Смекни!
smekni.com

Компьютерная безопасность, вирусы и компрометация электронной цифровой надписи (стр. 5 из 6)

1. ESET NOD32 Антивирус 4.0.474 RU

2. Kaspersky Internet Security 2010 9.0.0.736 / 9.0.0.736 "a"

3. Kaspersky Internet Security 2009 8.0.0.523

Как видим, на первом месте по скачиванию идет ESETNOD32, хотя, судя по тестам, но не входит в пятерку лучших программ. Простота установки и скачивания играют свою роль.

4. Понятие о компрометации электронной цифровой надписи

Чтобы понять весь спектр проблем, связанных с электронным документооборотом, и с ЭЦП в частности, надо сперва понять, что это такое.

Вот какое определение ЭЦП дается в самом Федеральном законе:

«Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе»[xi]. Примерно такое же определение дает и Википедия[xii], разве что слово «подделка» меняется на «модификация».

Стоит сказать отдельно, что, несмотря на то, что определение в Федеральном законе дает понятие ЭЦП как реквизит для защиты электронного документа, строго говоря, электронная цифровая подпись не предназначена для защиты информации. Она не защищает сам документ от изменений – вы сможете править его как захотите. Это средство обнаружения искажений электронного документа и аутентификации владельца сертификата ключа подписи (подтверждения соответствия электронной цифровой подписи (аутентификатора) в электронном документе владельцу сертификата ключа подписи, подписавшему данный документ (подтверждение подлинности). Проверка электронной цифровой подписи есть ничто иное как процесс подтверждения ее подлинности в электронном документе. Отсюда можно сделать простой вывод: ЭЦП – это аутентификатор владельца сертификата ключа подписи. А так сертификат ключа ЭЦП, который фактически заверяет документ, программное средство, то возникает необходимость от его компрометации (подделки, фальсификации, имитации, модификации).

ЭЦП используется в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумаге, подписанного собственноручной подписью и скрепленного печатью.

Основным отличием электронной цифровой подписи от рукописной является то, что ЭЦП заверяет не бумагу или носитель, а само содержание документа — данные, информацию. При подписании ЭЦП становится частью содержания каждого индивидуального документа и соответствует только этому документу. Если в документ после подписания будут внесены хоть малейшие изменения, электронная цифровая подпись окажется неверной. При проверке средствами ЭЦП такая подпись опознается, и документ не имеет юридической силы. Таким образом, становится возможным безопасно передавать документы через локальные сети и Интернет, при наличии средств, позволяющих работать с ЭЦП.

Применение Электронной цифровой подписи позволяет значительно сократить время движения документов в процессе оформления отчетов и обмена документацией. Документы, подписанные Электронной цифровой подписью, передаются через Интернет или локальную сеть в течение нескольких секунд. Все участники электронного обменадокументами получают равные возможности, независимо от их удаленности друг от друга.

Фактически, именно различие в определениях, данных математиками и юристами, и определяет все последующие возникающие проблемы, связанные с ЭЦП.

Необходимость в максимальном затруднении компрометации заставляет математиков и программистов создавать новые, более совершенные методы защиты ЭЦП от компрометации.

Почему же так важен вопрос защиты от компрометации? Рассмотрим, где сейчас реально применяется ЭЦП:

-юридически значимый документооборот;

-банковские системы ("Интернет-банкинг" и "Клиент-банк");

-системы электронных госзаказов и электронной торговли (e-commerce);

-системы контроля исполнения государственного бюджета;

-системы обращения к органам власти (e-government);

-обязательная отчетность (в частности, интенсивно развивающаяся безбумажная отчетность перед органами ГНС);

-декларирование товаров и услуг (таможенные декларации);

-регистрация сделок по объектам недвижимости;

-защита почтовых сообщений и др.

Во всех вышеперечисленных системах главным условием интенсивного обмена информацией является наличие доверительных отношений между пользователем (клиентом) и сервером. При обмене информацией должны соблюдаться такие общеизвестные требования, как гарантированное соблюдение конфиденциальности и целостности, а также неотказуемости автора.

Даже поверхностный анализ показывает, что использование злоумышленником ЭЦП легального пользователя в любой из перечисленных систем может привести к ощутимым финансовым потерям. Если вместо вас кто-то отправит якобы подписанный вами финансовый документ и, например, снимет с вашего расчетного счета несколько миллионов долларов. Естественно, вам захочется как можно быстрее найти виновного и вернуть деньги. Вы обратитесь в финансовый институт (например, банк) и попытаетесь найти виновного там. Вам подтвердят документально, что информационная система банка построена в соответствии с существующими нормативно-правовыми актами, сеть аттестована по соответствующему классу, а для формирования и проверки подписи используются только сертифицированные средства ЭЦП. И еще напомнят, что при получении ключевого материала вам были предложены альтернативные носители, из которых вы выбрали самый дешевый. Например, дискету... И еще напомнят, что хранение закрытого ключа электронной цифровой подписи - обязанность владельца[xiii]. Круг замкнулся. Во всем виноваты вы сами. А все ли вы знали и действительно ли васпредупреждали о возможности компрометации ключа до того, как произошла материальная потеря? Но обо всем по порядку.

Впервые идея использования криптографической системы, основанной на паре ключей (принцип, на котором основана ЭЦП) возникла в Америке. В 1976 году Уитфилд Диффи (WhitfieldDiffie) и Мартин Хеллман (MartinHellman) высказали идею метода шифрования с открытым и закрытым ключами. Тогда же появилось само понятие «электронной цифровой подписи». Вскоре последовала его первая практическая реализация —RSA, предложенная Рональдом Райвестом (RonaldRivest), Эди Шамиром (AdiShamir) и Леонардом Эйдлеманом (LeonardAdleman). По первым буквам их фамилий криптосистема получила название RSA. Ее уже можно было без дополнительных модификация использовать для создания простейших цифровых подписей. Вскоре после RSA были разработаны другие ЭЦП, такие как алгоритмы цифровой подписи Рабина, Меркле.

В 1984 году были определены требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям

Т. Эль_Гамаль (T. ElGamal) в 1985 г. разработал криптографическую систему, которая стала основой для создания государственных стандартов цифровой подписи как США (DigitalSignatureStandard — DSS), так и России.

В эпоху триумфального шествия персональных компьютеров появилась возможность реализовать на них эти криптографические алгоритмы. Идея увлекла американского математика и программиста Филипа Циммермана (PhilipZimmermann). В 1990 году он разработал недорогую и простую коммерческую программу для массового пользователя и опубликовал ее в Интернете, назвав PrettyGoodPrivacy (сокращенно PGP). Эта программа стала первой практически реализованной системой, основанной на алгоритме RSA. Она и положила начало развития применения Электронной цифровой подписи во всем мире.

В 1994 году Главным управлением безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации был разработан первый российский стандарт ЭЦП[xiv], основанный на вычислениях в группе точек эллиптической кривой и на хеш-функции[xv]. В 2002 году для обеспечения большей криптографической стойкости алгоритма взамен предыдущего был введен новый стандарт[xvi]. Уже в соответствии с этим стандартом термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами.

И так, в силу сложившихся обстоятельств вы решили, что вам необходима ЭЦП. Вы приходите в Удостоверяющий центр (в РФ выдачей ключей занимаются т.н. Удостоверяющие центры) и подписываете договор на приобретение ЭЦП и ее обслуживание. Для формирования вашего сертификата ключа ЭЦП необходим только ваш открытый ключ. Если его у вас нет, то при вас генерируется ключевая пара – открытый и закрытый ключи. Закрытый (секретный) ключ и открытый ключ вашей ЭЦП, гарантом подлинности которого является выдавший его Удостоверяющий центр, в электронном виде передается вам на носителе. Носителем может быть дискета, смарт-карта или USB-носитель. Если в упомянутом выше договоре с Удостоверяющим центром нет пункта о депонировании и ответственном хранении вашего закрытого ключа в защищенном хранилище центра, то сотрудник центра обязан удалить его из компьютера после передачи вам. По определению закрытый ключ всегда хранится у пользователя, а сертификат ключа ЭЦП, подписанный выдавшим его Удостоверяющим центром, формируется на основе открытого ключа.

Проведем простые аналогии ЭЦП с собственноручной подписью на бумажном носителе. При оформлении серьезных сделок идентификация производится с помощью паспорта. Вы бережно храните свой паспорт от попадания в чужие руки, поскольку даже в социалистические времена были распространены различные виды действий злоумышленников, самым безобидным из которых было взять в бюро проката бытовой техники на приличную сумму под чужой паспорт. Известно, что эту сумму в судебном порядке взыскивали с бывшего владельца паспорта, не успевшего быстрее вора заявить о пропаже в милицию. Действия злоумышленника в данном случае подпадают под определение социальной атаки.