Международные стандарты аутентификации электронных документов

 

Цифровые сертификаты  предотвращают возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты  также дают уверенность держателю  карты и продавцу в том, что  их транзакции будут обработаны с  таким же высоким уровнем защиты, что и традиционные транзакции.

 

По такой схеме развертываются многие современные международные  системы обмена информацией в  открытых сетях. Среди центров сертификации можно назвать американские компании Verisign, GTE.

 

Наиболее перспективный  протокол или стандарт безопасных электронных  транзакций в сети Интернет - SET (Security Electronics Transaction), предназначенный для организации электронной торговли через Интернет, также основан на использовании цифровых сертификатов по стандарту Х.509. Во многих странах мира уже насчитываются сотни государственных, ведомственных и корпоративных центров сертификации, обеспечивающих ключевое управление.

 

Открытый стандартный  многосторонний протокол SET разработан компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет с помощью пластиковых карточек, используя самый защищенный на данный момент механизм выполнения платежей. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET правильнее называть стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет.

 

Объем потенциальных продаж в области электронной коммерции  ограничивается достижением необходимого уровня безопасности информации, который  обеспечивают совместно покупатели, продавцы и финансовые институты, обеспокоенные  этими вопросами. В отличие от других протоколов, SET позволяет решать базовые задачи защиты информации в  целом.

 

В частности, SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;

сохранение целостности  данных платежей, что обеспечивается с помощью цифровой подписи;

специальную криптографию с  открытым ключом для проведения аутентификации;

аутентификацию держателя  по кредитной карточке с применением  цифровой подписи и сертификатов держателя карт;

аутентификацию продавца и его возможности принимать  платежи по пластиковым карточкам  с применением цифровой подписи  и сертификатов продавца;

аутентификацию банка  продавца как действующей организации, которая может принимать платежи  по пластиковым карточкам через  связь с процессинговой карточной системой. Аутентификация осуществляется с использованием цифровой подписи и сертификатов банка продавца;

готовность оплаты транзакций в результате аутентификации сертификата  с открытым ключом для всех сторон;

безопасность передачи данных посредством преимущественного  использования криптографии.

 

Основное преимущество SET заключается в применении цифровых сертификатов (стандарт X509, версия 3), которые  ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений, входящих в платежные  системы Visa и Mastercard.

 

Кроме того, протокол SET позволяет  сохранить существующие отношения  между банком, держателями карт и  продавцами, и может быть интегрирован в существующие системы.

 

IPv6

 

В 1992 г. IETF выступила с  инициативой по разработке требований к протоколам семейства TCP/IP нового поколения. После обсуждения нескольких концепций, в начале 1995 г. были опубликованы основные требования к архитектуре построения и указаны основные принципы функционирования средств обеспечения безопасности.

 

Протоколы TCP/IP нового поколения (IPv6) обладают следующими новшествами: расширенное адресное пространство; улучшенные возможности маршрутизации; управление доставкой информации; средства обеспечения безопасности, использующие алгоритмы аутентификации и шифрования.

 

Дополнительно введенная  в стандарт IPv6 спецификация Ipsec разрабатывается Рабочей группой IP Security IETF. IPsec включает в себя 3 базовых спецификаций, независимых по алгоритмам и опубликованных в качестве следующих RFC-документов.

 

Протокол IPsec предусматривает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и обеспечивает защиту на основе сквозного шифрования. IPsec шифрует каждый проходящий по каналу пакет вне зависимости от приложения. Это позволяет организации создавать в Интернете виртуальные частные сети. IPsec поддерживает DES, MD, а также ряд других криптографических алгоритмов и предназначен для работы поверх связных протоколов.

 

С помощью IPsec создается ряд преимуществ при обеспечении информационной безопасности на сетевом уровне:

поддержка немодифицированных конечных систем;

поддержка иных протоколов, чем ТСР;

поддержка виртуальных сетей  в незащищенных сетях;

защита заголовка транспортного  уровня от перехвата, то есть более  надежная защита от анализа трафика;

защита от атак типа «отказ в обслуживании».

 

Кроме того, IPsec не требует замены промежуточных устройств в сети, а также обязательной поддержки рабочими местами и серверами.

 

Для обеспечения комплексной  информационной безопасности в IPsec используется несколько различных методов:

обмен ключами через открытую сеть на основе криптографического алгоритма  Диффи-Хеллмана;

применение цифровой подписи  с применением открытого ключа;

алгоритм шифрования, подобный DES, для шифрования передаваемых данных;

использование хэш-алгоритма для определения подлинности пакетов.

 

Протокол IPsec был разработан в рамках программ по созданию средств защищенной передачи пакетов для IPv6, протокола IP следующего поколения сети Интернет. Их спецификация продолжает совершенствоваться по мере выхода на рынок все новых и новых программных продуктов.

Общие критерии оценки безопасности ИТ

 

В 1990 г. Международная организация  по стандартизации (ИСО) начала создавать  международные стандарты по критериям  оценки безопасности информационных технологий для общего использования, названные  «Common Criteria» или «Общие критерии оценки безопасности информационных технологий» (ОК). В их разработке участвовали Национальный институт стандартов и технологии (NIST) и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция).

 

Новые критерии адаптированы к потребностям взаимного признания  результатов оценки безопасности ИТ в мировом масштабе и призваны стать основой для такой оценки. Разрабатываемые лучшими специалистами мира на протяжении десятилетия ОК неоднократно редактировались. В результате был подготовлен и в 1999 г. утвержден международный стандарт ISO/IEC 15408 «Общие критерии оценки безопасности информационных технологий». Ведущие мировые производители оборудования ИТ подготовились к этому моменту и сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.

 

Заключение

 

Подводя итог вышеизложенному, следует отметить, что для защиты интересов субъектов информационных отношений необходимо сочетать меры 4-х уровней:

законодательного;

административного;

процедурного;

программно-технического.

 

В современном мире национальная нормативно-правовая база должна быть согласована с международной  практикой. Назрела необходимость  привести российские стандарты и  сертификационные нормативы в соответствие с общим международным уровнем  развития ИТ и, в частности, с критериями оценки безопасности информационных технологий. Приведем основные причины своевременности такого шага. Во-первых, существует потребность в защищенном взаимодействии с иностранными организациями и зарубежными филиалами российских организаций. Во-вторых, на рынке реально доминируют аппаратно-программные продукты зарубежного производства.

 

Обеспечение безопасности ИТ невозможно без разработки соответствующих законодательных актов и нормативно-технических документов. Новые критерии оценки безопасности информационных технологий занимают среди них особое место. Только стандартизованные отечественные критерии позволяют проводить сравнительный анализ и сопоставимую оценку продуктов ИТ.

 

Последний тезис подкрепляется  материалами конференции «Информационная  безопасность России в условиях Глобального  Информационного Общества», организованной Советом Безопасности и Государственной  Думой РФ в Москве 5 февраля. Актуальность рассматриваемой тематики подчеркивается документом «Доктрина информационной безопасности Российской Федерации», который был утвержден Президентом 9 сентября 2000 г. В нем, в частности, говорится, что «серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций».

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список использованной литературы:

1.Винокуров А.Ю. Стандарты криптографической защиты информации России и США // Отраслевой каталог «Технологии и средства связи-2003». — М.: Гротек, 2003.

2.FIPS PUB 113. Computer Data Authentication.

3.FIPS PUB 186. Digital Signature Standard (DSS).

4.Щербаков А., Домашев А. Прикладная криптография. Использование и синтез криптографических интерфейсов. — М.: Русская редакция, 2002.