Соц. педагог, ст. инспектор ПДН.;pdf

БОЛЬШОЕ ДОМАШНЕЕ ЗАДАНИЕ №2 по курсу «КРИПТОГРАФИЯ В
БАНКОВСКОМ ДЕЛЕ»
Задание №1. Ответ на вопрос по материалам лекций
Дайте письменный ответ на вопрос по материалам прочитанных лекций в соответствии с
Вашим вариантом задания.
№ варианта
Задание
1
Комплекс документов в области стандартизации Банка России, посвященных обеспечению безопасности организаций банковской системы РФ.
2
Требования по криптографической защите информации, содержащиеся в
стандарте СТО БР ИББС 1.0-2010.
3
Методика оценки соответствия ИБ организации банковской системы РФ
требованиям стандарта СТО БР ИББС 1.0-2010 (согласно стандарту СТО
БР ИББС 1.2-2010).
4
Основные понятия и определения, связанные с управлением криптографическими ключами, в соответствии со стандартом ISO/IEC 11770.
5
Жизненный цикл криптографических ключей в соответствии со стандартом ISO/IEC 11770 (привести схему для секретных ключей и пояснить её).
6
Жизненный цикл криптографических ключей в соответствии со стандартом ISO/IEC 11770 (привести схему для открытых ключей и пояснить её).
7
Модели управления ключами: централизованная и децентрализованная.
Функции центра доверия.
8
Типовая структура ключевой системы симметричных криптосистем.
9
Способы распространения открытых ключей. Построение инфраструктуры открытых ключей. Идентификационные и атрибутные сертификаты,
стандартизация форматов сертификатов.
10
Модель инфраструктуры открытых ключей на основе сертификатов формата X.509 (с одним УЦ).
11
Управление ключами симметричных криптосистем в сложных (многодоменных) информационных системах.
12
Управление ключами асимметричных криптосистем в сложных (многодоменных) информационных системах. Модели доверия (топологии сертификации).
13
Факторы, обусловливающие стойкость СКЗИ. Классификация уязвимостей СКЗИ.
14
Уязвимости СКЗИ, обусловленные особенностями реализации СКЗИ: использование криптографических конструкций, не соответствующих решаемым задачам; использование нестандартных конструкций; использование криптографических конструкций, не имеющих доказанных оценок
стойкости.
15
Уязвимости СКЗИ, обусловленные особенностями реализации СКЗИ: использование криптографических конструкций за пределами допустимых
для них граничных условий; неточная или некорректная реализация; низкое качество генераторов (псевдо)случайных чисел; неправильная интеграция криптографических механизмов в СКЗИ.
16
Уязвимости СКЗИ, обусловленные слабостями методов аутентификации.
17
Уязвимости СКЗИ, обусловленные слабостями методов управления ключами.
18
Основное содержание Федерального закона №161-ФЗ «О национальной
платежной системе» в части требований к организации функционирова-
19
20
21
ния платежных систем.
Основные требования по информационной безопасности к системам электронных платежей.
Специфические проблемы, связанные с информационной безопасностью,
проявляющиеся в системах электронных платежей.
Классификация автономных систем электронных платежей систем электронных платежей, работающих в реальном масштабе времени. Основные
принципы их функционирования (с примерами).
Задание №2. Ответ на вопрос по материалам дополнительных источников
Используя дополнительные источники из сети Интернет, а также (при необходимости)
материалы занятий по дисциплине «Криптография в банковском деле» и по другим дисциплинам, дайте развернутый письменный ответ на вопрос в соответствии с Вашим вариантом задания.
№ варианта
Задание
1
Основное содержание рекомендаций в области стандартизации Банка
России РС БР ИББС 2.0-2007.
2
Основное содержание рекомендаций в области стандартизации Банка
России РС БР ИББС 2.1-2007.
3
Основное содержание рекомендаций в области стандартизации Банка
России РС БР ИББС 2.2-2007.
4
Основное содержание рекомендаций в области стандартизации Банка
России РС БР ИББС 2.3-2007.
5
Основное содержание рекомендаций в области стандартизации Банка
России РС БР ИББС 2.4-2007.
6
Основное содержание методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях банковской системы РФ (разработанных Банком России. Ассоциацией Российских Банков и Ассоциацией региональных банков России в
2010 г.).
7
Основные принципы функционирования и схема системы электронных
платежей Шаума.
8
Криптографические протоколы, реализующие операции с «цифровой
наличностью» в системе электронных платежей Шаума.
9
Основные принципы функционирования и схема системы электронных
платежей Брандса.
10
Криптографические протоколы, реализующие операции с «цифровой
наличностью» в системе электронных платежей Брандса.
11
Криптографические протоколы, реализующие расчеты по банковским
картам в платежных системах на основе спецификации SET.
12
Криптографические протоколы, реализующие расчеты по банковским
картам в платежных системах на основе спецификации 3D Secure.
13
Криптографические протоколы для реализации микроплатежей (платежей
на фиксированную небольшую сумму) в неанонимных системах электронных платежей, работающих в режиме реального времени.
14
Возможные подходы к классификации систем дистанционного банковского обслуживания и розничных систем электронных расчетов (с примерами
систем каждого класса).
15
Основные требования к обеспечению информационной безопасности си-
16
17
18
19
20
21
стем дистанционного банковского обслуживания типа «Интернет-банк» и
механизмы защиты информации в таких системах.
Основные требования к обеспечению информационной безопасности систем систем платежей по банковским картам и механизмы защиты информации в таких системах.
Основные требования к обеспечению информационной безопасности систем дистанционного банковского обслуживания типа «Мобильный банкинг» и механизмы защиты информации в таких системах.
Основные требования к обеспечению информационной безопасности систем электронных платежей с «цифровой наличностью» и механизмы защиты информации в таких системах.
Основные требования к обеспечению информационной безопасности систем «мгновенных платежей» через терминалы и механизмы защиты информации в таких системах.
Криптографические протоколы, реализующие равноправный обмен (fair
exchange) цифровыми подписями.
Криптографические протоколы, требующие обеспечения анонимности по
крайней мере одного из участников (с примерами).
Задание №3. Решение задачи
Решите задачу (дайте обоснованные ответы на вопросы) в соответствии со своим вариантом задания.
№ вариЗадание
анта
1
Какие режимы алгоритмов шифрования ГОСТ 28147-89 и DES предпочтительнее использовать для шифрования полей базы данных СЭП на основе
спецификации SET, содержащей сведения о клиентах (идентификаторы, открытые ключи, номера пластиковых карт, состояние счета, отметка о включении карты в стоп-лист и т.д.), доступ к которой осуществляется в режиме реального времени, и почему?
2
На основе схемы жизненного цикла криптографических ключей по стандарту
ISO/IEC 11770 покажите схемы жизненного цикла секретных и открытых
ключей асимметричных криптосистем. Чем они различаются?
3
Идентификационные или атрибутные сертификаты следует использовать в
ИОК анонимной системы электронных платежей? Почему? Какие стандарты
на формат идентификационных и атрибутных сертификатов Вам известны?
4
Подсчитайте примерный объем памяти устройств пользователей СЭП Шаума,
который может потребоваться для хранения открытых ключей банка для всех
номиналов монет, которые существуют в российской денежной системе (схема затемненной подписи строится на базе RSA).
5
Какие методы борьбы с повторной тратой электронной монеты Вам известны?
Какие из них используются или могут быть использованы в спецификации
SET и СЭП Шаума, а какие - нет? Обоснуйте свой ответ.
6
В каких типах систем электронных платежей для обеспечения безопасности
информации от внешних злоумышленников может быть применен протокол
SSL? Какие из функций защиты, выполняемых протоколом SSL, для каких
целей необходимы? Обоснуйте свой ответ.
7
Какие методы борьбы с повторной тратой электронной монеты Вам известны?
Какие из них используются или могут быть использованы в СЭП Шаума и в
СЭП Брандса, а какие - нет? Обоснуйте свой ответ.
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Как преобразовать схему цифровой подписи Шнорра в протокол аутентификации? Приведите спецификации криптографических протоколов.
На основе схемы жизненного цикла криптографических ключей по стандарту
ISO/IEC 11770 покажите схемы жизненного цикла общих секретных ключей
симметричных криптосистем и персональных секретных ключей асимметричных криптосистем. Чем они различаются?
Какие виды схем цифровой подписи применяются в системах электронных
платежей и для каких целей?
Какие способы разрешения конфликтных ситуаций между участниками систем электронных платежей Вам известны? Свой ответ поясните примерами.
На основе схемы жизненного цикла криптографических ключей по стандарту
ISO/IEC 11770 покажите схемы жизненного цикла секретных и открытых
ключей асимметричных криптосистем. Чем они различаются?
Каким образом в СЭП Брандса кодируются идентификаторы плательщиков в
«электронных монетах»? Существует ли вероятность необнаружения повторной траты монеты в этой СЭП?
Обеспечивается ли аутентификация плательщика и (или) получателя при выполнении протокола платежа в системе электронных платежей Брандса?
Обоснуйте свой ответ.
Какая модель распространения открытых ключей используется в спецификации SET? Изобразите поясняющую схему. Каковы требования к безопасности
системных ключей в этой модели?
Объясните суть метода обнаружения повторной траты монеты в СЭП Брандса.
Можно ли в этой СЭП отличить двукратную и многократную трату одной и
той же монеты?
Каково назначение схем затемненной цифровой подписи? Приведите пример
практического применения затемненной цифровой подписи.
Как происходит аутентификация участников системы электронных платежей
Брандса (плательщика и банка) в протоколах открытия счета и снятия со счета? Обеспечивается ли в каждом из протоколов односторонняя или взаимная
аутентификация? Обоснуйте свой ответ.
Объясните принцип обеспечения анонимности плательщиков в СЭП Шаума.
Можно ли в СЭП Шаума использовать затемненную цифровую подпись, основанную не на задаче RSA, а на других вычислительно сложных задачах?
Каковы основные требования к безопасности систем электронных платежей
(СЭП)? Какими средствами реализуется каждое из названных Вами требований в СЭП Брандса? Обеспечивается ли аутентификация плательщика и (или)
получателя при выполнении протокола платежа в системе электронных платежей Брандса? Обоснуйте свой ответ.
Предположим, что, используя доступные на сегодняшний день на рынке аппаратные компоненты, возможно собрать компьютер стоимостью около 200
долларов США, который осуществляет опробование около 1 миллиарда ключей алгоритма ГОСТ 28147-89 в секунду. Предполагая, что конкуренты (или
злоумышленники) хотят осуществить поиск одного 256-битного ключа алгоритма ГОСТ 28147-89 методом тотального опробования и имеют возможность
потратить на закупку техники около 4 триллионов долларов США (что на самом деле превышает годовой бюджет США), рассчитайте, какое время займет
(в среднем) тотальное опробование для поиска одного 256-битного ключа с
использованием закупленной техники? (Дополнительные расходы, такие как
электроэнергия и тех. поддержка, не принимаются во внимание.)
Задание №4. Изучение систем электронных платежей
Изучите информацию о системах электронных платежей (СЭП), представленную на сайте
СЭП, выбранной в соответствии с Вашим вариантом задания, в том числе описания методов и средств обеспечения информационной безопасности. По результатам работы представьте отчёт, содержащий следующие сведения:
1) назначение, цели создания и услуги, предоставляемые системой:
- физическим лицам;
- дилерам (условия сотрудничества);
- интернет-магазинам;
2) доступные банковские операции:
- с безналичными средствами;
- с наличными средствами (внесение наличных средств на счёт и обналичивание
средств со счета);
- другие доступные операции (операции с драгоценными металлами, валютнообменные операции и пр.);
3) принципы функционирования системы, включая взаимосвязи и взаимоотношения
между участниками системы, взаимодействия с другими платежными системами (желательно в виде схемы);
4) функции обеспечения информационной безопасности, декларируемые организатором системы;
5) средства и механизмы защиты информации, обеспечивающие реализацию заявленных функций:
- средства идентификации и аутентификации;
- управление криптографическими ключами;
- обеспечение защищенного дистанционного доступа к услугам системы;
- возможности обеспечения анонимности и верификации счетов;
6) процедуры разрешения конфликтных ситуаций между участниками системы и обеспечения юридической значимости совершаемых действий;
7) Ваши выводы о степени безопасности системы и о доверии к ней. Пользуетесь ли
Вы этой системой или стали бы ею пользоваться после изучения документации на систему?
Примечание. Предлагаемая структура отчёта является примерной. Разрешается её немного изменять (в пределах 10-15% общего количества разделов) в зависимости от
информации, которую удастся найти.
№ варианта
Платежная система или
документы для изучения
1
2
3
4
5
6
7
8
Click2Pay
«Рапида»
QuickPay
WebMoney
«Фактура»
e-port
«QIWI-кошелёк»
"Манимейл" (MoneyMail)
9
10
RBKmoney
RoboKassa
Адреса (приведены в качестве примера,
приветствуется использование любой дополнительной информации)
http://www.click2pay.com/
http://www.rapida.ru/people.php
http://www.quickpay.ru/
http://www.webmoney.ru/rus/about/index.shtml
http://faktura.ru/scdp/page
http://www.e-port.ru/
http://qiwi.ru/
https://www.moneymail.ru/
http://earninguide.biz/moneymail.php
https://rbkmoney.ru/
http://www.robokassa.ru/ru/Index.aspx?
11
12
CyberPlat («Киберплат»)
«Единый кошелёк»
13
14
Liqpay
Alertpay
15
Perfect Money
16
Liberty Reserve
17
Pecunix
18
МОНЕТА.РУ
19
Moneybookers
20
PayPal
21
Google Checkout
http://www.cyberplat.ru/tech/
http://www.w1.ru/
http://earninguide.biz/w1.php
https://www.liqpay.com/
http://www.alertpay.com
http://earninguide.biz/alertpay.php
https://perfectmoney.com/
http://earninguide.biz/perfectmoney.php
http://www.libertyreserve.com/
http://earninguide.biz/lr.php
http://pecunix.com/
http://earninguide.biz/pecunix.php
https://www.moneta.ru/
http://earninguide.biz/moneta.php
https://www.moneybookers.com/app/?rid=581104
http://earninguide.biz/mb.php
https://www.paypal.com/ru
http://earninguide.biz/paypal.php
https://accounts.google.com
Задание №5. Анализ нормативно-технических документов Банка России
по обеспечению информационной безопасности при обмене электронными сообщениями
Изучите указанные разделы нормативно-технических документов Банка России по организации межбанковского обмена электронными сообщениями, представленные на сайте
Банка России (http://www.cbr.ru/analytics/Formats/). Представьте краткий отчёт, содержащий следующие сведения:
- нормативные требования по обеспечению безопасности электронных сообщений;
- перечень применяемых при электронном обмене данными функций защиты, обеспечивающих реализацию этих требований;
- описание порядка применения этих функций защиты к электронным сообщениям;
- типы документов, к к-рым должны применяться указанные функции защиты и обязательность их применения;
- дополнительные накладные расходы, связанные с увеличением длины сообщений, количества передаваемых сообщений и т.п.
№ варианта
1
2
Наименование документа
Разделы документа
"УФЭБС для безналичных
расчетов. Обмен с КО и другими клиентами Банка России" (версия 2.6.4, вводимая в
действие с 15.12.2014)
Стр. 157-158 – Защита электронных сообщений (пакетов ЭС).
Стр. 159-164 – Защита электронных сообщений (пакетов ЭС) на прикладном уровне.
Приложение C (выбрать подходящие примеры).
Стр. 157-158 – Защита электронных сообщений (ЭД/пакетов ЭД).
Стр. 165-171 – Защита электронных сообщений (пакетов ЭС) с помощью КА.
Приложение C (выбрать подходящие примеры).
"УФЭБС для безналичных
расчетов. Обмен с КО и другими клиентами Банка России" " (версия 2.6.4, вводимая
в действие с 15.12.2014)
3
4
"УФЭБС для безналичных
расчетов. Обмен с КО и другими клиентами Банка России
с учетом взаимодействия ПУР
с системой БЭСП" " (версия
2.6.4, вводимая в действие с
15.12.2014)
"УФЭБС для безналичных
расчетов. Обмен с КО и другими клиентами Банка России
с учетом взаимодействия ПУР
с системой БЭСП" " (версия
2.6.4, вводимая в действие с
15.12.2014)
Стр. 195-196 – Защита электронных сообщений (пакетов ЭС).
Стр. 197-202 – Защита электронных сообщений (пакетов ЭС) на прикладном уровне.
Приложение C (выбрать подходящие примеры).
Стр. 195-196 – Защита электронных сообщений (пакетов ЭС).
Стр. 203-209 – Защита электронных сообщений (пакетов ЭС) с помощью КА.
Приложение C (выбрать подходящие примеры).
Распределение вариантов заданий
№
ФИО
Задание №1
Задание №2
Задание №3
Задание №4
Задание №5
1
Букач Виктория Валерьевна
21
1
21
1
1
2
Волков Дмитрий Игоревич
20
2
20
2
2
3
Гришин Максим Валерьевич
19
3
19
3
3
4
Емельянов Дмитрий Викторович
18
4
18
4
4
5
Игонькин Никита Андреевич
17
5
17
5
1
6
Мордвинов Андрей Сергеевич
16
6
16
6
2
7
Негина Юлия Михайловна
15
7
15
7
3
8
Никитин Алексей Борисович
14
8
14
8
4
9
Никифоров Андрей Александрович
13
9
13
9
1
10
Пак Михаил Александрович
12
10
12
10
2
11
Песьякова Яна Алексеевна
11
11
11
11
3
12
Сагиров Ринат Альбертович
10
12
10
12
4
13
Саликов Евгений Александрович
9
13
9
13
1
14
Сапожников Андрей Юрьевич
8
14
8
14
2
15
Трифонов Андрей Александрович
7
15
7
15
3
16
Туренкова Анна Вячеславовна
6
16
6
16
4
17
Шнидман Сергей Сергеевич
5
17
5
17
1
18
Чернышов К.
4
18
4
18
2
19
Кузьминов С.
3
19
3
19
3
20
Сердюков И.
2
20
2
20
4
21
Шабыков А.
1
21
1
21
1
22
Рахматуллина Алия
20
2
19
3
2
23
Петкевич Олег
19
3
18
4
3
24
Шуранов Станислав
18
4
17
5
4
25
Яровой Владимир
17
5
16
6
1