МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

БРАТСКИЙ ЦЕЛЛЮЛОЗНО-БУМАЖНЫЙ КОЛЛЕДЖФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО

ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ«БРАТСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

230401 «Информационные системы (по отраслям)»

МЕТОДИЧЕСКИЕ УКАЗАНИЯк проведению практических занятий по ПМ.04

«Организация защиты информации и процессов, обеспечение информационной безопасности»

(вариативная часть) для студентов специальности «Информационные системы (по отраслям)»

2

Братск 2014

3

Составила (разработала) И.И. Сорокина, преподаватель кафедры ИСПиА

Рассмотрено на заседании кафедры ИСПиА

«_____»_____________2014г. _______________________ (Подпись зав. кафедрой)

Одобрено и утверждено редакционным советом

____________________ (Подпись председателя РС)

«_____»_____________2014г. №_____________________

4

Содержание

Введение.......................................................................................................................4

1. Криптографическая защита информации..............................................................6

Практическая работа №1 Симметричные алгоритмы. Шифры перестановки.Практическая работа № 2 Потоковое и блочное шифрованиеПрактическая работа 3. Асимметричные алгоритмы. Шифрование данных при хранении – EFSПрактическая работа №4 Хеширование, хэш-таблицыПрактическая работа 5. ЭЦП. Использование цифровых сертификатовПрактическая работа №6. Аутентификация. Управление разрешениями на файлы и папкиЗадачи для решения

2. Программно-аппаратная защита информации....................................................38

Практическая работа№1 Менеджер паролей RoboForm. Сохранение информации для входа на сайты, в Пасскарты и их использованиеПрактическая работа №2 Безопасное использование WebMoney Keeper ClassicПрактическая работа 3. Настройка браузера Microsoft Internet Explorer для безопасной работыПрактическая работа №4 Защита папок паролем. Программа AntiLamo.Практическая работа №5 Освоение программных средств для работы с электронными хранилищами паролейПрактическая работа №6 Анализ характеристик устройств аутентификацииПрактическая работа №7 Освоение программных средств для работы с сертификатами открытых ключейПрактическая работа №8 Разработка программы разграничения полномочий пользователей на основе парольной аутентификацииПрактическая работа №9 Разработка и программная реализация криптографических алгоритмов

3. Защита информационных процессов в компьютерных системах.....................76

Практическая работа №1 Использование функций криптографического интерфейса Windows для защиты информацииПрактическая работа №2 Защита программного обеспечения от несанкционированного использования и копированияПрактическая работа №3 Основы работы с персональным сетевым экраном фирмы «Инфотекс»Практическая работа №4 Основы использования средств защиты от несанкционированного доступа в операционной системе LinuxПрактическая работа №5 Использование цифровых сертификатовПрактическая работа №6 Создание центра сертификации (удостоверяющего центра) в Windows Server 2008

5

Практическая работа №7 Шифрование данных при хранении – EFSПрактическая работа №8. Резервное копирование в Windows Server 2008

Заключение...............................................................................................................126

6

Введение

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

конфиденциальность информации; доступность информации для всех авторизованных пользователей.При разработке компьютерных систем, выход из строя или ошибки в работе

которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на обеспечение компьютерной безопасности, основными среди них являются технические, организационные и правовые.

Обеспечение безопасности информации — дорогое дело, и не только из-за затрат на закупку или установку средств защиты, но также из-за того, что трудно квалифицированно определить границы разумной безопасности и обеспечить соответствующее поддержание системы в работоспособном состоянии.

Средства зашиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ.

В методическом пособии рассматриваются общие вопросы защиты информации в автоматизированных системах обработки данных (АСОД), предмет и объекты зашиты информации, задачи защиты информации в АСОД. Рассмотрены типы преднамеренных угроз безопасности и методы защиты информации в АСОД. Рассмотрены методы и средства подтверждения подлинности пользователей и разграничения их доступа к компьютерным ресурсам, контроля доступа к аппаратуре, использования простых и динамически изменяющихся паролей, методы модификации схемы простых паролей, функциональные методы.

С повышением значимости и ценности информации соответственно растёт и важность её защиты. С одной стороны, информация стоит денег. Значит утечка или утрата информации повлечёт материальный ущерб. С другой стороны, информация – это управление. Несанкционированное вмешательство в управление может привести к катастрофическим последствиям в объекте управления – производстве, транспорте, военном деле. Например, современная военная наука утверждает, что полное лишение средств связи сводит боеспособность армии до нуля.

Защиту информации в рамках настоящего курса определим так: меры для ограничения доступа к информации для каких-либо лиц (категорий лиц), а также для удостоверения подлинности и неизменности информации.

7

Вторая задача может показаться слабо связанной с первой, но на самом деле это не так. В первом случае владелец информации стремится воспрепятствовать несанкционированному доступу к ней, а во втором случае – несанкционированному изменению, в то время как доступ для чтения разрешён. Как мы позже увидим, решаются эти задачи одними и теми же средствами.

В случае успешного окончания данного курса студент будет свободно ориентироваться в современной терминологии по данным темам, сможет самостоятельно выбрать применительно к своим условиям средства и методы защиты информации, сможет пользоваться любым программным обеспечением из данной области (а при наличии навыков программирования – создавать своё ПО), сможет противостоять большинству попыток несанкционированного доступа к своей информации, сможет распознать поддельный документ и самостоятельно изготовить подделку среднего уровня, будет способен преодолеть простую защиту, сумеет организовать на предприятии систему документооборота или хранения информации, исключающую её утечки.

8

1. Криптографическая защита информации

Практическая работа №1 Симметричные алгоритмы. Шифры перестановки.

Цель: Познакомиться с различными симметричными алгоритмами шифрования

Задание: Зашифровать свои ФИО различными способамиПри шифровании перестановкой символы шифруемого текста

переставляются по определенному правилу в пределах блока этого текста. Шифры перестановки являются самыми простыми и, вероятно, самыми древними шифрами.

Шифр перестановки "скитала"Известно, что в V веке до нашей эры правители Спарты, наиболее

воинственного из греческих государств, имели хорошо отработанную систему секретной военной связи и шифровали свои послания с помощью скитала, первого простейшего криптографического устройства, реализующего метод простой перестановки.

Шифрование выполнялось следующим образом. На стержень цилиндрической формы, который назывался скитала, наматывали спиралью (виток к витку) полоску пергамента и писали на ней вдоль стержня несколько строк текста сообщения, как на рисунке 1. Затем снимали со стержня полоску пергамента с написанным текстом. Буквы на этой полоске оказывались расположенными хаотично. Такой же результат можно получить, если буквы сообщения писать по кольцу не подряд, а через определенное число позиций до тех пор, пока не будет исчерпан весь текст.

Рисунок 1 Шифр "скитала"

Сообщение НАСТУПАЙТЕ при размещении его по окружности стержня по три буквы дает шифртекст

НУТАПЕСА_ТЙДля расшифрования такого шифртекста нужно не только знать правило

шифрования, но и обладать ключом в виде стержня определенного диаметра. Зная только вид шифра, но не имея ключа, расшифровать сообщение было непросто. Шифр скитала многократно совершенствовался в последующие времена.

Шифрующие таблицыС начала эпохи Возрождения (конец XIV столетия) начала возрождаться и

криптография. Наряду с традиционными применениями криптографии в политике, дипломатии и военном деле появляются и другие задачи - защита интеллектуальной собственности от преследований инквизиции или заимствований злоумышленников. В разработанных шифрах перестановки того

9

времени применяются шифрующие таблицы, которые в сущности задают правила перестановки букв в сообщении.

В качестве ключа в шифрующих таблицах используются:• размер таблицы;• слово или фраза, задающие перестановку;• особенности структуры таблицы.Одним из самых примитивных табличных шифров перестановки является

простая перестановка, для которой ключом служит размер таблицы. Этот метод шифрования сходен с шифром скитала. Например, сообщение

ТЕРМИНАТОР ПРИБЫВАЕТ СЕДЬМОГО В ПОЛНОЧЬзаписывается в таблицу поочередно по столбцам. Результат заполнения

таблицы из 5 строк и 7 столбцов показан на рисунке 2.После заполнения таблицы текстом сообщения по столбцам для

формирования шифртекста считывают содержимое таблицы по строкам.

Т Н П В Е Г Л

Е А Р А Д О Н

Р Т И Е Ь В О

М О Б Т М П Ч

И Р Ы С О О Ь

Рисунок 2 Заполнение таблицы из 5 строк и 7 столбцов

Если шифртекст записывать группами по пять букв, получается такое шифрованное сообщение:

ТНПВЕ ГЛЕАР АДОНР ТИЕЬВ ОМОБТ МПЧИР ЫСООЬЕстественно, отправитель и получатель сообщения должны заранее

условиться об общем ключе в виде размера таблицы. Следует заметить, что объединение букв шифртекста в 5-буквенные группы не входит в ключ шифра и осуществляется для удобства записи несмыслового текста. При расшифровании действия выполняют в обратном порядке.

Несколько большей стойкостью к раскрытию обладает метод шифрования, называемый одиночной перестановкой по ключу. Этот метод отличается от предыдущего тем, что столбцы таблицы переставляются по ключевому слову, фразе или набору чисел длиной в строку таблицы.

Применим в качестве ключа, например, словоПЕЛИКАН,

10

Рисунок 3 Таблицы, заполненные ключевым словом и текстом сообщения

а текст сообщения возьмем из предыдущего примера. На рисунке 3 показаны две таблицы, заполненные текстом сообщения и ключевым словом, при этом левая таблица соответствует заполнению до перестановки, а правая таблица - заполнению после перестановки.

В верхней строке левой таблицы записан ключ, а номера под буквами ключа определены в соответствии с естественным порядком соответствующих букв ключа в алфавите. Если бы в ключе встретились одинаковые буквы, они бы были понумерованы слева направо. В правой таблице столбцы переставлены в соответствии с упорядоченными номерами букв ключа.

При считывании содержимого правой таблицы по строкам и записи шифртекста группами по пять букв получим шифрованное сообщение:

ГНВЕП ЛТООА ДРНЕВ ТЕЬИО РПОТМ БЧМОР СОЫЬИДля обеспечения дополнительной скрытности можно повторно

зашифровать сообщение, которое уже прошло шифрование. Такой метод шифрования называется двойной перестановкой. В случае двойной перестановки столбцов и строк таблицы перестановки определяются отдельно для столбцов и отдельно для строк. Сначала в таблицу записывается текст сообщения, а потом поочередно переставляются столбцы, а затем строки. При расшифровании порядок перестановок должен быть обратным.

Пример выполнения шифрования методом двойной перестановки показан на рисунке 4. Если считывать шифртекст из правой таблицы построчно блоками по четыре буквы, то получится следующее:

ТЮАЕ ООГМ РЛИП ОЬСВКлючом к шифру двойной перестановки служит последовательность

номеров столбцов и номеров строк исходной таблицы (в нашем примере последовательности 4132 и 3142 соответственно).

Рисунок 4 Пример выполнения шифрования методом двойной перестановки

Число вариантов двойной перестановки быстро возрастает при увеличении размера таблицы:

• для таблицы 3х3 36 вариантов;• для таблицы 4х4 576 вариантов;• для таблицы 5х5 14400 вариантов.Однако двойная перестановка не отличается высокой стойкостью и

сравнительно просто "взламывается" при любом размере таблицы шифрования.Применение магических квадратовВ средние века для шифрования перестановкой применялись и магические

квадраты.

11

Магическими квадратами называют квадратные таблицы с вписанными в их клетки последовательными натуральными числами, начиная от 1, которые дают в сумме по каждому столбцу, каждой строке и каждой диагонали одно и то же число.

Шифруемый текст вписывали в магические квадраты в соответствии с нумерацией их клеток. Если затем выписать содержимое такой таблицы по строкам, то получится шифртекст, сформированный благодаря перестановке букв исходного сообщения. В те времена считалось, что созданные с помощью магических квадратов шифртексты охраняет не только ключ, но и магическая сила.

Пример магического квадрата и его заполнение сообщениемПРИЛЕТАЮ ВОСЬМОГО показан на рисунке 5.

Рисунок 5 Пример магического квадрата 4х4 и его заполнения сообщением

Шифртекст, получаемый при считывании содержимого правой таблицы по строкам, имеет вполне загадочный вид:

ОИРМ ЕОСЮ ВТАЬ ЛГОПЧисло магических квадратов быстро возрастает с увеличением размера

квадрата. Существует только один магический квадрат размером 3х3 (если не учитывать его повороты). Количество магических квадратов 4х4 составляет уже 880, а количество магических квадратов 5х5 - около 250000.

12

Практическая работа № 2 Потоковое и блочное шифрование

Цель: на конкретных примерах рассмотреть шифрование сообщений симметричного алгоритма шифрования, определить какое программное обеспечение на ваш взгляд является оптимальным.

Ход работыПри шифровании симметричным ключом используются одинаковые ключи

для шифрования и расшифровывания сообщений. Ключ этот имеют (если он используется для шифрования сообщения) только отправитель и адресат, он не должен быть известен третьему лицу. Поэтому главная проблема симметричной криптографии состоит в предварительной передаче секретного ключа одним абонентом другому по надежному каналу. Это неудобство, однако, не мешает в случае, когда создатель и получатель сообщения одно и то же лицо (т.е. вы шифруете свою информацию на компьютере, храните ее какое-то время в зашифрованном виде, а затем расшифровываете, чтобы использовать).

Кроме деловой переписки у вас есть ведь, конечно, и личные секреты, о которых нежелательно знать другим: список телефонов «нужных людей»; каталог избранных сайтов; письма информатора из фирмы конкурента; план рекламной компании; бизнес-план производства нового продукта и т.д. Нет ничего некорректного в том, что вы хотите сохранить в тайне свою конфиденциальную информацию.

ЗаданиеУстановите программы для симметричного и асимметричного шифрования

сообщений. Заполните таблицу 1 (в бланке отчета по практическим работам), зашифровав сообщение, папку с файлами, проверяя возможность смены типа данных и т.д. После работы с программой удалите ее. Сделайте выводы.

Таблица 1Программа ХарактеристикиБесплатное ПОAES Free Очень простая в пользовании программа. Использует

алгоритм шифрования AES, длина ключа 128 бит, максимальная длина пароля — 7 символов. Имеет шредер, архиватор, позволяет создавать самораспаковывающиеся шифрованные файлы, изменять расширение шифруемых файлов, шифровать целиком папки со всем содержимым.

FineCrypt Очень мощная, но довольно сложная в пользовании программа. Предлагает на выбор 10 алгоритмов шифрования, имеет шредер и архиватор, позволяет создавать самораспаковывающиеся файлы.

Dpcrypto Очень простая в использовании программа для шифрования отдельных файлов. Использует 8 алгоритмов. Не имеет никаких дополнительных функций.

13

Платное ПОEasyCrypto Deluxe Отлично оформленная программа для шифрования

отдельных файлов. Использует алгоритм Blowfish с длиной ключей от 40 до 128 бит и паролями до 8 букв.

Crypto-Lock Очень простая программа для шифрования отдельных файлов. Использует алгоритм Blowfish. Способна создавать самораспаковывающиеся файлы.

Iron Key Не очень удобная в пользовании программа. Использует алгоритм DES, длина ключа 56 бит. Не имеет никаких дополнительных функций. Пригодна для шифрования отдельных файлов.

SafeGuard PrivateCrypto

Отлично оформленная и очень простая программа для шифрования отдельных файлов. Использует алгоритм AES. Способна создавать самораспаковывающиеся файлы.

Большинство их настолько просты в пользовании, что любой ребенок, владеющий компьютером, является нынче лучшим шифровальщиком, чем знаменитые математики и разведчики прошлого. Давайте посмотрим, как осуществляется защита документов на примере перечисленных в таблице программ.

14

Практическая работа 3. Асимметричные алгоритмы. Шифрование данных при хранении – EFS

Цель: Познакомиться с асимметричным методом шифрования данных

Шифрующая файловая система (Encrypting File System - EFS) появилась в операционных системах семейства Windows, начиная с Windows 2000. Она позволяет шифровать отдельные папки и файлы на томах с файловой системой NTFS. Рассмотрим этот механизм подробнее.

Сначала несколько слов о рисках, которые можно снизить, внедрив данный механизм. Повышение мобильности пользователей приводит к тому, что большое количество конфиденциальных данных (предприятий или личных) оказывается на дисках ноутбуков, на съемных носителях и т.д. Вероятность того, что подобное устройство будет украдено или временно попадет в чужие руки, существенно выше чем, например, для жесткого диска корпоративного персонального компьютера (хотя и в этом случае, возможны кражи или копирование содержимого накопителей). Если данные хранить в зашифрованном виде, то даже если носитель украден, конфиденциальность данных нарушена не будет. В этом и заключается цель использования EFS.

Следует учитывать, что для передачи по сети, зашифрованный EFS файл будет расшифрован, и для защиты данных в этих случаях надо использовать дополнительные механизмы.

Рассмотрим работу EFS. Пусть, у нас имеется сервер Windows Server 2008, входящий в домен, и три учетные записи, обладающие административными правами на сервере (одна из них - встроенная административная запись Administrator).

Пользователь User1 хочет защитить конфиденциальные файлы. Тут надо отметить, что хотя шифровать с помощью EFS можно и отдельные файлы, рекомендуется применять шифрование целиком к папке.

User1 с помощью оснастки Certificates запрашивает сертификат (можно выбрать шаблон User или Basic EFS). Теперь у него появляется ключевая пара и сертификат открытого ключа, и можно приступать к шифрованию.

Чтобы зашифровать папку, в ее свойствах на вкладке General нажимаем кнопку Advanced и получаем доступ к атрибуту, указывающему на шифрование файла.

Рисунок 1  В свойствах папки устанавливаем шифрование15

Работа EFS организована так, что одновременно сжатие и шифрование файлов и папок осуществляться не может. Поэтому нельзя разом установить атрибуты Compress contents to save disk и Encrypt contents to secure data (рис. 1).

При настройках по умолчанию, зашифрованная папка выделяется в проводнике зеленым цветом. Для зашифровавшего файл пользователя порядок работы с ним не изменится.

Теперь выполним "переключение пользователей" и зайдем в систему под другой учетной записью, обладающей административными правами, но не являющейся встроенной административной записью. Пусть это будет User2.

Несмотря на то, что User2 имеет такие же разрешения на доступ к файлу, что и User1, прочитать он его не сможет (рисунок 2).

Также он не сможет его скопировать, т.к. для этого надо расшифровать файл. Но надо учитывать, что User2 может удалить или переименовать файл или папку.

Рисунок 2 Другой пользователь прочитать файл не сможет

Задание1. Работая под первой учетной записью, запросите сертификат (если он не

был получен ранее), после чего зашифруйте папку с тестовым файлом, который не жалко потерять. Проверьте, что будет происходить при добавлении файлов, переименовании папки, копировании ее на другой диск с файловой системой NFTS на том же компьютере, копировании папки на сетевой диск или диск с FAT.

2. Убедитесь, что другой пользователь не сможет прочитать зашифрованный файл.

3. Снова зайдите под первой учетной записью. В оснастке Certificates, удалите сертификат пользователя (несмотря на выдаваемые системой

16

предупреждения). Завершите сессию пользователя в системе и войдите заново. Попробуйте открыть зашифрованный файл.

Как вы убедились, если сертификат и соответствующая ему ключевая пара удалены, пользователь не сможет прочитать зашифрованные им же данные. В частности поэтому, в EFS введена роль агента восстановления. Он может расшифровать зашифрованные другими пользователями данные.

Реализуется это примерно следующим образом. Файл шифруется с помощью симметричного криптоалгоритма на сгенерированном системой случайном ключе (назовем его K1). Ключ K1 шифруется на открытом ключе пользователя, взятом из сертификата, и хранится вместе с зашифрованным файлом. Также хранится K1, зашифрованный на открытом ключе агента восстановления. Теперь либо пользователь, осуществлявший шифрование, либо агент восстановления могут файл расшифровать.

При настройке по умолчанию роль агента восстановления играет встроенная учетная запись администратора (локального, если компьютер не в домене, или доменная).

ЗаданиеЗайдите в систему под встроенной учетной записью администратора и

расшифруйте папку.То, какой пользователь является агентом восстановления, задается с

помощью групповых политик. Запустим оснастку Group Policy Management. В политике домена найдем группу Public Key Policies и там Encrypting File System, где указан сертификат агента восстановления (рис. 3). Редактируя политику (пункт Edit в контекстном меню, далее Policies —> Windows Settings —> Security Settings —> Public Key Policies —> Encrypting File System), можно отказаться от присутствия агентов восстановления в системе или наоборот, указать более одного агента (рисунок 4).

Рисунок 3  Агент восстановления

17

Рисунок 4 Изменение агента восстановления

Задание1. Отредактируйте политику таким образом, чтобы убрать из системы

агента восстановления (удалите в политике сертификат). Выполнив команду "gpupdate /force" (меню Start—>run—> gpupdate /force) примените политику.

2. Повторив действия из предыдущих заданий, убедитесь, что теперь только тот пользователь, который зашифровал файл, может его расшифровать.

3. Теперь вернем в систему агента восстановления, но будем использовать новый сертификат. В редакторе политик находим политику Encrypting File System и в контекстном меню выбираем Create Data Recovery Agent. Это приведет к тому, что пользователь Administrator получит новый сертификат и с этого момента сможет восстанавливать шифруемые файлы.

Теперь рассмотрим, как можно предоставить доступ к зашифрованному файлу более чем одному пользователю. Такая настройка возможна, но делается она для каждого файла в отдельности.

В свойствах зашифрованного файла откроем окно с дополнительными параметрами, аналогичное представленному на рисунке 1 для папки. Если нажать кнопку Details, будут выведены подробности относительно того, кто может получить доступ к файлу. На рисунке 5 видно, что в данный момент это пользователь User1 и агент восстановления Administrator. Нажав кнопку Add можно указать сертификаты других пользователей, которым предоставляется доступ к файлу.

18

Рисунок 5 Данные о пользователях, которые могут расшифровать файл

ЗаданиеЗашифруйте файл. Предоставьте другому пользователю, не являющемуся

агентом восстановления, возможность также расшифровать данный файл. Проверьте работу выполненных настроек.

19

Практическая работа №4 Хеширование, хэш-таблицы

Цель работы: научиться создавать алгоритм быстрого поиска элементов множества путем создания оптимальной хеш-функции.

Теоретические сведенияПри работе с алгоритмами обработки данных первоочередной становится

задача организации структуры данных с минимальным временем доступа к отдельному элементу. К сожалению, в большинстве известных нам структур данных время выполнения задачи поиска линейно зависит от количества элементов. На больших массивах данных, использовать такую структуру становится невозможно. Для решения этой проблемы используют механизм хеширования, позволяющий ускорить доступ к данным за счёт первичного частичного упорядочивания.

Хеш-функцииХэш-функцией называется такой оператор над данными, который отражает

бесконечный диапазон области допустимых значений функции во вполне определённый конечный диапазон.

Примером простой хеш-функции для диапазона целых чисел является операция взятия остатка от деления.

Например:В году 365 дней. Применив операцию взятия остатка от деления на 7,

получим день недели - только один из семи.Особенностью хеш-функций является практически невозможная или очень

трудная обратимость. То есть, получить хеш из числа очень легко и быстро, но получить число из хеша очень трудно, или практически невозможно. Если представить это на графике, то одному значению абсциссы соответствует одно значение ординаты, но одному значению ординаты соответствует несколько значений абсциссы. Благодаря этой особенности хеш широко применяется в системах защиты от несанкционированного доступа. В большинстве операционных систем пароль с профилем пользователя не хранится - хранится только его хеш. Таким образом, даже получив доступ к системе, пароли узнать невозможно или очень сложно.

При описании хеш-функции, использующейся в системах упорядоченного хранения элементов, необходимо следовать следующим правилам:

1. время работы функции должно стремиться к минимуму;2. время работы функции не должно зависеть или может слабо зависеть от

элемента;3. функция должна возвращать значение сегмента, в который необходимо

поместить элемент;4. независимо от статистического распределения элементов области

допустимых значений (ОДЗ) функции, значения функции должны распределяться равномерно по всему диапазону выходных значений;

5. при организации сложной структуры хранения данных функция должна подразумевать дополнительный параметр – глубину конкретизации (при последовательном уточнении данных для поиска функция работает не с начала массива данных, а в пределах уже уточнённого сегмента).

20

Хеш-таблицыДля хранения данных используют хеш-таблицы - структуры данных,

основанные на упорядочивании данных в соответствии со значением их хеша.Открытая хеш-таблица из В сегментов позволяет разместить

неограниченное количество элементов, ограничивая значение хеш-функции от 0 до В-1.

…

Открытая хеш-таблица обеспечивает сокращение времени поиска в лучшем случае в В раз, при условии вычисления хеш-значения. Внутри списков значения хранятся неупорядоченными.

Закрытая хеш-таблица из В сегментов позволяет разместить не более В значений и организуется в виде статического массива. Данные в массив помещаются в соответствии со значением хеш-функции. Если ячейка уже занята, вступает в действие алгоритм разрешения конфликтных ситуаций. В простейшем случае занимается следующая свободная ячейка, а в более сложном – значение ячейки вычисляется по формулам.

Пример 19.1. Построение открытой хеш-таблицы:#define B 50int h (int x){

return x%B;}

void main (){

vector<int> d[B];int x;for(int I=0; I<1000; I++)

{x=rand();d[h(x)].push_back(x);

};cin>>x;if (find(d[h(x)].begin(), d[h(x)].end(), x)!=NULL) cout <<"present";

else cout<<"absence";}

21

0

B-1

Список элементов со значением хеш = 0

Список элементов со значением хеш = 1

Список элементов со значением хеш = 2

Список элементов со значением хеш = В-1

2

1

Контрольные вопросы1. Что такое хеш-функция и с какой целью она используются?2. Чем отличается открытая хеш-таблица от закрытой хеш-таблицы?3. Какие существуют методы разрешения конфликтных ситуаций в

закрытой хеш-таблице?

Порядок выполнения лабораторной работы1. На лабораторной работе набрать текст программы и отладить ее.2. Показать результат работы программы преподавателю.3. Защитить лабораторную работу.

Требования к отчетуОтчет должен содержать:1. конспект теоретической части;2. лабораторное задание;3. порядок выполнения лабораторной работы;4. результаты выполнения программ.

Варианты заданийСоздайте хеш-таблицу из элементов вашего варианта. Хеш-функция должна

стремиться к оптимальной. Определите наилучший и наихудший вариант распределения элементов.

Номерварианта

Задание

1, 15 Шестизначные номера устройств в виде 6xx1xx

2, 16 Слова русского языка3, 17 Слова английского языка4, 18 ФИО сотрудников фирмы5, 19 Целые числа6, 20 Координаты точки на плоскости в виде

(x,y)7, 21 Номера телефонов в десятизначном

формате+x (xxx) xxx-xx-xx

8, 22 Математические термины9, 23 ИНН в виде 77xxxxx54x10, 24 Номера документов в виде

3ВеххххААх11, 25 Номера автомобилей.12, 26 Названия картин13, 27 Электронный адрес вида

http://www.xxxxxxx.ru14, 28 Почтовый адрес вида

xxxxxxxx@mail.ru

22

Практическая работа 5. ЭЦП. Использование цифровых сертификатов

Цель: В ходе данной лабораторной работы мы познакомимся с некоторыми вопросами использования цифровых сертификатов.

Ход работыНачнем с их использования протоколом SSL/TSL (на самом деле это два

разных протокола, но т.к. TSL разработан на базе SSL, принцип использования сертификатов один и тот же). Этот протокол широко применяется в сети Интернет для защиты данных передаваемых между web-серверами и браузером клиента. Для аутентификации сервера в нем иcпользуется сертификат X.509.

Для примера обратимся на сайт Ситибанка (www.citibank.ru), в раздел "Мой банк", предназначенный для ведения банковских операций через Интернет.

Рисунок 1 Защищенное соединение

Префикс https в строке адреса и изображение закрытого замка справа от строки указывают, что установлено защищенное соединение. Если щелкнуть мышью по изображению замка, то увидим представленное на рисунке 1 сообщение о том, что подлинность узла с помощью сертификата подтверждает центр сертификации VeriSign. Значит, мы на самом деле обратились на сайт Ситибанка (а не подделанный нарушителями сайт) и можем безопасно вводить логин и пароль.

Выбрав "Просмотр сертификата" можно узнать подробности о получателе и издателе, другие параметры сертификата (рисунок 2).

23

Рисунок 2 Параметры сертификата

ЗаданиеПосмотрите параметры сертификата "электронной сберкассы" Сбербанка

- https://esk.sbrf.ru Опишите, кем на какой срок и для какого субъекта сертификат был выдан.

Теперь рассмотрим другой вариант - мы подключаемся по SSL к web-серверу, а браузер не может проверить его подлинность. Подобная ситуация произошла при подключении в раздел Интернет-обслуживания Санкт-Петербургского филиала оператора мобильной связи Tele2 - https://www.selfcare.tele2.ru/work.html (рисунок 3).

24

Рисунок 3 Браузер сообщает о проблеме с сертификатом

Если нажать ссылку "Продолжить открытие этого web-узла" можно будет просмотреть сертификат.

ЗаданиеРазберитесь, в чем проблема с указанным сертификатом.На всякий случай в конце описания лабораторной приведен ответ.Теперь рассмотрим, как хранятся сертификаты. Операционная система

Windows обеспечивает защищенное хранилище ключей и сертификатов. Работать с хранилищем можно используя настройку консоль управления MMC "Сертификаты".

Из меню Пуск —> Выполнить запустите консоль командой mmc. В меню Консоль выберите Добавить или удалить оснастку, а в списке оснасток выберите Сертификаты. Если будет предложен выбор (а это произойдет, если Вы работаете с правами администратора), выберите пункт "Моей учетной записи".

Таким образом, мы можем просматривать сертификаты текущего пользователя. Если ранее сертификаты не запрашивались, то в разделе "Личные сертификаты" элементов не будет.

В разделе "Доверенные корневые центры сертификации" представлен достаточно обширный список центров, чьи сертификаты поставляются вместе с операционной системой.

Найдите в нем сертификат VeriSign Class 3 Public Primary CA. Благодаря тому, что он уже был установлен, в рассмотренном в начале работы примере с подключением к системам Интернет-банкинга браузер мог подтвердить подлинность узла.

Теперь перейдем к разделу "Сертификаты, к которым нет доверия". Там находятся отозванные сертификаты. Как минимум, там будут находиться два сертификата, которые по ошибке или злому умыслу кто-то получил от имени корпорации Microsoft в центре сертификации VeriSing в 2001 году. Когда это

25

выяснилось, сертификаты отозвали (рисунок 4).

Рисунок 4 Отозванные сертификаты

Теперь рассмотрим процесс запроса сертификата. На сайте центра сертификации Thawte http://www.thawte.com можно бесплатно получить сертификат для электронной почты. Для этого в меню сайта Products выберите Free Personal E-Mail Certificates. После этого надо заполнить небольшую анкету, указав имя, фамилию, страну, предпочитаемую кодировку, адрес электронной почты (должен быть обязательно действующим), дальше - пароль и контрольные вопросы для восстановления. Когда все заполнено, на указанный адрес почты будет отправлено письмо со ссылкой для выполнения дельнейших шагов генерации ключей и двумя проверочными значениями, которые нужно ввести, перейдя по ссылке. Таким образом, подлинность и принадлежность адреса будет подтверждена.

Далее система предложит ввести адрес почты (в качестве имя пользователя) и выбранный ранее пароль. После чего можно запросить сертификат X.509. Понадобится указать тип браузера и почтового клиента (например, Internet Explorer и Outlook). После этого потребуется ответить на запросы системы, касающиеся генерации ключей (разрешить выполнение ActiveX элемента, выбрать криптопровайдер, разрешить генерацию).

После завершения этого этапа на почтовый адрес будут выслано второе письмо, подтверждающее запрос сертификата. А спустя некоторое время - третье, со ссылкой для получения сертификата.

Пройдя по ссылке, надо будет снова ввести имя и пароль и на странице нажать кнопку "Install Your Cert" и согласиться с добавлением сертификата.

В результате в оснастке Сертификаты появится личный сертификат выпущенный издателем Thawte Personal Freemail Issuing CA для субъекта Thawte Freemail Member с указанным вами адресом почты (рисунок 5).

Если использовать сертификат для защиты почты, дальнейшая настройка зависит от почтового клиента. Если это Microsoft Outlook, можно использовать встроенную в него поддержку протокола S/MIME. В Outlook 2003 для выбора сертификата надо войти в меню Сервис —> Параметры, там выбрать вкладку Безопасность и там в параметрах шифрованной электронной почты выбрать используемый сертификат и алгоритмы (рисунок 6).

26

Рисунок 5 Полученный сертификат

Рисунок 6 Выбор сертификата для защиты почты с помощью S/MIME в Outlook

Запросите сертификат в Thawte и настройте почтовый клиент для использования S/MIME.

Ответ на задание про сертификат на сайте Tele2Проблема была в том, что сертификат "самоподписанный": он был выдан

центром сертификации www.selfcare.tele2.ru самому себе. Браузер сообщает о невозможности удостовериться в подлинности узла из-за того, что данный центр сертификации отсутствует в списке доверенных, а проверить его подлинность с помощью "вышестоящего" по иерархии центра не представляется возможным (т.к. вышестоящего центра нет).

Доверять или нет такому сертификату - каждый решает самостоятельно.

27

Практическая работа 6. Аутентификация. Управление разрешениями на файлы и папки

Цель: Данная лабораторная работа посвящена вопросам управления разрешениями на файлы и папки Windows. Правильно настроенное управление доступом к файлам позволяет избежать многих проблем, связанных с безопасностью, как на рабочей станции, так и на серверах (в особенности, выполняющих роль файлового сервера).

Ход работы:Начнем с небольшого теоретического обзора.Пользователи (как доменные, так и локальные), группы пользователей и

компьютеры (далее будем называть их всех субъектами) имеют уникальные идентификаторы безопасности - SID. Под этим идентификатором система и "знает" субъекта. SID имеет уникальное значение в пределах домена и формируется во время создания пользователя или группы, либо когда компьютер регистрируется в домене.

Когда пользователь при входе в систему вводит имя и пароль, ОС выполняет проверку правильности пароля и, если пароль правильный, создает маркер доступа для пользователя. Маркер включает в себя SID пользователя и все SID'ы групп, в которые данный пользователь входит.

Для объектов подлежащих защите (таких как файлы, папки, реестр Windows) создается дескриптор безопасности. С ним связывается список управления доступом (Access Control List - ACL), который содержит информацию о том, каким субъектам даны те или иные права на доступ к данному объекту. Чтобы определить, можно ли предоставить запрашиваемый субъектом тип доступа к объекту, ОС сравнивает SID в маркере доступа субъекта с SID, содержащимися в ACL.

Разрешения суммируются, при этом запрещения являются более приоритетными, чем разрешения. Например, если у пользователя есть разрешение на чтение файла, а у группы, в которую он входит - на запись, то в результате пользователь сможет и читать, и записывать. Если у пользователя есть разрешение на чтение, а группе, в которую он входит, чтение запрещено, то пользователь не сможет прочитать файл.

Если говорить о файлах и папках, то механизмы защиты на уровне файловой системы поддерживаются только на дисках с файловой системой NTFS. Файловая система FAT (и ее разновидность - FAT32) не предполагает возможности хранения ACL, связанного с файлом.

Теперь перейдем к практической части работы. Выполняться она будет на компьютере с операционной системой Windows Server 2008, входящем в домен. Для выполнения работы понадобятся две учетные записи - администратора (далее будем называть его Administrator) и пользователя, не входящего в группу администраторов (будем называть его TestUser). Также понадобится тестовая группа (TestGroup). Все группы и учетные записи доменные, поэтому управление ими будем производить с помощью оснастки Active Directory Users and Computers.

28

Начнем с того, что работая под учетной записью Administrator, создадим новую папку Test. В ее свойствах выберем вкладку Security (рисунок 1). В отличие от предыдущих версий операционных систем Windows, в Windows Vista и Windows Server 2008 на этой вкладке можно только просматривать имеющиеся разрешения. Чтобы их изменять, надо нажать кнопку Edit, что даст возможность изменять список контроля доступа к файлу (рисунок 2).

Рисунок 1 Просмотр разрешений

Рисунок 2 Изменение разрешений

ЗаданиеВыполните действия, аналогичные описанным выше. Убедитесь, что

пользователь TestUser отсутствует в списке доступа к папке, но есть в группе Users (последнее проверяется с помощью оснастки Active Directory Users and Computers, т.к. пользователь и группа доменные).

29

Выполните переключение пользователей, зайдите в систему под учетной записью TestUser, попробуйте открыть папку и создать в ней новый файл. Какие из этих действий удались? Почему ?

Снова выполните переключение пользователей. Под учетной записью Administrator добавьте в список доступа к файлу пользователя TestUser и дайте ему разрешение на изменение (modify). Пробуйте снова выполнить задание.

Как мы убедились, можно добавлять пользователей в список доступа. Теперь попробуем под учетной записью Administrator удалить группу Users. Сделать это не удастся и появится предупреждение (рисунок 3) о том, что эти разрешения наследуются от родительского объекта. Для того, чтобы отменить наследование надо на вкладке Security (рисунок 1) нажать кнопку Advanced. В появившемся окне (рисунок 4) видно, что отмечено свойство Include inheritable permissions from this object's parent. Это значит, что объект наследует родительский ACL, а в его собственный можно только добавлять разрешения или запрещения. Если нажать кнопку Edit и сбросить эту галочку будет задан вопрос, что делать с унаследованным списком - его можно скопировать (Copy) в ACL объекта или убрать (Remove). Чаще всего, чтобы не потерять нужные настройки, выполняется копирование, а потом уже список исправляется.

Рисунок 3 Предупреждение

30

Рисунок 4 Дополнительные параметры безопасностиЗаданиеУдалите группу Users из ACL для папки.Если редактировать разрешения пользователя из окна дополнительных

параметров безопасности, то увидим список разрешений, отличный от того, что был ранее (рисунок 5).

Рисунок 5 Специальные разрешения

31

Это так называемые специальные разрешения. Виденные ранее стандартные разрешения (чтение/read, запись/write и т.д.) состоят из специальных. Соответствие между ними описано на рисунке 6 (набор разрешений для папок и файлов несколько отличается, но понять какие к чему относятся можно по названиям). Более подробно с этой темой можно ознакомиться, например, по справочной системе Windows.

Рисунок 6 Соответствие между специальными и стандартными разрешениями

Как уже ранее отмечалось, при определении разрешения на доступ, учитываются разрешения и запрещения, как для самого пользователя, так и для всех групп, в которые он входит. Для того, чтобы узнать действующее (эффективное) разрешение, можно воспользоваться вкладкой Effective Permissions (рисунок 4). Там, нажав кнопку Select, можно выбрать пользователя или группу, для которой будет показано эффективное разрешение.

ЗаданиеПроверьте, чтобы у пользователя TestUser на папку, с которой работаем,

было разрешение modify. Проверьте действующее эффективное разрешение.Не заканчивая сеанса пользователя, переключитесь в сеанс пользователя

Administrator. Добавьте в список разрешений на папку запрещение для группы TestGroup всех видов доступа (выберите Deny для разрешения Full Control). Внесите пользователя TestUser в группу TestGroup. Посмотрите эффективное разрешение для пользователя TestUser.

Переключитесь в сеанс пользователя TestUser. Попробуйте открыть папку и создать документ. Завершите сеанс TestUser (выполните выход из системы) и снова войдите в систему. Повторно попробуйте открыть папку и создать документ. Как можно объяснить полученный результат (подсказка есть в начале описания лабораторной)?

Теперь рассмотрим вопросы, связанные с владением папкой или файлом. Пользователь, создавший папку или файл, становится ее владельцем. Текущего владельца объекта можно узнать, если в окне дополнительных параметров безопасности (рисунок 4) выбрать вкладку Owner.

Владелец файла может изменять разрешения на доступ к этому файлу, даже в том случае, если ему самому доступ запрещен.

Порядок смены владельца файла в Windows Server 2008 отличается от 32

того, что было в предыдущих версиях ОС. Ранее, администратор или пользователь, имеющий на файл (папку) право Take Ownership могли стать владельцами файла. Причем, владельцем мог быть или конкретный пользователь, или группа Администраторы (Adminisrators) - другую группу владельцем было не назначить.

В Windows Server 2008 администратор (или член группы администраторов) может не только сам стать владельцем, но и передать право владения произвольному пользователю или группе. Но эта операция рассматривается как привилегированная, и доступна не всякому пользователю, имеющему право на файл.

На рисунке 7 показано, что Администратор сделал владельцем папки Test группу TestGroup.

Рисунок 7 Смена владельца объекта

ЗаданиеВыполните передачу права владения группе TestGroup, куда входит

пользователь TestUser. Зайдя под этой учетной записью, измените разрешения так, чтобы TestUser смог работать с папкой.

Рисунок 8 Разрешения на общую папку

33

При использовании компьютера с Windows Server 2008 в качестве файлового сервера, важно учитывать, что на предоставляемые в общий доступ папки, отдельно устанавливаются разрешения, регулирующие доступ к ним по сети. Сделать это можно в свойствах папки на вкладке Sharing (рисунок 8). В этом случае, при доступе по сети действуют и разрешения на общую папку, и разрешения NTFS. В результате получаем наиболее строгие ограничения. Например, если на общую папку установлено "только чтение", а в разрешениях NTFS - "изменение", то в итоге, подключающийся по сети пользователь сможет только читать файлы. А тот же пользователь при локальном доступе получает право на изменение (разрешения на общую папку влиять не будут).

34

Задачи для решения

Задача 1

Квадратная таблица размером 2005 х 2005 заполнена натуральными числами от 1 до 2005 так, что в каждой строке присутствуют все числа от 1 до 2005. Найдите сумму чисел, стоящих на диагонали, которая соединяет левый верхний и правый нижний углы таблицы, если известно, что заполнение таблицы симметрично относительно этой диагонали.

Задача 2

Зашифрование сообщения состоит в замене букв исходного текста на пары цифр в соответствии с некоторой (известной только отправителю и получателю) таблицей, в которой разным буквам алфавита соответствуют разные пары цифр. Криптоаналитику дали задание восстановить зашифрованный текст. В каком случае ему будет легче выполнить задание: если известно, что первое слово второй строки - "термометр" или что первое слово третьей строки - "ремонт"? Обоснуйте свой ответ. (Предполагается, что таблица зашифрования криптоаналитику неизвестна).

Задача 3

Для зашифрования текста использовался вращающийся диск, центр которого находится на оси, закрепленной на неподвижном основании. Диск разделен на 33 равных сектора, в которые в неизвестном порядке вписаны все буквы русского алфавита (по одной в каждый сектор). На основании, по одной напротив каждого сектора, выписаны буквы в алфавитном порядке по часовой стрелке. Каждое положение диска, получающееся из исходного поворотом на угол, кратный величине сектора, задает соответствие между буквами на диске и на основании. При зашифровании очередной буквы текста, ее заменяли соответствующей ей буквой при текущем положении диска, после чего диск поворачивался на один сектор по часовой стрелке. Докажите, что если в результате зашифрования получился текст

РЖВЦЦФШУФЁУМЙУЩЦЯЦЛМВЧЬБЯВЭЪХПЬМЕДБЙЧМПЬИМЕЕРЧСЩГШТЩЭ,

то в исходном тексте не было слова КРИПТОГРАФИЯ.

Задача 4

Сообщение, зашифрованное в пункте А шифром простой замены в алфавите из букв русского языка и знака пробела (-) между словами, передается в пункт Б отрезками по 12 символов. При передаче очередного отрезка сначала передаются символы, стоящие на четных местах в порядке возрастания их номеров, начиная со второго, а затем - символы, стоящие на нечетных местах

35

(также в порядке возрастания их номеров), начиная с первого. В пункте B полученное шифрованное сообщение дополнительно шифруется с помощью некоторого другого шифра простой замены в том же алфавите, а затем таким же образом, как и из пункта А, передается в пункт В. По перехваченным в пункте В отрезкам:

С О - Г Ж Т П Н Б Л Ж О

Р С Т К Д К С П Х Е У Б

- Е - П Ф П У Б - Ю О Б

С П - Е О К Ж У У Л Ж Л

С М Ц Х Б Э К Г О Щ П Ы

У Л К Л - И К Н Т Л Ж Г

восстановите исходное сообщение, зная, что в одном из переданных отрезков зашифровано слово КРИПТОГРАФИЯ.

Задача 5

а)

Для передачи информации от резидента Гарриваса в Нагонии только что внедренному разведчику был установлен следующий порядок: все сообщения резидента определены заранее и пронумерованы числами 1, 2, 3,... . Разведчик, обладающий феноменальной памятью, полностью запомнил соответствие между сообщениями и их номерами. Теперь для того, чтобы передать информацию разведчику, достаточно было сообщить ему лишь соответствующее число. Для передачи числа в условленном месте оставлялась равная этому числу денежная сумма. На момент разработки операции в Нагонии имели хождение денежные купюры достоинством 1, 3, 7 и 10 бут (бут - денежная единица Нагонии). Однако в результате денежной реформы купюры достоинством 1 и 3 бут были изъяты из обращения. Выясните, начиная с какого номера можно передать разведчику любое сообщение, пользуясь только оставшимися в обращении купюрами.

б)

Пусть имеются в наличии купюры достоинством a и b бут, где НОД(a, b) = 1. Начиная с какого номера можно передавать разведчику любое сообщение, пользуясь только купюрами названного достоинства?

36

Задача 6

Вам пришло зашифрованное сообщение:

ЫЛЧУЩЗКГУВ

Найдите исходное сообщение, если известно, что шифрпреобразование заключалось в следующем.

Пусть x1, x2 - корни трехчлена x2+3x+1. К порядковому номеру каждой буквы в стандартном русском алфавите (33 буквы) прибавлялось значение многочлена f(x)=x6+3x5+x4+x3+4x2+4x+4, вычисленное либо при x=x1, либо при x=x2 (в неизвестном нам порядке), а затем полученное число заменялось соответствующей ему буквой.

Задача 7

На каждой из трех осей установлено по одной вращающейся шестеренке и неподвижной стрелке. Шестеренки соединены последовательно. На первой шестеренке 33 зубца, на второй - 10, на третьей - 7. На каждом зубце первой шестеренки по часовой стрелке написано по одной букве русского языка в алфавитном порядке:

А Б В Г Д Е Ё Ж З И Й К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Ъ Ы Ь Э Ю Я

На зубцах второй и третьей шестеренки в порядке возрастания по часовой стрелке написаны цифры от 0 до 9 и от 0 до 6 соответственно. Когда стрелка первой оси указывает на букву, стрелки двух других осей указывают на цифры.

Буквы сообщения шифруются последовательно. Зашифрование производится вращением первой шестеренки против часовой стрелки до первого попадания шифруемой буквы под стрелку. В этот момент последовательно выписываются цифры, на которые указывают вторая и третья стрелки. В начале шифрования стрелка 1-го колеса указывала на букву А, а стрелки 2-го и 3-го колес - на цифру 0.

а) зашифруйте слово ОЛИМПИАДА

б) расшифруйте сообщение 0381717491847501.

Задача 8

а) Установите, возможно ли создать такую проводную телефонную сеть связи, состоящую из 2005 абонентов, каждый из которых был бы связан ровно с 997 другими?

37

б) Пусть в этой сети N абонентов, каждый из которых должен быть связан ровно с K другими. Найти все возможные наборы (N, K) и описать способ построения таких сетей.

Задача 9

Текст

ЦЗЩИОНФЛЦЩРИОПЖЩЭЩХЖНФЛТЪЙ

ЗНЛУФ_АЩЛЗПИАЗНЭПЬОИВЛОПАЛ

АПАЛТЪЙЗЛЖФЛЦЗВХФОЛХПИОЩОН

ЛЪИЦЩУДЁЩЭПЖЪВЛЗПЁУЪХЖНШЛИ

ЪЮЭЩУЩЭЛЭЛЩОАЗНОЩЮЛОФАИОФ.

получен из исходного текста шифром простой замены. А текст

ЯАЧЕЕТВТВРАКНОО_ЛТКЛЛОРСТА

РИФШЫ_ПС_ЫЗХО_ЫКЫК_ОВОТЕНЕ

ЛСЯДЫП_ЧРВПСАК_ЕЗ_СГРМАОТН

СВ_ЕПР_Н_КТСЫОРААИТОООТИК_

ТРИ_НО_ТЧЧЬЫШВЮ_ФАИ_МЕИСЯ.

получен из исходного простым перестановочным шифром. Найти исходное сообщение.

38

Вопросы и задания к зачету по предмету «Криптографическая защита информации»

1. Что такое криптология?2. Что такое ключ?3. Определите понятие «криптологический алгоритм».4. Какие функции выполняет криптологический протокол?5. Что из себя представляет криптосистема?6. Дайте определение стойкости криптосистемы.7. Какие основные типы криптосистем вы знаете?8. Дайте общее определение цифровой подписи.9. Объясните суть преобразований — перестановка и замена.10. Приведите пример табличной перестановки с использованием

ключевого слова.11. Что из себя представляет система шифрования с использованием

таблицы Вижинера?12. Что из себя представляет система шифрования Вернама? Укажите ее

особенности.13. Что из себя представляет симметричная криптографическая система?14. Что из себя представляет блочная симметричная криптографическая

система?15. Объясните, что такое композиционный блочный шифр и итерационный

блочный шифр.16. Угрозы, уязвимости и атаки в сетях17. Методы и средства защиты информации18. Классификация алгоритмов шифрования19. Симметричные алгоритмы20. Объясните суть алгоритма DES и укажите на его особенности.21. В каких режимах может работать алгоритм DES?22. Дайте описание отечественного алгоритма криптографического

преобразования данных (ГОСТ 28147—90) и его отличительных особенностей.23. Какие режимы имеет отечественный алгоритм криптографического

преобразования данных (ГОСТ 28147—90)?24. Чем отличаются поточные симметричные криптографические системы?25. Какими характеристиками оценивается стойкость криптографических

систем?26. Что подразумевается под понятием «вычислительная сложность

алгоритма»?27. Для каких целей применяются случайные последовательности и

простые числа в криптографии?28. Алгоритмы обмена ключами29. Хеш-функции. Хеширование30. Чем характеризуются односторонние функции с секретом?31. Чем отличается криптографическая система с открытым ключом?32. В чем заключается суть электронной цифровой подписи?33. Как проверяется целостность сообщения?34. Чем отличаются поточные симметричные криптографические системы?

39

35. Какими характеристиками оценивается стойкость криптографических систем?

36. Что подразумевается под понятием «вычислительная сложность алгоритма»?

37. Идентификация и аутентификация. Протоколы аутентификации38. Парольная аутентификация. Примеры реализации протоколов.

Задания для дешифровки текстов, зашифрованных методами перестановки

1. Изречение немецкого философа Фридриха Ницше:ОЬТСО НЙАЧУ ЛСВТЯ РЕВЕН ИЛЕТИ ДЕБОП

2. Изречение немецкого ученого-гуманиста Эразма Роттердамского:ЙЫТЫР КСТНА ЛАТЕН ТЕАДЗ ОСИИЦ АТУПЕ РОООО

3. Изречение чешского писателя Карела Чапека:ЕЛЙГС АМОЛТ ЕМИЬР УНСЕО ЕАПОМ МОООП МОЖОЕ ОЕКШО ШРАОЬ АЙОСЙ ДОДНДР ОЕЕУО

4. Изречение польского писателя-фантаста Станислава Лема:ТОУМА МЕЖЕЧ ЫАООО ОММГЗ ЕСНМЕ ДЕООО ЧЫАОД НЛОТМ УМООО ТДЕРО ЕОЧОМ МОООО

5. Изречение датского ученого-физика Нильса Бора:ТПРРО УСЕБД ООДИН ОБЖВЛ ООЕЕУ ИОЧОЕ НАДЮ ЩНЬЕУ ОТДБУ

6. Изречение французского философа Жана-Поля Сартра:ИНККО ОТСОЧ ЯЧПОТ ЕАРЕЯ ОЛНЕА АЕМТК ОНСТШ

7. Изречение американского писателя Джона Стейнбека:АРЕНО ЫЕТМО ЕЖОИБ ЕДДЖЙ ЯПТВС ОДОКМ ПСИОЖ ОЙЛГО ОИЕНТ

40

2. Программно-аппаратная защита информации

Практическая работа№1 Менеджер паролей RoboForm. Сохранение информации для входа на сайты, в Пасскарты и их использование

Пасскарта - это комбинация адреса страницы (URL) с формой входа, имени пользователя и пароля, которые используются для автоматического входа на сайт.

Откройте новую вкладку браузера, чтобы иметь возможность вернуться к этим инструкциям в случае необходимости.

Панель инструментов(тулбар) RoboForm должна быть видна в браузере, как было указано выше.

Использование ПасскартПосле установки на компьютер RoboForm предложит создать Главный Пароль, который будет использован для защиты Пасскарт и другой сохраняемой информации.

Примечание: Главный Пароль - это единственный пароль, который Вам нужно будет запомнить. С этого момента все остальные пароли будет запоминать RoboForm.

Для создания Пасскарты с данными для входа на сайт просто перейдите на сайт, для входа на который требуется ввести имя пользователя и пароль.

Введите имя пользователя и пароль и нажмите кнопку Вход. Появится диалоговое окно АвтоСохранения, где Вам будет предложено

сохранить введённую информацию в Пасскарту. Нажмите кнопку Сохранить и Ваша Пасскарта готова.В качестве имени Пасскарты будет предложено сокращенное доменное

имя. Вы можете переименовать Пасскарту в любое время. Например: www.yahoo.com

Вход на сайт одним нажатием кнопки Нажмите кнопку Логины на панели инструментов RoboForm. Вам будет

показан список всех ваших Пасскарт. Выберите Пасскарту, и RoboForm сам выполнит всю последовательность

действий по входу на сайт:

41

Заполнение формы авторизации (логин+пароль) из Пасскарты. В случае если Вы перешли на сайт, для которого уже сохранена

Пасскарта, на панели инструментов RoboForm Вы увидите имя этой Пасскарты.

Нажмите на кнопку с именем Пасскарты, чтобы заполнить из неё форму авторизации. Например: www.yahoo.com

Тестовая/Обучающая страница: Заполнение регистрационной формы из Персоны.

Нажмите кнопку Новая Персона в панели инструментов RoboForm, чтобы настроить вашу Персону, из которой будут в дальнейшем заполняться формы.

Введите только те данные, которые RoboForm должен использовать при заполнении форм. Заполнять все поля Персоны не обязательно.

После ввода данных нажмите кнопку Сохранить и Закрыть в Редакторе Персон.

Нажмите кнопку с названием <Вашей Персоны> на тулбаре, и RoboForm заполнит форму данными из Персоны.

Чтобы изменить Персону (данные, используемые при заполнении форм), наведите указатель мыши на кнопку с Персоной и в появившемся мини-диалоге нажмите кнопку Ред (редактировать).

ЗаметкиИспользуйте Заметки для хранения данных, которые не могут быть

автоматически сохранены из веб-страниц. Примеры такой информации:Пароли кредитных карт, Пароли для удаленного доступа. 1. Редактор Заметок. Просмотр и редактирование Заметок осуществляется в Редакторе

Заметок. Чтобы открыть его, нажмите на иконку RoboForm в панели инструментов

и выберите Заметки -> Редактор. Или нажмите кнопку Заметки на Тулбаре RoboForm и выберите

"Редактор".

42

2. Как сделать кнопку Заметок видимой в Панели инструментов. Чтобы сделать кнопку Заметок видимой в Панели инструментов

RoboForm, щелкните правой кнопкой мыши на Панели инструментов RoboForm и вызовите команду "Настроить панель инструментов" из появившегося меню. Переместите кнопку "Заметки" из списка "Имеющиеся кнопки" в список "Панель инструментов". Нажмите кнопку Закрыть.

3. Создание новой Заметки.Выберите команду меню Заметка -> Создать в Редакторе Заметок.Или выберите RoboForm -> Заметки -> Создать в Панели инструментов

RoboForm. Или нажмите на иконку RoboForm в системной панели Windows и выберите Заметки -> Создать.

Для создания новой заметки с помещением в нее текущего содержимого буфера обмена:

Выберите RoboForm -> Заметки -> Вставить в новую в Панели инструментов RoboForm.

Или нажмите на иконку RoboForm в системной панели Windows и выберите Заметки -> Вставить в новую.

Далее: Главный Пароль

Если у других пользователей есть доступ к Вашему компьютеру, и Вы не хотите, чтобы они просматривали или использовали Ваши Пасскарты или Персоны, Вам следует защитить их паролем.

1. Защита Главным Паролем.Новые Пасскарты, Персоны и Заметки защищаются при создании, если

Вы задали Главный пароль при инсталляции RoboForm. Мы настоятельно рекомендуем защищать паролем Персоны и Пасскарты, содержащие важную информацию (логины, пароли или номера кредитных карт). Вы можете отключить в RoboForm защиту паролем новых Пасскарт (Персон, Заметок) в разделе Безопасность Параметров RoboForm.

43

2. Просмотр и изменение статуса защиты паролем Персон и Пасскарт. Чтобы проверить, защищена ли паролем Пасскарта (Персона), откройте ее в Редакторе. Если иконка Замок закрыта и выделена желтым цветом и текст на кнопке "Защищена", значит эта Пасскарта (Персона) защищена паролем. Если иконка голубая, замок открыт и текст на кнопке "Не защищена", значит защита не установлена.

Чтобы переключить режим защиты Пасскарты (Персоны), нажмите на иконку Замок в Редакторе или выберите в меню Редактора Правка -> Защитить / Снять защиту. RoboForm запросит Главный пароль, если он не был введен ранее, Пасскарта (Персона) будет защищена Главным паролем.

3. Защита паролем новых файлов.При первой установке RoboForm предлагает Вам создать новый Главный

Пароль. Все вновь создаваемые файлы RoboForm будут автоматически защищаться Главным Паролем, если Главный пароль создан и в RoboForm -> Параметры -> Безопасность установлены опции Защищать паролем новые Пасскарты/ Персоны/ Заметки. Мы настоятельно рекомендуем защищать файлы, содержащие важные данные, такие как имена пользователей, пароли, номера кредитных карт, паспортные данные.

4. Кэширование паролей.При вводе Главного пароля (или любого другого пароля), он кэшируется

в памяти. Таким образом, у Вас нет необходимости вводить его снова и снова. Пароль остается в кэше все время пока RoboForm находится в памяти.

Когда RoboForm хранит в памяти какие-либо пароли, иконка Тулбара и иконка в системной панели Windows превращаются в стилизованного робота в очках. Когда в памяти нет паролей, робот на иконке изображен без очков.

Вы можете очистить память RoboForm от паролей следующим образом: выберите на Тулбаре RoboForm -> Выйти или нажмите на кнопку Выйти в Редакторе.

5. Автовыгрузка паролей.Вы можете настроить RoboForm на автоматическую выгрузку паролей из

памяти после определенного периода отсутствия активности. Вы можете задать длительность этого периода следующим образом: "RoboForm -> Параметры -> Безопасность -> Забыть пароли через столько минут". Иконка RoboForm в системной панели должна быть включена, поскольку она является агентом, нажимающим за Вас кнопку "Выйти".

По умолчанию он установлен на 120 минут. Если Вы установите значение на ноль, пароль будет выгружаться через 15 секунд. Пароль не может

44

выгружаться через ноль секунд, потому что в этом случае функции "Идти и заполнить" и "Идти" не будут успевать выполняться (Главный пароль будет забыт так быстро, что к тому времени, когда он понадобится данным командам, он уже будет выгружен из памяти).

Автовыгрузка пароля работает только в том случае, если включены Тулбар или иконка RoboForm в системной панели Windows. Если они отключены, Автовыгрузка не будет работать.

Поле поискаПоле поиска расположено на панели инструментов RoboForm между

кнопками RoboForm и Логины. Начните печатать слово или предложение, и RoboForm покажет Вам, где

может быть осуществлен поиск. При нажатии ENTER будет выбран первый вариант из списка. Используйте клавиши-стрелки или мышь для выбора других вариантов из списка.

Действие по умолчанию. При выборе в списке Поля поиска выполняется действие по умолчанию:

- Для Пасскарт - Логин,- Для Закладок - Идти,- Для Заметок - Редактировать,- Для Персон - Заполнить Формы,- Для Контактов - Редактировать.- Для поисковых машин и Поисковых Карт - Поиск. Альтернативные действия при щелчке правой кнопкой мыши.Щелкните правой кнопкой мыши в поле поиска и выберите одно из

предложенных альтернативных действий, применимых к введенной строке. Пример: Вы можете выполнить команду Редактировать для Пасскарты вместо команды Логин

Поиск Пасскарт, Персон и Заметок по имени. Поле поиска показывает Пасскарты, Персоны и Заметки, имена которых содержат введенный текст. Пока введено менее 3-х символов, показываются файлы, имена которых начинаются с этих же символов, далее идёт поиск введенного текста по всему имени файлов.

Поиск в содержимом файлов RoboForm. Введите слово в Поле Поиска и выберите "Поиск 'слова' в файлах RoboForm". RoboForm будет искать введенное слово в содержимом всех файлов RoboForm.

Поисковые запросы (Yahoo - F3). Введите фразу в Поле Поиска и выберите "Поиск 'фразы' в Yahoo" или нажмите F3. RoboForm будет искать введенную фразу при помощи поисковой машины Yahoo. Вы можете добавить в список другие поисковые машины. Для этого войдите в RoboForm -> Параметры -> Поиск.

45

Дополнительные поисковые машины (Google - F6). Включите "Поиск 'текст' в Google" или любую другую поисковую машину в RoboForm -> Параметры -> Поиск. Введите фразу в Поле Поиска и выберите "Поиск 'фразы' в Google" или нажмите F6. RoboForm будет искать введенную фразу при помощи поисковой машины Google.

Переход на www.имя_страницы.com (F8). Можно включить "Переход на www.текст.com" в RoboForm -> Параметры -> Поиск. Введите слово в Поле Поиска и выберите "Переход на www.слово.com" или нажмите F8. RoboForm направит браузер на адрес www.слово.com.

Поисковые Карты - гибкая система поиска. Любая последовательность, состоящая из: 1) перехода на веб-страницу, 2) заполнения формы, 3) нажатия кнопки отправки, может быть автоматизирована с использованием Поисковых Карт, которые появились в RoboForm версии 6.7.6. Введите слово или словосочетание в Поле Поиска, выберите из списка одну из Поисковых Карт и нажмите ENTER. Введенное слово или словосочетание будет передано как аргумент в Поисковую Карту и будет выполнена вся последовательность перехода-заполнения-отправки.

Загрузка Поисковых Карт. Создание Поисковых Карт. Перейдите на веб-страницу, например на yandex.ru (если Вы хотите сделать Поисковую Карту для поиска в Yandex). Введите слово rfarg в поле поика. Удерживая нажатой ALT, нажмите кнопку Отправить/Найти, в данном примере кнопку "Найти". Появится диалог АвтоСохранения с установленным преключателем Поисковая Карта. Введите имя Поисковой Карты, например "Поиск в Яндекс". Нажмите кнопку Сохранить. Теперь, если Вы введете любое слово в Поле Поиска в списке Поля Поиска будет повляться Поиск в Яндекс как один из вариантов действий. При его выборе введенное слово будет найдено в Яндекс.

Одношаговые и трехшаговые Поисковые Карты. Если аргумент поиска появляется в URL страницы с результатами поиска, то возможна навигация непосредственно на страницу с результатами поиска. При этом запрос встраивается в URL, при переходе на который сайт осуществляет поиск. Если RoboForm находит подстроку rfarg в URL страницы с результатами поиска, он предлагает сохранить одношаговую Поисковую Карту, которая направляет браузер непосредственно на результирующий URL. Заметьте, что не все Поисковые Карты могут работать в одношаговом режиме. Например: Поисковая Карта Google Maps не может работать как одношаговая. Требуется 3 шага: переход на исходый URL, заполнение формы, отправка формы.

Поисковые Карты для автоподстановки. Если Вы хотите автоматически добавлять доменные суффиксы и перфиксы к имени домена, такие как as www.слово.com, www.слово.org, www.слово.ru, Вы можете использовать Одношаговые Поисковые Карты. Например: Вы хотите создать Поисковую Карту, которая будет направлять браузер на www.слово.ru когда Вы вводите слово. Загрузите любую Поисковую Карту для автоподстановки, например, Переход на www.arg.org из Хранилища Поисковых Карт. Откройте эту Поисковую Карту в редакторе и измените URL с www.%rfarg%.org на www.%rfarg%.ru и значение поля Подсказка на "Переход на www.%rfarg%.ru". Переименуйте эту Поисковую Карту соответствующим образом. Например WwwArgRu.

46

Выделенный текст как аргумент поиска. Выделите любой текст на веб-странице и установите фокус в Поле Поиска. Выделенный текст автоматически появится в Поле Поиска. Все, что остается сделать - это выбрать действие из списка.

Горячие клавиши. Каждой Поисковой Карте можно назначить горячую клавишу, чтобы вместо перемещения по списку возможных действий Вы могли просто нажать горячую клавишу, назначенную Поисковой Карте. Горячие клавиши назначаются в RoboForm -> Параметры -> Поиск.

Подсказки в Поисковых Картах. Вы можете изменить текст, который появляется в списке Поле Поиска для Поисковой Карты. Введите текст в поле Подсказка Поисковой Карты используя Редактор Пасскарт. %rfarg% заменяется на вводимое слово или словосочетание. Для Поисковой Карты из предыдущего примера введите Поиск '%rfarg%' в Yandex

Диалог ввода аргументов. При выборе Поисковой Карты из меню Логинов панели инструментов RoboForm показывается диалог ввода аргументов Поисковой Карты. Вы можете изменить видимые подписи для полей, используя поле Подсказка: %rfarg:-Введите email%. В этом случае подпись к полю в диалоге запроса параметров будет выглядеть как "Введите email".

Несколько аргументов. Вы можете иметь несколько аргументов в Поисковых Картах. В этом случае в Поисковой Карте имеются аргументы %rfarg1%, %rfarg2%, и так далее. При вводе значений нескольких аргументов в Поле Поиска они должны разделяться, (запятыми).

Генератор паролей генерирует случайные пароли любой длины. Эта отдельная минипрограмма, встроенная в RoboForm.

Запуск генератора паролей: Наведите указатель мыши на кнопку Генерировать в панели инструментов RoboForm; ИЛИ Выберите "RoboForm ->Инструменты->Генератор паролей" из панели инструментов RoboForm; ИЛИ Щелкните иконку RoboForm в системной панели (Systray) выберите "Инструменты->Генератор паролей".

Генерирование Пароля. Когда появится окно генератора, сразу же автоматически будет создан новый пароль. Для создания нового пароля нажмите кнопку Генерировать.

Ввод пароля в поля HTML-форм. Если окно Генератора вызвано из панели инструментов RoboForm, нажмите кнопку Заполнить. На веб-странице в браузере будут заполнены все поля паролей. Если Вам нужно заполнить только некоторые поля паролей, выделите их в форме (вместе с текстом перед ними), а затем нажмите кнопку Заполнить.

Использование созданных паролей в других приложениях. Нажмите кнопку Копировать и пароль скопируется в буфер обмена, вставьте его в любую текстовую область другого приложения. Перетащите его в любую текстовую область, которая позволяет перетаскивание (drag-and-drop).

Настройка создаваемых паролей. Вы можете изменить количество символов, набор символов и другие параметры создаваемого пароля. RoboForm показывает битовую мощность созданного пароля. Мы рекомендуем по крайней мере 64 бита. 128 гораздо надежнее, но веб-сайты зачастую не позволяют использовать длинные пароли.

47

Использование Генератора Паролей для смены паролей в учетных записях интернет. Войдите в учетную запись и перейдите в раздел смены пароля. Наведите указатель мыши на кнопку Генерировать в панели инструментов RoboForm. Нажмите Генерировать, а затем Заполнить для ввода сгенерированного пароля в форму. Если в форме имеется несколько полей для ввода паролей (например старый и новый пароль), выделите необходимые поля перед заполнением. Нажмите кнопку отправки (Submit) в форме. Выйдите из учетной записи. Перейдите обратно на страницу с формой, используя команду Идти и Заполнить для старой Пасскарты. Введите новый пароль в форму, нажав Генерировать -> Заполнить. Нажмите кнопку входа (Login) на странице. Автосохранение предложит сохранить новый пароль для сайта - сохраните его.

48

Практическая работа №2 Безопасное использование WebMoney Keeper Classic

Цель работы: Научиться работать с приложением WebMoney Keeper Classic, настройка безопасности.

Ход работы1. Выполните общие рекомендации по повышению безопасности работы на Вашем компьютере. 2. Всегда используйте самую последнюю версию WM Keeper Classic. 3. Обеспечьте наличие актуального файла ключей на сменном носителе и кода доступа к нему (если не используете E-num Storage, eToken или ruToken).

o Запомните или запишите код доступа к файлу ключей (этот код аналогичен паролю для зашифрованного архива. o код доступа знаете только Вы и если Вы забудете или потеряете его, то при нарушении работы WebMoney Keeper Classic Вам придется восстанавливать доступ к своему WMID. o Если Вы забыли код доступа и/или потеряли файл ключей, но смогли запустить кипер на каком – либо компьютере, где он проинициализирован, то можно сохранить файл ключей и установить новый код доступа. o Этот файл и код доступа к нему необходимы для инициализации WebMoney Keeper Classic.

4. Для обеспечения более высокого уровня безопасности используйте для хранения файлов ключей:

o сервис E-num, E-num Storage – это система авторизации, предоставляющая доступ к сервисам системы WebMoney посредством секретного ключа (уникального шифроблокнота), который хранится в мобильном телефоне/КПК или в устройстве биометрической идентификации (сканер отпечатков пальцев). o USB-брелок eToken. o USB-брелок Рутокен.

5. Безопасное использование программы на чужом компьютере возможно только при условии, что ключи хранятся в E-num Storage, eToken или Rutoken. 6. Включите активацию WebMoney Keeper по телефону для получения кода активации на свой сотовый телефон в виде голосового или sms-сообщения (по умолчаниию код активации приходит на ваш e-mail). 7. Включите блокировку по IP на сайте сервиса Безопасности .

o После включения блокировки кипером можно будет воспользоваться только с тех IP-адресов, которые были указаны в списке разрешенных. o Когда при включенной блокировке будет произведена попытка подключения к системе с IP-адреса, не включенного в список разрешенных, в доступе к системе будет отказано, и на email или телефон, указанный при включении блокировки, будет прислано сообщение с кодом разблокировки. o В случае с затруднениями в определении своего IP-адреса воспользуйтесь подсказкой на странице блокировка по IP.

49

o Используйте режим отправки кода разблокировки на телефон, а не на e-mail.

8. Для повышения безопасности при выполнении переводов с кошельков WM Keeper Classic включите функцию подтверждения транзакций с использованием сервиса E-num. 9. Для безопасной и комфортной работы с сайтами сервисов WebMoney выполните рекомендации по настройке вашего браузера. 10. Для контроля за состоянием WM Keeper Classic при нахождении вдали от компьютера, на котором он установлен, используйте сервис оповещений.

50

Практическая работа 3. Настройка браузера Microsoft Internet Explorer для безопасной работы

Цель работы: Научиться настраивать Microsoft Internet Explorer для безопасной работы.

Ход работы:На современном этапе развития браузерных технологий можно без труда

настроить браузер таким образом, чтобы осуществлять безопасный серфинг, не опасаясь за сохранность средств или информации на компьютере. В изложенной ниже инструкции пойдет речь о настройке браузера Microsoft Internet Explorer версии 6.0 и выше. При использовании такого же браузера версии ниже чем 6.0 настоятельно рекомендуется обновить версию браузера до 6.0 и выше. При использовании браузера другой фирмы производителя (Netscape Navigator, Opera и др.), можно предположить наличие у пользователя продвинутого уровня, и возможности без труда разобраться в защите браузера самостоятельно.

Ниже будет дана последовательность действий, которую необходимо выполнить для настройки системы безопасности браузера при работе с Webmoney Transfer:

Для корректной работы браузера с сайтами и сервисами системы WebMoney Transfer, установите сертификаты системы.

Произведите настройку общих параметров безопасности браузера, для чего выберите в браузере подменю "Свойства обозревателя..." из главного меню "Сервис". В открывшемся диалоговом окне перейдите на закладку "Дополнительно". На этой закладке в разделе "Безопасность" установите (или снимите установку в зависимости от значения галочки) следующих параметров:

БезопасностьПроверять аннулирование сертификатов издателей Проверять аннулирование сертификатов серверов (требуется

перезапуск) Проверка подписи для загруженных программ SSL 2.0 SSL 3.0 Предупреждать о недействительных сертификатах узлов Предупреждать при переадресации передаваемых форм

после установки параметров нажмите кнопку OK для закрытитя всех диалоговых окон

Далее переведите браузер на максимально защищенный уровень, для чего выберите в браузере подменю "Свойства обозревателя..." из главного меню "Сервис". В открывшемся диалоговом окне перейдите на закладку

51

"Безопасность". На этой закладке выберите из расположенных там 4-х иконок различных интернет зон - иконку "Интернет". После этого нажмите кнопку "По умолчанию" и установите бегунок "Уровень безопасности для этой зоны" (бегунок расположен в левой нижней части диалогового окна) в положение "Высокий". После этого нажмите кнопку "OK" для закрытия всех диалоговых окон.

Действиями выполненными на данном шаге производится запрет на работу в браузере любого активного содержимого, кроме HTML. Иными словами после этого шага на всех, посещаемых Вами сайтах перестанут работать ActiveX, Java, Flash и прочие технологии и таким образом будет достигнута максимальная безопасность свободного посещения Сети. А на следующем шаге будет описано как включить использование всех этих технологий обратно, но только для конкретных избранных Вами сайтов.

Выберите в браузере подменю "Свойства обозревателя..." из главного меню "Сервис". В открывшемся диалоговом окне перейдите на закладку "Безопасность". На этой закладке выберите из расположенных там 4-х иконок различных интернет зон - иконку "Надежные узлы". После этого нажмите кнопку "Узлы...". (кнопка расположена справа под иконками 4-х интернет зон) и в появившемся диалоговом окне введите все те сайты, которые необходимы в повседневной работе и к которым есть максимально доверие. Иными словами в этом списке должны быть сайты с которыми Вы работаете давно или в которых Вы уверены и на которых не может быть инфицировано заражение Вашего компьютера троянскими, вредоносными программами и т.п. Если Вы собираетесь активно работать с системой WebMoney Transfer, то в указанный список должны быть добавлены все перечисленные ниже сайты: http://*.webmoney.ru/ https://*.webmoney.ru/ http://*.wmtransfer.com/ https://*.wmtransfer.com/ http://*.oplata.info/ https://*.oplata.info/ http://*.paymer.com/ https://*.paymer.com/ http://*.telepat.ru/ https://*.telepat.ru/ http://*.exchanger.ru/ https://*.exchanger.ru/ http://*.megastock.ru/ https://*.megastock.ru/ http://*.wmkeeper.com/ https://*.wmkeeper.com/ http://*.megastock.com/ https://*.megastock.com/ https://*.wmcert.com/ http://*.publicant.ru http://*.softactivation.com https://*.softactivation.com http://*.enum.ru https://*.enum.ru http://*.capitaller.ru/ https://*.capitaller.ru/

Помните, что если на каком-то из сайтов что-то не работает, то просто добавьте этот сайт в список "Надежные узлы", так как это было описано выше.

На заключительном шаге необходимо разрешить всем сайтам из созданного списка "Надежные узлы", работу с различными технологиями типа ActiveX, Java и проч., для чего выберите в браузере подменю "Свойства обозревателя..." из главного меню "Сервис". В открывшемся

52

диалоговом окне перейдите на закладку "Безопасность". На этой закладке выберите из расположенных там 4-х иконок различных интернет зон - иконку "Надежные узлы" и нажмите кнопку "Другой...". В появившемся диалоговом окне произведите настройку следующих параметров: Элементы ActiveX и модули подключенияЗагрузка подписанных элементов ActiveX

Разрешить Загрузка не подписанных элементов ActiveX

Отключить Использование элементов ActiveX, помеченных как не безопасные

Отключить Запуск элементов ActiveX и модулей подключения

Разрешить Выполнять сценарии элементов ActiveX, помеченных как безопасные

Разрешить

Microsoft VM Java permissions

Low safety

Разное Доступ к источникам данных за пределами домена

Разрешить Разрешить метаобновление

Разрешить Отображение разнородного содержимого

Разрешить Не запрашивать сертификат клиента, когда он отсутствует или имеется только один

Запретить Перетаскивание или копирование и вставка файлов

Разрешить Установка элементов рабочего стола

Запретить Запуск программ и файлов в окне IFRAME

Разрешить Переход между кадрами через разные домены

Разрешить

53

Разрешения канала программного обеспеченияВысокий уровень безопасности

Передача незашифрованных данных формРазрешить

Устойчивость данных пользователяРазрешить

Сценарии Активные сценарии

Разрешить Разрешить операции вставки из сценария

Разрешить Выполнять сценарии приложений Java

Разрешить

Проверка подлинности пользователя Вход

Запрос имени пользователя и пароля после установки параметров нажмите кнопку OK для закрытия всех

диалоговых окон

54

Практическая работа №4 Защита папок паролем. Программа AntiLamo.

Цель: Научиться ставить защиту на папки, для предотвращения несанкционированного доступа, а также снимать её.

Ход работыОт указаний методического пособия не отступать!!! Пароль ставить

только на указанные файлы!!! Иначе выполнение лабораторной работы не будет зачтено!!!

Эта программа создана для тех, кто хочет защитить свои файлы и папки от неопытных пользователей. Её принцип заключается в том, что при входе в папку, если она заблокирована, те, кого вы не хотите допускать к своим файлам, просто - напросто попадают в Панель управления. Главное, как следует спрятать программу, (лучше всего хранить её на отдельном носителе или в скрытой папке).

Общие сведенияПрограмма АntiLamo v1.00 предназначена для ограничения доступа к

папкам

Как работать с программойа) при запуске программы вы видите список ваших папок, выбор диска,

рядом показана папка, которую вы выбрали, ниже - состояние папки.б) также вы видите 2 кнопки: Открыть доступ и Закрыть доступ.в) для выбора папки дважды щелкните по ней мышкой.г) для блокировки доступа выберите папку и нажмите Закрыть доступ

(при этом в строке состояния появится надпись Доступ закрыт). То есть папка заблокирована! При попытке войти в неё, вы попадете в Панель управления.

д) для разблокировки папки вы должны выбрать папку и нажать Открыть доступ (при этом в строке состояния появится надпись "Защита снята").

ВНИМАНИЕ! Системные папки типа Windows, Programm files не блокируются, т.к. в них находятся системные файлы и объекты, ярлыки которых расположены в меню Пуск, System Tray и т.д.

Ход работы:

1. Создайте в корневом каталоге диска С:\ папку с названием группы.2. Откройте программу AntiLamo, находящуюся на рабочем столе.3. В окне для выбора папок найдите папку с названием своей группы.4. Нажмите кнопку Закрыть доступ.5. Откройте Проводник и попробуйте открыть свою папку.6. В окне для выбора папок найдите папку с названием своей группы.7. Нажмите кнопку Открыть доступ.8. Оформите отчет в тетради, зарисуйте интерфейс программы и ответьте на

контрольные вопросы.

55

Практическая работа №5 Освоение программных средств для работы с электронными хранилищами паролей

Цель работы: изучение и освоение программных средств для работы с электронными хранилищами паролей пользователей компьютерных систем и сетей, предназначенных для решения следующих задач: генерации сложных паролей; ведения базы паролей с указанием ресурса, для доступа к которому требуется ввод данного пароля, и идентификатора пользователя («логина»); защиты базы паролей от несанкционированного доступа с помощью шифрования; выполнения других функций.

Ход работы:1. Начать сеанс работы под указанным преподавателем именем.2. Скопировать в свою индивидуальную папку на рабочей станции (внутри

папки Мои документы) папку Хранение паролей из указанного преподавателем места на сервере.

3. Открыть файл whisper.msi и установить менеджер паролей Whisper 32. После завершения установки начать работу с этой программой с помощью команды главного меню Пуск | Программы | Whisper 32, изучить и освоить основные функции этого менеджера паролей:

3.1. создание, открытие, сохранение, защита паролем, печать и экспорт списка паролей (меню File);

3.2. добавление, редактирование и удаление пароля из списка, копирование и «вырезание» пароля в буфер, вставка пароля из буфера, очистка буфера, загрузка документа по его адресу URL, просмотр комментариев (меню Edit);

3.3. управление просмотром списка паролей и другими настройками программы, запрет отображение символов паролей, блокировка работы с программой (меню View);

3.4. включить в отчет о выполнении лабораторной работы3.4.1. ответ на вопрос, как создать новый список паролей и защитить его

от несанкционированного доступа;3.4.2. ответ на вопрос, как добавить к списку новый пароль и какую

информацию следует указать при этом;3.4.3. ответ на вопрос, как сгенерировать новый пароль требуемой

сложности;3.4.4. ответ на вопрос, как скрыть символы пароля при просмотре списка

паролей, но сохранить при этом возможность ввода пароля для получения доступа к нужному ресурсу;

3.4.5. ответ на вопрос, как шифруется список паролей;3.4.6. копии экранных форм, полученных при выполнении п. 3;

3.5. завершить работу с программой Whisper 32.4. Открыть файл secureword-rus.exe, установить программу Secure Word и

начать с ней работу. Изучить и освоить выполнение основных функций программы:

56

4.1. создание и защита новой базы паролей (нового пользователя программы);

4.2. добавление, редактирование и удаление заметок (паролей) в базу;4.3. создание и удаление папки;4.4. генерация «логина» и пароля требуемой сложности;4.5. включить в отчет о лабораторной работе:

4.5.1. ответ на вопрос, как создать новую базу паролей и защитить ее от несанкционированного доступа;

4.5.2. ответ на вопрос, как добавить в базу новый пароль и какую информацию следует указать при этом;

4.5.3. ответ на вопрос, как сгенерировать новый пароль («логин») требуемой сложности;

4.5.4. ответ на вопрос, какие средства безопасности предусмотрены в программе при работе с паролями;

4.5.5. ответ на вопрос, как шифруется база паролей;4.5.6. копии экранных форм, полученных при выполнении п. 4;

4.6. завершить работу с программой Secure Word.5. Открыть файл setupmpm.exe, установить программу My Password Manager и

начать с ней работу с помощью команды главного меню Пуск | Программы | My Password Manager | My Password Manager (для перехода к русскоязычному интерфейсу можно использовать команду меню Tools | Options | Language | Russian). Изучить и освоить выполнение основных функций программы (можно использовать тестовый проект English.apm с помощью команды меню Помощь | Открыть пример):

5.1. создание, открытие, сохранение, просмотр свойств, восстановление, импорт и экспорт, защита данных проекта (меню Проект);

5.2. управление просмотром проекта и отображением символов паролей (меню Вид);

5.3. создание и удаление папок (меню Папки);5.4. добавление, редактирование и удаление учетной записи (аккаунта) в

проект, копирование и «вырезание» пароля в буфер, загрузка документа по его адресу URL (меню Аккаунт);

5.5. включить в отчет о лабораторной работе5.5.1. ответ на вопрос, как создать новый проект и защитить его от

несанкционированного доступа;5.5.2. ответ на вопрос, как добавить в проект новый пароль и какую

информацию следует указать при этом;5.5.3. ответ на вопрос, как сгенерировать новый пароль требуемой

сложности;5.5.4. ответ на вопрос, какие средства безопасности предусмотрены в

программе при работе с паролями;5.5.5. ответ на вопрос, как шифруется база паролей;5.5.6. копии экранных форм, полученных при выполнении п. 5;

5.6. завершить работу с программой My Password Manager.6. Открыть файл PINs450.exe, установить программу PINs (Secure Password

Manager) и начать с ней работу. Изучить и освоить выполнение основных функций программы:

57

6.1. создание, добавление, открытие, сохранение, импорт и экспорт, безопасное удаление парольной базы данных, установка защиты от несанкционированного доступа к парольной базе данных (меню Файл);

6.2. управление просмотром записей в парольной базе данных (меню Просмотр);

6.3. поиск записи в парольной базе данных (меню Поиск);6.4. переименование и удаление раздела, добавление, изменение,

дублирование и удаление записи в парольной базе данных (меню Изменить);

6.5. копирование пароля и имени в буфер, очистка буфера, временная блокировка доступа к базе данных, загрузка документа по его адресу URL, изменение настроек программы (меню Инструменты);

6.6. включить в отчет о лабораторной работе6.6.1. ответ на вопрос, как создать новую парольную базу данных и

защитить ее от несанкционированного доступа;6.6.2. ответ на вопрос, как добавить в базу данных новый пароль и какую

информацию следует указать при этом;6.6.3. ответ на вопрос, как сгенерировать новый пароль требуемой

сложности;6.6.4. ответ на вопрос, какие средства безопасности предусмотрены в

программе при работе с паролями;6.6.5. ответ на вопрос, как шифруется база паролей;6.6.6. копии экранных форм, полученных при выполнении п. 6;

6.7. завершить работу с программой PINs, Secure Password Manager.7. Извлечь файлы из архива pwbase.zip, с помощью программы setup.exe

установить программу Password Base и начать с ней работу (перейти к русскоязычному интерфейсу можно с помощью команды меню Options | Language | Russian). Изучить и освоить выполнение основных функций программы:

7.1. создание, открытие и сохранение парольной базы (меню Файл);7.2. добавление, редактирование, удаление и копирование записи в

парольной базе (меню Правка);7.3. изменение настроек программы, установка защиты от

несанкционированного доступа к базе паролей (меню Настройки);7.4. включить в отчет о лабораторной работе

7.4.1. ответ на вопрос, как создать новую базу паролей и защитить ее от несанкционированного доступа;

7.4.2. ответ на вопрос, как добавить в базу новый пароль и какую информацию следует указать при этом;

7.4.3. ответ на вопрос, можно ли сгенерировать новый пароль требуемой сложности;

7.4.4. ответ на вопрос, какие средства безопасности предусмотрены в программе при работе с паролями;

7.4.5. ответ на вопрос, как шифруется база паролей;7.4.6. копии экранных форм, полученных при выполнении п. 7;

7.5. завершить работу с программой Password Base.58

8. Извлечь файлы из архива pwsafe211.rar и с помощью программы pwsafe-2.11.exe установить программу Password Safe и начать с ней работу. Изучить и освоить выполнение основных функций программы:

8.1. создание, сохранение, открытие, слияние, импорт и экспорт парольной базы данных, установка защиты базы данных от несанкционированного доступа (меню File);

8.2. добавление, редактирование, удаление, переименование, поиск записи, добавление группы в парольную базу данных, копирование в буфер паролей и имен, очистка буфера (меню Edit);

8.3. управление просмотром записей в парольной базе данных (меню View);

8.4. резервное копирование и восстановление парольной базы данных, изменение настроек программы (меню Manage);

8.5. включить в отчет о лабораторной работе8.5.1. ответ на вопрос, как создать новую парольную базу данных и

защитить ее от несанкционированного доступа;8.5.2. ответ на вопрос, как добавить в парольную базу данных новый

пароль и какую информацию следует указать при этом;8.5.3. ответ на вопрос, как сгенерировать новый пароль требуемой

сложности;8.5.4. ответ на вопрос, какие средства безопасности предусмотрены в

программе при работе с паролями;8.5.5. ответ на вопрос, как шифруется парольная база данных;8.5.6. копии экранных форм, полученных при выполнении п. 8;

8.6. завершить работу с программой Password Safe.9. Извлечь файлы из архива KeePass-1.04.zip и начать работу с программой

KeePass Password Safe (файл KeePass.exe). Изучить и освоить выполнение основных функций программы:

9.1. создание, сохранение, открытие, печать, импорт и экспорт парольной базы данных, установка защиты базы данных от несанкционированного доступа, блокировка работы с программой (меню File);

9.2. добавление, редактирование, удаление, дублирование записи, добавление, изменение и удаление группы, добавление подгруппы, поиск в парольной базе данных или в ее отдельной группе, копирование пароля или имени в буфер, загрузка документа по его адресу URL (меню Edit);

9.3. управление просмотром записей в парольной базе данных (меню View);

9.4. настройка мастера создания шаблонов паролей, изменение настроек программы (меню Tools);

9.5. включить в отчет о лабораторной работе9.5.1. ответ на вопрос, как создать новую парольную базу данных и

защитить ее от несанкционированного доступа;9.5.2. ответ на вопрос, как добавить в парольную базу данных новый

пароль и какую информацию следует указать при этом;

59

9.5.3. ответ на вопрос, как сгенерировать новый пароль требуемой сложности;

9.5.4. ответ на вопрос, какие средства безопасности предусмотрены в программе при работе с паролями;

9.5.5. ответ на вопрос, как шифруется парольная база данных;9.5.6. ответ на вопрос, в каких форматах возможны импорт и экспорт

парольной базы данных;9.5.7. копии экранных форм, полученных при выполнении п. 9;

9.6. завершить работу с программой KeePass Password Safe.10. Открыть файл AiRoboForm-sarat.exe и с его помощью установить

программу RoboForm и начать работу с ней. Изучить и освоить выполнение основных функций программы, доступных с помощью пиктограммы в правом углу Панели задач или меню Пуск | Программы:

10.1. создание, редактирование, установка защиты на персональную базу данных (редактор персон);

10.2. создание и редактирование заметок (редактор заметок);10.3. генерация паролей (меню Инструменты любого редактора);10.4. включить в отчет о лабораторной работе

10.4.1. ответ на вопрос, как создать новый профиль с персональной информацией и защитить его от несанкционированного доступа;

10.4.2. ответ на вопрос, какая персональная информация может быть включена в профиль;

10.4.3. ответ на вопрос, как создать и защитить от несанкционированного доступа новую заметку;

10.4.4. ответ на вопрос, как сгенерировать новый пароль требуемой сложности;

10.4.5. ответ на вопрос, как шифруется персональная информация;10.4.6. копии экранных форм, полученных при выполнении п. 10;

10.5. завершить работу с программой RoboForm.11. Выполнить сравнительный анализ изученных при выполнении

лабораторной работы программных средств, для чего выбрать критерии сравнения (не менее 5), оценить по 5-балльной шкале выполнение каждого выбранного критерия в каждой анализируемой программе, свести результаты сравнительного анализа в таблицу и сформулировать аргументированное заключение о наиболее предпочтительной, по мнению студента, программе для личного или корпоративного использования.

12. Подготовить отчет о выполнении лабораторной работы, который должен включать в себя:

13. Предъявить отчет о выполнении лабораторной работы преподавателю. После принятия результатов работы преподавателем удалить папку Хранение паролей из индивидуальной папки студента, в которую было произведено копирование при выполнении п. 2. С помощью меню Пуск | Программы или Панели управления (функция Установка и удаление программ) удалить программы, установленные при выполнении лабораторной работы (Whisper 32, Secure Word, My Password Manager, PINs - Secure Password Manager, Password Base, Password Safe, RoboForm). Удалить все файлы, извлеченные из архива KeePass-1.04.zip.

60

14. Завершить сеанс работы.

61

Практическая работа №6 Анализ характеристик устройств аутентификации

Цель работы: изучение и сравнительный анализ характеристик различных типов устройств аутентификации, имеющихся на российском рынке: электронных идентификаторов Touch Memory (iButton); USB-ключей (токенов); смарт-карт; генераторов одноразовых паролей SecurID; генераторов одноразовых паролей SafeWord.

Ход работы:1. Начать сеанс работы под указанным преподавателем именем.2. Скопировать в свою индивидуальную папку на рабочей станции (внутри

папки Мои документы) папку Устройства аутентификации с указанного преподавателем места на сервере.

3. Открыть папку Устройства аутентификации | iButton и с помощью имеющихся в ней документов ознакомиться с назначением и характеристиками электронных идентификаторов iButton:

3.1. составом, способом подключения и условиями эксплуатации;3.2. модификациями;3.3. функциональными возможностями;3.4. ценами, производителями и поставщиками.

4. Отразить полученную информацию в строке «Электронные идентификаторы iButton» таблицы «Характеристики устройств аутентификации» со столбцами

4.1. внешний вид и размеры;4.2. интерфейс и способ подключения;4.3. состав и модификации;4.4. области применения;4.5. производители;4.6. поставщики в Российской Федерации и отпускные цены;4.7. аксессуары и цены на них.

5. При необходимости добавить в таблицу «Характеристики устройств аутентификации» несколько строк, соответствующих различным моделям iButton.

6. Закрыть папку Устройства аутентификации | iButton. Открыть папку Устройства аутентификации | eToken и повторить п.п. 3-5 для электронных ключей eToken.

7. Закрыть папку Устройства аутентификации | eToken. Открыть папку Устройства аутентификации | Ru-token и повторить п.п. 3-5 для электронных ключей ruToken.

8. Закрыть папку Устройства аутентификации | Ru-token. Открыть папку Устройства аутентификации | Смарт-карты и повторить п.п. 3-5 для смарт-карт.

62

9. Закрыть папку Устройства аутентификации | Смарт-карты. Открыть папку Устройства аутентификации | SafeWord и повторить п.п. 3-5 для генераторов одноразовых паролей SafeWord.

10. Закрыть папку Устройства аутентификации | SafeWord. Открыть папку Устройства аутентификации | SecurID и повторить п.п. 3-5 для генераторов одноразовых паролей SecurID.

11. Закрыть папку Устройства аутентификации | SecurID. Открыть папку Устройства аутентификации | Домашние пользователи и с помощью имеющихся в ней документов ознакомиться с методами защиты конфиденциальной информации пользователей сети Интернет при помощи устройств аутентификации. Добавить полученную информацию в соответствующие места таблицы «Характеристики устройств аутентификации».

12. На основе полученной информации и характеристик известной студенту организации (например, той, в которой он работает или учится) подготовить аргументированные предложения по использованию в этой организации устройств аутентификации. Эти предложения должны содержать:

12.1. обоснование необходимости использования устройств аутентификации вообще (определение существующих угроз безопасности, которые не могут быть устранены применяющимися в организации методами и средствами) и устройств выбранного типа в частности;

12.2. определение круга лиц, которым должны выдаваться устройства;12.3. определение функций, для которых будут использоваться устройства;12.4. оценка затрат на приобретение необходимого количества устройств.

13. Подготовить отчет о выполнении лабораторной работы, который должен включать в себя:

13.1. титульный лист с названиями университета, факультета, кафедры, учебной дисциплины, номером и названием лабораторной работы, номером варианта, фамилиями и инициалами студента и преподавателя, города и года выполнения работы;

13.2. таблицу «Характеристики устройств аутентификации» (п.п. 3-11 задания):

13.3. предложения по использованию в выбранной студентом организации устройств аутентификации (п. 12 задания).

14. Предъявить отчет о выполнении лабораторной работы преподавателю. После принятия результатов работы преподавателем удалить папку Устройства аутентификации из индивидуальной папки студента, в которую было произведено копирование при выполнении п. 2

15. Завершить сеанс работы.

63

Практическая работа №7 Освоение программных средств для работы с сертификатами открытых ключей

Цель работы: изучение и освоение программных средств для работы с сертификатами открытых ключей, предназначенных для решения следующих задач: создание сертификатов; создание списка доверенных сертификатов; вычисление и проверка электронной цифровой подписи; управление сертификатами; запрос и получение сертификатов в удостоверяющем центре; запрос и получение списка отозванных сертификатов.

Ход работы:1. Начать сеанс работы под указанным преподавателем именем. Если не

установлен пакет утилит Microsoft.NET Framework SDK (в меню Пуск | Программы отсутствует соответствующий пункт), установить этот пакет с помощью программы setup.exe, находящейся в указанном преподавателем месте на сервере (дополнительно после установки скопировать файл makeCtl.exe с сервера в папку c:\Program Files\ Microsoft.NET\SDK\v1.1\Bin на локальном компьютере). Для вызова утилит командной строки использовать командную строку Windows (Пуск | Программы | Стандартные | Командная строка). Для перехода в нужный каталог использовать команду cd C:\PROGRA~1\Microsoft.NET\SDK\v1.1\Bin. Для завершения работы в режиме командной строки использовать команду exit.

2. Скопировать в свою индивидуальную папку на рабочей станции (внутри папки Мои документы) документ Microsoft Word «СИСТЕМНЫЕ ПРОГРАММЫ ДЛЯ РАБОТЫ С СЕРТИФИКАТАМИ» с указанного преподавателем места на сервере.

3. Открыть скопированный в п. 2 документ и ознакомиться с его разделом 1 «Создание сертификатов»:

4. С помощью утилиты командной строки MakeCert выполнить следующее:4.1. выполнить приведенные в разделе 1 примеры использования утилиты;4.2. создать секретный ключ ЭЦП и сертификат, подписанный

удостоверяющим центром по умолчанию, поместив их в файлы с расширениями соответственно pvk и cer, имена которых соответствуют записанным латиницей инициалам студента (3 символа) в сцеплении с порядковым номером созданного сертификата (начиная с 1);

4.3. повторить п. 4.2 для создания секретных ключей обмена, а также ЭЦП и обмена (имена файлов при этом будут заканчиваться соответственно 2 и 3);

4.4. повторить п. 4.2, но поместить созданные секретный ключ и сертификат в хранилище сертификатов по умолчанию;

4.5. повторить п. 4.2, но поместить секретный ключ и сертификат в хранилище сертификатов My;

64

4.6. с помощью созданных в п. 4.5 секретного ключа и сертификата создать и удостоверить новый сертификат, поместив его в хранилище TrustedPeople;

4.7. создать секретный ключ и самоподписанный сертификат, поместив их в хранилище CA;

4.8. с помощью созданных в п. 4.7 секретного ключа и сертификата создать и удостоверить новый сертификат, поместив его в хранилище TrustedPeople;

4.9. включить в отчет о лабораторной работе4.9.1. сведения о назначении и основных функциях утилиты MakeCert;4.9.2. протокол работы в режиме командной строки, полученный при

выполнении п.п. 4.1-4.8 (с помощью буфера обмена).5. С помощью утилиты из состава пакета Microsoft Office SelfCert (в версии

Microsoft Office 2003 вызов этой программы возможен через меню Пуск | Microsoft Office | Средства Microsoft Office | Цифровой сертификат для проектов VBA) выполнить следующее:

5.1. создать самоподписанный сертификат для субъекта с именем, совпадающим с фамилией и инициалами студента;

5.2. включить в отчет о лабораторной работе5.2.1. сведения о хранилище сертификатов, в которое помещается

самоподписанный сертификат;5.2.2. копии экранных форм, полученных при выполнении п. 5.1.

6. Ознакомиться с разделом 2 «Создание списка доверенных сертификатов» скопированного в п. 2 документа.

7. С помощью мастера списка доверия сертификатов, автоматически активизируемого при вызове утилиты командной строки MakeCTL без параметров, выполнить следующее:

7.1. создать файл со списком доверенных сертификатов, созданных при выполнении п.п.4-5 и предназначенных для подписывания кода;

7.2. создать другой файл со списком доверенных сертификатов, созданных при выполнении п.п. 4-5 и предназначенных для шифрования файлов;

7.3. включить в отчет о лабораторной работе7.3.1. сведения о назначении, способах получения и хранения списков

отозванных сертификатов;7.3.2. копии экранных форм, полученных при выполнении п. 7.

8. Ознакомиться с разделом 3 «Вычисление и проверка электронной цифровой подписи» скопированного в п. 2 документа.

9. С помощью мастера создания электронной цифровой подписи (ЭЦП), автоматически активизируемого при вызове утилиты командной строки SignCode без параметров, выполнить следующее:

9.1. вычислить ЭЦП для файлов со списками доверенных сертификатов, созданных при выполнении п.п. 7.1-7.2, с помощью секретного ключа и сертификата, созданных при выполнении п. 4.2;

9.2. вычислить ЭЦП для файлов с произвольными (несистемными) программой и библиотекой (DLL), с помощью секретного ключа и самоподписанного сертификата, созданных при выполнении п. 5.1;

9.3. включить в отчет о лабораторной работе65

9.3.1. сведения о назначении и способах получения ЭЦП;9.3.2. ответ на вопрос, какие возможности утилиты SignCode не

поддерживаются мастером создания электронной цифровой подписи;

9.3.3. ответ на вопрос, под файлами каких типов может быть вычислена ЭЦП с помощью утилиты SignCode;

9.3.4. копии экранных форм, полученных при выполнении п.9.10. Освоить средства проверки ЭЦП под файлами различных типов:

10.1. получить сведения о правильности ЭЦП и составе списков доверенных сертификатов, созданных при выполнении п.п. 7.1-7.2 и подписанных при выполнении п. 9.1 (с помощью двойного щелчка на имени соответствующего файла);

10.2. получить сведения о правильности и параметрах ЭЦП под файлами, подписанными при выполнении п. 9.2 (с помощью вкладки Цифровые подписи окна свойств файла);

10.3. проверить ЭЦП под файлами, указанными в п.п. 10.1-10.2, с помощью утилиты командной строки ChkTrust (с указанием различных опций при вызове этой утилиты);

10.4. включить в отчет о лабораторной работе10.4.1. сведения о способах проверки ЭЦП и получения ее

параметров;10.4.2. ответ на вопрос, как происходит добавление издателя

сертификата к списку доверенных сертификатов издателей и на что это оказывает влияние;

10.4.3. копии экранных форм, полученных при выполнении п. 10.11. С помощью текстового процессора Microsoft Word и других программ

пакета Microsoft Office выполнить следующее:11.1. на примере файлов с отчетами о выполнении лабораторных работ №1

и №2 освоить средства добавления ЭЦП к документу (Сервис | Параметры | Безопасность | Цифровые подписи);

11.2. определить реакцию программы из пакета Microsoft Office на попытку сохранения измененного документа, снабженного ЭЦП;

11.3. определить реакцию на изменение подписанного документа с помощью другой программы (например, Блокнота или текстового редактора системы программирования Borland C++ Builder) и попытку его открытия программой из пакета Microsoft Office;

11.4. включить в отчет о лабораторной работе 11.4.1. сведения о порядке добавления и проверки ЭЦП для

документов Microsoft Office;11.4.2. ответ на вопрос, что изменяется при открытии документа,

снабженного ЭЦП;11.4.3. копии экранных форм, полученных при выполнении п. 11.

12. Ознакомиться с разделом 4 «Управление сертификатами» скопированного в п. 2 документа.

13. С помощью утилиты командной строки CertMgr выполнить следующее:13.1. выполнить примеры использования этой утилиты из раздела 4;

66

13.2. добавить списки доверенных сертификатов, созданных при выполнении п. 7 и подписанных при выполнении п.9, в системное хранилище Trust;

13.3. включить в отчет о выполнении лабораторной работы13.3.1. сведения о назначении и основных функциях утилиты

CertMgr;13.3.2. протокол работы в режиме командной строки, полученный

при выполнении п. 13.1-13.2 (с помощью буфера обмена).14. С помощью менеджера управления сертификатами, автоматически

активизируемого при вызове утилиты CertMgr без параметров, выполнить следующее:

14.1. освоить способы отбора сертификатов с требуемым назначением;14.2. освоить способы просмотра характеристик сертификатов;14.3. на примере файлов с сертификатами, созданными при выполнении п.

4, освоить работу с мастером импорта сертификатов;14.4. освоить работу с мастером экспорта сертификатов;14.5. освоить процедуру удаления сертификата, не удаляя их окончательно;14.6. включить в отчет о лабораторной работе

14.6.1. овеет на вопрос, все ли возможности утилиты CertMgr поддерживаются менеджером сертификатов;

14.6.2. ответ на вопрос, как еще может быть начат диалог с менеджером сертификатов;

14.6.3. ответ на вопрос, как может быть получена информация о составе списка доверенных издателей сертификатов;

14.6.4. копии экранных форм, полученных при выполнении п. 14.15. Ознакомиться с разделом 5 «Получение сертификата в удостоверяющем

центре» скопированного в п. 2 документа.16. С помощью оснастки «Сертификаты» выполнить следующее:

16.1. освоить использование основных функций, доступных с помощью этой оснастки (просмотр хранилищ сертификатов, запрос, просмотр, импорт, экспорт, удаление и поиск сертификатов, просмотр списков отозванных сертификатов);

16.2. включить в отчет о лабораторной работе16.2.1. копии полученных при выполнении п. 16 экранных форм;16.2.2. ответ на вопрос, при каких условиях возможен запрос

сертификата с помощью оснастки «Сертификаты»;16.2.3. ответ на вопрос, какие дополнительные возможности имеет

оснастка «Сертификаты» по сравнению с менеджером сертификатов (п. 14).

17. С помощью мастера запроса сертификата и Web-интерфейса (ввода http://labserver.ib.local/certsrv/ в адресной строке обозревателя Internet Explore) выполнить следующее:

17.1. подготовить и отправить запрос, получить и установить сертификат в различных режимах работы мастера;

17.2. просмотреть характеристики полученного сертификата (с помощью оснастки «Сертификаты»)

17.3. просмотреть состояние ранее поданных запросов на сертификаты;67

17.4. загрузить на свой компьютер сертификат удостоверяющего центра (центра сертификации, ЦС);

17.5. загрузить на свой компьютер цепочку сертификации для проверки полученного сертификата;

17.6. загрузить на свой компьютер список отозванных сертификатов и просмотреть его (с помощью оснастки «Сертификаты»);

17.7. при наличии доступа в Интернет получить документацию служб сертификатов Microsoft Windows с Web-узла этой корпорации.;

17.8. включить в отчет о лабораторной работе17.8.1. ответ на вопрос, при каких условиях возможны запрос и

получение сертификата через Web-интерфейс;17.8.2. ответ на вопрос, чем отличается простой запрос сертификата

от расширенного;17.8.3. ответ на вопрос, что такое шаблон сертификата и для чего он

предназначен;17.8.4. копии экранных форм, полученных при выполнении п. 17.

18. Подготовить отчет о выполнении лабораторной работы, который должен включать в себя:

19. Предъявить отчет о выполнении лабораторной работы преподавателю. После принятия результатов работы преподавателем удалить документ Microsoft Word «СИСТЕМНЫЕ ПРОГРАММЫ ДЛЯ РАБОТЫ С СЕРТИФИКАТАМИ» из индивидуальной папки студента, в которую было произведено копирование при выполнении п. 2

20. Завершить сеанс работы.

68

Практическая работа №8 Разработка программы разграничения полномочий пользователей на основе парольной аутентификации

Ход работы:1. Программа должна обеспечивать работу в двух режимах: администратора

(пользователя с фиксированным именем ADMIN) и обычного пользователя.2. В режиме администратора программа должна поддерживать следующие

функции (при правильном вводе пароля): смена пароля администратора (при правильном вводе старого пароля); просмотр списка имен зарегистрированных пользователей и

установленных для них параметров (блокировка учетной записи, включение ограничений на выбираемые пароли) – всего списка целиком в одном окне или по одному элементу списка с возможностью перемещения к его началу или концу;

добавление уникального имени нового пользователя к списку с пустым паролем (строкой нулевой длины);

блокирование возможности работы пользователя с заданным именем; включение или отключение ограничений на выбираемые пользователем

пароли (в соответствии с индивидуальным заданием, определяемым номером варианта);

завершение работы с программой.3. В режиме обычного пользователя программа должна поддерживать только

функции смены пароля пользователя (при правильном вводе старого пароля) и завершения работы, а все остальные функции должны быть заблокированы.

4. После своего запуска программа должна запрашивать у пользователя в специальном окне входа ввод его имени и пароля. При вводе пароля его символы всегда должны на экране заменяться символом ‘*’.

5. При отсутствии введенного в окне входа имени пользователя в списке зарегистрированных администратором пользователей программа должна выдавать соответствующее сообщение и предоставлять пользователю возможность повторного ввода имени или завершения работы с программой.

6. При неправильном вводе пароля программа должна выдавать соответствующее сообщение и предоставлять пользователю возможность повторного ввода. При трехкратном вводе неверного пароля работа программы должна завершаться.

7. При первоначальном вводе пароля (обязательном при первом входе администратора или пользователя с зарегистрированным ранее администратором именем) и при дальнейшей замене пароля программа должна просить пользователя подтвердить введенный пароль путем его повторного ввода.

8. Если выбранный пользователем пароль не соответствует требуемым ограничениям (при установке соответствующего параметра учетной записи пользователя), то программа должна выдавать соответствующее сообщение и предоставлять пользователю возможность ввода другого пароля,

69

завершения работы с программой (при первом входе данного пользователя) или отказа от смены пароля.

9. Информация о зарегистрированных пользователях, их паролях, отсутствии блокировки их работы с программой, а также включении или отключении ограничений на выбираемые пароли должна сохраняться в специальном файле. При первом запуске программы этот файл должен создаваться автоматически и содержать информацию только об администраторе, имеющем пустой пароль.

10.Интерфейс с программой должен быть организован на основе меню, обязательной частью которого должно являться подменю «Справка» с командой «О программе». При выборе этой команды должна выдаваться информация об авторе программы и выданном индивидуальном задании. Интерфейс пользователя программы может также включать панель управления с дублирующими команды меню графическими кнопками и строку состояния.

11.Для реализации указанных в пунктах 2-3 функций в программе должны использоваться специальные диалоговые формы, позволяющие пользователю (администратору) вводить необходимую информацию.

Индивидуальные варианты заданий (ограничения на выбираемые пароли)

1. Длина не меньше минимальной длины, устанавливаемой администратором и сохраняемой в учетной записи пользователя.

2. Наличие строчных и прописных букв.3. Наличие букв и цифр.4. Наличие букв и знаков препинания.5. Наличие цифр и знаков препинания.6. Наличие букв и знаков арифметических операций.7. Наличие цифр и знаков арифметических операций.8. Наличие латинских букв и символов кириллицы.9. Наличие букв, цифр и знаков препинания.10.Наличие латинских букв, символов кириллицы и цифр.11.Наличие латинских букв, символов кириллицы и знаков препинания.12.Наличие строчных и прописных букв, а также цифр.13.Наличие строчных и прописных букв, а также знаков препинания.14.Наличие строчных и прописных букв, а также знаков арифметических

операций.15.Наличие латинских букв, символов кириллицы и знаков арифметических

операций.16.Наличие букв, цифр и знаков арифметических операций.17.Наличие букв, знаков препинания и знаков арифметических операций.18.Наличие цифр, знаков препинания и знаков арифметических операций.19.Отсутствие повторяющихся символов.20.Чередование букв, цифр и снова букв.21.Чередование букв, знаков препинания и снова букв.22.Чередование цифр, букв и снова цифр.23.Отсутствие подряд расположенных одинаковых символов.

70

24.Чередование цифр, знаков препинания и снова цифр.25.Чередование цифр, знаков арифметических операций и снова цифр.26.Несовпадение с именем пользователя.27.Несовпадение с именем пользователя, записанным в обратном порядке.28.Наличие строчных и прописных латинских букв, цифр и символов

кириллицы.29.Наличие строчных и прописных букв, цифр и знаков арифметических

операций.30.Наличие латинских букв, символов кириллицы, цифр и знаков

арифметических операций.31.Наличие латинских букв, символов кириллицы, цифр и знаков препинания.32.Несовпадение с датой в одном из форматов: дд/мм/гг, дд-мм-гг, дд.мм.гг.

Возможный вид диалоговых форм программыОкно входа в программу

Может быть создано на основе шаблона Password Dialog, выбираемого с помощью команды File | New | Dialogs системы программирования Borland C++ Builder. В указаниях по выполнению лабораторных работ эта форма имеет имя PasswordDlg.

Окно смены пароля

Возможно добавление на форму надписи «Старый пароль» и редактируемой строки для ввода действующего пароля. В указаниях по выполнению лабораторных работ эта форма имеет имя Form5.

Окно добавление нового пользователя

71

Возможно добавление на форму элементов управления для отображения и изменения значений параметров, устанавливаемых администратором для новой учетной записи (блокировка, ограничение на выбираемые пароли). В указаниях по выполнению лабораторных работ эта форма имеет имя Form4.

Окно просмотра (редактирования) учетных записей

Возможно добавление кнопки «Предыдущий» для перехода к предыдущей учетной записи или отображение списка учетных записей пользователей и их параметров в одном окне с помощью компонента StringGrid (группа Additional) системы программирования Borland C++ Builder. В указаниях по выполнению лабораторных работ эта форма имеет имя Form3.

Рекомендуемые для разработки программы средства языка Си++1. Тип данных для представления информации об учетной записи пользователя программы:Struct {//имя пользователя – строка в стиле Си (массив символов)//длина пароля//пароль пользователя – массив символов//признак блокировки учетной записи//признак включения ограничений на выбираемые пароли} имя_структуры;2. Объект класса fstream файлового потокового ввода-вывода, открытый в двоичном режиме и состоящий из структур приведенного выше типа (определен в заголовочном файле fstream.h) для представления файла учетных записей пользователей программы:fstream имя_файловой_переменной;3. Методы класса fstream для работы с файлом учетных записей:

72

/* открытие существующего файла под именем FileName для чтения и записи в двоичном режиме */void open(const char *FileName, ios::in|ios::out|ios::binary);// создание нового файлаvoid open(const char *FileName, ios::out|ios::binary); ! – перегруженная операция, возвращающая true, если последняя операция ввода или вывода завершилась с ошибкой// проверка существования файла с именем FileName (функция Borland C++ Builder)bool FileExists(const AnsiString& FileName);/* сброс флага ошибки для потока ввода или вывода (необходим для продолжения работы в программе с этим потоком) */void clear(int=0); // закрытие файлаvoid close();/* перемещение указателя текущей позиции файла на off байт относительно dir (возможные значения ios::beg, ios::cur, ios::end) */ostream& seekp(long off, seek_dir dir); /* чтение данных из файла в буфер buf длины n, равной длине структуры приведенного выше типа */istream& read(char *buf, int n);/* запись данных из буфера buf длины n, содержащего структуру приведенного выше типа, в файл */ostream& write(const char *buf, int n);// проверка достижения конца файлаbool eof(); 4. Средства проверки установленных ограничений на выбираемые пароли (прототипы функций определены в заголовочных файлах string.h и stdlib.h):/* преобразование объекта класса AnsiString (значения свойства Text объекта класса CEdit, соответствующего компоненту диалоговой формы - однострочному редактору) в строку-массив символов, метод класса AnsiString */char* c_str();// получение текущей длины строки Sunsigned strlen(const char *S); /* получение указателя на символ в строке S, с которого начинается первое вхождение подстроки Substr, или NULL, если Substr не входит в S */char* strstr(const char *S, const char *Substr); // преобразование строки S в целое числоint atoi(const char *S);/* получение указателя на первый символ строки s1, совпавший с одним из символов строки s2, или NULL */char *strpbrk(char *s1, const char *s2);/* получение длины начального сегмента s1, состоящего только из символов, входящих в s2, или 0 */unsigned strspn(const char *s1, const char *s2);

73

/* изменение порядка следования символов строки на обратный (последний становится первым и т.д. */char *strrev(char *s);// получение дубликата строкиchar *strdup(const char *s);// проверка символа chBOOL IsCharAlpha(char ch); // TRUE, если ch – букваBOOL IsCharUpper(char ch); // TRUE, если ch – прописная букваBOOL IsCharLower(char ch); // TRUE, если ch – строчная букваbool isalpha(char ch); // true, если ch – латинская букваbool isdigit(char ch); // true, если ch – латинская цифраbool isalnum(char ch); // true, если ch – латинская буква или цифраbool isupper(char ch); // true, если ch – прописная латинская букваbool islower(char ch); // true, если ch – строчная латинская букваbool ispunct(int ch); /* true, если ch – печатаемый символ, не являющийся латинской буквой, цифрой или пробелом */‘+’ ‘-‘ ‘*’ ‘/’ ‘%’ – символы знаков арифметических операций5. Замена на экране символом ‘*’ символов вводимого пароля:Свойство PasswordChar компонента Edit (редактируемая строка)=’*’

74

Практическая работа №9 Разработка и программная реализация криптографических алгоритмов

Ход работы:1. В программу, разработанную при выполнении лабораторной работы №1,

добавить средства шифрования (расшифрования) или хеширования паролей, хранящихся в файле зарегистрированных пользователей.

2. Способ шифрования (хеширования) задается преподавателем в соответствии с номером варианта.

3. При использовании шифрования введенный пользователем пароль должен сравниваться с расшифрованным значением из соответствующей пользователю и хранящейся в файле учетной записи.

4. При использовании хеширования хеш-значение введенного пользователем пароля должно сравниваться со значением из соответствующей пользователю и хранящейся в файле учетной записи.

Индивидуальные варианты заданий (способы шифрования или хеширования паролей)

1. Шифрование перестановкой (ключ задается именем учетной записи пользователя).

2. Хеширование (результат шифрования перестановкой магической строки «12345678» на ключе, задаваемом паролем пользователя).

3. Хеширование (аналогично варианту 2, но используется не магическая строка, а имя учетной записи пользователя).

4. Шифрование заменой (используется одноалфавитная подстановка Цезаря с ключом 3).

5. Хеширование (шифрование одноалфавитной подстановкой магической строки «12345678» на ключе, равном сумме кодов символов пароля пользователя по модулю 256).

6. Хеширование (аналогично варианту 5, но используется не магическая строка, а имя учетной записи пользователя).

7. Шифрование заменой (используется побайтное шифрование без ключа).8. Шифрование гаммированием (длина блока – 1 байт, блоки гаммы

формируются по правилу Gi+1=A*Gi+C {mod 256}, где A=5, C=3, G0=1).9. Хеширование (результат шифрования гаммированием магической строки

«12345678», длина блока – 1 байт, блоки гаммы формируются по правилу Gi+1=A*Gi+C {mod 256}, где A – код 1-го символа пароля, C – код 2-го символа пароля, G0 – код 3-го символа пароля).

10.Хеширование (аналогично варианту 9, но используется не магическая строка, а имя учетной записи пользователя).

11.Шифрование гаммированием (длина блока – 1 байт, блоки гаммы получаются при помощи стандартной функции random(256), требуется подключение файла stdlib.h).

12.Хеширование (результат шифрования по алгоритму варианта 11 магической строки «12345678», но начальное значение датчика псевдослучайных чисел

75

выбирается равным сумме кодов символов пароля по модулю 256 и устанавливается с помощью функции srand(начальное значение) из stdlib.h).

13.Хеширование (аналогично варианту 12, но используется не магическая строка, а имя учетной записи пользователя).

14.Шифрование гаммированием (аналогично варианту 8, но A, C и G0

выбираются равными соответственно 1-му, 2-му и 3-му случайным числам, полученным с помощью функции random(256)).

15.Комбинированное шифрование (последовательно по вариантам 1 и 8).16.Комбинированное шифрование (последовательно по вариантам 4 и 8).17.Комбинированное шифрование (последовательно по вариантам 7 и 8).18.Комбинированное шифрование (последовательно по вариантам 1 и 11).19.Комбинированное шифрование (последовательно по вариантам 4 и 11).20.Комбинированное шифрование (последовательно по вариантам 7 и 11).21.Комбинированное шифрование (последовательно по вариантам 1 и 14).22.Комбинированное шифрование (последовательно по вариантам 4 и 14).23.Комбинированное шифрование (последовательно по вариантам 7 и 14).24.Комбинированное шифрование (последовательно по вариантам 1 и 4).25.Комбинированное шифрование (последовательно по вариантам 1 и 7).26.Комбинированное шифрование последовательно по вариантам 4 и 7).27.Хеширование (сумма по модулю 256 произведений вида pi*i, где pi – код i-го

символа пароля).28.Хеширование (результат комбинированного шифрования магической строки

«12345678» на ключе, задаваемом суммой кодов символов пароля пользователя по модулю 256: сначала одноалфавитной подстановкой, а затем гаммированием с длиной блока – 1 байт, блоки гаммы формируются по правилу Gi+1=A*Gi+C {mod 256}, где A – код 1-го символа пароля, C – код 2-го символа пароля, G0 – код 3-го символа пароля).

29.Хеширование (результат комбинированного шифрования имени учетной записи пользователя на ключе, задаваемом паролем пользователя: сначала перестановкой, а затем гаммированием с длиной блока – 1 байт, блоки гаммы формируются по правилу Gi+1=A*Gi+C {mod 256}, где A – код 1-го символа пароля, C – код 2-го символа пароля, G0 – код 3-го символа пароля).

30.Хеширование (результат шифрования магической строки «12345678» многоалфавитной подстановкой на ключе, равном паролю пользователя).

31.Шифрование (используется многоалфавитная подстановка на ключе, образованном кодами символов имени учетной записи пользователя).

32.Хеширование (результат шифрования многоалфавитной подстановкой имени учетной записи пользователя на ключе, образованном кодами символов его пароля).

Рекомендуемые для разработки программы средства языка Си++1. Операция приведения произвольного целого числа к типу char:(char)2. Операция поразрядного сложения по модулю 2:^3. Операция вычисления остатка от целочисленного деления:%4. Функция сортировки символьной строки:

76

void qsort(void *base, unsigned nelem, unsigned width, int (*fcmp)(const void *s1, const void *s2)); /* base – имя строки, nelem – длина строки, width=sizeof(char), fcmp – функция сравнения символов строки s1 и s2 (должна возвращать -1, если s1<s2, 0 – если s1=s2, и 1 – если s1>s2) */5. Функция получения позиции символа в строке:const char *strchr(const char *s, int c); ./* s – имя строки, c – проверяемый символ, результат равен указателю на найденную позицию или NULL; для получения относительного номера позиции символа в строке из результата нужно вычесть s */

Описание алгоритмов шифрования1. Перестановка. Шифрование: i, 0≤i≤n-1 Ci=Pk[i], где P={P0, P1, … , Pi, … , Pn-1} – открытый текст; n – длина открытого текста; C={C0, C1, … , Ci, … , Cn-1} – шифротекст; k={k0, k1, …, ki, … , kn-1} – ключ шифрования.При расшифровании применяется обратная перестановка: i, 0≤i≤n-1 Pk[i]= Ci.

При шифровании перестановкой ключ должен удовлетворять условию:kik 0≤ki≤n-1 ki, kjk ki≠kj.

Если длина ключа меньше длины открытого текста, то следует разбить открытый текст на блоки, длина которых равна длине ключа, и последовательно применить ключ перестановки к каждому блоку открытого текста. Если длина открытого текста не кратна длине ключа, то последний блок должен быть дополнен пробелами.

Если длина ключа больше длины открытого текста, то ключ усекается до нужной длины.

Процедура генерации ключа перестановки k из текстовой строки (пароля) t:а) сортировка t по алфавиту и получение новой строки t´ (например, t=матрос, t

´=аморст);б) получение элементов ключа ki=позиция символа ti в строке t´ (например,

k=105324);в) если строка t содержит одинаковые символы (например, t=анна), то при

получении элемента ключа ki используется позиция следующего вхождения символа ti в строке t´ (например, t´=аанн, k=0231) (в программе для этого можно после нахождения позиции очередного символа заменить его, например, символом '\1').

2. Одноалфавитная подстановка (замена). Шифрование: i, 0≤i≤n-1 Ci=Pi+k {mod m}, где P={P0, P1, … , Pi, … , Pn-1} – открытый текст; n – длина открытого текста; A={A0, A1, … , Am-1} – алфавит символов открытого текста ( i, 0≤i≤n-1 PiA); C={C0, C1, … , Ci, … , Cn-1} – шифротекст; k – ключ шифрования (0≤k<m); aiA, 0≤i≤m-1 ai+k=ai+k.

77

Расшифрование: i, 0≤i≤n-1 Ci=Pi+m-k {mod m}3. Многоалфавитная подстановка (замена). Шифрование: i, 0≤i≤n-1 Ci=Pi+ki {mod m}, где P={P0, P1, … , Pi, … , Pn-1} – открытый текст; n – длина открытого текста; A={A0, A1, … , Am-1} – алфавит символов открытого текста ( i, 0≤i≤n-1 PiA); C={C0, C1, … , Ci, … , Cn-1} – шифротекст; k={k0, k1, … , ki, … , kn-1} – ключ шифрования ( i, 0≤i≤n-1 0≤ki<m); aiA, 0≤i≤m-1 ai+k=ai+k.Расшифрование: i, 0≤i≤n-1 Ci=Pi+m-ki {mod m}

Если длина ключа меньше длины открытого текста, то необходимо разбить открытый текст на блоки, длина которых равна длине ключа, и последовательно применить ключ подстановки к каждому блоку открытого текста. Если длина открытого текста не кратна длине ключа, то последний блок следует дополнить необходимым количеством пробелов.

Если длина ключа больше длины открытого текста, то ключ усекается до нужной длины.4. Гаммирование. Шифрование: i, 0≤i≤n-1 Ci=Pi Gi, где P={P0, P1, … , Pi, … , Pn-1} – открытый текст; n – длина открытого текста; C={C0, C1, … , Ci, … , Cn-1} – шифротекст; G={G0, G1, … , Gi, … , Gn-1} – гамма шифра; - операция поразрядного сложения по модулю 2.Расшифрование: i, 0≤i≤n-1 Pi=Ci Gi

5. Побайтное шифрование без ключа:а) i, 0≤i<n-1 Ci+1=Pi Pi+1;б) С0=P0 Cn-1, где P={P0, P1, … , Pi, … , Pn-1} – открытый текст; C={C0, C1, … , Ci, … , Cn-1} – шифротекст; - операция поразрядного сложения по модулю 2.Расшифрование:а) P0=C0 Cn-1;б) i, 0≤i<n-1 Pi+1=Ci+1 Pi.

78

3.Защита информационных процессов в компьютерных системах

Практическая работа №1 Использование функций криптографического интерфейса Windows для защиты информации

Ход работы:1. В программу, разработанную при выполнении лабораторной работы № 1,

добавить средства защиты от несанкционированного доступа к файлу с учетными данными зарегистрированных пользователей.

2. Файл с учетными данными должен быть зашифрован при помощи функций криптографического интерфейса операционной системы Windows (CryptoAPI) с использованием сеансового ключа, генерируемого на основе вводимой администратором (пользователем) парольной фразы.

3. При запуске программы файл с учетными данными должен расшифровываться во временный файл (или в файл в оперативной памяти), который после завершения работы программы должен быть снова зашифрован для отражения возможных изменений в учетных записях пользователей. «Старое» содержимое файла учетных записей при этом стирается.

4. После ввода парольной фразы при запуске программы, генерации ключа расшифрования и расшифрования файла с учетными данными зарегистрированных пользователей правильность введенной парольной фразы определяется по наличию в расшифрованном файле учетной записи администратора программы.

5. При вводе неправильной парольной фразы или отказе от ее ввода работа программы должна завершаться с выдачей соответствующего сообщения.

6. Временный файл на диске с расшифрованными учетными данными после завершения работы программы удаляется.

7. Варианты использования алгоритмов шифрования и хеширования выбираются в соответствии с выданным преподавателем заданием.

8. Для доступа к функциям CryptoAPI из программ на Паскале следует использовать интерфейсный модуль wincrypt.pas с указанного преподавателем сетевого диска.

Индивидуальные варианты заданий (типы и параметры алгоритмов шифрования и хеширования)№ Тип

симметричного

шифрования

Используемый режим шифрования

Добавление к ключу случайного значения

Используемый алгоритм

хеширования

1 Блочный Электронная кодовая книга

Да MD2

2 Потоковый - Да MD23 Блочный Сцепление блоков

шифраДа MD2

79

4 Потоковый - Да MD55 Блочный Обратная связь по

шифротекстуДа MD2

6 Потоковый - Да SHA7 Блочный Электронная кодовая

книгаДа MD4

8 Потоковый - Нет MD29 Блочный Сцепление блоков

шифраДа MD4

10 Потоковый - Нет MD511 Блочный Обратная связь по

шифротекстуДа MD4

12 Потоковый - Нет SHA13 Блочный Электронная кодовая

книгаДа MD5

14 Блочный Сцепление блоков шифра

Да MD5

15 Блочный Обратная связь по шифротексту

Да MD5

16 Блочный Электронная кодовая книга

Да SHA

17 Блочный Сцепление блоков шифра

Да SHA

18 Блочный Обратная связь по шифротексту

Да SHA

19 Блочный Электронная кодовая книга

Нет MD2

20 Блочный Сцепление блоков шифра

Нет MD2

21 Блочный Обратная связь по шифротексту

Нет MD2

22 Блочный Электронная кодовая книга

Нет MD4

23 Блочный Сцепление блоков шифра

Нет MD4

24 Блочный Обратная связь по шифротексту

Нет MD4

25 Блочный Электронная кодовая книга

Нет MD5

26 Блочный Сцепление блоков шифра

Нет MD5

27 Блочный Обратная связь по шифротексту

Нет MD5

28 Блочный Электронная кодовая книга

Нет SHA

29 Блочный Сцепление блоков Нет SHA

80

шифра30 Блочный Обратная связь по

шифротекстуНет SHA

31 Потоковый - Да MD432 Потоковый - Нет MD4

Возможный вид дополнительной диалоговой формы программыОкно запроса парольной фразы для расшифровки файла с учетными

данными

Может быть создано на основе шаблона Password Dialog, выбираемого с помощью команды File | New | Dialogs системы программирования Borland C++ Builder. Для повышения безопасности эта форма должна быть исключена из списка автоматически создаваемых форм проекта (команда Project | Options | Forms) и создаваться (уничтожаться) в программе явным образом. В указаниях по выполнению лабораторных работ эта форма имеет имя Form6.

Рекомендуемые для разработки программы средства языка Си++1. Класс fstream для операций шифрования (расшифрования) файла учетных

записей пользователей:fstream имя_файловой_переменной;2. Работа с файлом:void open(const char *FileName, ios::in | ios::binary); /* открытие существующего файла под именем FileName для чтения */void open(const char *FileName,ios::out|ios::binary); /* создание нового файла с именем FileName */istream& read(char *buf, int n); // чтение данных в буфер buf длины nint gcount(); /* количество байт, фактически прочитанных во время последней операции */ostream& write(const char *buf,int n); // запись данных из буфера buf длины nvoid close(); // закрытие файлаbool eof(); // проверка достижения конца файлаint remove(const char *filename); // удаление файла с именем filename3. Шифрование (расшифрование) файла:HCRYPTPROV, HCRYPTKEY, HCRYPTHASH – типы данных для дескрипторов криптопровайдера, криптографического ключа, хеш-объектаALG_ID – тип данных для кодов криптографических алгоритмовBOOL CryptAcquireContext(HCRYPTPROV *phProv, LPCSTR pszContainer, LPCSTR pszProvider, DWORD dwProvType, DWORD dwFlags); /* инициализация криптопровайдера (в *phProv записывается его дескриптор, pszContainer=NULL, pszProvider=NULL, dwProvType= PROV_RSA_FULL, dwFlags=0) или (когда при первом запуске программы CryptAcquireContext

81

возвращает FALSE) регистрация нового пользователя в криптопровайдере (dwFlags= CRYPT_NEWKEYSET) */BOOL CryptCreateHash(HCRYPTPROV hProv, ALG_ID Algid, HCRYPTKEY hKey, DWORD dwFlags, HCRYPTHASH *phHash); /* создание пустого хеш-объекта (Algid – код алгоритма хеширования, hKey=0, dwFlags=0, в *phHash записывается дескриптор хеш-объекта) */BOOL CryptHashData(HCRYPTHASH hHash, CONST BYTE *pbData, DWORD dwDataLen, DWORD dwFlags); /* хеширование парольной фразы (или любых других данных) pbData длины dwDataLen (dwFlags=0) */BOOL CryptDestroyHash(HCRYPTHASH hHash); // разрушение хеш-объектаBOOL CryptDeriveKey(HCRYPTPROV hProv, ALG_ID Algid, HCRYPTHASH hBaseData, DWORD dwFlags, HCRYPTKEY *phKey); /* создание ключа шифрования из хеш-объекта с парольной фразой hBaseData (Algid – код алгоритма шифрования, dwFlags=CRYPT_EXPORTABLE с возможным объединением через or с признаком добавления к ключу случайного значения CRYPT_CREATE_SALT, в *phKey записывается дескриптор ключа) */BOOL CryptDestroyKey(HCRYPTKEY hKey); // разрушение ключа шифрованияBOOL CryptReleaseContext(HCRYPTPROV hProv, DWORD dwFlags); /* освобождение криптопровайдера */BOOL CryptEncrypt(HCRYPTKEY hKey, HCRYPTHASH hHash, BOOL Final, DWORD dwFlags, BYTE *pbData, DWORD *pdwDataLen, DWORD dwBufLen); /* шифрование порции данных из буфера pbData длины dwBufLen, которая для блочных шифров должна быть кратной 8 (dwDataLen – длина порции данных, после выполнения функции в эту переменную записывается фактическая длина зашифрованных данных; hHash=0, dwFlags=0, Final – признак последней порции данных) */BOOL CryptDecrypt(HCRYPTKEY hKey, HCRYPTHASH hHash, BOOL Final, DWORD dwFlags,BYTE *pbData,DWORD *pdwDataLen); /* расшифрование порции данных из буфера pbData (dwDataLen – длина порции данных, после выполнения функции в эту переменную записывается фактическая длина расшифрованных данных; hHash=0, dwFlags=0, Final – признак последней порции данных) */BOOL CryptSetKeyParam(HCRYPTKEY hKey,DWORD dwParam,BYTE *pbData, DWORD dwFlags); /* установка режима шифрования для ключа hKey (dwParam= KP_MODE, pbData указывает на переменную типа unsigned long, в которой записан код устанавливаемого режима, dwFlags=0) */

82

Практическая работа №2 Защита программного обеспечения от несанкционированного использования и копирования

Ход работы:

1. Для программы, разработанной при выполнении лабораторной работы №1, написать программу-инсталлятор, которая запрашивает у пользователя папку для установки защищаемой программы, записывает туда файл с исполнимым кодом программы, собирает информацию о компьютере, на котором устанавливается программа, хеширует эту информацию, подписывает ее личным ключом пользователя программы и записывает подпись в реестр Windows в раздел HKEY_CURRENT_USER \ Software \ Фамилия_студента как значение параметра Signature.

2. В саму защищаемую программу включить фрагмент, в котором запрашивается у пользователя информация об имени раздела реестра с электронной цифровой подписью (фамилии студента); собирается информация о компьютере, на котором запускается программа, вычисляется хеш-значение этой информации, считывается подпись из указанного выше раздела реестра, которая проверяется с помощью открытого ключа пользователя.

3. При неудачной проверке работа защищаемой программы должна завершаться с выдачей соответствующего сообщения.

4. Собираемая о компьютере информация включает в себя: имя пользователя, имя компьютера, путь к папке с ОС Windows, путь к папке с системными файлами ОС Windows, а также данные, выбираемые в соответствии с выданным преподавателем заданием (номером варианта).

Индивидуальные варианты заданий (обираемая информация о компьютере)

№ Тип и подтип кла-виатуры

Количе-ство кнопок мыши

Ши-рина экрана

Вы-сота эк-рана

Набор дисковых уст-ройств

Объем па-мяти

Данные о диске, на котором установлена программа

1 Нет Да Нет Да Нет Да Объем2 Нет Да Да Нет Нет Да Объем

83

3 Да Нет Нет Да Нет Да Объем4 Да Нет Да Нет Нет Да Объем5 Нет Да Нет Да Да Нет Объем6 Нет Да Да Нет Да Нет Объем7 Да Нет Нет Да Да Нет Объем8 Да Нет Да Нет Да Нет Объем

№ Тип и подтип кла-виатуры

Количе-ство кнопок мыши

Ши-рина экрана

Вы-сота эк-рана

Набор дисковых уст-ройств

Объем па-мяти

Данные о диске, на котором установлена программа

9 Нет Да Нет Да Нет Да Метка тома10 Нет Да Да Нет Нет Да Метка тома11 Да Нет Нет Да Нет Да Метка тома12 Да Нет Да Нет Нет Да Метка тома13 Нет Да Нет Да Да Нет Метка тома14 Нет Да Да Нет Да Нет Метка тома15 Да Нет Нет Да Да Нет Метка тома16 Да Нет Да Нет Да Нет Метка тома17 Нет Да Нет Да Нет Да Серийный №18 Нет Да Да Нет Нет Да Серийный №19 Да Нет Нет Да Нет Да Серийный №20 Да Нет Да Нет Нет Да Серийный №21 Нет Да Нет Да Да Нет Серийный №22 Нет Да Да Нет Да Нет Серийный №23 Да Нет Нет Да Да Нет Серийный №24 Да Нет Да Нет Да Нет Серийный №25 Нет Да Нет Да Нет Да Файловая

система26 Нет Да Да Нет Нет Да Файловая

система27 Да Нет Нет Да Нет Да Файловая

система28 Да Нет Да Нет Нет Да Файловая

система29 Нет Да Нет Да Да Нет Файловая

система30 Нет Да Да Нет Да Нет Файловая

система31 Да Нет Нет Да Да Нет Файловая

система32 Да Нет Да Нет Да Нет Файловая

системаВозможный вид главной формы программы-инсталлятора

84

Кнопка «Установить программу» разблокируется после ввода имени раздела реестра, хранящего электронную цифровую подпись под собранной при установке программы информацией, и ввода имени устанавливаемой программы. Кнопка «Закрыть» разблокируется после завершения процесса установки программы.

Возможный вид дополнительной диалоговой формы основной программы

Может быть создана с помощью глобальной функции InputBox библиотеки Visual Component Library системы C++ Builder.

Рекомендуемые для разработки программы средства языка Си++

1. Сбор информации о компьютере:// получение в буфере lpBuffer длины nSize имени пользователя текущего сеансаBOOL GetUserName(LPTSTR lpBuffer, LPDWORD nSize);

/* получение имени компьютера в буфере lpBuffer длины nSize>= MAX_COMPUTERNAME_LENGTH+1 */BOOL GetComputerName(LPTSTR lpBuffer, LPDWORD nSize); /* получение в буфере lpBuffer длины uSize >= MAX_PATH пути к каталогу с ОС Windows */UINT GetWindowsDirectory(LPTSTR lpBuffer,UINT uSize);

/* получение в буфере lpBuffer длины uSize >= MAX_PATH пути к системному каталогу Windows */UINT GetSystemDirectory(LPTSTR lpBuffer, UINT uSize);

// получение типа (nTypeFlag=0) или подтипа (nTypeFlag=1) клавиатурыint GetKeyboardType(int nTypeFlag);

85

/* получение количества кнопок мыши (nIndex=SM_CMOUSEBUTTONS), ширины (nIndex=SM_CXSCREEN) или высоты (nIndex=SM_CYSCREEN) экрана */int GetSystemMetrics(int nIndex); /* получение в буфере lpBuffer длины nBufferLength строки с корневыми каталогами всех дисков, разделенных 0-символами; результат – длина полученной строки без заключительного 0-символа */DWORD GetLogicalDriveStrings(DWORD nBufferLength, LPTSTR lpBuffer);

/* получение в буфере *lpBuffer структуры типа MEMORYSTATUS с характеристиками памяти компьютера (поле dwTotalPhys содержит целое число, равное общему объему физической памяти в байтах) */VOID GlobalMemoryStatus(LPMEMORYSTATUS lpBuffer);

/* получение информации об объеме текущего диска (lpRootPathName=NULL): количестве секторов в кластере (lpSectorsPerCluster), размере сектора (lpBytesPerSector), общем количестве кластеров (lpTotalNumberOfClusters), lpNumberOfFreeClusters=NULL */BOOL GetDiskFreeSpace(LPCTSTR lpRootPathName,

LPDWORD lpSectorsPerCluster, LPDWORD lpBytesPerSector, LPDWORD lpNumberOfFreeClusters, LPDWORD lpTotalNumberOfClusters);

/* получение информации о текущем диске (lpRootPathName=NULL): метке тома (в буфере lpVolumeNameBuffer длины nVolumeNameSize), серийном номере (в переменной *lpVolumeSerialNumber), файловой системе (в буфере lpFileSystemNameBuffer длины nFileSystemNameSize), lpMaximumComponentLength=NULL, lpFileSystemFlags=NULL */BOOL GetVolumeInformation(LPCTSTR lpRootPathName,

LPTSTR lpVolumeNameBuffer, DWORD nVolumeNameSize,LPDWORD lpVolumeSerialNumber, LPDWORD lpMaximumComponentLength, LPDWORD lpFileSystemFlags,LPTSTR lpFileSystemNameBuffer, DWORD nFileSystemNameSize);

2. Получение и проверка электронной цифровой подписи (ЭЦП) (константы, типы данных и прототипы функций определены в файле wincrypt.h):HCRYPTPROV, HCRYPTKEY, HCRYPTHASH – типы данных для дескрипторов криптопровайдера (CSP), криптографического ключа, хеш-объекта

ALG_ID – тип данных для кодов криптографических алгоритмов/* инициализация криптопровайдера:в *phProv записывается его дескриптор,pszContainer=NULL,pszProvider=NULL,dwProvType=PROV_RSA_FULL,

86

dwFlags=0 или (если при первом запуске программы CryptAcquireContext возвращает FALSE) регистрация нового пользователя в криптопровайдере dwFlags= CRYPT_NEWKEYSET */BOOL CryptAcquireContext(HCRYPTPROV *phProv, LPCSTR pszContainer,

LPCSTR pszProvider, DWORD dwProvType, DWORD dwFlags);

/* создание в криптопровайдере с дескриптором hProv пары ключей ЭЦП (Algid=AT_SIGNATURE, dwFlags=0) и запись дескриптора открытого ключа в *phKey */BOOL CryptGenKey(HCRYPTPROV hProv, ALG_ID Algid,

DWORD dwFlags, HCRYPTKEY *phKey);

/* получение у криптопровайдера с дескриптором hProv дескриптора открытого ключа ЭЦП (dwKeySpec=AT_SIGNATURE) в переменной *phUserKey (если функция возвращает FALSE, то пару ключей ЭЦП нужно создать с помощью функции CryptGenKey) */BOOL CryptGetUserKey(HCRYPTPROV hProv, DWORD dwKeySpec,

HCRYPTKEY *phUserKey);

/* создание пустого хеш-объекта (hProv – дескриптор инициализированного криптопровайдера, Algid – код алгоритма хеширования, hKey=0, dwFlags=0, в *phHash записывается дескриптор хеш-объекта) */BOOL CryptCreateHash(HCRYPTPROV hProv, ALG_ID Algid,

HCRYPTKEY hKey, DWORD dwFlags, HCRYPTHASH *phHash);

/* добавление в хеш-объект данных из буфера *pbData длины dwDataLen (hHash – дескриптор хеш-объекта, dwFlags=0) */BOOL CryptHashData(HCRYPTHASH hHash, CONST BYTE *pbData,

DWORD dwDataLen, DWORD dwFlags);

/* получение для хеш-объекта с дескриптором hHash ЭЦП в буфере pbSignature длины *pdwSigLen (после выполнения функции в эту переменную записывается фактическая длина ЭЦП); dwKeySpec=AT_SIGNATURE, sDescription=NULL, dwFlags=0 */BOOL CryptSignHash(HCRYPTHASH hHash, DWORD dwKeySpec,

LPCTSTR sDescription, DWORD dwFlags, BYTE *pbSignature,DWORD *pdwSigLen);

/* проверка ЭЦП из буфера *pbSignature длины dwSigLen для хеш-объекта с дескриптором hHash с помощью открытого ключа hPubKey (sDescription=NULL, dwFlags=0) */BOOL CryptVerifySignature(HCRYPTHASH hHash, BYTE *pbSignature,

DWORD dwSigLen, HCRYPTKEY hPubKey, LPCTSTR sDescription,DWORD dwFlags);

// разрушение хеш-объекта с дескриптором hHashBOOL CryptDestroyHash(HCRYPTHASH hHash);

87

// разрушение ключа шифрования с дескриптором hKeyBOOL CryptDestroyKey(HCRYPTKEY hKey);

// освобождение криптопровайдера с дескриптором hProv (dwFlags=0)BOOL CryptReleaseContext(HCRYPTPROV hProv, DWORD dwFlags);3. Работа с реестром Windows:Класс TRegistry (определен в файле vcl\registry.hpp):

конструктор без параметров; свойства:

HKEY RootKey (корневой раздел реестра, по умолчанию HKEY_CURRENT_USER);

HKEY CurrentKey (текущий раздел реестра, только для чтения);

AnsiString CurrentPath (путь к текущему разделу реестра, только для чтения).

методы:/* открытие или (если CanCreate=true) при необходимости создание

текущего раздела реестра Key */bool OpenKey(const AnsiString Key, bool CanCreate);

/* запись (перезапись) в текущий раздел реестра значения параметра Name из буфера Buffer длины BufSize */

void WriteBinaryData(const AnsiString Name, void *Buffer, int BufSize);

// запись и закрытие текущего раздела реестраvoid CloseKey(); // проверка существования в реестре раздела Keybool KeyExists(const AnsiString Key); /* чтение из текущего раздела реестра значения параметра Name в буфер

Buffer длины BufSize */int ReadBinaryData(const AnsiString Name, void *Buffer, int BufSize);

88

Практическая работа №3 Основы работы с персональным сетевым экраном фирмы «Инфотекс»

Ход работы:

1. Ознакомиться с инструкцией по установке программного средства ViPNet Personal Firewall, находящейся в файле Docs_Personal_Firewall \ Doc \ Быстрый_старт_pf.pdf. Выполнить установку демонстрационной версии программы, приняв все выбираемые по умолчанию параметры установки. Согласиться с предложением программы установки произвести перезагрузку операционной системы. В процессе перезагрузки системы

ввести пароль для входа в персональный сетевой экран (11111111, восемь единиц); нажать кнопку «OK» в окне приветствия (программа автоматически стартует, в правой части панели задач появляется значок , для отображения главного окна программы следует выбрать команду «Восстановить» контекстного меню этого значка или команду Пуск | Программы | ViPNet | Personal Firewall | ViPNet Personal Firewall или использовать ярлык программы на Рабочем столе).

2. Изучить (с помощью раздела 10.5 руководства пользователя программы в файле Docs_Personal_Firewall \ Doc \ ViPNet_Personal_Firewall.pdf c или с помощью Справки программы) основные режимы функционирования программы (кнопка «Режимы» в левой части ее главного окна):

блокировка всего IP-трафика (абсолютная защита); пропуск только разрешенного сетевыми фильтрами IP-трафика; бумеранг (разрешение инициативных соединений):

жесткий (устанавливается по умолчанию); мягкий;

пропуск всего IP-трафика с ведением журнала; полное отключение драйвера.

3. Изучить (с помощью раздела 9.2 руководства пользователя программы или с помощью ее Справки) функции блокировки (кнопка в строке состояния главного окна программы):

компьютера и IP-трафика; только компьютера; только IP-трафика.

4. Изучить (с помощью разделов 10.2-10.4 и 10.6 руководства пользователя или с помощью Справки программы) функции для работы с сетевыми фильтрами (кнопка «Сетевые фильтры» в левой части главного окна программы):

добавление правила фильтрации по сетевому имени, URL, IP-адресу или диапазону IP-адресов (команда Правила доступа | Добавить правило контекстного меню объекта «Сетевые фильтры» в правой части главного окна программы):

в окне «Правило доступа» (строка «Имя компьютера») ввести доменное (например, www.yandex.ru) или сетевое имя хоста (при

89

наличии доступа к сети Интернет или локальной сети), либо localhost (при автономной работе); ввести (в строке «Псевдоним») произвольное наименование для регистрируемого IP-адреса; нажать кнопку «OK» (в списке «IP-адрес» должен появиться регистрируемый адрес); если известен IP-адрес или диапазон IP-адресов, то вместо кнопки «OK» нажать кнопку «Добавить» и в появившемся окне «IP-адрес» ввести IP-адрес или диапазон адресов и нажать кнопку «OK»; включить режим «разрешения» или «блокировки» работы с регистрируемым IP-адресом (с помощью соответствующего переключателя); нажать кнопку «OK»;

добавление правила фильтрации на основе IP-адресов и параметров IP-адресов заблокированных IP-пакетов:

открыть окно «Блокированные IP-пакеты» с помощью соответствующей кнопки в левой части главного окна программы; выполнить команду Правила доступа | Добавить правило контекстного меню объекта с IP-адресом или параметрами блокированного IP-пакета в правой части главного окна программы; выбрать в появившемся окне тип правила;

настройка фильтра протоколов для объекта с IP-адресом (адресами) (команда Правила доступа | Добавить фильтр протоколов контекстного меню соответствующего объекта в правой части главного окна или кнопка «Фильтр пакетов» окна «Правило доступа»):

выбрать протокол (ICMP, TCP или UDP) в соответствующем списке окна «Фильтр протоколов»); настроить параметры фильтра протоколов для протокола ICMP (направление, тип и код передаваемого сообщения); настроить параметры фильтра протоколов для протокола TCP (какой из участвующих в соединении компьютеров является сервером, номера «своего» и «чужого» портов); настроить параметры фильтра протоколов для протокола UDP (направление передаваемого сообщения, номера «своего» и «чужого» портов); после настройки параметров добавленного фильтра нажать кнопку «OK»;

изучить (с помощью раздела 10.4 руководства пользователя программы или с помощью ее Справки) порядок применения фильтров первого и второго уровня в зависимости от режима работы сетевого экрана.

5. Изучить (с помощью раздела 11.1 руководства пользователя или с помощью Справки программы) функции программы по отображению и использованию IP-адресов узлов, трафик с которых (или на которые) блокируется сетевым экраном (кнопка «Блокированные IP-пакеты» в левой части главного окна программы).6. Изучить (с помощью раздела 11.3 руководства пользователя программы или с помощью ее Справки) функцию просмотра статистики работы сетевого

90

экрана (количества пропущенных и заблокированных пакетов и широковещательных сообщений) – кнопка «Статистика IP-пакетов» в левой части главного окна программы.7. Изучить (с помощью раздела 10.7 руководства пользователя или с помощью Справки программы) функцию настройки входящей в состав сетевого экрана системы обнаружения атак (кнопка «Обнаружение атак» в левой части главного окна программы):

во входящем потоке; в исходящем потоке.

8. Изучить (с помощью раздела 11.2 руководства пользователя программы или с помощью ее Справки) функции программы по работе с журналом IP-пакетов (кнопка «Журнал IP-пакетов» в левой части главного окна программы):

сформировать условия для поиска информации в журнале регистрации IP-пакетов:

начало и конец интервала регистрации; IP-адреса пакетов; направление передачи IP-пакетов; номера местного («своего») и внешнего («чужого») портов; тип протокола; количество IP-пакетов одного типа (диапазон или конкретное значение); количество отображаемых записей журнала (0 – отображаются все удовлетворяющие заданному условию записи); тип зарегистрированного события (по умолчанию все);

нажать кнопку «Найти» и ознакомиться со структурой журнала регистрации IP-пакетов; закрыть окно просмотра журнала; открыть окно настройки журнала регистрации IP-пакетов (кнопка «Настройка журнала» в левой части главного окна программы) и ознакомиться с параметрами настройки:

интервал регистрации IP-пакетов; размеры архива журналов и текущего журнала; тип регистрации IP-пакетов; режимы регистрации широковещательных пакетов и TCP-соединений.

9. Изучить основные функции программы «Контроль приложений»: открыть окно настройки программы «Контроль приложений», нажав на кнопку в строке состояния сетевого экрана; ознакомиться с назначением программы «Контроль приложений» с помощью ее Справки или файла Контроль_приложений.pdf; добавить приложение в один из списков программы («белый» или «черный»):

открыть окно «Зарегистрированные приложения» с помощью соответствующей кнопки в левой части главного окна программы и выполнить команду «Добавить» контекстного меню любого объекта в правой части главного окна программы;

91

выбрать приложение для регистрации (например, notepad.exe из каталога ОС Windows); для перемещения зарегистрированного приложения в другой список выполнить команду ->В черный или ->В белый его контекстного меню;

просмотреть свойства приложений, помещенных в один из списков программы (команда «Свойства» контекстного меню соответствующего объекта в правой части окна программы); с помощью Справки программы «Контроль приложений» или раздела 7.3.3 ее руководства пользователя ознакомиться с возможностями ее настройки (кнопка «Настройка» в левой части окна программы):

режимы работы программы (автоматически стартовать при входе в Windows, показывать полные пути к файлам, разрешить соединения системного уровня); способ авторизации программ; политика – действия программы при регистрации приложения (по умолчанию тип списка определяется пользователем) и при неуспешной авторизации (по умолчанию реакция определяется пользователем);

с помощью Справки программы «Контроль приложений» или разделов 6.3 и 7.3. ее руководства пользователя ознакомиться с ее функциями по просмотру и настройке журнала:

открыть окно просмотра журнала (кнопка «Журнал» в левой части окна программы) и нажать кнопку «Обновить» в нижней части окна; изучить структуру записей журнала; открыть окно настройки отображения событий в журнале (кнопка «Фильтр» в левой части окна программы); изучить состав и назначение параметров отображения событий в журнале; открыть окно настройки журнала (кнопка «Настройка журнала») в левой части окна программы; изучить состав и назначение параметров настройки журнала;

завершить работу программы «Контроль приложений».10.Пользуясь информацией из файла Быстрый_старт.pdf выполнить удаление программного средства ViPNet Personal Firewall, согласившись со всеми вариантами удаления. По запросу программы удаления произвести перезагрузку ОС.11.Включить в электронный вариант отчета о лабораторной работе копии экранных форм (основных и дополнительных) изученных в данной работе программных средств ViPNet Personal Firewall и «Контроль приложений».12.Включить в отчет о лабораторной работе ответы на контрольные вопросы в соответствии с выданным преподавателем списком.

92

Практическая работа №4 Основы использования средств защиты от несанкционированного доступа в операционной системе Linux

Ход работы:1. Выбрать при загрузке операционной системы вариант Linux.2. После загрузки операционной системы начать сеанс работы с указанными

преподавателем именем и паролем.3. Изучить способы регистрации пользователей и групп в системе:

а) запустить соответствующую системную программу (Главное меню | Система | Управление пользователями или Главное меню | Система | Configuration | KUser);б) освоить использование функций программы для управления списком отображаемых пользователей и групп (включая системных или без них);в) освоить применение команд программы для добавления, редактирования и удаления учетных записей пользователей и групп;г) создать учетную запись для себя, включив ее в группу «Users»;д) освоить использование функций программы для управления свойствами пароля пользователя (минимального и максимального сроков действия, срока для предупреждения об окончании срока действия, срока для отключения учетной записи после истечения срока действия пароля);е) запустить программу «Менеджер файлов» (Главное меню | Система | File Manager | Менеджер файлов или аналогичная команда), найти и просмотреть в каталоге /etc файлы passwd, group, shadow и gshadow.

4. Включить в отчет о лабораторной работе ответы на следующие вопросы:а) какая информация указывается при создании нового пользователя (привести пример);б) какая информация указывается при создании новой группы (привести пример);в) какой формат имеют записи файла passwd (привести пример);г) какой формат имеют записи файла group (привести пример);д) какой формат имеют записи файла shadow (привести пример) и для чего используется этот файл;е) какой формат имеют записи файла gshadow (привести пример) и для чего используется этот файл.

5. Изучить средства управления настройками аутентификации:а) запустить соответствующую системную программу (Главное меню | Система | Настройка аутентификации или Главное меню | Система | YaST);б) открыть закладку «Аутентификация» (или Security and Users | Настройки безопасности);в) ознакомиться с параметрами настройки аутентификации.

6. Включить в отчет о лабораторной работе ответы на следующие вопросы: Если использовалась программа «Конфигурация распознавания»

а) как включается и выключается режим использования скрытых паролей;б) что происходит при включении режима использования скрытых паролей;в) для чего предназначен режим использования скрытых паролей.

93

Если использовалась программа «Центр управления»а) сколько и какие уровни безопасности предусмотрены в программе;б) какие параметры настройки безопасности предусмотрены в разделах,

посвященных паролям, загрузке системы, входа в систему, добавлении пользователей и групп, разрешениям доступа к системным файлам;

в) какие параметры настройки межсетевого экрана предусмотрены при выборе закладки Firewall;

г) какие еще виды настроек безопасности предусмотрены в этой программе.

7. Начать сеанс от имени созданной при выполнении п. 3.г учетной записи (Главное меню | Switch User или аналогичная команда).

8. Освоить средства изменения пароля текущего пользователя (Главное меню | Утилиты | Пароли или Главное меню | Система | Изменить пароль).

9. Продолжить сеанс от имени первоначально использованной (в п.2) учетной записи.

10.Освоить средства блокировки терминала при временном отсутствии пользователя:

а) немедленная блокировка (Контекстное меню Рабочего стола | Заблокировать экран или Главное меню | Запереть экран);б) использование хранителя экрана (Контекстное меню Рабочего стола | Настроить Рабочий стол | Хранитель экрана).

11.Включить в отчет о лабораторной работе ответы на следующие вопросы:а) в чем разница между изученными средствами блокировки терминала и какой из них является, на Ваш взгляд, более предпочтительным и почему;б) какие параметры используются при настройке хранителя экрана.

12.Освоить средства разграничения доступа к файлам:а) с помощью программы «Менеджер файлов» (см. п. 3.е) и команды «Свойства» контекстного меню файла (закладка «Права») получить и включить в отчет о лабораторной работе права доступа пользователей к файлам passwd, group, shadow и gshadow (каталог /etc), каталогу /etc, файлу /usr/bin/passwd, домашнему каталогу созданной при выполнении п. 3.г учетной записи (в каталоге /home), каталогу /tmp;б) с помощью системной консоли (Главное меню | Система | Консоль (Терминал) или аналогичная команда) выполнить команды umask (получение значения переменной среды umask в восьмеричном виде) и umask -S (получение значения переменной среды umask в символическом виде).

13.Включить в отчет о лабораторной работе ответы на следующие вопросы:а) почему для файлов и каталогов, перечисленных в п. 12.а, установлены именно такие права доступа (дать пояснение по каждому файлу и каталогу);б) почему для файла /usr/bin/passwd установлен дополнительный бит прав доступа SUID;в) в чем смысл использования и потенциальная опасность дополнительных битов доступа SUID и SGID;

94

г) какая политика разграничения доступа к файлам используется в операционной системе Linux и чем она отличается от политики разграничения доступа к объектам в защищенных версиях операционной системы Windows;д) для чего используется переменная среды umask и что означает ее значение, определенное при выполнении п. 12.б;е) кто может изменять права доступа к файлам и каталогам в системе Linux.

14.Освоить средства определения параметров политики аудита и просмотра журнала аудита:

а) открыть файл /etc/syslog.conf;б) включить в отчет о лабораторной работе сведения о правах доступа к файлу /etc/syslog.conf и формате записи этого конфигурационного файла (привести пример);в) открыть файл /var/log/secure и ознакомиться с его содержимым;г) открыть файл /var/log/messages и ознакомиться с его содержанием;д) включить в отчет о лабораторной работе сведения о правах доступа к файлам, указанным в п.п. 14.в и 14.г.

15.Включить в отчет о лабораторной работе ответы на следующие вопросы:а) в чем назначение файла /etc/syslog.conf и какая информация в нем содержится;б) почему к файлам /etc/syslog.conf, /var/log/secure и /var/log/messages определены именно такие права доступа;в) как может быть задана реакция на то или иное событие и в чем может заключаться эта реакция (помимо записи в журнал аудита).

16.Ознакомиться с содержимым файлов, находящихся в каталоге /etc/pam.d. Включить в отчет о выполнении лабораторной работы содержимое файла passwd из этого каталога и ответ на вопрос о назначении этих файлов.

17.Если в системе установлена программа gpg (Главное меню | Утилиты | Security | KGpg), то освоить предоставляемые этой программой средства шифрования (расшифрования) файлов и текстовых сообщений. Включить в отчет о выполнении лабораторной работы сведения о вариантах использования этой программы.

18.Сохранить отчет о выполнении лабораторной работы в виде текстового файла (созданного, например, с помощью редакторов KWrite или KWord - Главное меню | Редакторы или Главное меню | Office | Word processor) в своем домашнем каталоге (в подкаталоге с идентифицирующим Вас именем). Определить для этого файла права доступа, позволяющие всем другим пользователям только знакомиться с его содержанием.

19.После проверки отчета преподавателем удалить файл с отчетом, предварительно сохранив его на дискете в формате HTML (предварительно необходимо смонтировать соответствующее устройство, а после копирования файла с отчетом – размонтировать это устройство), и завершить сеанс работы (Главное меню | Завершить сеанс | Выключить компьютер), при необходимости затем остановить систему (с помощью меню «Система» при входе в Linux).

95

20.Включить в отчет о лабораторной работе ответы на контрольные вопросы в соответствии с выданным преподавателем списком.

21.Подготовить и предъявить преподавателю для защиты отчет о лабораторной работе.

96

Практическая работа 5 Использование цифровых сертификатов

В ходе данной лабораторной работы мы познакомимся с некоторыми вопросами использования цифровых сертификатов.

Начнем с их использования протоколом SSL/TSL (на самом деле это два разных протокола, но т.к. TSL разработан на базе SSL, принцип использования сертификатов один и тот же). Этот протокол широко применяется в сети Интернет для защиты данных передаваемых между web-серверами и браузером клиента. Для аутентификации сервера в нем иcпользуется сертификат X.509.

Для примера обратимся на сайт Ситибанка (www.citibank.ru), в раздел "Мой банк", предназначенный для ведения банковских операций через Интернет (рисунок 1).

Рисунок1 Защищенное соединение

Префикс https в строке адреса и изображение закрытого замка справа от строки указывают, что установлено защищенное соединение. Если щелкнуть мышью по изображению замка, то увидим представленное на рис. 6.1 сообщение о том, что подлинность узла с помощью сертификата подтверждает центр сертификации VeriSign. Значит, мы на самом деле обратились на сайт Ситибанка (а не подделанный нарушителями сайт) и можем безопасно вводить логин и пароль.

Выбрав "Просмотр сертификата" можно узнать подробности о получателе и издателе, другие параметры сертификата (рисунок 2).

97

Рисунок 2 Параметры сертификата

Задание

Посмотрите параметры сертификата "электронной сберкассы" Сбербанка - https://esk.sbrf.ru. Опишите, кем на какой срок и для какого субъекта сертификат был выдан.

Теперь рассмотрим другой вариант - мы подключаемся по SSL к web-серверу, а браузер не может проверить его подлинность. Подобная ситуация произошла при подключении в раздел Интернет-обслуживания Санкт-Петербургского филиала оператора мобильной связи Tele2 - https://www.selfcare.tele2.ru/work.html (на рисунке 3).

98

Рисунок 3 Браузер сообщает о проблеме с сертификатом

Если нажать ссылку "Продолжить открытие этого web-узла" можно будет просмотреть сертификат.

Задание

Разберитесь, в чем проблема с указанным сертификатом.Прим. На всякий случай в конце описания лабораторной приведен ответ.Теперь рассмотрим, как хранятся сертификаты. Операционная система

Windows обеспечивает защищенное хранилище ключей и сертификатов. Работать с хранилищем можно используя настройку консоль управления MMC "Сертификаты".

Из меню Пуск —> Выполнить запустите консоль командой mmc. В меню Консоль выберите Добавить или удалить оснастку, а в списке оснасток выберите Сертификаты. Если будет предложен выбор (а это произойдет, если Вы работаете с правами администратора), выберите пункт "Моей учетной записи".

Таким образом, мы можем просматривать сертификаты текущего пользователя. Если ранее сертификаты не запрашивались, то в разделе "Личные сертификаты" элементов не будет.

В разделе "Доверенные корневые центры сертификации" представлен достаточно обширный список центров, чьи сертификаты поставляются вместе с операционной системой.

Найдите в нем сертификат VeriSign Class 3 Public Primary CA. Благодаря тому, что он уже был установлен, в рассмотренном в начале работы примере с

99

подключением к системам Интернет-банкинга браузер мог подтвердить подлинность узла.

Теперь перейдем к разделу "Сертификаты, к которым нет доверия". Там находятся отозванные сертификаты. Как минимум, там будут находиться два сертификата, которые по ошибке или злому умыслу кто-то получил от имени корпорации Microsoft в центре сертификации VeriSing в 2001 году. Когда это выяснилось, сертификаты отозвали (рисунок 4).

Рисунок 4 Отозванные сертификатыТеперь рассмотрим процесс запроса сертификата. На сайте центра

сертификации Thawte http://www.thawte.com можно бесплатно получить сертификат для электронной почты. Для этого в меню сайта Products выберите Free Personal E-Mail Certificates. После этого надо заполнить небольшую анкету, указав имя, фамилию, страну, предпочитаемую кодировку, адрес электронной почты (должен быть обязательно действующим), дальше - пароль и контрольные вопросы для восстановления. Когда все заполнено, на указанный адрес почты будет отправлено письмо со ссылкой для выполнения дельнейших шагов генерации ключей и двумя проверочными значениями, которые нужно ввести, перейдя по ссылке. Таким образом, подлинность и принадлежность адреса будет подтверждена.

Далее система предложит ввести адрес почты (в качестве имя пользователя) и выбранный ранее пароль. После чего можно запросить сертификат X.509. Понадобится указать тип браузера и почтового клиента (например, Internet Explorer и Outlook). После этого потребуется ответить на запросы системы, касающиеся генерации ключей (разрешить выполнение ActiveX элемента, выбрать криптопровайдер, разрешить генерацию).

После завершения этого этапа на почтовый адрес будут выслано второе письмо, подтверждающее запрос сертификата. А спустя некоторое время - третье, со ссылкой для получения сертификата.

Пройдя по ссылке, надо будет снова ввести имя и пароль и на странице нажать кнопку "Install Your Cert" и согласиться с добавлением сертификата.

В результате в оснастке Сертификаты появится личный сертификат выпущенный издателем Thawte Personal Freemail Issuing CA для субъекта Thawte Freemail Member с указанным вами адресом почты (рисунок 5).

100

Если использовать сертификат для защиты почты, дальнейшая настройка зависит от почтового клиента. Если это Microsoft Outlook, можно использовать встроенную в него поддержку протокола S/MIME. В Outlook 2003 для выбора сертификата надо войти в меню Сервис —> Параметры, там выбрать вкладку Безопасность и там в параметрах шифрованной электронной почты выбрать используемый сертификат и алгоритмы (рисунок 6).

Рисунок 5 Полученный сертификат

Рисунок 6 Выбор сертификата для защиты почты с помощью S/MIME в Outlook

Задание

Запросите сертификат в Thawte и настройте почтовый клиент для использования S/MIME.

Ответ на задание про сертификат на сайте Tele2

101

Проблема была в том, что сертификат "самоподписанный": он был выдан центром сертификации www.selfcare.tele2.ru самому себе. Браузер сообщает о невозможности удостовериться в подлинности узла из-за того, что данный центр сертификации отсутствует в списке доверенных, а проверить его подлинность с помощью "вышестоящего" по иерархии центра не представляется возможным (т.к. вышестоящего центра нет).

Доверять или нет такому сертификату - каждый решает самостоятельно.

102

Практическая работа 6 Создание центра сертификации (удостоверяющего центра) в Windows Server 2008

Предыдущая лабораторная работа была посвящена вопросам использования цифровых сертификатов X.509 конечными пользователями. А сейчас мы рассмотрим возможности, которые предоставляет Windows Server 2008 по созданию собственно центра сертификации (Certification Authority - CA) на предприятии.

Соответствующие службы присутствовали в серверных операционных системах семейства Windows, начиная с Windows 2000 Server.

В Windows Server 2008 для того, чтобы сервер смог работать как центр сертификации, требуется сначала добавить серверу роль Active Directory Certificate Services. Делается это помощью оснастки Server Manager, которую можно запустить из раздела Administrative Tools в стартовом меню.

В Server Manager раскроем список ролей и выберем добавление роли (Add Roles) – рисунок 1.

Рисунок 1 Добавление роли

В нашем примере, роль добавляется серверу, являющемуся членом домена Windows. Так как это первый CA в домене, он в нашей сети будет играть роль корневого (Root). Рассмотрим по шагам процедуру установки.

В списке доступных ролей выбираем требующуюся нам (Active Directory Certificate Services) и нажимаем Next (рис. 7.2). После этого запускается мастер, который сопровождает процесс установки.

103

В дополнение к обязательному компоненту "Certification Authority", могут быть установлены дополнительные средства, предоставляющие web-интерфейс для работы пользователей с CA (рис. 7.3). Это может понадобиться, например, для выдачи сертификатов удаленным или внешним, не зарегистрированным в домене, пользователям. Для выполнения данной лабораторной работы это не понадобится.

Рисунок 2 Выбор добавляемой роли

104

Рисунок 3 Выбор устанавливаемых компонент

Следующий шаг - определения типа центра сертификации. Он может быть корпоративным (Enterprise) или отдельностоящим (Standalone) - рисунке 4. Разница заключается в том, что Enterprise CA может быть установлен только на сервер, являющийся членом домена, т.к. для его работы требуется служба каталога Active Directory. Standalone CA может работать вне домена, например, обрабатывая запросы пользователей, полученные через web-интерфейс. Для выполнения лабораторной работы нужно выбрать версию Enterprise.

Следующее окно мастера позволяет определить, создается корневой (Root) или подчиненный (Subordinate) CA – рисунок 5. В нашем примере создаваемый CA является первым и единственным, поэтому выбираем вариант Root.

105

Рисунок 4 Выбор типа центра сертификации

Рисунок 5 Выбор типа центра сертификации (продолжение)Создаваемый центр сертификации должен будет использовать при работе

как минимум одну ключевую пару - открытый и секретный ключ (иначе он не сможет подписывать выпускаемые сертификаты). Поэтому для продолжения

106

установки мастер запрашивает, нужно ли создать новый секретный ключ или будет использоваться уже существующий (тогда надо будет указать, какой ключ использовать). В нашем примере надо создать новый ключ. При этом, потребуется выбрать "криптографический провайдер" (программный модуль, реализующий криптоалгоритмы) и алгоритм хеширования. Согласимся с настройками по умолчанию (рисунок 6).

Рисунок 6.  Выбор криптографического провайдера и алгоритма хеширования

Далее потребуется указать имя CA, размещение базы сертификатов и лог-файлов, и подтвердить сделанные настройки. После этого, роль будет установлена.

Задание

На учебном сервере или виртуальной машине установите роль Active Directory Certificate Services с настройками, аналогичными рассмотренным выше.

Управлять работой CA можно из оснастки Certification Authority, которая должна появиться в разделе Administrative Tools (рисунок 7).

107

Рисунок 7 Управление центром сертификацииКак видно на рисунке, только что установленный Enterprise CA уже

выпустил некоторое количество сертификатов для служебных целей (в частности, сертификаты контроллеров домена). В свойствах данного сервера (пункт Properties контекстного меню) можно посмотреть сделанные настройки. В частности, если выбрать закладку Policy Module и там нажать кнопку Properties, можно увидеть текущую настройку, определяющую порядок выдачи сертификатов (рисунок 8).

108

Рисунок 8 Настройки, определяющие порядок выпуска сертификатов

В выбранном на рисунке случае, после запроса сертификат выдается в соответствии с настройками шаблона сертификата (или автоматически, если настроек нет). Возможен вариант, когда запрос помещается в очередь ожидающих, и сертификат выпускается только после утверждения администратором.

Задание

Ознакомьтесь с текущими настройками центра сертификации.Опишите, какие шаблоны сертификатов (Certificate Templates)

определены и для каких целей служит каждый тип сертификатов.Посмотрите, какие сертификаты выпущены (Issued Certificates), есть ли

отозванные сертификаты (Revoked Certificates).Теперь рассмотрим процесс получения цифрового сертификата. Сделать

это можно с помощью оснастки Certificates, с которой мы познакомились в лабораторной № 6. Если она не установлена, запустите консоль mmc и добавьте эту оснастку для текущей учетной записи.

Запустим оснастку, откроем раздел, посвященный сертификатам пользователя (Personal) и запросим сертификат (рисунок 9). Из перечня предложенных шаблонов сертификатов выберем User. Данный тип сертификатов может использоваться для шифрования файлов с помощью EFS, защиты электронной почты и аутентификации пользователей.

Для пользователя будет сгенерирована ключевая пара, и на основе данных, взятых из базы службы Active Directory и шаблона, будет выпущен сертификат, удостоверяющий открытый ключ.

109

Этот сертификат будет виден и в оснастке Certification Authority, в списке выпущенных данным сервером.

Рисунок 9 Запрос сертификатаЗадание

1. Запросите сертификат для одного из пользователей.2. После получения, изучите состав сертификата, его назначение.Выполните экспорт сертификата (в оснастке Certificates выделите

сертификат и в контекстном меню выберите All Tasks —> Export). Обратите внимание, что можно экспортировать только сертификат или сертификат вместе с секретным ключом (private key). Второй вариант надо использовать аккуратно, чтобы кто-нибудь не узнал ваш секретный ключ шифрования. Такой тип экспорта нужен, если вы хотите сохранить резервную копию ключевой пары и сертификата.

110

Практическая работа 7 Шифрование данных при хранении – EFS

Шифрующая файловая система (Encrypting File System - EFS) появилась в операционных системах семейства Windows, начиная с Windows 2000. Она позволяет шифровать отдельные папки и файлы на томах с файловой системой NTFS. Рассмотрим этот механизм подробнее.

Сначала несколько слов о рисках, которые можно снизить, внедрив данный механизм. Повышение мобильности пользователей приводит к тому, что большое количество конфиденциальных данных (предприятий или личных) оказывается на дисках ноутбуков, на съемных носителях и т.д. Вероятность того, что подобное устройство будет украдено или временно попадет в чужие руки, существенно выше чем, например, для жесткого диска корпоративного персонального компьютера (хотя и в этом случае, возможны кражи или копирование содержимого накопителей). Если данные хранить в зашифрованном виде, то даже если носитель украден, конфиденциальность данных нарушена не будет. В этом и заключается цель использования EFS.

Следует учитывать, что для передачи по сети, зашифрованный EFS файл будет расшифрован, и для защиты данных в этих случаях надо использовать дополнительные механизмы.

Рассмотрим работу EFS. Пусть, у нас имеется сервер Windows Server 2008, входящий в домен, и три учетные записи, обладающие административными правами на сервере (одна из них - встроенная административная запись Administrator).

Пользователь User1 хочет защитить конфиденциальные файлы. Тут надо отметить, что хотя шифровать с помощью EFS можно и отдельные файлы, рекомендуется применять шифрование целиком к папке.

User1 с помощью оснастки Certificates запрашивает сертификат (можно выбрать шаблон User или Basic EFS). Теперь у него появляется ключевая пара и сертификат открытого ключа, и можно приступать к шифрованию.

Чтобы зашифровать папку, в ее свойствах на вкладке General нажимаем кнопку Advanced и получаем доступ к атрибуту, указывающему на шифрование файла.

111

Рисунок1 В свойствах папки устанавливаем шифрование

Работа EFS организована так, что одновременно сжатие и шифрование файлов и папок осуществляться не может. Поэтому нельзя разом установить атрибуты Compress contents to save disk и Encrypt contents to secure data (рисунок 1).

При настройках по умолчанию, зашифрованная папка выделяется в проводнике зеленым цветом. Для зашифровавшего файл пользователя порядок работы с ним не изменится.

Теперь выполним "переключение пользователей" и зайдем в систему под другой учетной записью, обладающей административными правами, но не являющейся встроенной административной записью. Пусть это будет User2.

Несмотря на то, что User2 имеет такие же разрешения на доступ к файлу, что и User1, прочитать он его не сможет (рисунок 2).

Также он не сможет его скопировать, т.к. для этого надо расшифровать файл. Но надо учитывать, что User2 может удалить или переименовать файл или папку.

Рисунок 2 Другой пользователь прочитать файл не сможет

Задание

4. Работая под первой учетной записью, запросите сертификат (если он не был получен ранее), после чего зашифруйте папку с тестовым файлом, который не жалко потерять. Проверьте, что будет происходить при добавлении файлов, переименовании папки, копировании ее на другой диск с файловой системой NFTS на том же компьютере, копировании папки на сетевой диск или диск с FAT.5. Убедитесь, что другой пользователь не сможет прочитать зашифрованный файл.

112

6. Снова зайдите под первой учетной записью. В оснастке Certificates, удалите сертификат пользователя (несмотря на выдаваемые системой предупреждения). Завершите сессию пользователя в системе и войдите заново. Попробуйте открыть зашифрованный файл.

Как вы убедились, если сертификат и соответствующая ему ключевая пара удалены, пользователь не сможет прочитать зашифрованные им же данные. В частности поэтому, в EFS введена роль агента восстановления. Он может расшифровать зашифрованные другими пользователями данные.

Реализуется это примерно следующим образом. Файл шифруется с помощью симметричного криптоалгоритма на сгенерированном системой случайном ключе (назовем его K1). Ключ K1 шифруется на открытом ключе пользователя, взятом из сертификата, и хранится вместе с зашифрованным файлом. Также хранится K1, зашифрованный на открытом ключе агента восстановления. Теперь либо пользователь, осуществлявший шифрование, либо агент восстановления могут файл расшифровать.

При настройке по умолчанию роль агента восстановления играет встроенная учетная запись администратора (локального, если компьютер не в домене, или доменная).

Задание

Зайдите в систему под встроенной учетной записью администратора и расшифруйте папку.

То, какой пользователь является агентом восстановления, задается с помощью групповых политик. Запустим оснастку Group Policy Management. В политике домена найдем группу Public Key Policies и там Encrypting File System, где указан сертификат агента восстановления (рис. 8.3). Редактируя политику (пункт Edit в контекстном меню, далее Policies —> Windows Settings —> Security Settings —> Public Key Policies —> Encrypting File System), можно отказаться от присутствия агентов восстановления в системе или наоборот, указать более одного агента (рисунок 4).

113

Рисунок 3 Агент восстановления

Рисунок 4 Изменение агента восстановления

Задание

4. Отредактируйте политику таким образом, чтобы убрать из системы агента восстановления (удалите в политике сертификат). Выполнив команду "gpupdate /force" (меню Start—>run—> gpupdate /force) примените политику.

114

5. Повторив действия из предыдущих заданий, убедитесь, что теперь только тот пользователь, который зашифровал файл, может его расшифровать.6. Теперь вернем в систему агента восстановления, но будем использовать новый сертификат. В редакторе политик находим политику Encrypting File System и в контекстном меню выбираем Create Data Recovery Agent. Это приведет к тому, что пользователь Administrator получит новый сертификат и с этого момента сможет восстанавливать шифруемые файлы.

Теперь рассмотрим, как можно предоставить доступ к зашифрованному файлу более чем одному пользователю. Такая настройка возможна, но делается она для каждого файла в отдельности.

В свойствах зашифрованного файла откроем окно с дополнительными параметрами, аналогичное представленному на рис. 8.1 для папки. Если нажать кнопку Details, будут выведены подробности относительно того, кто может получить доступ к файлу. На рис. 8.5 видно, что в данный момент это пользователь User1 и агент восстановления Administrator. Нажав кнопку Add можно указать сертификаты других пользователей, которым предоставляется доступ к файлу.

Рисунок 5 Данные о пользователях, которые могут расшифровать файл

Задание

Зашифруйте файл. Предоставьте другому пользователю, не являющемуся агентом восстановления, возможность также расшифровать данный файл. Проверьте работу выполненных настроек.

115

Практическая работа 8. Резервное копирование в Windows Server 2008

Цель данной лабораторной работы - познакомиться со средствами организации резервного копирования в операционной системе Microsoft Windows Server 2008.

С точки зрения управления рисками, важность процедуры резервного копирования очень высока. В тех случаях, когда реализация угрозы приводит к изменению или удалению данных, повреждению программных компонент системы, резервное копирование позволяет снизить причиненный ущерб и значительно ускорить восстановление системы.

При разработке политики резервного копирования нужно определить, как минимум, следующие параметры:

частоту выполнения резервных копий; порядок восстановления данных из резервных копий; объем носителей информации, выделяемых для хранения резервных копий; количество хранимых копий; вопросы обеспечения безопасности носителей резервных копий.Утилиты резервного копирования Windows Server 2008 существенно

отличаются от того, что было в Windows Server 2003 (где эти задачи решались с помощью утилиты ntbackup). Чтобы их использовать, для начала требуется их установить (по умолчанию, они не устанавливаются). Делается это с помощью оснастки Server Manager, где надо выбрать пункт Add Feature в разделе Features (рисунок 1) и в появившемся списке выбрать пункт Windows Server Backup Features (рисунок 2.).

116

Рисунок 1 Оснастка Server Manager позволяет добавить компоненты

Как видно на рисунке 2, предлагается выбрать следующие опции: Windows Server Backup; Command-line tools (утилиты командной строки).Установка последних, позволяет управлять резервным копированием с

помощью сценариев и требует установки Windows PowerShell. Но для выполнения лабораторной будет достаточно установить только Windows Server Backup.

Рисунок 2 Добавляем утилиты администрирования

После установки, в меню Administrative Tools становится доступной оснастка Windows Server Backup. С ее помощью можно проводить резервное копирование данных на локальном или удаленном компьютере (если это разрешено настройками).

Рассмотрим, как это происходит. Запустим утилиту. Резервное копирование может проводить пользователь, состоящий в группе Administrators (Администраторы) или Backup Operators (Операторы архива). При этом, у членов группы Backup Operators при запуске оснастки Windows Server Backup будет дополнительно запрашиваться пароль (в окне User Account Control), т.к. эти операции относятся к разряду потенциально опасных.

В окне оснастки в списке доступных действий (Actions), расположенном в правой части экрана, выберем опцию Backup Once … (т.е. однократная архивация). Запустившийся мастер резервного копирования предложит выбор между настройками для уже запланированного копирования (The same options

117

that you used in the Backup Schedule Wizard for scheduled backups) и новыми (Different options). Нужно выбрать второй вариант (если, как в нашем примере, утилита ранее не использовалась, то первый пункт списка будет неактивен).

Следующее окно мастера позволяет выбрать, производить ли полное резервное копирование или копирование отдельных разделов (рисунок 3). Здесь проявляется первое отличие новых инструментов - резервное копирование отдельных папок и файлов производить нельзя, только логический диск целиком.

Хотелось бы также обратить внимание на надпись в нижней части экрана, там дается ссылка на раздел справки, описывающий выполнение с помощью утилиты командной строки резервного копирования только состояния системы (System State).

Выберем вариант Custom. Тогда на следующем экране появится список дисков (рисунок 4).

Устанавливая или снимая отметки, можно указать, данные с каких дисков помещаются в резервную копию. Опция Enable System Recovery включает в архив разделы, где находятся компоненты операционной системы и файлы необходимые для загрузки (т.е. отметку напротив этих разделов будет не снять).

Предположим, нам нужно сделать резервную копию диска E:, на котором находятся пользовательские данные. Тогда отметки устанавливаем так, как это сделано на рис. 10.4 и переходим к следующей стадии, на которой нужно определить, куда будет производиться копирование. Это может быть локальный диск (жесткий диск, пишущий DVD-привод и т.д.) или сетевая папка. Надо учитывать, что архивная копия не может сохраняться на диск, входящий в перечень архивируемых. Также нельзя сохранить архив на диск, где хранятся файлы операционной системы

118

Рисунок 3 Выбор между полным резервным копированием и копированием отдельных дисков

Рисунок 4 Выбор дисков для резервного копирования119

Учитывая все вышеизложенное, в рассматриваемом примере можно сделать резервную копию диска E: на диск F:, в сетевую папку или на DVD-диск. Выберем первый вариант, что и укажем в следующем окне мастера. После чего будет предложено выбрать тип резервного копирования (рисунок 5).

Рисунок 5 Выбор типа копирования

Служба Volume Shadow Copy Service (VSS) может при резервном копировании отмечать файлы, как помещенные в архив, или не делать это. Если кроме средств Windows Server 2008 используются и другие продукты для резервного копирования, рекомендуется выбрать вариант VSS copy backup. Если такого нет, можно смело выбирать вариант VSS full backup.

В следующем окне мастера будет запрошено подтверждение и, если оно получено, запустится резервное копирование.

В результате, в нашем примере на диске F: появится каталог WindowsImageBackup, в нем будет создан подкаталог, названный по имени архивируемого сервера, куда и попадет копия.

Задание

1. На учебном сервере (или виртуальной машине) выберите раздел для резервного копирования.2. С учетом рассмотренных ограничений и объема копируемого раздела, выберите место для размещения копии. Определите, от имени какой учетной записи будет проводиться эта операция.3. Выполните однократное резервное копирование выбранного раздела.

120

Теперь рассмотрим порядок восстановления данных из резервной копии.В первой части лабораторной работы была сделана резервная копия

раздела E:. Пусть понадобилось восстановить содержимое одной из папок из этого раздела. При этом требуется сравнить текущее содержимое папки с архивной копией, т.е. восстанавливать нужно в другую папку.

Запускаем оснастку Windows Server Backup и в списке Actions выбираем Recover (восстановление). Мастер восстановления уточняет, какой сервер будет восстанавливаться, после чего представит перечень имеющихся резервных копий (рисунок 6).

Рисунок 6 Перечень доступных резервных копий для выбранного сервера

В следующем окне запрашивается, что именно восстанавливается. Нас интересует отдельная папка, потому выбираем вариант Files and folders (рисунок 7). Другие варианты - восстановление зарегистрированных приложений и восстановление раздела диска целиком.

121

Рисунок 7 Выбор типа восстановления

В следующем окне мастера в выпадающем списке нужно найти и выделить выбранную для восстановления папку. Если восстановить нужно несколько объектов, их выделяют совместно, удерживая клавишу Ctrl (или Shift для выделения диапазона). После этого выбирается путь для восстановления и задаются параметры. В нашем примере, мы хотим восстановить выбранную папку с файлами во вновь созданную папку restored (рисунок 8).

122

Рисунок 8 Параметры восстановления

Кроме пути (исходный или альтернативный), выбирается вариант действий при совпадении имен файлов и папок. Это особенно актуально, если восстанавливать файлы в исходную папку. Вариантов три - создавать копии, перезаписывать имеющиеся объекты восстанавливаемыми, оставить имеющиеся объекты.

Последний из выбираемых в этом окне параметров указывает на то, восстанавливать ли настройки безопасности (т.е. списки доступа к файлам).

После выбора всех параметров будет запрошено подтверждение и начнется восстановление.

Задание

Выберите из архива, созданного в предыдущей части работы, группу файлов для восстановления. Восстановите их в первый раз по исходному пути с сохранением копий, во второй раз - по альтернативному пути. Опишите, в чем разница в полученных результатах.

Теперь рассмотрим организацию резервного копирования по расписанию. Для этого в Windows Server Backup выберем опцию Backup Schedule. Первое окно запустившегося мастера информирует, что прежде чем устанавливать резервное копирование по расписанию, нужно определить:

что будет копироваться (полное резервное копирование сервера или отдельные диски); как часто надо проводить копирование; где размещать копии.

123

При этом надо учитывать:1. даже при выборе резервного копирования отдельных разделов, в их список обязательно должен быть внесен раздел (-ы) с операционной системой;2. копирование может выполняться один или несколько раз в день;3. для хранения результатов резервного копирования должен выделяться отдельный диск, внутренний или внешний (например, подключаемый по USB). Перед началом использования, он будет отформатирован мастером архивации. Рекомендуется, чтобы он был не менее чем в 1,5 раза больше по объему, чем архивируемые диски.

Пусть требуется ежедневно делать резервное копирование диска раздела с операционной системой. В окне мастера аналогичном рис. 10.3, выбираем вариант Custom, в окне аналогичном рис. 10.4 - диск C (на котором расположена операционная система). Указываем расписание (рис. 10.9).

Рисунок 9 Расписание резервного копирования

Дальше определяется диск (рисунок 10), он может быть не отформатирован. Диску будет назначена метка с названием сервера и датой определения резервного копирования, после чего будет проведено форматирование. Диску не назначается буква и он не будет доступен пользователям как обычный диск.

124

Рисунок 10 Диск для хранения резервных копийКогда работа по настройке автоматической архивации завершена, можно

сделать дополнительные настройки, повышающие быстродействие для отдельных дисков. Для этого в списке Actions в оснастке Windows Server Backup выберите пункт Configure Performance Settings. В открывшемся окне (рисунок 11) можно установить, какой тип резервного копирования производить для диска - полное (full) или добавочное (Incremental). По умолчанию используется полное. Добавочное помещает в архив только измененные с момента последнего архивирования файлы, это позволяет провести резервное копирование быстрее, но более существенно снижает производительность сервера в период копирования (т.к. надо проводить проверку).

125

Рисунок 11 Выбор типа резервного копирования для дискаПорядок восстановления такой же, как и при однократном копировании.Кстати, посмотреть параметры запланированного резервного

копирования можно с помощью оснастки Task Scheduler (рисунок 12).

Рисунок 12 Параметры созданного задания

126

Задание

Разработайте и реализуйте план ежедневного резервного копирования раздела с операционной системой.

При выполнении лабораторной работы на виртуальной машине для хранения резервных копий можно подключить дополнительный виртуальный диск (настройка делается в свойствах виртуальной машины, когда она не запущена). При выполнении работы на учебном севере, заранее определите физический диск, на который можно сохранить копии (диск не должен содержать полезных данных, т.к. он будет отформатирован!).

Выберите такое время создания копии, чтобы результат можно было увидеть в ходе выполнения лабораторной.

После создания копии, восстановите какой-либо из файлов.Используя опцию Backup Schedule оснастки Windows Server Backup,

удалите запланированное задание на резервное копирование.

127

Заключение

Квалификация «Техник по защите информации».Должностные обязанности. Участвует в работе по обеспечению

информационной безопасности исследований и разработок, соблюдению государственной тайны. Осуществляет проверку технического состояния, установку, наладку и регулировку аппаратуры и приборов, их профилактические осмотры и текущий ремонт. Выполняет работы по эксплуатации средств защиты и контроля информации, следит за работой аппаратуры и другого оборудования. Ведет учет работ и объектов, подлежащих защите, установленных технических средств, журналы нарушений их работы, справочники. Готовит технические средства для проведения всех видов плановых и внеплановых контрольных проверок, аттестации оборудования, а также в случае необходимости к сдаче в ремонт. Проводит наблюдения, выполняет работу по оформлению протоколов специальных измерений и другой технической документации, в том числе отчетной, связанной с эксплуатацией средств и контроля информации. Выполняет необходимые расчеты, анализирует и обобщает результаты, составляет технические отчеты и оперативные сведения. Определяет причины отказов в работе технических средств, готовит предложения по их устранению и предупреждению, обеспечению высокого качества и надежности используемого оборудования, повышению эффективности мероприятий по контролю и защите информации. Участвует во внедрении разработанных технических решений и проектов, оказании технической помощи при изготовлении, монтаже, наладке, испытаниях и эксплуатации проектируемой аппаратуры.

Должен знать: руководящие, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации и соблюдением государственной тайны; специализацию учреждения, организации, предприятия и особенности их деятельности; методы и технические средства, используемые в целях обеспечения защиты информации; требования, предъявляемые к выполняемой работе; терминологию, применяемую в специальной литературе по профилю работы; принципы работы и правила эксплуатации технических средств получения, обработки, передачи, отображения и хранения информации, аппаратуры контроля, защиты и другого оборудования, используемого при проведении работ по защите информации, организацию их ремонтного обслуживания; методы измерений, контроля и технических расчетов; порядок оформления технической документации по защите информации; инструкции по соблюдению режима проведения специальных работ; отечественный и зарубежный опыт в области технической разведки и защиты информации; основы экономики, организации производства, труда и управления; основы трудового законодательства; правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.

Требования к квалификации. Техник по защите информации I категории: среднее профессиональное образование и стаж работы в должности техника по защите информации II категории не менее 2 лет.

128

Техник по защите информации II категории: среднее профессиональное образование и стаж работы в должности техника по защите информации или других должностях, замещаемых специалистами со средним профессиональным образованием, не менее 2 лет.

Техник по защите информации: среднее профессиональное образование без предъявления требований к стажу работы.

129