Безопасность в Internet- Intranet


Атаки на реализацию


Атаки именно этого типа наиболее часто используются злоумышленниками. Связано это с тем, что для их реализации нет необходимости обладать обширными познаниями в области математики. Достаточно быть квалифицированным программистом. Примеров неправильной реализации, приводящей к атаке на нее, можно назвать множество. Например:

  • Секретный ключ ЭЦП хранится на жестком диске.
  • После завершения работы системы ЭЦП, ключ, хранящийся в оперативной памяти, не затирается.
  • Обеспечивается безопасность сеансовых ключей и недостаточное внимание уделяется защите главных ключей.
  • Открыт доступ к "черным спискам" скомпрометированных ключей.
  • Отсутствует контроль целостности программы генерации или проверки ЭЦП, что позволяет злоумышленнику подделать подпись или результаты ее проверки.

В качестве примера атаки на реализации систем ЭЦП можно назвать случай, описанный в середине 90-х годов в отечественной прессе и связанный с устанавливаемой "закладкой" в широко распространенную программу PGP.

Вопросы, касающиеся атак на аппаратную реализацию, в данной публикации рассматриваться не будут в связи с тем, что в России практически нет средств, реализующих цифровую подпись на аппаратном уровне. Можно добавить, что существуют варианты атак на аппаратные элементы хранения ключей ЭЦП (таблетки Touch Memory, смарт-карты и т.п.). Такого рода атаки получили очень широкое распространение в последнее время.




Начало  Назад  Вперед



Книжный магазин