibile rifiutare o almeno eseguire un controllo più profondo. Questo metodo risolve il problema di modificare l'indirizzo del blocco dell'indirizzo. Tuttavia, l'attaccante rimane la possibilità di accesso dal luogo in cui ci sono utenti registrati.
È possibile eseguire l'autenticazione con un doppio secondo fattore, a partire dall'eccezione di tutti gli indirizzi IP che corrispondono all'elenco di blocco o confronto con l'elenco "bianco". Se viene applicata l'elenco "bianco" e non vi è alcun indirizzo IP da controllare, l'utente può essere richiesto una domanda aggiuntiva. Se l'indirizzo IP è finalmente approvato, l'utente può essere richiesto di aggiungere l'attuale indirizzo IP all'elenco bianco (gli utenti devono essere spiegati che solo gli indirizzi dei computer regolarmente utilizzati possono essere aggiunti all'elenco). L'elenco 2 mostra Pseudocodice per il confronto con l'elenco di blocco e l'elenco "bianco".
L'autenticazione utilizzando gli indirizzi IP non è adatta a quei casi quando numerosi utenti mobili si rivolgono al sito dalle camere dell'hotel e in altri luoghi del paese e all'estero, in continua evoluzione indirizzi IP, fornitori di Internet e posizione. Per tali utenti, non è possibile applicare un elenco di indirizzi IP vietati. Questi utenti non saranno nell'elenco degli indirizzi IP ammissibili. Tuttavia, possono ancora rispondere alla domanda di test durante l'autenticazione.
Per fornire una protezione più affidabile per "utenti vaganti", è possibile approfondire il controllo, tenendo conto della versione del browser (che, come regola, cambia raramente), il sistema operativo e persino l'indirizzo MAC della scheda di rete. Tuttavia, quando si utilizzano tali metodi, di solito è necessario eseguire un programma speciale sul client per accedere ai parametri necessari. VERO, indirizzi MAC e versioni del browser e il sistema operativo possono essere falsificati e questo metodo di protezione non è immacolato affidabile.
Usando "fari" e certificati
Un'opzione alternativa è quella di utilizzare una delle altre due forme di verifica: "Qualcosa che ha un utente". I sistemi di controllo dell'hardware richiedono un dispositivo speciale. Nei sistemi software progettati indipendentemente, è possibile utilizzare i file "fari" o il certificato memorizzato nei computer utente. Questo approccio è simile ai certificati di sicurezza sui siti Web di e-commerce, che assicurano che le informazioni sull'ordine siano trasferite al sito desiderato.
Il modo più semplice per applicare i file "fari". Molte aziende li utilizzano per tracciare le chiavi di sessione e altre informazioni per gli utenti. È solo necessario creare un file permanente "faro" e salvarlo nel computer di un utente per identificare in futuro. Non è possibile essere limitato al file semplice "faro" e crittografare una parte del file in modo che il fraudster sia più difficile da fingere.
I livelli di sicurezza più elevati forniscono certificati digitali. Richiedono una certa preparazione dall'utente: il certificato deve essere creato all'interno della Società o ricevere dall'autorità di certificazione, CA). L'ultimo metodo è più affidabile, per quanto riguarda il falso un certificato esterno è più difficile. Tuttavia, i costi attuali del mantenimento del certificato sono paragonabili al costo di una soluzione a due fattori basata sui dispositivi di identificazione.
Naturalmente, i file e i certificati "Lighthouses" sono applicabili solo a casa informati di dipendenti e altri computer registrati nel sistema di autenticazione. È necessario un metodo alternativo per identificare gli utenti che lavorano con i computer che non appartengono a loro. Uno di questi metodi sono i problemi di controllo menzionati sopra e elencati nell'elenco 2. Tuttavia, pensa se l'accesso a applicazioni importanti da computer disponibili pubblicamente sono giustificati, tenendo conto della minaccia dei programmi che registrano le tasti sui tasti, lo spyware e altri dannosi Programmi.
L'articolo discute due modi per organizzare una semplice autenticazione a due fattori per le applicazioni Web: uno utilizzando "alcuni tipi di caratteristiche dell'utente" (indirizzo IP), l'altro con l'uso di "qualcosa che ha un utente" (file "Lighthouses" o certificati). Va ricordato che queste soluzioni non forniscono un livello molto elevato di sicurezza richiesto, ad esempio, nel settore finanziario per il quale l'hardware è più adatto. Ma le decisioni fornite nell'articolo sono perfettamente combinate con altri metodi per una protezione più affidabile delle reti aziendali e dei siti di e-commerce.
Paul Hensardling. ([Email protetta]) - Analista sulla sicurezza in una società di consulenza. Ha un certificato CSSA;
Tony pureat. ([Email protetta]) - Presidente della società di consulenza di rete Servizi di sicurezza della rete. Certificati CISSP e CSNA
Avrai bisogno
- Tessera della biblioteca
- accesso ad Internet
- Capacità di lavorare con i cataloghi della biblioteca
- Capacità di lavorare con servizi di ricerca su Internet
Istruzione
Scopri cosa hai a che fare con - con un fatto o una valutazione, con cui stiamo affrontando quando si ricevono nuove informazioni sono i fatti. Il fatto è chiamato informazioni già testate per affidabilità. Quel informazione che non è stata controllata o non può essere controllata, il fatto non è. I fatti possono essere numeri, date, nomi, eventi. Tutto ciò che può essere toccato, misurare, elencare, confermare. I fatti sono forniti da varie fonti - istituti di ricerca, agenzie sociologiche, agenzie statistiche, ecc. La cosa principale è che distingue il fatto di valutazione - obiettività. La valutazione esprime sempre la posizione soggettiva di qualcuno, un atteggiamento emotivo, chiedendo alcune azioni. Il fatto non fornisce alcuna valutazione, non chiama nulla.
Controllare le fonti di informazione, con le quali stiamo affrontando sono fonti di informazione. Non tutti i fatti che possiamo controllare da solo, quindi la nostra conoscenza è in gran parte basata sulla fiducia nelle fonti. Come controllare la fonte di informazioni? È noto che il criterio della verità è la pratica, in altre parole, è vero solo, con ciò che possiamo risolvere un compito specifico. Le informazioni devono essere efficaci. Questa efficienza riflette il numero di persone che hanno applicato con successo queste informazioni. Più persone si fidano della fonte, si riferiscono ad esso, le informazioni più costose fornite.
Confronta fonti di informazioni per la felicità, la popolarità e l'autorità della fonte non sono ancora una garanzia di affidabilità. Uno dei segni di informazioni affidabili è la sua coerenza. Qualsiasi fatto deve essere confermato dai risultati della ricerca indipendente, cioè. Deve ripetere. I ricercatori indipendenti devono arrivare alle stesse conclusioni. A caso, le singole informazioni dovrebbero essere trattate con grande cura. Maggiore sono le stesse informazioni ricevute da diverse fonti, le informazioni sono più costose.
Controllare la reputazione delle informazioni di origine è che la fonte è sempre responsabile per i fatti forniti. Questa responsabilità non è solo morale e morale, ma anche reale. Per la fornitura di dati dubbiosi dalle organizzazioni, possono perdere i loro mezzi di sostentamento. Perdita di lettori, penalità o addirittura Imprigionamento - Le conseguenze per i bugiardi possono essere i più gravi. Le organizzazioni solide proteggono la reputazione e non rischiano mai, pubblicando informazioni inaffidabili. Leggi la storia dell'organizzazione, scopri i nomi dei suoi leader, leggi le recensioni dei lettori e le opinioni degli esperti.
Scopri l'autore della fonte delle informazioni informative, in definitiva è trasmessa dalle persone. Se le informazioni ti causano dubbi, controlla chi è l'autore. Leggi altri lavori dell'autore, impara la sua biografia, sia che abbia una laurea scientifica, che la posizione ha l'esperienza possiede in questo campo e, ovviamente, a chi. Se è impossibile sapere sull'autore, non è consigliabile fidarsi delle informazioni dubbie.
La precisione è ciò che mostra la qualità delle informazioni, riflette la sua completezza e precisione. Ha tali segni come l'intelligibilità del discorso scritto e orale, la mancanza di false o in qualsiasi modo informazioni distorte, una piccola possibilità di uso errato di unità di informazione, comprese lettere, simboli, bit, numeri. L'accuratezza delle informazioni è anche valutata direttamente e la sua fonte su scale (ad esempio "prevalentemente affidabile", "affidabile nel pieno", "relativamente affidabile" e quindi - a "inaffidabile, molto" o "stato non è definito" ).
Cosa significa questo?
L'accuratezza caratterizza l'indiscutibilità delle informazioni. Non è solo influenzato dall'autenticità delle informazioni, ma anche l'adeguatezza dei metodi che è stato ottenuto.
L'inaffidabilità può implicare una preparazione dei dati intenzionali come false. Ci sono casi in cui le informazioni inaffidabili sono di conseguenza fornire informazioni caratterizzate da accuratezza. Ciò accade quando, durante la loro preparazione, il grado di inaffidabilità delle informazioni è già noto al destinatario. In generale, è osservato il seguente motivo: maggiore è la quantità di dati di origine, maggiore è la precisione delle informazioni.
Adeguatezza delle informazioni
Pertanto, l'affidabilità è direttamente correlata all'adeguatezza delle informazioni, alla sua pienezza e obiettività. Questa proprietà ha un significato molto serio, principalmente nel caso dell'applicazione dei dati per effettuare qualsiasi soluzione. Le informazioni che sono diverse nell'arrebiabilità porta a tali decisioni che avranno conseguenze negative in termini di disposizione sociale, della situazione politica o della situazione economica.
Quindi, considera in modo più dettagliato il concetto di accuratezza delle informazioni.
Definizione dei concetti di informazioni affidabili e inaffidabili
Quindi, le informazioni non sono affidabili se non corrispondono alla posizione reale delle cose, contiene tali dati su fenomeni, processi o eventi, che in linea di principio non sono mai stati o in cui sono esistiti, ma le informazioni su di loro differiscono da ciò che sta accadendo in realtà è distorto o caratterizzato da incompletezza.
È possibile chiamare tali informazioni che non causano assolutamente alcun dubbio, è reale, genuina. Include tali informazioni che nel caso dei quali possono essere confermate dalle procedure corrette da un punto di vista giuridico quando vengono utilizzati vari documenti o pareri esperti, i testimoni possono essere invitati, ecc. Inoltre, i dati possono essere considerati affidabili se loro necessariamente fare riferimento alla fonte. Tuttavia, in questo caso, il problema di determinare l'affidabilità della fonte di informazioni stessa.
Tipi di fonti di informazione
Le fonti di informazione possono essere:
Individui che, grazie alla loro autorità o disposizione, hanno accesso a tali informazioni che sono interessate a diversi tipi di media;
Vari documenti;
Mezzo reale (ad esempio, materiale urbano, soggetto-materiale, che è un habitat naturale, naturale);
Ambiente virtuale;
Pubblicazioni stampate che hanno prodotto, cioè libri di testo, libri, enciclopedie o articoli nella rivista;
Siti Web su Internet, portali, pagine che possono anche essere basate sui supporti.
Indubbiamente, una delle fonti più affidabili e sicure sono i documenti, tuttavia, sono considerati solo quando c'è la possibilità del loro audit legale. Sono caratterizzati da tutta la pienezza delle informazioni. 
Competente e incompetente
Oltre alla divisione su affidabili e inaffidabili, le fonti possono anche essere competenti e incompetenti.
Le fonti di informazioni più rappresentate più ampiamente autorizzate dalle strutture ufficiali del potere. Prima di tutto, le agenzie governative devono fornire ai cittadini le informazioni più obiettive e accurate. Tuttavia, anche le informazioni del servizio stampa del governo possono essere forgiate, e non vi è alcuna garanzia che le informazioni non siano affidabili dalla fonte statale. Ecco perché ottenere informazioni - non significa fidarti incondizionatamente.
Link alla fonte
Pertanto, l'accuratezza delle informazioni può essere determinata da un riferimento alla fonte presente in esso. Se quest'ultimo ha poteri in qualsiasi campo o specializzati in una certa area, allora è competente.
Ma la presenza del riferimento non dovrebbe essere sempre obbligatoria, poiché accade che una conferma è ottenuta direttamente nel processo di presentazione delle informazioni. Succede quando l'autore di informazioni è uno specialista, cioè, una persona è abbastanza competente nella zona interessata. In questo caso, non puoi spesso dubitare che le informazioni saranno affidabili.
Nella maggior parte della maggioranza travolgente, le fonti senza nome contribuiscono ad una diminuzione dell'affidabilità del materiale, in particolare quando l'articolo presenta notizie negative, che il lettore non è stato precedentemente conosciuto. Le persone interessano principalmente la fonte di tali informazioni.
La migliore è la migliore informazione che si riferisce a fonti che hanno una certa autorità, come lo stato ufficiale, varie agenzie statistiche, istituti di ricerca, ecc.
Quindi è più facile controllare l'accuratezza delle informazioni.
Metodi di widget.
Poiché solo le informazioni che correlate alla realtà sono affidabili, è molto importante controllare i dati ottenuti e determinare il loro grado di affidabilità. Se prendiamo una tale abilità, puoi evitare diversi tipi di trappole disinfettanti. Per fare questo, prima di tutto, è necessario rivelare che tipo di carico semantico è le informazioni ottenute: fattore o stimato.
Il controllo della precisione delle informazioni è estremamente importante. I fatti sono ciò che la persona è di fronte a prima di tutto quando riceve nuove informazioni per questo. Sono nominati già testati per affidabilità. Se le informazioni non sono state controllate o non possono essere eseguite, allora non contiene fatti. Questi includono numeri, eventi, nomi, date. Inoltre, il fatto è ciò che può essere misurato, confermare, toccare o elencare. Più spesso, la possibilità della loro presentazione è disponibile da istituti sociologici e di ricerca, agenzie specializzate in statistiche, ecc. La caratteristica principale che distingue il fatto e la valutazione della precisione delle informazioni è l'obiettività del primo. La valutazione è sempre un riflesso di qualcuno che ha uno sguardo soggettivo o una relazione emotiva, e richiede anche determinate azioni.
Remunerazione delle fonti di informazione e del loro confronto
Inoltre, è importante quando si ricevono informazioni per distinguere le sue fonti. Dal momento che il numero travolgente di fatti è difficilmente possibile verificare, l'accuratezza dei dati ottenuti è considerata dalla posizione di fiducia alle fonti fornite. Come controllare la fonte di informazioni? Il fattore principale che determina la verità è la pratica, o ciò che funge da assistente nell'esecuzione di un compito specifico. Il criterio dominante di qualsiasi informazione sostiene anche la sua efficacia, che mostra il numero di soggetti che hanno applicato queste informazioni. Più alto è, più la fiducia sarà testata ai dati ottenuti e la loro precisione è più alta. Questo è il principio di base dell'affidabilità delle informazioni. 
Confronto delle fonti
Inoltre, sarà abbastanza utile confrontare le fonti l'una con l'altra, dal momento che tali qualità come credibilità e popolarità, non dare pietre garanzie di affidabilità. Questo è il motivo per cui la sua coerenza è il prossimo segno importante di informazioni. Ogni fatto ricevuto dalla fonte deve essere dimostrato dai risultati della ricerca indipendente, cioè, dovrebbe essere ripetuto. Se l'analisi ripetuta arriva alle conclusioni identiche, significa che le informazioni sono realmente coerenti. Ciò suggerisce che le informazioni di una singola natura, casuali, di grande fiducia non meritano di se stesse.
Grado di affidabilità
Viene osservata la seguente proporzione: maggiore è il numero di informazioni simili derivate da varie fonti, maggiore è il loro grado di affidabilità delle informazioni. Ogni fonte è responsabile per i fatti forniti non solo dal punto di vista della moralità e della moralità, ma anche dal punto di vista del reale. Se qualsiasi organizzazione fornisce dati da un'origine dubbiosa, può facilmente perdere la sua reputazione, e talvolta anche fondi che garantiscono la sua esistenza. Inoltre, è possibile non solo perdere i beneficiari, ma anche per essere puniti sotto forma di una multa o della prigionia. Questo è il motivo per cui le fonti di solido, avendo una certa autorità, non a nessun rischio di reputazione della propria reputazione, pubblicando informazioni inaffidabili.
Come fare se una fonte di informazioni diventa un individuo specifico?
Ci sono tali situazioni quando la fonte di informazioni non diventa un'organizzazione, ma una certa persona. In questi casi, è necessario imparare quante più informazioni su questo autore per determinare fino a che punto è necessario fidarsi delle informazioni ricevute da esso. Puoi assicurarti di poter assicurarti di avere familiarità con altri lavori dell'autore, con le sue fonti (se presenti), o scopri se ha la libertà di libertà vocale, cioè può fornire tali informazioni.
Questo criterio è determinato dall'esistenza di una laurea scientifica o dalla dovuta esperienza in una certa sfera, così come la posizione che occupa. Altrimenti, le informazioni potrebbero essere inutili e persino danni. Se non è possibile verificare in alcun modo l'accuratezza delle informazioni, possono essere immediatamente considerate prive di significato. Durante la ricerca di informazioni, prima di tutto, è necessario formulare chiaramente il problema che richiede il permesso che ridurrà la possibilità di disinformazione.
Se le informazioni sono anonime, quindi per l'accuratezza delle informazioni, in nessun caso non può essere trattato. Qualsiasi informazione dovrebbe avere il loro autore e rafforzare la reputazione. I più preziosi in linea di principio sono quei dati, la cui fonte è una persona esperta e non casuale.
1.1 Concetti e concetti di base
Con ogni oggetto di un sistema informatico (COP), alcune informazioni sono collegate in modo non ambiguo identificarlo. Potrebbe essere un numero stringa di personaggi, algoritmo, Definizione di questo oggetto. Questa informazione è chiamata un identificatore dell'oggetto. Se l'oggetto ha un determinato identificatore, registrato sulla rete, è chiamato un oggetto legittimo (legale); Gli oggetti rimanenti si riferiscono a illegale (illegale).
Identificazione L'oggetto è una delle caratteristiche del sottosistema di protezione. Questa funzione viene eseguita principalmente quando l'oggetto sta tentando di entrare nella rete. Se la procedura di identificazione è completata con successo, questo oggetto è considerato legale per questa rete.
Il prossimo passo - autenticazione dell'oggetto (Autenticazione oggetto). Questa procedura stabilisce se questo oggetto è esattamente ciò che si dichiara.
Dopo che l'oggetto è identificato e confermato dalla sua autenticità, è possibile stabilire la sua portata e le risorse disponibili. Tale procedura è chiamata fornitura di poteri (autorizzazione).
Le tre procedure di inizializzazione elencate sono procedure di protezione e appartengono a un oggetto COP.
Quando si proteggono i canali di trasmissione dei dati, l'autenticazione (Autenticazione) degli oggetti indica un'autenticazione reciproca degli oggetti vincolati tra loro attraverso linee di comunicazione. La procedura di autenticazione viene solitamente eseguita all'inizio della sessione durante l'istituzione del collegamento degli abbonati. (Il termine "connessione" indica una connessione logica (potenzialmente bilaterale) tra due oggetti di rete. Lo scopo di questa procedura è garantire la fiducia che la connessione sia stabilita con l'oggetto legale e tutte le informazioni raggiungeranno la destinazione.
Dopo aver stabilito la connessione, è necessario garantire che i requisiti siano soddisfatti durante la comunicazione dei messaggi:
a) il destinatario deve essere sicuro dell'autenticità dell'origine dati;
(b) il destinatario deve essere fiducioso nell'autenticità dei dati trasmessi;
(c) il mittente deve essere sicuro di consegnare i dati al destinatario;
(D) Il mittente deve essere sicuro dell'autenticità dei dati consegnati.
Per soddisfare i requisiti (A) e (b), i mezzi di protezione sono firma digitale . Per soddisfare i requisiti (c) e (d), il mittente deve ricevere notifica della consegna a partire dal Posta certificata (posta certificata). La difesa significa in una tale procedura è una firma digitale di un messaggio di risposta di conferma, che a sua volta è la prova di inoltrare il messaggio sorgente.
Se questi quattro requisiti sono implementati nel Poliziotto, è garantito di proteggere i dati quando vengono trasmessi tramite il canale di comunicazione e la funzione di protezione viene fornita, chiamata funzione di conferma del programma (indisputabilità). In questo caso, il mittente non può negare il fatto di inviare un messaggio né il suo contenuto, e il destinatario non può negare il fatto di ottenere un messaggio, né l'autenticità del suo contenuto.
1.2 Identificazione e meccanismi di autenticazione dell'utente
Prima di accedere al COP, l'utente deve identificarsi, quindi gli strumenti di protezione della rete devono confermare l'autenticità di questo utente, I.e. Controlla se questo utente è vero per chi si dà. I componenti del meccanismo di protezione degli utenti giuridici sono posizionati sul computer di lavoro a cui l'utente è collegato tramite il suo terminale (o in qualsiasi altro modo). Pertanto, le procedure per l'identificazione, la conferma dell'autenticità e l'empowerment vengono eseguite all'inizio della sessione nel computer di lavoro locale.
Quando l'utente inizia a funzionare nel COP, utilizzando il terminale, il sistema richiede il nome e il proprio numero di identificazione. A seconda delle risposte dell'utente, il sistema informatico lo conduce identificazione. Il sistema controlla quindi se l'utente è valido per chi dà. Per questo, chiede una password per questo. La password è solo uno dei modi per confermare l'autenticazione dell'utente.
Elendiamo i modi possibili per confermare l'autenticità.
Informazioni predefinite a disposizione dell'utente: password, numero di identificazione personale, accordo sull'uso di frasi codificate speciali.
Elementi hardware che sono a disposizione dell'utente: tasti, carte magnetiche, microcircuiti, ecc.
Caratteristiche caratteristiche personali dell'utente: impronte digitali, disegno dell'occhio della retina, del timbro vocale, ecc.
Tecniche caratteristiche e caratteristiche del comportamento dell'utente in tempo reale: caratteristiche degli altoparlanti e dello stile di lavoro sulla tastiera, tecniche di lavoro con un manipolatore, ecc.
Abilità e conoscenza dell'utente a causa dell'istruzione, della cultura, della formazione, dell'istruzione, delle abitudini, ecc.
Applicare una password per confermare l'autenticità dell'utente. Tradizionalmente, ogni utente legittimo del sistema informatico riceve un numero di identificazione e / o una password. All'inizio della sessione di lavoro sul terminale, l'utente specifica il suo sistema di identificazione (ID utente), che quindi richiede la password dall'utente.
Il metodo più semplice per confermare l'autenticazione utilizzando una password si basa sul confronto della password rappresentata dall'utente con il valore iniziale memorizzato nel centro del computer. Poiché la password dovrebbe essere tenuta segreta, dovrebbe essere crittografata prima della spedizione su un canale non protetto. Se i valori dell'utente e del sistema coincidono, la password è considerata genuina e l'utente è legale.
Se chiunque non abbia autorità di accedere, si scopre in alcun modo la password e il numero di identificazione dell'utente legale, otterrà l'accesso al sistema.
A volte il destinatario non deve rivelare il modulo aperto iniziale della password. In questo caso, il mittente deve inviare invece di un modulo di password aperta, visualizzare la password ottenuta utilizzando una funzione mono-retro A (*) password. Questa trasformazione dovrebbe garantire l'impossibilità di rivelare la password dall'avversario secondo il suo display, poiché il nemico si incontra a un compito numerico irrisolvibile.
Ad esempio, la funzione A (*) può essere definita come segue:
dove r - invio password;
ID - Identificatore del mittente;
EP - Procedura di crittografia eseguita utilizzando una password P come chiave.
Tali funzioni sono particolarmente convenienti se la lunghezza della password e la lunghezza della chiave sono le stesse. In questo caso, la conferma dell'autenticità utilizzando la password è composta dall'invio al destinatario della mappatura A (P) e confrontandolo con l'equivalente pre-calcolato e memorizzato A "(P).
In pratica, le password consistono solo di diverse lettere per consentire agli utenti di ricordarli. Le password brevi sono vulnerabili all'attacco pieno di tutte le opzioni. Al fine di prevenire un tale attacco, la funzione A (P) è determinata diversamente, vale a dire:
t (p) \u003d e p xor k (ID),
dove e ID-ID-rispettivamente il tasto e l'identificatore del mittente.
Ovviamente, il valore A (P) viene calcolato in anticipo e memorizzato nel modulo A "(P) nella tabella di identificazione al destinatario. L'autenticazione è costituita da un confronto tra due paia di password A (PA) e A" (P A A) ) e il riconoscimento della password della password RA, se questi mapping sono uguali. Naturalmente, chiunque abbia accesso alla tabella di identificazione può modificare illegalmente il suo contenuto senza temere che queste azioni vengano rilevate.
La consapevolezza dei dati è autentica e le proprietà dei sistemi per poter garantire l'autenticità dei dati.
L'autenticità dei dati significa che sono stati creati da partecipanti legali nel processo di informazione e non sono stati sottoposti a distorsione casuale o deliberata.
Autenticazione (autenticazione)
La procedura per verificare l'autenticità dei dati e dei soggetti dell'interazione delle informazioni.
Blocco, blocco crittografico, blocco crittografico)
La parte dei dati è fissata per una determinata dimensione della fattoria crittima trasformata dal ciclo del suo funzionamento.
Impossibilità computazionale, incapacità computazionale
L'incapacità di adempiere a una certa conversione di dati che utilizzano attualmente o destinati a comparire in un calcolo futuro non molto separato per il tempo ragionevole.
Funzione computazionalmente irreversibile (funzione unidirezionale)
La funzione, calcolabile facilmente nella direzione in avanti, mentre determina il valore del suo argomento con un valore noto della funzione stesso è computazionalmente impraticabile.
Il calcolo del valore inverso per una funzione computazionale ben progettata è impossibile in modo più efficiente rispetto al busto da parte del multiplo dei possibili valori del suo argomento.
Sinonimo: funzione unilaterale.
Gamma (Gamma)
La sequenza numerica pseudo-casuale prodotta dall'algoritmo specificato e utilizzato per crittografare i dati aperti e la decrittografia crittografati.
Hamming.
Il processo di imposizione secondo una legge specifica della Gamma CIFRA sui dati aperti per la crittografia.
Decifrazione
Ottenere dati aperti su crittografati in condizioni quando l'algoritmo di decrittografia non è completamente (insieme a tutti i parametri segreti) noto e la decrittografia non può essere eseguita nel modo usuale.
Il processo di conversione dei dati aperti in crittografato con cifratura.
Intruso (intruso)
Protezione delle informazioni e dei sistemi di stoccaggio dall'imporre i dati falsi.
Imitovstavka.
Il segmento delle informazioni di lunghezza fissa ottenuta secondo una regola specifica dai dati aperti e dalla chiave segreta e aggiunto ai dati per fornire imitackers.
Processo informativo, interazione delle informazioni
Il processo di interazione tra due o più soggetti, l'obiettivo e il cui contenuto principale è quello di modificare le informazioni disponibili per almeno uno di esse.
Chiave, chiave crittografica (chiave, chiave crittografica)
Il valore segreto specifico del set di parametri dell'algoritmo crittografico, che garantisce la scelta di una trasformazione dal set di possibili per questo algoritmo di trasformazione.
Codice di autenticazione (codice di autenticazione)
Il codice di lunghezza fissa generato dai dati utilizzando una funzione computazionalmente irreversibile per rilevare il fatto di modifiche nei dati memorizzati o trasmessi tramite il canale dati.
Cryptanalisi (criptanalisi)
Una parola utilizzata da dilettanti invece di una crittografia a termine standard, che dà a LANERS pienamente. Queste crittografie non usano mai questa parola, così come i suoi derivati \u200b\u200b"scambi", "scambi di dati", "discreto", ecc.
Cryptographer (Cryptographer)
L'algoritmo di conversione dei dati, che è segretamente o parzialmente o utilizzando i parametri segreti durante il funzionamento.
La crittografia è anche di solito attribuita ad algoritmi che non sono obiettivi nel senso della definizione di cui sopra, ma lavorando con loro in una singola catena tecnologica di trasformazione dei dati quando l'uso di uno di esse non ha senso senza usare l'altro. Esempi sono algoritmi per testare la firma digitale e la crittografia nella firma asimmetrica e nella crittografia di crittosystems, rispettivamente - non sono segreti e non utilizzati nell'operazione dei parametri segreti, ma, tuttavia, anche considerati crittografici, poiché sono utilizzati in una singola catena tecnologica insieme con le corrispondenti algoritmi di formazione firma digitale o decrittografia.
Trasformazione crittografica
Il ramo della conoscenza il cui obiettivo è studiare e creare trasformazioni e algoritmi crittografici.
Attualmente, due settori della crittografia sono chiaramente distinti: crittografia classica o tradizionale e crittografia "moderna".
Crytologia (critologia)
La scienza, lo studio delle trasformazioni crittografiche, include due direzioni - crittografia e crittinalisi.
Cryptosystem, sistema crittografico (crittosystem, sistema crittografico)
Un insieme insopportabile di parametri del sistema crittografico asimmetrico, necessario e sufficiente per eseguire le singole trasformazioni crittografiche.
Apri il testo (testo normale)
Una serie di dati non crittografati.
Agitazione (confusione)
La proprietà di conversione della crittografia complica la relazione tra elementi di dati, che rende difficile il ripristino di connessioni funzionali e statistiche tra il testo aperto, il tasto e il cipriano.
Principio di Kirchhoff
Il principio di costruire algoritmi crittografici, secondo cui solo un determinato set dei loro parametri (chiave) detiene in segreto, e tutto il resto può essere aperto senza ridurre la resistenza dell'algoritmo al di sotto del valore consentito. È stato formulato per la prima volta nelle opere della crittografia olandese di Kirchhoff nella lista dei requisiti per i cifranti pratici e l'unica dell'intera lista "visse" ai nostri giorni associati al nome dell'autore.
Protocollo del protocollo criptico (protocollo crittografico)
Una serie di regole che regolano l'uso di trasformazioni crittografiche e algoritmi nei processi di informazione.
Distribuzione della chiave (tasto Sheeduling)
L'algoritmo che consente di ottenere una chiave di crittografia relativamente breve della chiave rotonda.
Randomizzazione (randomizzazione)
Conversione dei dati di origine prima o durante la crittografia utilizzando un generatore di numeri pseudo-casuali, finalizzato a nascondere la presenza di blocchi di dati identici.
Diffusione
Distribuzione dell'influenza di un segno di testo aperto su molti segni ciphertext, nonché la diffusione dell'effetto di un elemento chiave su un sacco di segni di testo cipriati.
Decifrazione (decrittografia)
Il processo di conversione dei dati crittografati in aperta per cifratura
Intorno e intorno)
L'elemento segreto ottenuto dalla chiave del kryptoalgoritmo e utilizzato dal cifrario di Fayastel e dalla criptoalgoritmi simili a un ciclo di crittografia.
Segretezza (segretezza)
La proprietà dei dati da essere conosciuta e accessibile solo allo stesso cerchio dei soggetti a cui sono destinati e la proprietà crittosystem per garantire la segretezza dei dati protetti.
Chiave segreta (chiave segreta)
Un set di parametri segreti di uno degli algoritmi di crittosistema asimmetrico.
Rete di FireStel (rete Feistel)
Sezione della crittografia che studia e sviluppa sistemi crittografici asimmetrici
Sinonimi: crittografia a due chiave, crittografia a chiave aperta.
FORZA)
Il principio attivo, il partecipante del processo di interazione informativo può essere un utente (persona), un dispositivo o un processo al computer.
