МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
БРАТСКИЙ ЦЕЛЛЮЛОЗНО-БУМАЖНЫЙ КОЛЛЕДЖ
ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО
ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«БРАТСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
230401 «Информационные системы (по отраслям)»
МЕТОДИЧЕСКИЕ УКАЗАНИЯ
к проведению практических занятий по ПМ.04 «Организация защиты информации и процессов, обеспечение информационной безопасности» (вариативная часть) для студентов специальности «Информационные системы (по отраслям)»
Братск 2014
Составила (разработала) И.И. Сорокина, преподаватель кафедры ИСПиА
Рассмотрено на заседании кафедры ИСПиА
«_____»_____________2014г. _______________________
(Подпись зав. кафедрой)
Одобрено и утверждено редакционным советом
____________________
(Подпись председателя РС)
«_____»_____________2014г. №_____________________
Содержание
Введение 4
1. Криптографическая защита информации 6
Практическая работа №1 Симметричные алгоритмы. Шифры перестановки.
Практическая работа № 2 Потоковое и блочное шифрование
Практическая работа 3. Асимметричные алгоритмы. Шифрование данных при хранении – EFS
Практическая работа №4 Хеширование, хэш-таблицы
Практическая работа 5. ЭЦП. Использование цифровых сертификатов
Практическая работа №6. Аутентификация. Управление разрешениями на файлы и папки
Задачи для решения
2. Программно-аппаратная защита информации 38
Практическая работа№1 Менеджер паролей RoboForm. Сохранение информации для входа на сайты, в Пасскарты и их использование
Практическая работа №2 Безопасное использование WebMoney Keeper Classic
Практическая работа 3. Настройка браузера Microsoft Internet Explorer для безопасной работы
Практическая работа №4 Защита папок паролем. Программа AntiLamo.
Практическая работа №5 Освоение программных средств для работы с электронными хранилищами паролей
Практическая работа №6 Анализ характеристик устройств аутентификации
Практическая работа №7 Освоение программных средств для работы с сертификатами открытых ключей
Практическая работа №8 Разработка программы разграничения полномочий пользователей на основе парольной аутентификации
Практическая работа №9 Разработка и программная реализация криптографических алгоритмов
3. Защита информационных процессов в компьютерных системах 76
Практическая работа №1 Использование функций криптографического интерфейса Windows для защиты информации
Практическая работа №2 Защита программного обеспечения от несанкционированного использования и копирования
Практическая работа №3 Основы работы с персональным сетевым экраном фирмы «Инфотекс»
Практическая работа №4 Основы использования средств защиты от несанкционированного доступа в операционной системе Linux
Практическая работа №5 Использование цифровых сертификатов
Практическая работа №6 Создание центра сертификации (удостоверяющего центра) в Windows Server 2008
Практическая работа №7 Шифрование данных при хранении – EFS
Практическая работа №8. Резервное копирование в Windows Server 2008
Заключение 126
Введение
Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.
На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:
целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;
конфиденциальность информации;
доступность информации для всех авторизованных пользователей.
При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на обеспечение компьютерной безопасности, основными среди них являются технические, организационные и правовые.
Обеспечение безопасности информации — дорогое дело, и не только из-за затрат на закупку или установку средств защиты, но также из-за того, что трудно квалифицированно определить границы разумной безопасности и обеспечить соответствующее поддержание системы в работоспособном состоянии.
Средства зашиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ.
В методическом пособии рассматриваются общие вопросы защиты информации в автоматизированных системах обработки данных (АСОД), предмет и объекты зашиты информации, задачи защиты информации в АСОД. Рассмотрены типы преднамеренных угроз безопасности и методы защиты информации в АСОД. Рассмотрены методы и средства подтверждения подлинности пользователей и разграничения их доступа к компьютерным ресурсам, контроля доступа к аппаратуре, использования простых и динамически изменяющихся паролей, методы модификации схемы простых паролей, функциональные методы.
С повышением значимости и ценности информации соответственно растёт и важность её защиты. С одной стороны, информация стоит денег. Значит утечка или утрата информации повлечёт материальный ущерб. С другой стороны, информация – это управление. Несанкционированное вмешательство в управление может привести к катастрофическим последствиям в объекте управления – производстве, транспорте, военном деле. Например, современная военная наука утверждает, что полное лишение средств связи сводит боеспособность армии до нуля.
Защиту информации в рамках настоящего курса определим так: меры для ограничения доступа к информации для каких-либо лиц (категорий лиц), а также для удостоверения подлинности и неизменности информации.
Вторая задача может показаться слабо связанной с первой, но на самом деле это не так. В первом случае владелец информации стремится воспрепятствовать несанкционированному доступу к ней, а во втором случае – несанкционированному изменению, в то время как доступ для чтения разрешён. Как мы позже увидим, решаются эти задачи одними и теми же средствами.
В случае успешного окончания данного курса студент будет свободно ориентироваться в современной терминологии по данным темам, сможет самостоятельно выбрать применительно к своим условиям средства и методы защиты информации, сможет пользоваться любым программным обеспечением из данной области (а при наличии навыков программирования – создавать своё ПО), сможет противостоять большинству попыток несанкционированного доступа к своей информации, сможет распознать поддельный документ и самостоятельно изготовить подделку среднего уровня, будет способен преодолеть простую защиту, сумеет организовать на предприятии систему документооборота или хранения информации, исключающую её утечки.
1. Криптографическая защита информации
Практическая работа №1 Симметричные алгоритмы. Шифры перестановки.
Цель: Познакомиться с различными симметричными алгоритмами шифрования
Задание: Зашифровать свои ФИО различными способами
При шифровании перестановкой символы шифруемого текста переставляются по определенному правилу в пределах блока этого текста. Шифры перестановки являются самыми простыми и, вероятно, самыми древними шифрами.
Шифр перестановки "скитала"
Известно, что в V веке до нашей эры правители Спарты, наиболее воинственного из греческих государств, имели хорошо отработанную систему секретной военной связи и шифровали свои послания с помощью скитала, первого простейшего криптографического устройства, реализующего метод простой перестановки.
Шифрование выполнялось следующим образом. На стержень цилиндрической формы, который назывался скитала, наматывали спиралью (виток к витку) полоску пергамента и писали на ней вдоль стержня несколько строк текста сообщения, как на рисунке 1. Затем снимали со стержня полоску пергамента с написанным текстом. Буквы на этой полоске оказывались расположенными хаотично. Такой же результат можно получить, если буквы сообщения писать по кольцу не подряд, а через определенное число позиций до тех пор, пока не будет исчерпан весь текст.
Рисунок 1 Шифр "скитала"
Сообщение НАСТУПАЙТЕ при размещении его по окружности стержня по три буквы дает шифртекст
НУТАПЕСА_ТЙ
Для расшифрования такого шифртекста нужно не только знать правило шифрования, но и обладать ключом в виде стержня определенного диаметра. Зная только вид шифра, но не имея ключа, расшифровать сообщение было непросто. Шифр скитала многократно совершенствовался в последующие времена.
Шифрующие таблицы
С начала эпохи Возрождения (конец XIV столетия) начала возрождаться и криптография. Наряду с традиционными применениями криптографии в политике, дипломатии и военном деле появляются и другие задачи - защита интеллектуальной собственности от преследований инквизиции или заимствований злоумышленников. В разработанных шифрах перестановки того времени применяются шифрующие таблицы, которые в сущности задают правила перестановки букв в сообщении.
В качестве ключа в шифрующих таблицах используются:
• размер таблицы;
• слово или фраза, задающие перестановку;
• особенности структуры таблицы.
Одним из самых примитивных табличных шифров перестановки является простая перестановка, для которой ключом служит размер таблицы. Этот метод шифрования сходен с шифром скитала. Например, сообщение
ТЕРМИНАТОР ПРИБЫВАЕТ СЕДЬМОГО В ПОЛНОЧЬ
записывается в таблицу поочередно по столбцам. Результат заполнения таблицы из 5 строк и 7 столбцов показан на рисунке 2.
После заполнения таблицы текстом сообщения по столбцам для формирования шифртекста считывают содержимое таблицы по строкам.
Т
|
Н
|
П
|
В
|
Е
|
Г
|
Л
|
Е
|
А
|
Р
|
А
|
Д
|
О
|
Н
|
Р
|
Т
|
И
|
Е
|
Ь
|
В
|
О
|
М
|
О
|
Б
|
Т
|
М
|
П
|
Ч
|
И
|
Р
|
Ы
|
С
|
О
|
О
|
Ь
|
Рисунок 2 Заполнение таблицы из 5 строк и 7 столбцов
Если шифртекст записывать группами по пять букв, получается такое шифрованное сообщение:
ТНПВЕ ГЛЕАР АДОНР ТИЕЬВ ОМОБТ МПЧИР ЫСООЬ
Естественно, отправитель и получатель сообщения должны заранее условиться об общем ключе в виде размера таблицы. Следует заметить, что объединение букв шифртекста в 5-буквенные группы не входит в ключ шифра и осуществляется для удобства записи несмыслового текста. При расшифровании действия выполняют в обратном порядке.
Несколько большей стойкостью к раскрытию обладает метод шифрования, называемый одиночной перестановкой по ключу. Этот метод отличается от предыдущего тем, что столбцы таблицы переставляются по ключевому слову, фразе или набору чисел длиной в строку таблицы.
Применим в качестве ключа, например, слово
ПЕЛИКАН,
Рисунок 3 Таблицы, заполненные ключевым словом и текстом сообщения
а текст сообщения возьмем из предыдущего примера. На рисунке 3 показаны две таблицы, заполненные текстом сообщения и ключевым словом, при этом левая таблица соответствует заполнению до перестановки, а правая таблица - заполнению после перестановки.
В верхней строке левой таблицы записан ключ, а номера под буквами ключа определены в соответствии с естественным порядком соответствующих букв ключа в алфавите. Если бы в ключе встретились одинаковые буквы, они бы были понумерованы слева направо. В правой таблице столбцы переставлены в соответствии с упорядоченными номерами букв ключа.
При считывании содержимого правой таблицы по строкам и записи шифртекста группами по пять букв получим шифрованное сообщение:
ГНВЕП ЛТООА ДРНЕВ ТЕЬИО РПОТМ БЧМОР СОЫЬИ
Для обеспечения дополнительной скрытности можно повторно зашифровать сообщение, которое уже прошло шифрование. Такой метод шифрования называется двойной перестановкой. В случае двойной перестановки столбцов и строк таблицы перестановки определяются отдельно для столбцов и отдельно для строк. Сначала в таблицу записывается текст сообщения, а потом поочередно переставляются столбцы, а затем строки. При расшифровании порядок перестановок должен быть обратным.
Пример выполнения шифрования методом двойной перестановки показан на рисунке 4. Если считывать шифртекст из правой таблицы построчно блоками по четыре буквы, то получится следующее:
ТЮАЕ ООГМ РЛИП ОЬСВ
Ключом к шифру двойной перестановки служит последовательность номеров столбцов и номеров строк исходной таблицы (в нашем примере последовательности 4132 и 3142 соответственно).
Рисунок 4 Пример выполнения шифрования методом двойной перестановки
Число вариантов двойной перестановки быстро возрастает при увеличении размера таблицы:
• для таблицы 3х3 36 вариантов;
• для таблицы 4х4 576 вариантов;
• для таблицы 5х5 14400 вариантов.
Однако двойная перестановка не отличается высокой стойкостью и сравнительно просто "взламывается" при любом размере таблицы шифрования.
Применение магических квадратов
В средние века для шифрования перестановкой применялись и магические квадраты.
Магическими квадратами называют квадратные таблицы с вписанными в их клетки последовательными натуральными числами, начиная от 1, которые дают в сумме по каждому столбцу, каждой строке и каждой диагонали одно и то же число.
Шифруемый текст вписывали в магические квадраты в соответствии с нумерацией их клеток. Если затем выписать содержимое такой таблицы по строкам, то получится шифртекст, сформированный благодаря перестановке букв исходного сообщения. В те времена считалось, что созданные с помощью магических квадратов шифртексты охраняет не только ключ, но и магическая сила.
Пример магического квадрата и его заполнение сообщением
ПРИЛЕТАЮ ВОСЬМОГО показан на рисунке 5.
Рисунок 5 Пример магического квадрата 4х4 и его заполнения сообщением
Шифртекст, получаемый при считывании содержимого правой таблицы по строкам, имеет вполне загадочный вид:
ОИРМ ЕОСЮ ВТАЬ ЛГОП
Число магических квадратов быстро возрастает с увеличением размера квадрата. Существует только один магический квадрат размером 3х3 (если не учитывать его повороты). Количество магических квадратов 4х4 составляет уже 880, а количество магических квадратов 5х5 - около 250000.
Практическая работа № 2 Потоковое и блочное шифрование
Цель: на конкретных примерах рассмотреть шифрование сообщений симметричного алгоритма шифрования, определить какое программное обеспечение на ваш взгляд является оптимальным.
Ход работы
При шифровании симметричным ключом используются одинаковые ключи для шифрования и расшифровывания сообщений. Ключ этот имеют (если он используется для шифрования сообщения) только отправитель и адресат, он не должен быть известен третьему лицу. Поэтому главная проблема симметричной криптографии состоит в предварительной передаче секретного ключа одним абонентом другому по надежному каналу. Это неудобство, однако, не мешает в случае, когда создатель и получатель сообщения одно и то же лицо (т.е. вы шифруете свою информацию на компьютере, храните ее какое-то время в зашифрованном виде, а затем расшифровываете, чтобы использовать).
Кроме деловой переписки у вас есть ведь, конечно, и личные секреты, о которых нежелательно знать другим: список телефонов «нужных людей»; каталог избранных сайтов; письма информатора из фирмы конкурента; план рекламной компании; бизнес-план производства нового продукта и т.д. Нет ничего некорректного в том, что вы хотите сохранить в тайне свою конфиденциальную информацию.
Задание
Установите программы для симметричного и асимметричного шифрования сообщений. Заполните таблицу 1 (в бланке отчета по практическим работам), зашифровав сообщение, папку с файлами, проверяя возможность смены типа данных и т.д. После работы с программой удалите ее. Сделайте выводы.
Таблица 1
Программа
|
Характеристики
|
Бесплатное ПО
|
AES Free
|
Очень простая в пользовании программа. Использует алгоритм шифрования AES, длина ключа 128 бит, максимальная длина пароля — 7 символов. Имеет шредер, архиватор, позволяет создавать самораспаковывающиеся шифрованные файлы, изменять расширение шифруемых файлов, шифровать целиком папки со всем содержимым.
|
FineCrypt
|
Очень мощная, но довольно сложная в пользовании программа. Предлагает на выбор 10 алгоритмов шифрования, имеет шредер и архиватор, позволяет создавать самораспаковывающиеся файлы.
|
Dpcrypto
|
Очень простая в использовании программа для шифрования отдельных файлов. Использует 8 алгоритмов. Не имеет никаких дополнительных функций.
|
Платное ПО
|
EasyCrypto Deluxe
|
Отлично оформленная программа для шифрования отдельных файлов. Использует алгоритм Blowfish с длиной ключей от 40 до 128 бит и паролями до 8 букв.
|
Crypto-Lock
|
Очень простая программа для шифрования отдельных файлов. Использует алгоритм Blowfish. Способна создавать самораспаковывающиеся файлы.
|
Iron Key
|
Не очень удобная в пользовании программа. Использует алгоритм DES, длина ключа 56 бит. Не имеет никаких дополнительных функций. Пригодна для шифрования отдельных файлов.
|
SafeGuard PrivateCrypto
|
Отлично оформленная и очень простая программа для шифрования отдельных файлов. Использует алгоритм AES. Способна создавать самораспаковывающиеся файлы.
|
Большинство их настолько просты в пользовании, что любой ребенок, владеющий компьютером, является нынче лучшим шифровальщиком, чем знаменитые математики и разведчики прошлого. Давайте посмотрим, как осуществляется защита документов на примере перечисленных в таблице программ.
Практическая работа 3. Асимметричные алгоритмы. Шифрование данных при хранении – EFS
Цель: Познакомиться с асимметричным методом шифрования данных
Шифрующая файловая система (Encrypting File System - EFS) появилась в операционных системах семейства Windows, начиная с Windows 2000. Она позволяет шифровать отдельные папки и файлы на томах с файловой системой NTFS. Рассмотрим этот механизм подробнее.
Сначала несколько слов о рисках, которые можно снизить, внедрив данный механизм. Повышение мобильности пользователей приводит к тому, что большое количество конфиденциальных данных (предприятий или личных) оказывается на дисках ноутбуков, на съемных носителях и т.д. Вероятность того, что подобное устройство будет украдено или временно попадет в чужие руки, существенно выше чем, например, для жесткого диска корпоративного персонального компьютера (хотя и в этом случае, возможны кражи или копирование содержимого накопителей). Если данные хранить в зашифрованном виде, то даже если носитель украден, конфиденциальность данных нарушена не будет. В этом и заключается цель использования EFS.
Следует учитывать, что для передачи по сети, зашифрованный EFS файл будет расшифрован, и для защиты данных в этих случаях надо использовать дополнительные механизмы.
Рассмотрим работу EFS. Пусть, у нас имеется сервер Windows Server 2008, входящий в домен, и три учетные записи, обладающие административными правами на сервере (одна из них - встроенная административная запись Administrator).
Пользователь User1 хочет защитить конфиденциальные файлы. Тут надо отметить, что хотя шифровать с помощью EFS можно и отдельные файлы, рекомендуется применять шифрование целиком к папке.
User1 с помощью оснастки Certificates запрашивает сертификат (можно выбрать шаблон User или Basic EFS). Теперь у него появляется ключевая пара и сертификат открытого ключа, и можно приступать к шифрованию.
Чтобы зашифровать папку, в ее свойствах на вкладке General нажимаем кнопку Advanced и получаем доступ к атрибуту, указывающему на шифрование файла.
Рисунок 1 В свойствах папки устанавливаем шифрование
Работа EFS организована так, что одновременно сжатие и шифрование файлов и папок осуществляться не может. Поэтому нельзя разом установить атрибуты Compress contents to save disk и Encrypt contents to secure data (рис. 1).
При настройках по умолчанию, зашифрованная папка выделяется в проводнике зеленым цветом. Для зашифровавшего файл пользователя порядок работы с ним не изменится.
Теперь выполним "переключение пользователей" и зайдем в систему под другой учетной записью, обладающей административными правами, но не являющейся встроенной административной записью. Пусть это будет User2.
Несмотря на то, что User2 имеет такие же разрешения на доступ к файлу, что и User1, прочитать он его не сможет (рисунок 2).
Также он не сможет его скопировать, т.к. для этого надо расшифровать файл. Но надо учитывать, что User2 может удалить или переименовать файл или папку.
Рисунок 2 Другой пользователь прочитать файл не сможет
Задание
Работая под первой учетной записью, запросите сертификат (если он не был получен ранее), после чего зашифруйте папку с тестовым файлом, который не жалко потерять. Проверьте, что будет происходить при добавлении файлов, переименовании папки, копировании ее на другой диск с файловой системой NFTS на том же компьютере, копировании папки на сетевой диск или диск с FAT.
Убедитесь, что другой пользователь не сможет прочитать зашифрованный файл.
Снова зайдите под первой учетной записью. В оснастке Certificates, удалите сертификат пользователя (несмотря на выдаваемые системой предупреждения). Завершите сессию пользователя в системе и войдите заново. Попробуйте открыть зашифрованный файл.
Как вы убедились, если сертификат и соответствующая ему ключевая пара удалены, пользователь не сможет прочитать зашифрованные им же данные. В частности поэтому, в EFS введена роль агента восстановления. Он может расшифровать зашифрованные другими пользователями данные.
Реализуется это примерно следующим образом. Файл шифруется с помощью симметричного криптоалгоритма на сгенерированном системой случайном ключе (назовем его K1). Ключ K1 шифруется на открытом ключе пользователя, взятом из сертификата, и хранится вместе с зашифрованным файлом. Также хранится K1, зашифрованный на открытом ключе агента восстановления. Теперь либо пользователь, осуществлявший шифрование, либо агент восстановления могут файл расшифровать.
При настройке по умолчанию роль агента восстановления играет встроенная учетная запись администратора (локального, если компьютер не в домене, или доменная).
Задание
Зайдите в систему под встроенной учетной записью администратора и расшифруйте папку.
То, какой пользователь является агентом восстановления, задается с помощью групповых политик. Запустим оснастку Group Policy Management. В политике домена найдем группу Public Key Policies и там Encrypting File System, где указан сертификат агента восстановления (рис. 3). Редактируя политику (пункт Edit в контекстном меню, далее Policies —> Windows Settings —> Security Settings —> Public Key Policies —> Encrypting File System), можно отказаться от присутствия агентов восстановления в системе или наоборот, указать более одного агента (рисунок 4).
Рисунок 3 Агент восстановления
Рисунок 4 Изменение агента восстановления
Задание
Отредактируйте политику таким образом, чтобы убрать из системы агента восстановления (удалите в политике сертификат). Выполнив команду "gpupdate /force" (меню Start—>run—> gpupdate /force) примените политику.
Повторив действия из предыдущих заданий, убедитесь, что теперь только тот пользователь, который зашифровал файл, может его расшифровать.
Теперь вернем в систему агента восстановления, но будем использовать новый сертификат. В редакторе политик находим политику Encrypting File System и в контекстном меню выбираем Create Data Recovery Agent. Это приведет к тому, что пользователь Administrator получит новый сертификат и с этого момента сможет восстанавливать шифруемые файлы.
Теперь рассмотрим, как можно предоставить доступ к зашифрованному файлу более чем одному пользователю. Такая настройка возможна, но делается она для каждого файла в отдельности.
В свойствах зашифрованного файла откроем окно с дополнительными параметрами, аналогичное представленному на рисунке 1 для папки. Если нажать кнопку Details, будут выведены подробности относительно того, кто может получить доступ к файлу. На рисунке 5 видно, что в данный момент это пользователь User1 и агент восстановления Administrator. Нажав кнопку Add можно указать сертификаты других пользователей, которым предоставляется доступ к файлу.
Рисунок 5 Данные о пользователях, которые могут расшифровать файл
Задание
Зашифруйте файл. Предоставьте другому пользователю, не являющемуся агентом восстановления, возможность также расшифровать данный файл. Проверьте работу выполненных настроек.
|
