Спонсор: Microsoft
Опубликован: 25.06.2010 | Доступ: свободный | Студентов: 1684 / 318 | Оценка: 4.32 / 4.18 | Длительность: 25:57:00
Лекция 5:

Экономика информационной безопасности на примере оценки криптосистем

Моделирование угроз безопасности информационных ресурсов

Задача состоит в разработке ABC -модели угроз безопасности информационных ресурсов, защищенных с использованием криптографических средств, которая даст возможность формализовать взаимосвязь между параметрами криптосистемы, потенциальных злоумышленников и возможных атак. Для решения поставленной задачи необходимо:

  • Разработать многокритериальные классификационные схемы, позволяющие идентифицировать:
    • криптосистему - с учетом особенностей ее реализации;
    • потенциального взломщика - с учетом его мотивации, возможностей и квалификации;
    • криптоаналитическую атаку - с учетом применимости к различным криптосистемам и необходимых для ее осуществления ресурсов.
  • На основе разработанных классификаций создать параметрические модели криптосистем, атак и злоумышленников;
  • Установить зависимость возможных сценариев взлома от характеристик злоумышленников и от особенностей реализации исследуемой криптосистемы.

Анализ существующих подходов

Для идентификации исследуемой криптосистемы нужно выделить набор ее ключевых свойств. Известны классификации криптосистем, в числе которых - классификационная схема, предложенная швейцарским математиком и криптографом У.Маурером (Ueli Maurer) [7.21] и основанная на том, чтобы различать криптосистемы по количеству ключей, упомянутая выше схема Ж.Брассара [7.6], в которой криптосистемы различаются в зависимости от сохранения в секрете механизма шифрования. Ни одна из этих классификаций сама по себе не позволит идентифицировать криптосистему - необходима многокритериальная классификация. С этой точки зрения представляет интерес работа К.Черезова [7.43], в которой предлагаются обобщающие критерии для сравнения продуктов на российском рынке СКЗИ:

  • Фирма-производитель;
  • Тип реализации;
  • Наличие действующих сертификатов соответствия ФСБ России и классы защиты;
  • Реализованные криптографические алгоритмы;
  • Поддерживаемые операционные системы;
  • Предоставляемый программный интерфейс;
  • Наличие реализации протокола SSL / TLS ;
  • Поддерживаемые типы ключевых носителей;
  • Интегрированность с продуктами и решениями компании Microsoft ;
  • Наличие дистрибутива продукта в свободном доступе на сайте производителя, дилерской сети распространения и сервиса поддержки.

Недостатком приведенной классификации для построения параметрической модели криптосистемы является то, что для решения поставленной в нашей работе задачи важны не "потребительские" и "технические" характеристики СКЗИ, а их свойства, определяющие подверженность тем или иным атакам.

Типы взломщиков, от которых криптосистема должна обеспечить защиту, определяют разумный уровень безопасности. Чтобы понять, каким атакам будет подвергаться система, необходимо выделить наиболее вероятных взломщиков. Классификации Дж.Говарда (John D Howard) [7.13] и Б.Шнайера [7.25], в которых злоумышленники различаются в зависимости от их движущих мотивов, подходят для высокоуровневого анализа контекста использования криптосистемы, однако не позволяют установить зависимость возможных сценариев атак от характеристик злоумышленников.

Существует большое количество классификаций и таксономий атак. Недостатком схем, описанных в [7.15, 7.17, 7.22, 7.28], является то, что они разработаны для описания атак на компьютерные системы, а объектом нашего исследования является более узкий класс атак - криптоаналитические атаки. Классификация Кирхгоффа [7.14] по доступу к открытому и зашифрованному тексту с появлением атак по побочным каналам [7.37] уже не может считаться полной; кроме того, она не позволяет учитывать такие важные факторы, как объем необходимых ресурсов, возможность распараллеливания и т.д.

Математическая модель угроз безопасности информационных ресурсов

На основе анализа существующих классификационных схем, перечисленных выше, нами были разработаны новые многокритериальные классификации криптосистем, атак и злоумышленников (см. рис. 7.3 - 7.5 ). Далее мы покажем, как применение разработанных классификационных схем для построения ABC -модели позволяет провести всесторонний анализ угроз безопасности информационных ресурсов, защищенных с использованием криптографических средств.

Пусть A \subseteq A_1 \times A_2 \times \ldots \times A_8 - множество параметрических моделей атак, где A_i ( i=\overline{1,9} ) - множество значений i-го параметра модели атаки, определяющего тип атаки в соответствии с критериями разработанной классификации. Каждая модель \vec a \in A представляет собой вектор (a_1, a_2, \ldots , a_9) , где \vec {a_i} \in A_i.

Аналогично, параметрическая модель злоумышленника задается в виде вектора \vec b \in B, где B \subseteq B_1 \times B_2 \times \ldots \times  B_6, B_j ( j= \overline {1,6} ) - множество значений j-го параметра модели злоумышленника, модель криптосистемы - \vec c \in C, где C \subseteq C_1 \times C_2 \times \ldots \times  C_6, C_k ( k= \overline{1,6} ) - множество значений k-го параметра модели криптосистемы в соответствии с многокритериальной классификацией. Заметим, что множества значений параметров модели атаки, злоумышленника и криптосистемы конечны.

При дальнейшем изложении для краткости слово "модель" применительно к модели атаки, модели злоумышленника и модели криптосистемы будем опускать.

С каждой атакой будем связывать значение риска, вычисляемое по общеизвестной формуле на основе двух факторов - вероятности происшествия и тяжести возможных последствий:

Риск = Влияние Вероятность

Обозначим через \Re : A \times B \times C \to [0;1] функцию, задающую уровень риска, связанного с атакой \vec a \in A в условиях, когда она может быть применена злоумышленником \vec b \in B для взлома криптосистемы \vec c \in C.

Пусть I : C \times A \to [0;1] - функция влияния (от англ. impact - влияние, воздействие). Под влиянием мы будем понимать степень ущерба от применения атаки \vec a \in A к криптосистеме \vec c \in C.

Пусть P : B \times A \to [0;1] - вероятность того, что злоумышленник \vec b \in B предпримет атаку \vec a \in A, т.е. обладает ресурсами для ее осуществления и сочтет эту атаку целесообразной.

Тогда функция риска \Re выражается следующим образом:

\Re (\vec a, \vec b,\vec c)=I(\vec c, \vec a) * P(\vec b, \vec a)

Определим функцию I(\vec c, \vec a). Для этого рассмотрим семейство функций I_{gh} : C_g \times A_h \to R_+, , , где R_+ - множество неотрицательных действительных чисел. Здесь функция I_{gh} задает уровень взаимного влияния параметра криптосистемы C_g и параметра атаки a_h:

  • I_{gh}(c,a)=0, если атака со значением параметра a \in A_h не применима к криптосистеме со значением параметра c \in C_g ;
  • 0 < I_{gh}(c,a) < 1, если значение параметра криптосистемы c \in C_g снижает вероятность успешного применения атаки со значением параметра a \in A_h ;
    Классификация криптосистем

    Рис. 7.3. Классификация криптосистем
    Классификация злоумышленников

    Рис. 7.4. Классификация злоумышленников
    Классификация криптоатак

    увеличить изображение
    Рис. 7.5. Классификация криптоатак
  • I_{gh}(c,a)=1, если значение параметра криптосистемы c \in C_g не влияет на применимость атаки с параметром a \in A_h ;
  • I_{gh}(c,a) > 1, если значение параметра криптосистемы c \in C_g указывает на то, что атака с параметром a \in A_h применима для ее взлома.

Например, если исследуемый алгоритм шифрования реализован в аппаратном обеспечении, это повышает вероятность применения для взлома криптосистемы атак по побочным каналам [7.37] (это вид криптографических атак, использующих информацию, которая может быть получена с устройства шифрования и не является при этом ни открытым текстом, ни шифртекстом). Уровень взаимного влияния параметров криптосистемы и атаки определяется на основе экспертных оценок.

Обозначим через \overline {I_{gh}} : C_g \times A_h \to [0;1] нормированную функцию:

\overline {I_{gh}}(c,a)=\frac{I_{gh}(c,a)}{\sum_{\xi \in C_g} I_{gh}(\xi, a)}

Тогда уровень ущерба от применения атаки \vec a \in A к криптосистеме \vec c \in C вычисляется по следующей формуле:

I(\vec c, \vec a)=\min\limits_{h=\overline {1,9}} \prod \limits_{g=\overlime {1,5}} \overline {I_{gh}}(c_g,a_h)
,

где атака и криптосистема заданы параметрами (a_1,a_2, \ldots , a_9) и (c_1,c_2, \ldots , c_6) соответственно. Заметим, что уровень влияния всех параметров криптосистемы на применимость атаки с заданным значением -го параметра в этой формуле вычисляется по мультипликативному критерию: \prod\limits_{g=1}^6 \overline {I_{gh}} (c_g, a_h) . Если значение хотя бы одного из параметров криптосистемы противоречит возможности применения атаки, то результатом оценки применимости атаки к криптосистеме будет нулевое значение, что соответствует нулевому уровню ущерба от атаки.

Функция P(\vec b, \vec a) , определяющая зависимость между параметрами (a_1,a_2, \ldots , a_9) атаки и (b_1,b_2, \ldots , b_6) злоумышленника, выражается аналогично функции I(\vec c, \vec a) . В качестве иллюстрации взаимосвязи параметров злоумышленника и атаки можно привести следующий пример: наличие у предполагаемого взломщика доступа к распределенным вычислительным ресурсам повышает вероятность применения метода "грубой силы" и, вообще говоря, любой атаки, легко поддающейся распараллеливанию.

Таким образом, общая формула для определения уровня риска, связанного с атакой \vec a \in A в условиях, когда эта атака может быть применена злоумышленником \vec b \in B для взлома криптосистемы \vec c \in C, имеет вид:

\Re (\vec a, \vec b, \vec c)=\min\limits_{h=\overline {1,9}} \prod\limits_{g=\overline {1,6}} \overline {I_{gh}} (c_g, a_h) * \min\limits_{h=\overline {1,9}} \prod\limits_{t=\overline {1,6}} \overline {P_{th}} (b_t, a_h)

Будем считать, что криптосистема \vec c \in C подвержена атаке \vec a \in A в условиях, когда ей угрожает злоумышленник \vec b \in B, если \Re (\vec a, \vec b, \vec c) > \theta, т.е. связанный с ней уровень риска превышает заданное пороговое значение \theta, где \theta  \in [0;1] . Допустимый уровень риска \theta является настраиваемым параметром ABC -модели угроз криптосистемы. Значение \theta задается с учетом двух критериев:

  • критичности защищаемых данных;
  • временных и других ресурсов, доступных специалисту, который осуществляет аудит системы.

В общем случае:

  • криптосистема может включать несколько подсистем (например, генератор ключей и симметричный шифратор), к каждой из которых применим свой набор атак;
  • на криптосистему может нападать несколько злоумышленников.

Множество атак, которым подвержена криптосистема, состоящая из подсистем \vec c \in  C' ( C' \subseteq C ), в условиях, когда ей угрожают злоумышленники \vec b \in B' ( B' \subseteq B ), будем определять по формуле \Lambda = \cup\limits_{\vec b \in B'} \cup\limits_{\vec c \in C'} \lambda (\vec b, \vec c) , где \lambda (\vec b, \vec c)=\{ \vec a \in A : \Re (\vec a, \vec b, \vec c) > \theta \} при заданном уровне риска. Для оценки защищенности криптосистемы необходимо с использованием инструментальных средств оценить ее способность противостоять атакам, входящим в множество \Lambda .

В описанной математической модели сделаны следующие допущения:

  • не учитывается зависимость параметров атаки от сочетания параметров криптосистемы, хотя влияние каждого параметра принимается во внимание;
  • не учитывается возможность совместных действий со стороны взломщиков различных типов, хотя можно задать модель нападения со стороны однородного коллектива злоумышленников.

Исправление ABC -модели с учетом указанных допущений привело бы к ее значительному усложнению. Вопрос о том, насколько эти допущения снижают точность моделирования угроз безопасности, подлежит дальнейшим исследованиям.

Важно отметить, что разработанная классификационная схема для построения моделей атак на алгоритмы шифрования с небольшими модификациями применима и для моделирования атак на криптопротоколы. Возможность использования ABC -модели угроз для комплексного исследования криптосистемы является важной, т.к. вопрос совместного функционирования криптопротоколов и шифров в рамках одной криптосистемы, как показано в [7.27], до сих пор был мало изучен.

Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Архипова
Мария Архипова