Методи захисту інформації
Існують різні методи перевірки ідентичності або встановлення автентичності користувачів і систем. Визначимо взаємозв'язок між встановленням автентичності, ідентифікацією та визначенням прав (повноважень), які в сукупності визначають, який доступ дозволяється до ресурсів, що захищаються. Ідентифікація - це присвоєння об'єкту унікального імені (ідентифікатора). Встановлення дійсності (аутентифікація) полягає в перевірці, є перевіряти особу або об'єкт насправді тим, за кого він себе видає. Визначення повноважень встановлює, дано чи особі або об'єкту і в якій мірі право звертатися до захищається ресурсу.
Отже, ідентифікація користувача, терміналу, файлу, програми або іншого об'єкта є присвоєння об'єкту унікального імені. Ідентифікація є заявкою на встановлення справжності. Ідентифікація потрібна не тільки для впізнання, а й для обліку звернень до ресурсу, проте її не можна використовувати саму по собі, без додаткового встановлення автентичності, якщо в системі потрібна певна ступінь безпеки.
Для встановлення справжності користувачів ЕОМ використовуються паролі та інші методи діалогу. Якщо користувач в змозі правильно представити необхідну інформацію, ЕОМ визнає його справжність.
парольний захист
Парольний захист передбачає, що користувач вводить свій ідентифікатор і пароль (унікальну рядок символів) для їх перевірки в ЕОМ. Розглянемо існуючі схеми парольного захисту.
У схемі з простим паролі користувачеві дозволяється самому вибирати пароль таким чином, щоб його легко було запам'ятати. Слід подбати і про те, щоб пароль не був занадто очевидним і був досить довгим.
Чим більше довжина пароля, тим більшу безпеку буде забезпечувати система, так як будуть потрібні великі зусилля для розкриття пароля. Цю обставину можна уявити в термінах очікуваного часу розкриття пароля.
Введемо поняття очікуваного безпечного часу - це полупроізведеніе числа можливих паролів і часу, необхідного для того, щоб спробувати кожен пароль з послідовності запитів. Нехай R - швидкість передачі символів з лінії зв'язку, E - число символів в кожному переданому повідомленні при спробі отримати доступ, S - довжина пароля, A - число символів в алфавіті, з якого складається пароль. Тоді очікуване безпечне час виражається наступною формулою:
Нехай S = 6 A = 26 E = 20 R = 600 символів / хв
Тоді Tбезопасн = 3,089 * 10 7 із ≈1 рік.
Якщо після кожної невдалої спроби автоматично передбачається десятісекундний затримка, то цим самим очікуваний час, необхідний для розкриття пароля стає рівним приблизно 6 років.
Недоліком системи з простим паролем є те, що пароль може бути використаний іншою особою без відома зареєстрованого користувача.
У схемі одноразового використання пароля користувачу видається список з N паролів. Після використання пароля користувач викреслює його зі списку. Таким чином, якщо зловмисник отримує використаний пароль зі списку, система не буде на нього реагувати.
У методі "запит-відповідь" набір відповідей на m стандартних і n орієнтованих на користувача питань зберігається в ЕОМ і управляється операційною системою. При спробі користувача увійти в систему, ОС випадковим чином вибирає і задає деякі або всі питання. Користувач повинен дати правильну відповідь на всі питання, щоб отримати дозвіл на доступ до системи.
Паролі можна використовувати не тільки для встановлення автентичності користувача по відношенню до системи, але і для зворотного встановлення автентичності - системи по відношенню до користувача. Це важливо, наприклад, в мережах ЕОМ, коли користувач хоче взаємодіяти тільки з даної ЕОМ і тому бажає переконатися в достовірності обчислювальної установки.
Фізичні методи аутентифікації
Недоліки пральний захисту роблять необхідним використовувати носії ключової інформації, що становить (аутентифицирующей) її власника.
Носій ключової інформації (ключовий носій) - це технічний пристрій, що зберігає інформацію про користувача комп'ютерної системи, необхідну для забезпечення цільової функції захищеної системи і однозначно пов'язаної з користувачем.
Процес подання комп'ютерній системі складається з двох стадій: ідентифікації (користувач повідомляє своє ім'я) і аутентифікації (користувач підтверджує ідентифікацію, вводячи унікальну інформацію про себе). Ця інформація може зберігатися на різних носіях ключів - магнітних дисках, пластикових картах і т.д.
Основна перевага магнітних дисків як зберігачів ключової інформації полягає в тому, що обладнання для роботи з ними входить до складу штатних засобів ЕОМ. Інша важлива умова - це стандартний формат зберігання інформації на дисках і стандартні засоби доступу до дисків.
Пластикова карта являє собою пластину стандартних розмірів (85,6 х 53,9 х 0,76 мм), виготовлену з спеціальної пластмаси. Карта може містити зовнішні ознаки ідентифікації і аутентифікації. Ключова інформація записується за допомогою різних фізичних механізмів:
- за допомогою штрих-кодів, що зчитуються в ІК-світлі;
- на магнітну смугу, яка містить три доріжки магнітного запису.
Носій ключової інформації Touch Memory (ТМ) являє собою незалежну пам'ять, розміщену в металевому корпусі, з одним сигнальним контактом і одним контактом землі. Корпус, що нагадує по виду мініатюрну батарейку, має розміри: діаметр - 16,25 мм, товщина - 3,1 (5,89) мм. До складу Touch Memory входить ПЗУ, ОЗУ і вбудована батарея.
Особливістю технології зберігання та обміну ключовою інформацією між ТМ і зовнішніми пристроями є порівняно низька швидкість (обумовлена послідовною передачею даних) і висока ймовірність збою в тракті читання-запису, обумовлена тим, що контакт приладу з пристроєм читання проводиться користувачем вручну без додаткової фіксації.