Принцип достаточности защиты

Защита публичным ключом (впрочем, как и большинство других видов защиты, информации) не является абсолютно надежной. Дело в том, что поскольку каж­дый желающий может получить и использовать чей-то публичный ключ, то он может сколь угодно подробно изучить алгоритм работы механизма шифрования и пытаться установить метод расшифровки сообщения, то есть реконструировать закрытый ключ.

Это настолько справедливо, что алгоритмы кодирования публичным ключом даже нет смысла скрывать. Обычно к ним есть доступ, а часто они просто широко пуб­ликуются. Тонкость заключается в том, что знание алгоритма еще не означает воз­можности провести реконструкцию ключа в разумно приемлемые сроки. Так, напри­мер, правила игры в шахматы известны всем, и нетрудно создать алгоритм для перебора всех возможных шахматных партий, но он никому не нужен, поскольку даже самый быстрый современный суперкомпьютер будет работать над этой задачей дольше, чем существует жизнь на нашей планете.

Количество комбинаций, которое надо проверить при реконструкции закрытого ключа, не столь велико, как количество возможных шахматных партий, однако защиту информации принято считать достаточной, если затраты на ее преодоле­ние превышают ожидаемую ценность самой информации. В этом состоит принцип достаточности защиты, которым руководствуются при использовании несиммет­ричных средств шифрования данных. Он предполагает, что защита не абсолютна, и приемы ее снятия известны, но она все же достаточна для того, чтобы сделать это мероприятие нецелесообразным. При появлении иных средств, позволяющих-таки получить зашифрованную информацию в разумные сроки, изменяют принцип работы алгоритма, и проблема повторяется на более высоком уровне.

Разумеется, не всегда реконструкцию закрытого ключа производят методами простого перебора комбинаций. Для этого существуют специальные методы, основанные на исследовании особенностей взаимодействия открытого ключами с определен­ными структурами данных. Область науки, посвященная этим исследованиям, назы­вается криптоанализом, а средняя продолжительность времени, необходимого для реконструкции закрытого ключа по его опубликованному открытому ключу, называ­ется криптостойкостъю алгоритма шифрования.

Для многих методов несимметричного шифрования криптостойкость, полученная в результате криптоанализа, существенно отличается от величин, заявляемых раз­работчиками алгоритмов на основании теоретических оценок. Поэтому во многих странах вопрос применения алгоритмов шифрования данных находится в поле законодательного регулирования. В частности, в России к использованию в госу­дарственных и коммерческих организациях разрешены только те программные средства шифрования данных, которые прошли государственную сертификацию в административных органах, в частности, в Федеральном агентстве правитель­ственной связи и информации при Президенте Российской Федерации (ФАПСИ).

 

МДК.02.03 Организация работ по техническому сопровождению компьютерных сетей (Cisco)

Раздел 3. Комплексная защита информации в корпоративных сетях

Тема: Сетевые экраны

Чтотакое сетевой экран? Так называют приложения предназначенные для предохранения компьютера от проникновения из сети нежелательного трафика и вредоносных программ. Это - защитная система, подобно стене, стоящая между сетевым адаптером и операционной системой. Поэтому, чаще эти программы называют фаерволами или брандмауэрами. В оригинальном значении, фаервол - это стена, отделяющая и предохраняющая смежное здание от распространения пожара. Любой сетевой пакет проверяется фаерволом, прежде чем поступить на обработку операционной системой. И любой исходящий пакет данных должен пройти его контроль. Значит, сетевой экран - это не сплошная стена, а специально настроенная программа фильтрующая входящий и исходящий трафик.

Работая в сети, мы используем различные приложения. Каждому приложению необходим доступ к определенному виду трафика. Например, браузерам требуется 80-й порт для исходящего ТСР-соединения и порт 53 DNS-сервера. ICQ-клиентам, для исходящих ТСР-соединений нужен порт 5190. Если закрыть 44583-й порт, мы не сможем пользоваться Skype. Как раз, фаервол и контролирует эти и все остальные порты компьютера на входящий и исходящий трафик. То есть, открывает соответствующие порты только разрешенным правилами приложениям. А правила эти, мы можем устанавливать и сами, когда настраиваем фаервол. Предположим, мы разрешили работу программе Opera. Это значит, что входящий и исходящий трафик для этого приложения будет беспрепятственно пропускаться фаерволом. Если же, сетевые пакеты исходят от программы,которой мы не давали разрешения на работу, соединение будет блокировано. При первом запуске какого-либо приложения, требующего доступ к сети, фаервол выдает диалоговое окно-запрос. И тут, мы сами решаем, давать доступ или нет.

Firewall - это первое и главное средство защиты компьютера от сетевых вторжений. И он должен быть соответствующим образом настроен.

Если мы работаем в офисе и включены в локальную сеть предприятия, нам не о чем беспокоиться. Системный администратор обеспечит надежную защиту и нет необходимости настраивать на своей машине персональный фаервол. Другое дело, когда мы напрямую выходим в глобальную сеть. В этом случае фаервол должен быть установлен обязательно. И он должен быть включен и настроен.

Операционная система абсолютно незащищенного компьютера может быть полностью выведена из строя, всего лишь, за несколько часов активного интернет-серфинга. Проводились и такие эксперименты. Фаервол остановит часть вторжений - блокирует несанкционированные соединения.

Собственный сетевой экран встроен в системы Microsoft Windows начиная с Windows XP SP2 и выше. Почитаем урок: брандмауэр Windows XP и посмотрим как включить его и настроить.

Брандмауэр Windows 7 включается автоматически после загрузки операционной системы. Чтобы убедиться в этом и посмотреть подробные настройки перейдем в урок брандмауэр Windows 7.

На примерах встроенных средств защиты Windows мы ознакомились с принципами работы сетевых экранов - фаерволов. Надежный фаервол контролирует не только входящие сетевые пакеты. Он должен фиксировать и весь исходящий трафик. И блокировать исходящие от вредоносных программ пакеты, если такие программы все же проникли в компьютер и пытаются выслать украденную информацию. Например, брандмауэр Windows XP не работает по исходящим соединениям. Здесь, стоит подумать об установке стороннего фаервола. Что можно посоветовать?

По результатам тестов авторитетных независимых лабораторий занимающихся проблемами защиты персонального компьютера, лучшим фаерволом признается Comodo. Comodo Firewall - это бесплатный персональный фаервол американского разработчика Comodo Group для Windows XP, Vista, Windows 7 и 8. Скачать последнюю версию фаервола можно с официального сайта разработчика.