Криптология

Все записи блога

skzi

Модернизация СТБ 34.101.27

05.05.2017 Администратор

Действующий стандарт СТБ 34.101.27 определяет требования к программным СКЗИ (средствам криптографической защиты информации). Проект Skzi, открытый нами на площадке Github, сопровождает разработку новой редакции СТБ 34.101.27.

В новой редакции мы хотим:

  1. Ввести требования безопасности не только к программным, но и к аппаратным СКЗИ. 
  2. Уточнить классификацию СКЗИ, ввести новые классы (по сути, уровни безопасности).
  3. Ввести пакеты – опциональные группы консолидированных тематических требований.
  4. Уточнить действующие требования, учитывая практику применения СТБ 34.101.27.

Мы считаем, что требование безопасности должно быть компромиссом между заказчиком, разработчиком и экспертом.

Заказчик СКЗИ опасается за безопасность своих информационных систем и их пользователей. Заказчик заинтересован в максимально жестких требованиях. Во многих случаях он не полагается на дисциплинированность пользователей и пытается максимально автоматизировать средства защиты, исключив так называемые оргмеры. При этом заказчик не забывает об удобстве работы, например, не заставляет пользователей использовать длинные заведомо незапоминаемые пароли и менять их каждые две недели.

Разработчику СКЗИ важно, чтобы требования были понятны и технологически реализуемы. Разработчик не принимает декларации типа "генератор случайных чисел, который используется для построения ключей, должен выдавать реализации независимых случайных величин с равномерным распределением на {0,1}".

esign3.0

ЭЦП 3.0

20.04.2017 Администратор

Мы завершаем серию публикаций, посвященных инфраструктурам открытых ключей и технологии ЭЦП в целом. Вот ссылки на предыдущие части:

  1. ГосСУОК.
  2. Граф доверия.
  3. Динамика доверия.
  4. Аттестаты.
  5. Расширенная ЭЦП.
  6. Процессы выработки и проверки РЭЦП.

Закон об ЭЦП был принят в нашей стране в 1999 году. Раньше чем в США, РФ и странах Западной Европы. Закон решил главную задачу – он объявил электронные документы, т.е. документы с ЭЦП, юридическими значимыми. Для этого было достаточно, чтобы генерация личного ключа и выработка подписи выполнялись с помощью сертифицированного средства ЭЦП.

sig_vfy

Процессы выработки и проверки РЭЦП

20.04.2017 Администратор

[продолжение, предыдущая часть]

Процессы управления расширенной подписью намного сложнее процессов управления обычной.

Во-первых, к процессам выработки и проверки добавляется процесс дополнения подписи новыми неподписанными атрибутами. Дополнение, как мы уже говорили, может выполнять не только подписант, но и верификатор. Дополняемые атрибуты – это в основном аттестаты, которые облегчают проверку подписи или других аттестатов. 

Во-вторых, усложняется и детализируется процесс выработки подписи (см. рисунок). Вырабатывать подпись средству ЭЦП помогает специальная программа. Она передает средству документ, который требуется подписать, организует взаимодействие между средством и подписантом. В совокупности средство ЭЦП и программа составляют систему выработки подписи. С этой системой, в свою очередь, взаимодействует прикладная программа. Именно здесь готовится подписываемый документ, формируются атрибуты, аттестаты и прочие данные, необходимые для выработки РЭЦП. Подготовленные данные передаются системе. Перечень передаваемых данных определяется политикой выработки подписи. Политика описывается специальным документом, задается конфигурационными файлами прикладной программы или жестко фиксируется в ее коде. Политика определяет формат подписи (CAdES, XAdES или PAdES), задает профиль, определяет размещение подписи (вложенная, обертывающая или отделенная).

В-третьих, усложняется процесс проверки подписи.

ades

Расширенная ЭЦП

19.04.2017 Администратор

[продолжение, предыдущая часть]

Электронная цифровая подпись (ЭЦП) предназначена для контроля целостности и подлинности сообщений. Автор сообщения использует свой личный ключ для выработки ЭЦП, а связанный с личным ключом открытый ключ используется другими сторонами для проверки ЭЦП. При правильном управлении ключами корректность проверяемой подписи означает, что она была выработана владельцем личного ключа и после этого сообщение не изменялось. Только владелец личного ключа может выработать корректную ЭЦП, что не позволяет ему отказаться от авторства сообщения и может быть использовано другими сторонами для доказательства такого авторства.

Мы привели цитату из СТБ 34.101.45 (Bign). Кратко сказанное означает, что ЭЦП – это доказательство целостности и подлинности сообщения (документа). Доказательство, от которого нельзя отказаться.

В современной криптографии имеется разветвленная система доказательств различных фактов и свойств. От доказательства хранения файла на облачном сервере до доказательства вычислительной работы (proof-of-work) в Bitcoin. ЭЦП строится как доказательство владения личным ключом применительно к подписываемому документу. Во многих случаях, одним из которых является Bign, ЭЦП – это доказательство с нулевым разглашением: подпись не содержит информации о личном ключе.

Личный ключ – это уникальный идентификатор подписанта в цифровом мире, открытый ключ – это ссылка на личный. Фраза "при правильном управлении ключами" из приведенной цитаты очень важна.

val_data

Аттестаты

18.04.2017 Администратор

[продолжение, предыдущая часть]

Аттестат – это утверждение, заверенное электронной цифровой подписью службы ИОК или зафиксированное во внутреннем журнале службы. Это утверждение о стороне ИОК или о данных, циркулирующих в ИОК, в том числе о других аттестатах. Проводя аналогию с реальным миром, аттестат – это справка. Справка о чем угодно: о человеке, об организации, о другой справке. Система аттестатов – это сложная разветвленная бюрократия, аналогом которой собственно и является ИОК государственного уровня.

Введенный нами термин "аттестат" не является окончательным. Пока он кажется подходящим, но вполне может быть изменен, если будет предложена более удачная альтернатива.

На рисунке приводится классификация аттестатов, рассмотренных выше и определяемых далее.

Сертификат открытого ключа (СОК) связывает имя Алисы с ее личным ключом. Как мы уже говорили, личный ключ уникально идентифицирует Алису в цифровом мире. Поэтому, продолжая аналогию со справками, СОК – это цифровой паспорт Алисы. Или даже ее пропуск в цифровой мир. Кстати, перед выпуском пропуска Регистрационный центр (еще одна служба ИОК) обычно проверяет паспортные данные Алисы, и речь при этом идет не о цифровом, а об обычном бумажном паспорте.

Бумажный паспорт является серьезным долговременным аттестатом. В период его действия Алиса может получать временные полномочия, и эти полномочия будут отражаться в ее краткосрочных аттестатах.

Математическая статистика

Все записи блога

cdam

XI Международная научная конференция «Компьютерный анализ данных и моделирование: Теоретическая и прикладная стохастика»

26.09.2016 Администратор

В период с 6 по 10 сентября 2016 г. в соответствии со «Сводным тематическим планом проведения научных и научно-технических мероприятий Республики Беларусь на 2016 год» и «Перечнем конференций Международного Института Математической статистики (International Statistical Institute)» на базе Белорусского государственного университета была проведена XI Международная научная конференция «Компьютерный анализ данных и моделирование: Теоретическая и прикладная стохастика».

Новости
20.02.2018
План семинара весна 2018
09.10.2017
Белорусско-Индийский мини-семинар
27.09.2017
План семинара осень 2017
23.05.2017
XХII научно-практическая конференция «Комплексная защита информации»
31.03.2017
ITSecurity-2017
22.02.2017
Ввод в действие новой редакции СТБ 34.101.47
21.02.2017
План семинара весна 2017
20.01.2017
Итоги NSUCRYPTO-2016
24.10.2016
План семинара осень 2016