Файл: Система мероприятий защиты информации торговых в банковских системах.pdf

Рис. 4. Обобщенная схема цифровой подписи RSA

Допустим, что отправитель хочет подписать сообщение М пе­ред его отправкой. Сначала сообщение М (блок информации, файл, таблица) сжимают с помощью хэш-функции h(•) в целое число m:

m = h(M).

Затем вычисляют цифровую подпись S под электронным докумен­том М, используя хэш-значение m и секретный ключ D:

S = m^D (mod N).

Пара (М, S) передается партнеру-получателю как электрон­ный документ М, подписанный цифровой подписью S, причем под­пись S сформирована обладателем секретного ключа D.

После приема пары (М, S) получатель вычисляет хэш-значение сообщения М двумя разными способами. Прежде всего он восстанавливает хэш-значение m', применяя криптографическое преобразование подписи S с использованием открытого ключа Е:

m' = S^E (mod N).

Кроме того, он находит результат хэширования принятого со­общения М с помощью такой же хэш-функции h(•):

m = h(M).

Если соблюдается равенство вычисленных значений, т. е.

S^E (mod N) = h(M),

то получатель признает пару (М, S) подлинной. Доказано, что толь­ко обладатель секретного ключа D может сформировать цифро­вую подпись S по документу М, а определить секретное число D по открытому числу Е не легче, чем разложить модуль N на мно­жители.

Кроме того можно строго математически доказать, что ре­зультат проверки цифровой подписи S будет положительным толь­ко в том случае, если при вычислении S был использован секрет­ный ключ D, соответствующий открытому ключу Е. Поэтому откры­тый ключ Е иногда называют "идентификатором" подписавшего.

5.4. Отечественный стандарт цифровой подписи

Отечественный стандарт цифровой подписи обозначается как ГОСТ Р 34.10-94. В этом алгоритме цифровой подписи используются следующие параметры:

р – большое простое число длиной от 509 до 512 бит либо ст 1020 до 1024 бит;

q – простой сомножитель числа (р-1), имеющий длину 254..256 бит;

а – любое число, меньшее (р-1), причем такое, что a^q mod р = 1;

х – некоторое число, меньшее q;

у = a^x mod р.

Кроме того, этот алгоритм использует однонаправленную хэш-функцию Н(х). Стандарт ГОСТ Р 34.11-94 определяет хэш-функцию, основанную на использовании стандартного симметричного алгоритма ГОСТ 28147-89.

Первые три параметра p, q и а являются открытыми и могут быть общими для всех пользователей сети. Число х является сек­ретным ключом. Число у является открытым ключом.

Чтобы подписать некоторое сообщение m, а затем проверить подпись, выполняются следующие шаги:

1. Пользователь А генерирует случайное число k, причем k<q.
2. Пользователь А вычисляет значения

r = (а^k mod р) mod q,

s = (x * r + k (H(m))) mod q.

Если H(m) mod q = 0, то значение H(m) mod q принимают равным единице. Если r = 0, то выбирают другое значение к и начинают снова.

Цифровая подпись представляет собой два числа:

r mod 2²⁵⁶ и s mod 2²⁵⁶.

Пользователь А отправляет эти числа пользователю В.

1. Пользователь В проверяет полученную подпись, вычисляя

v = Н(m)^q-2 mod q,

z₁ = (s * v) mod q,

z₂ = ((q – r) * v) mod q,

u = ((a^z1 * y^z2) mod p) mod q.

Если u = r, то подпись считается верной.

Следует также отметить, что в отечественном стандарте ЭЦП параметр q имеет длину 256 бит. Западных криптографов вполне устраивает q длиной примерно 160 бит. Различие в значениях па­раметра q является отражением стремления разработчиков отече­ственного стандарта к получению более безопасной подписи.

Этот стандарт вступил в действие с начала 1995 г.

ЗАКЛЮЧЕНИЕ

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.

Существуют однако два аспекта, выделяющих банки из круга остальных коммерческих систем:

1. Информация в банковских и платежных системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.

2. Она затрагивает интересы большого количества организаций и отдельных лиц.

Поэтому информационная безопасность банка — критически важное условие его существования.

В силу этих обстоятельств, к банковским и платежным системам предъявляются повышенные требования относительно безопасности хранения и обработки информации. Отечественные банки также не смогут избежать участи тотальной автоматизации по следующим причинам:

• усиления конкуренции между банками;
• необходимости сокращения времени на производство расчетов;
• необходимости улучшать сервис.

В США, странах Западной Европы и многих других, столкнувшихся с этой проблемой довольно давно, в настоящее время создана целая индустрия защиты экономической информации, включающая разработку и производство безопасного аппаратного и программного обеспечения, периферийных устройств, научные изыскания и др.

Сфера информационной безопасности — наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Статистика показывает, что подавляющее большинство крупных организаций имеют план с правилами доступа к информации, а также план восстановления после аварий.

Безопасность электронных платежных систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы.

При этом для каждого отдельного вида банковских операций и электронных платежей или других способов обмена конфиденциальной информацией существуют свои специфические особенности защиты. Таким образом, организация защиты платежных систем есть целый комплекс мер, которые должны учитывать как общие концепции, но и специфические особенности.

Основной вывод, который можно сделать из анализа развития банковской отрасли, заключается в том, что автоматизация и компьютеризация банковской деятельности (и денежного обращения в целом) продолжает возрастать. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Можно прогнозировать дальнейшее снижение оборота наличных денег и постепенный переход на безналичные расчеты с использованием пластиковых карт, сети Интернет и удаленных терминалов управления счетом юридических лиц.

В связи с этим следует ожидать дальнейшее динамичное развитие средств информационной безопасности банков, поскольку их значение постоянно возрастает.