Смекни!
smekni.com

Направления защиты информации, стимулируемые банковскими приложениями (стр. 3 из 3)

«Цены на аппаратное обеспечение в России находятся примерно на том же уровне, что и в остальном мире. Цены же на программную часть системы могут отличаться в разы, причем в России стоимость сложных проектов на сегодня существенно ниже, чем за рубежом», — говорит эксперт.

Что касается потребностей рыночных игроков, то прежде всего банковские структуры интересует защита доступа к важной информации (вход в компьютер, базу данных) по отпечатку пальца или другим биометрическим признакам сотрудников банка. Кроме того, подтверждение транзакций, например, перечисление средств выше определенной суммы, контроль доступа в помещения.

Менее устоявшийся, но быстро растущий спрос отмечается на ряд продуктов, например подтверждение запроса при удаленной работе (выездное отделение банка для выдачи потребкредитов в магазине, салоне). Пользуется спросом учет деловой активности — постоянный контроль за присутствием сотрудника на рабочем месте. При этом коллега-сосед не сможет за сотрудника ввести его пароль или приложить проксимити-карту для отметки присутствия отсутствующего человека. Банки заинтересованы в подтверждении удаленных транзакций для клиентов банка через системы «Банк-Клиент» и идентификации представителей клиентов, приезжающих в банк лично.

Можно утверждать, что риски, например, internet-banking с применением биометрических средств идентификации будут, несомненно, снижены. «Так и хочется сказать, что до нуля, — восклицает Дмитрий Кравцов (BioLink Technologies). — Но! Существуют еще другие проблемы с безопасностью внутри банковских интернет-сервисов, которые зачастую сводят все остальные меры безопасности на нет». Так что, от комплексного решения проблемы безопасности транзакций никак не уйти.

Для того, чтобы биометрия стала неотъемлемой частью такого рода решений, необходим ряд правовых новелл. Должны быть приняты законодательные акты о закреплении биометрических признаков человека в качестве равноправных наряду с бумажными документами для идентификации человека.

Также необходима разработка, утверждение регламентов и системы контроля за их соблюдением. Сегодня не существуeт ни стандартов, по которым должны разрабатываться новые биометрические продукты, ни сертификационных процедур для подтверждения качества таких продуктов.

Было бы несправедливым говорить о том, что в этом направлении ничего не делается. «Наша компания принимает самое активное участие в работе подкомитета по биометрии в рамках технического комитета Росстандарта, который разрабатывает биометрические стандарты для России», — говорит Д. Кравцов. Конечно, достойно сожаления, что согласование требований со стороны различных заинтересованных ведомств продвигается подчас с большим трудом из-за полярности требований.1

2.7. Обеспечиваемая шифром степень защиты

Хорошие криптографические системы создаются таким образом, чтобы сделать их вскрытие как можно более трудным делом. Можно построить системы, которые на практике невозможно вскрыть (хотя доказать сей факт обычно нельзя). При этом не требуется очень больших усилий для реализации. Единственное, что требуется - это аккуратность и базовые знания. Нет прощения разработчику, если он оставил возможность для вскрытия системы. Все механизмы, которые могут использоваться для взлома системы надо задокументировать и довести до сведения конечных пользователей.

Теоретически, любой шифровальный алгоритм с использованием ключа может быть вскрыт методом перебора всех значений ключа. Если ключ подбирается методом грубой силы (brute force), требуемая мощность компьютера растет экспоненциально с увеличением длины ключа. Ключ длиной в 32 бита требует 2^32 (около 10^9) шагов. Такая задача под силу любому дилетанту и решается на домашнем компьютере. Системы с 40-битным ключом (например, экспортный американский вариант алгоритма RC4) требуют 2^40 шагов - такие компьютерные мощности имеются в большинстве университетов и даже в небольших компаниях. Системы с 56-битными ключами (DES) требуют для вскрытия заметных усилий, однако могут быть легко вскрыты с помощью специальной аппаратуры. Стоимость такой аппаратуры значительна, но доступна для мафии, крупных компаний и правительств. Ключи длиной 64 бита в настоящий момент, возможно, могут быть вскрыты крупными государствами и уже в ближайшие несколько лет будут доступны для вскрытия преступными организациями, крупными компаниями и небольшими государствами. Ключи длиной 80 бит могут в будущем стать уязвимыми. Ключи длиной 128 бит вероятно останутся недоступными для вскрытия методом грубой силы в обозримом будущем. Можно использовать и более длинные ключи. В пределе нетрудно добиться того, чтобы энергия, требуемая для вскрытия (считая, что на один шаг затрачивается минимальный квантовомеханический квант энергии) превзойдет массу солнца или вселенной.

Однако, длина ключа это еще не все. Многие шифры можно вскрыть и не перебирая всех возможных комбинаций. Вообще говоря, очень трудно придумать шифр, который нельзя было бы вскрыть другим более эффективным способом. Разработка собственных шифров может стать приятным занятием, но для реальных приложений использовать самодельные шифры не рекомендуется.

Вообще говоря, следует держаться в стороне от неопубликованных или секретных алгоритмов. Часто разработчик такого алгоритма не уверен в его надежности, или же надежность зависит от секретности самого алгоритма. Вообще говоря, ни один алгоритм, секретность которого зависит от секретности самого алгоритма не является надежным. В частности, имея шифрующую программу, можно нанять программиста, который дизассемблирует ее и восстановит алгоритм методом обратной инженерии. Опыт показывает, что большинство секретных алгоритмов, ставших впоследствии достоянием общественности, оказались до смешного ненадежными.

Длины ключей, используемых в криптографии с открытым ключом обычно значительно больше, чем в симметричных алгоритмах. Здесь проблема заключается не в подборе ключа, а в воссоздании секретного ключа по открытому. В случае RSA проблема эквивалентна разложению на множители большого целого числа, которое является произведением пары неизвестных простых чисел. В случае некоторых других криптосистем, проблема эквивалентна вычислению дискретного логарифма по модулю большого целого числа (такая задача считается примерно аналогичной по трудности задаче разложения на множители). Имеются криптосистемы, которые используют другие проблемы.

Чтобы дать представление о степени сложности вскрытия RSA, модули длиной 256 бит легко факторизуются обычными программистами. Ключи в 384 бита могут быть вскрыты исследовательской группой университета или компании. 512-битные ключи находятся в пределах досягаемости крупных государств. Ключи длиной в 768 бит вероятно не будут надежны продолжительное время. Ключи длиной в 1024 бит могут считаться безопасными до тех пор, пока не будет существенного прогресса в алгоритме факторизации; ключи длиной в 2048 большинство считает надежными на десятилетия.

Важно подчеркнуть, что степень надежности криптографической системы определяется ее слабейшим звеном. Нельзя упускать из вида ни одного аспекта разработки системы - от выбора алгоритма до политики использования и распространения ключей.1

2.8. Основные цели информационной безопасности

Основными целями информационной безопасности являются:

  • сохранение целостности информации в процессе ее хранения, обработки и передачи, обеспечение доступа к ней пользователей в пределах их полномочий;
  • предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации и других форм незаконного вмешательства в информационные ресурсы;
  • сохранение государственной тайны, конфиденциальности информации в документированном и электронном виде в соответствии с законодательством;
  • защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
  • предотвращение незаконного использования информационных ресурсов.

Задачу обеспечения информационной безопасности на конкретной сети передачи данных каждый оператор сети должен решать сам, используя рекомендательные меры и средства защиты информации, руководствуясь при этом действующими нормативными актами.

Для решения задач обеспечения информационной безопасности в области передачи данных и Интернет предусматривается выполнение следующих мероприятий:

  • создание узла защиты для сетей передачи данных;
  • создание Системы обеспечения информационной безопасности в сфере информационных и компьютерных технологий и формирование служб обеспечения информационной безопасности;
  • создание постоянно действующей (межведомственной) экспертной группы для оценки эффективности внедренных средств защиты в сетях передачи данных, проведения экспертизы проектов на соответствие требованиям обеспечения информационной безопасности и разработка рекомендаций по защите информации;
  • разработка отечественных средств криптографической защиты информации;
  • внедрение систем и средств защиты информации на сетях передачи данных и доступа к сети Интернет;
  • обеспечение устойчивости и безопасности функционирования сетей;
  • создание центра доверия и выдачи сертификатов, обеспечивающего хранение, генерацию, распределение и определение стойкости ключей, а также выдачу и заверение сертификатов и электронно-цифровой подписи;
  • организация структуры по взаимодействию с зарубежными органами по вопросам обеспечения информационной безопасности в сфере компьютерных и информационных технологий;
  • создание системы сертификации средств по обеспечению информационной безопасности;
  • внедрение системы подготовки и повышения квалификации специалистов по защите информации;
  • создание нормативно-правовой базы по информационной безопасности.1
    Заключение

Криптография - это искусство скрытия информации в последовательности битов от любого несанкционированного доступа. Для достижения этой цели используют шифрование: сообщение с помощью некоторого алгоритма комбинируется с дополнительной секретной информацией (ключом), в результате чего получается криптограмма. Долгое время способы разработки алгоритмов шифрования определялись исключительно хитростью и изобретательностью их авторов. И лишь в ХХ веке этой областью заинтересовались математики, а впоследствии - и физики.

Существует два направления криптографии: банковские криптографические протоколы и криптографическое обеспечение банковских карточек.

Хорошие криптографические системы создаются таким образом, чтобы сделать их вскрытие как можно более трудным делом.

Продукты, защищающие от перехвата конфиденциальных данных, являются одними из самых востребованных сегодня.

Список литературы:

    Анохин М.И., Варновский Н.П., Сидельников В.М., ЯщенкоВ.В., КРИПТОГРАФИЯ В БАНКОВСКОМ ДЕЛЕ, 2005. – 526 с.
    algolist.manual.ru/defence/intro.php#strength\
    tashxis.narod.ru/ru/library/pr1_200.htm
    virusunet.ru/sovremennye-sredstva-zashhity.html

1Анохин М.И., Варновский Н.П., Сидельников В.М., ЯщенкоВ.В., КРИПТОГРАФИЯ В БАНКОВСКОМ ДЕЛЕ, 2005. – стр. 324-325

1 virusunet.ru/sovremennye-sredstva-zashhity.html

1 algolist.manual.ru/defence/intro.php#strength

1 tashxis.narod.ru/ru/library/pr1_200.htm