Информационная безопасность коммерческих систем

Широкое распространение  интеллектуальных карт (смарт-карт) для разнообразных коммерческих, гражданских и военных применений (кредитные карты, карты социального страхования карты доступа в охраняемое помещение, компьютерные пароли и ключи и т.п.) потребовало обеспечения безопасной идентификации таких карт и их владельцев. Во многих приложениях главная проблема заключается в том, чтобы при предъявлении интеллектуальной карты оперативно обнаружить обман и отказать обманщику в допуске, ответе или обслуживании.

Для безопасного использование интеллектуальных карт разработаны протоколы идентификации с нулевой передачей знаний. Секретный ключ владельца карты становится неотъемлемым признаком его личности. Доказательство знания этого секретного ключа с нулевой передачей этого знания служит доказательством подлинности личности владельца карты.

 

§3.4. Упрощенная схема идентификации с нулевой передачей знаний

 

Рассмотрим сначала упрощенный вариант схемы идентификации с нулевой передачей знаний для более четкого выявления ее основной концепции. Прежде всего выбирают случайное значение модуля n, который является произведением двух больших простых чисел. Модуль n должен иметь длину 512..1024 бит. Это значение n может быть представлено группе пользователей, которым придется доказывать свою подлинность. В процессе идентификации участвуют две стороны:

• сторона А, доказывающая свою подлинность,
• сторона В, проверяющая представляемое стороной А доказательство.

Для того чтобы сгенерировать  открытый и секретный ключи для  стороны А, доверенный арбитр (Центр) выбирает некоторое число V, которое является квадратичным вычетом по модулю n. Иначе говоря, выбирается такое число V, что сравнение

 

х² ≡ V(mod n)

 

 имеет решение и  существует целое число

 

V^-1 mod n.

 

Выбранное значение V является открытый ключом для А. Затем вычисляют наименьшее значение S, для которого

S ≡ sqrt (V^-1)(mod n)

 

Это значение S является секретным ключом для А.

Теперь можно приступить к выполнению протокола идентификации.

1. Сторона А выбирает некоторое случайное число r, r < n. Затем она вычисляет

 

x=r²mod n

 

и отправляет х стороне В.

2. Сторона В посылает А случайный бит b.
3. Если b = 0, тогда А отправляет r стороне В. Если b = 1, то А 
   отправляет стороне В

 

у = r * S mod n.

 

4. Если b = 0, сторона В проверяет, что

 

х = r² mod n,

 

чтобы убедиться, что А знает sqrt(x). Если b = 1, сторона В проверяет, что

 

х = у² * V mod n,

 

чтобы быть уверенной, что А знает sqrt(V^-1).

Эти шаги образуют один цикл протокола, называемый аккредитацией. Стороны А и В повторяют этот цикл t раз при разных случайных значениях r и b до тех пор, пока В не убедится, что А знает значение S.

Если сторона А не знает значения S, она может выбрать такое значение r, которое позвонит ей обмануть сторону В, если В отправит ей b = 0, либо А может выбрать такое r, которое позволит обмануть В, если В отправит ей b = 1. Но этого невозможно сделать в обоих случаях. Вероятность того, что А обманет В в одном цикле, составляет 1/2. Вероятность обмануть В в t циклах равна (1/2)^t.

Для того чтобы этот протокой работал, сторона А никогда не должна повторно использовать значение r. Если А поступила бы таким образом, а сторона В отправила бы стороне А на шаге 2 другой случайный бит b, то В имела бы оба ответа А. После этого В может вычислить значение S, и для А все закончено.

§3.5. Схема идентификации Гиллоу-Куискуотера

В алгоритме, разработанном Л. Гиллоу и Ж Куискуотером, обмены между сторонами А и В и аккредитации в каждом обмене доведены до абсолютного минимума – для каждого доказательства требуется только один обмен с одной аккредитацией.

Пусть сторона А – интеллектуальная карточка, которая должна доказать свою подлинность проверяющей стороне В. Идентификационная информация стороны А представляет собой битовую строку I, которая включает имя владельца карточки, срок действия, номер банковского счета и др. Фактически идентификационные данные могут занимать достаточно длинную строку, и тогда их хэшируют к значению I.

Строка I является аналогом открытого ключа. Другой открытой информацией, которую используют все карты, участвующие в данном приложении, являются модуль n и показатель степени V. Модуль n является произведением двух секретных простых чисел.

Секретным ключом стороны А является величина G, выбираемая таким образом, чтобы выполнялось соотношение

 

I * G^v ≡ 1(mod n).

 

Сторона А отправляет стороне В свои идентификационные данные I. Далее ей нужно доказать стороне В, что эти идентификационные данные принадлежат именно ей. Чтобы добиться этого, сторона А должна убедить сторону В, что ей известно значение G.

Вот протокол доказательства подлинности А без передачи стороне В значения G:

1. Сторона А выбирает случайное целое r, такое, что 1 < r ≤ n-1. Она вычисляет

 

Т = r^v mod n

 

и отправляет это значение стороне В.

2. Сторона В выбирает случайное целое d, такое, что 1 < d ≤ n-1, и отправляет это значение d стороне А.
3. Сторона А вычисляет

 

D = r * G^d mod n

 

и отправляет это значение стороне В.

4. Сторона В вычисляет значение

 

T′ = D^VI^d mod n.

 

Если

 

T ≡ T′ (mod n),

 

То проверка подлинности  успешно завершена.

Математические выкладки, использованные в этом протоколе, не очень сложны:

 

T′ = D^VI^d = (rG^d)^V I^d = r^VG^dVI^d = r^V(IG^V)^d = r^V ≡ T (mod n);

 

поскольку G вычислялось таким образом, чтобы выполнялось соотношение

 

IG^V ≡ 1(mod n).

[6]

Заключение

Банки играют огромную роль в экономической жизни  общества, их часто называют кровеносной  системой экономики. Благодаря своей  специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют  однако два аспекта, выделяющих банки из круга остальных коммерческих систем:

1. Информация  в банковских и платежных системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.

2. Она  затрагивает интересы большого  количества организаций и отдельных  лиц.

Поэтому информационная безопасность банка  — критически важное условие его  существования.

В силу этих обстоятельств, к банковским и платежным системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:

- усиления  конкуренции между банками;

- необходимости  сокращения времени на производство  расчетов;

- необходимости  улучшать сервис.

В США, странах  Западной Европы и многих других, столкнувшихся  с этой проблемой довольно давно, в настоящее время создана  целая индустрия защиты экономической  информации, включающая разработку и  производство безопасного аппаратного  и программного обеспечения, периферийных устройств, научные изыскания и  др.

Сфера информационной безопасности — наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Статистика  показывает, что подавляющее большинство  крупных организаций имеют план с правилами доступа к информации, а также план восстановления после  аварий.

Безопасность электронных платежных систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические  особенности защиты. Таким образом, организация защиты платежных систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.

Основной  вывод, который можно сделать  из анализа развития банковской отрасли, заключается в том, что автоматизация  и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения  в банковской индустрии за последние  десятилетия связаны именно с  развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный  переход на безналичные расчеты  с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.

В связи  с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список  использованной литературы

   1. http://otchetonline.ru( Дата обращения: 25.04.2012)

   2. Демин В.С. и др. Автоматизированные банковские системы./

В.С. Демин  и др.  — М. : Менатеп-Информ, 1997. – 325 с.

  3. http://studzona.com(Дата обращения: 25.04.2012)

  4. (Деднев М.А., Дыльнов Д.В., Иванов М.А. Защита информации в банковском деле и электронном бизнесе./ М.А. Деднев, Д.В. Дыльнов, М.А.  Иванов – М. : НОУ «ОЦ КУДИЦ-ОБРАЗ», 2004. – 512 с.)

5. http://mind-control.wikia.com(Дата обращения:25.04.2012)

 6. (Романец Ю. В., Тимофеев П.А. Защита информации в компьютерных системах и сетях./ Ю. В. Романец, П.А. Тимофеев – М. : Радио и связь, 2001. – 376 с)