Библибоба

Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Кибербезопасность в условиях электронного банкинга. Практическое пособие

Коллектив авторов

Обзор этих видов «хранилищ ключей» (невозможно использовать эту формулировку без кавычек, так как далеко не все эти объекты хотя бы минимально приспособлены к хранению именно ключей) приведен ниже. Из обзора исключены дискеты, так как побочным эффектом развития вычислительной техники, все реже имеющей дисководы для дискет, явилось постепенное отмирание применения этого носителя и в этой конкретной функции.

Здесь невозможно не вспомнить снова аксиому о том, что для специальных целей логично применять специализированные средства.

Однако и специализированные средства – токены[216] – не идеальны.

Токены предоставляют возможность использования хранимых на них ключей и сертификатов после предъявления PIN-кода (авторизации пользователя). Казалось бы, таким образом блокируются все уязвимости, связанные как с хранением, так и с доступом к ключу.

Однако очевидно, что ограничение доступа к ключу только использованием PIN-кода недостаточно. Токен должен использоваться только в той системе, в которой обеспечена защита от несанкционированного доступа (а именно – обеспечена доверенная СФК), а PIN-код можно правильно ввести в любой среде. Токен не может определить, в какой системе производится попытка работы с ним, у него нет для этого никаких механизмов. Невозможность расширения функций токена проистекает не из лени программистов, а из ограниченности его архитектуры (рис. 68).

Чем же опасна невозможность контролировать внешнюю среду? Например, в ней могут быть предустановлены программные закладки, предназначенные для перехвата криптографической информации или перехвата управления компьютером. При правильно введенном PIN-коде (а в некоторых случаях и до введения PIN-кода) все это вредоносное программное обеспечение получит доступ к ключам.

Рис. 68. USB-токен

В части доступа к ключу очевидна необходимость учитывать как условия доступа пользователя (человека), так и условия доступа СКЗИ и другого системного и функционального программного обеспечения.

При этом необходимо принимать во внимание особенности сред и систем, в которых пользователи выполняют задачи, связанные с криптографическими преобразованиями: работа в различных ОС, загруженных на СВТ различных архитектур из различных источников различными способами, может иметь целый ряд особенностей, существенно влияющих на безопасность ключа.

Отсюда следуют требования к защищенному ключевому носителю. Защищенный носитель ключа в идеальном случае должен быть способен контролировать:

– доступ к ключу через любые интерфейсы, в том числе и путем применения разрушающего программного воздействия;

– среду, в которой производится попытка доступа к ключу.

Естественно, защищенный ключевой носитель не должен контролировать корректность работы СКЗИ или собственно обеспечивать среду его функционирования (это функция средства доверенной загрузки). То есть задача «контроля» среды, из которой осуществляется доступ к ключу, сводится к тому, чтобы доступ к ключу предоставлялся не только исключительно легальному пользователю, но и исключительно на заданных рабочих местах (наличие «правильной» среды на которых обеспечивается в установленном в организации порядке). Принципиально это та же задача, что и для флешек: ограничение числа компьютеров, на которых технически возможна работа с токеном.

В случае реализации такой защитной меры при случайном или преднамеренном подключении токена к неразрешенному (а значит, недоверенному) компьютеру устройство не будет примонтировано, следовательно, ключи не будут доступны ни пользователю (даже легальному), ни системе (с потенциально функционирующими в ней вирусами и закладками).

Кроме того, при этом будет исключено несанкционированное использование ключей легальным пользователем токена вне рамок его служебных задач. Это важно, так как само по себе СКЗИ не может определить правомерность формирования данного документа на данном компьютере и подписание его с помощью того или иного ключа.

Вероятность подмены рабочего места выглядит не очень страшно только по одной причине: кажется, что в этом никто особенно не заинтересован (например, трудно представить, что бухгалтер соберется сделать с домашнего ноутбука нелегальный перевод, подписав платежку своей ЭП).

Однако на самом деле представить себе сценарий как случайной, так и злонамеренной компрометации ключа и документа несложно.

Опишем несколько самых явных сценариев.

Начнем с добросовестного бухгалтера (а их все-таки, мы уверены, большинство). Из лучших побуждений – выполнять часть работы сверхурочно – он может организовать себе дополнительное рабочее место дома. При этом он может разделить работы по критичности и для «домашнего» выполнения выделить не платежи, а только подготовку и отправку в налоговую инспекцию отчетов в электронном виде. Это делается с помощью одной из специальных программ, например «Фельдъегерь» («Доклайнер», «Контур-Экстерн»), и бухгалтеру на его домашнем компьютере даже не потребуется «Клиент-Банк».

Перейти на страницу:
Читать далее

Похожие книги

Забудь меня, Эй
Забудь меня, Эй

Малыш плакал посреди торгового центра, и она не смогла пройти мимо. Он приехал забрать сына и не узнал ее.Они встретились семь лет назад, и тогда он так и не назвал своего имени.Они встретились семь лет спустя, и он ее не узнал. Зато теперь она узнала, как его зовут.Семь лет назад она спасла ему жизнь. Сейчас она должна спасти его бизнес. А что он должен ей?

Тала Тоцка

Самиздат, сетевая литература
Читать бесплатно
Невеста снежного демона [СИ]
Невеста снежного демона [СИ]

Она — пламя. Он — лед. Она — огненный маг. Он — снежный демон. Что у них может быть общего? Ничего. Разве только… Одна случайная встреча. Одно опрометчиво вырвавшееся слово. Чувство, вспыхнувшее внезапно, и общая тайна, связавшая их. А еще зимний бал в академии, в ночь, когда возможно любое чудо. Так мало. И так много.

Алиса Ардова

Самиздат, сетевая литература
Без регистрации
Развод с генералом драконов (СИ)
Развод с генералом драконов (СИ)

— Собери вещи, — бросает дракон, поднимаясь с постели и затягивая шнуровку штанов.— Мы куда-то едем? — стыдливо натягиваю одеяло до подбородка.Муж вернулся после долгой войны. Мы не виделись три года, и вот…— Не мы, а ты, — оборачивается и от его лазурных глаз мороз по коже. — Моя женщина беременна. Я должен позаботиться о ней и о том, чтобы наш сын-дракон родился в законном браке. Джиральдина с дочкой прибудут на днях. К этому времени тебя здесь быть не должно.Генерал драконов, мой муж, привёл в дом другую. Теперь у них готовая семья, а меня ждёт незавидная участь. Смириться или бороться? Заново отстроить свою жизнь, стать счастливой и сильной. Без него.

Елена Солт

Любовное фэнтези, любовно-фантастические романы / Самиздат, сетевая литература
Полная версия
Бальмануг. Невеста
Бальмануг. Невеста

Неожиданно для себя Хелен Бальмануг становится невестой статусного эйра. Нет, о любви речь не идет, всего лишь ценную девицу, так щедро одаренную магически, пристроили в нужные руки.Что делать Хелен? Продолжать сопротивляться или попробовать использовать ситуацию себе во благо? Ведь новое положение дает ей также и новые преимущества. Теперь можно заниматься магией и разработками совершенно на другом уровне, ни в чем себе не отказывая, опекун предоставляет все возможности. Совсем иной круг знакомств, новые учителя и даже обещают выделить отдельную лабораторию! Жаль только тратить время на светские приемы и примерки нескончаемых нарядов, которые теперь тоже положены по статусу.А навязанный жених... Жених не стена, его можно и подвинуть, пока Хелен занята своими делами.Что, он недоволен, когда знатные мужи соседнего королевства делает подарки юной эйре Бальмануг? "Дорогой, неужели ты ревнуешь?".Цикл: Мир Десяти #5В тексте есть: Попаданцы АвтРасы Академка

Полина Лашина

Самиздат, сетевая литература
Читать Онлайн
Избранное