लेकिन, दुर्भाग्य से, सम्मानित लेखक ने सूचना सुरक्षा के कई महत्वपूर्ण पहलुओं के बारे में बात नहीं की, जिसे ईडीएस का उपयोग करते समय ध्यान में रखना चाहिए, खासकर जब कानूनी रूप से महत्वपूर्ण इलेक्ट्रॉनिक दस्तावेजों पर हस्ताक्षर करते हैं।
मैं इस अंतर को भरने की कोशिश करूंगा ताकि सम्मानित उपयोगकर्ता जानता है कि "ईडीएस" नामक जानवर के साथ काम करने पर उसका क्या सामना होगा।
ईडीएस का उपयोग करने के कानूनी पहलू
सबसे पहले, मैं यह समझने का प्रस्ताव करता हूं कि ईडीएस को कानूनी से क्यों आवश्यक है, न कि तकनीकी दृष्टिकोण से। वर्तमान कानून नंबर 1-"इलेक्ट्रॉनिक डिजिटल हस्ताक्षर के अनुसार":
इलेक्ट्रॉनिक दस्तावेज़ में इलेक्ट्रॉनिक डिजिटल हस्ताक्षर एक कागज़ दस्तावेज़ में हस्तलिखित हस्ताक्षर के बराबर है, जो निम्न शर्तों के अधीन है:
- इस इलेक्ट्रॉनिक डिजिटल हस्ताक्षर से संबंधित हस्ताक्षर कुंजी प्रमाण पत्र सत्यापन के समय या इलेक्ट्रॉनिक दस्तावेज़ पर हस्ताक्षर के समय समाप्त नहीं हुआ है (यदि वैध सबूत है तो हस्ताक्षर करने का समय निर्धारित करता है;
- इलेक्ट्रॉनिक दस्तावेज़ में इलेक्ट्रॉनिक डिजिटल हस्ताक्षर की प्रामाणिकता की पुष्टि की जाती है;
- इलेक्ट्रॉनिक डिजिटल हस्ताक्षर का उपयोग हस्ताक्षर कुंजी प्रमाण पत्र में निर्दिष्ट जानकारी के अनुसार किया जाता है।
यह तथ्य विभिन्न दस्तावेज़ प्रबंधन प्रणालियों के लिए कई अवसर खोलता है, जैसे कर रिपोर्ट दाखिल करना, अनुबंधों के दूरस्थ हस्ताक्षर, आदेशों को मंजूरी देना, दूरस्थ बैंकिंग सेवाएं (आरबीएस), आदि। आदि
लेकिन, एक ही समय में, यह हमलावरों के लिए बड़े अवसर खोल देता है, जिन्होंने एक कानूनी मालिक के ईडीएस को गलत ठहराया है, एक ईडीएस के मालिक से संबंधित कानूनी एक के लिए अपनी इच्छा को छोड़ सकते हैं।
इसका क्या मतलब है? यहां आप कल्पना कर सकते हैं: (1) वे एक बड़े संगठन के लिए एक गलत टैक्स रिटर्न देते हैं और यह एक बड़े जुर्माना में चलता है, (2) एक बेतुका प्रेस रिलीज एक बड़े होल्डिंग के निदेशक द्वारा हस्ताक्षरित अखबार में आता है, (3) कंपनी के खाते से पैसा प्रशासक वसीली पेट्रोविच पर हस्तांतरित किया जाता है। सामान्य निदेशक, (4) आपका पैसा आरबी सिस्टम के माध्यम से येकातेरिनबर्ग में एक खाते में स्थानांतरित किया जाता है। और कानून के दृष्टिकोण से, सब कुछ वैध है। आपका हस्ताक्षर (EDS) आपकी "इच्छा" (इलेक्ट्रॉनिक दस्तावेज़) पर है।
और मैं आपको यह आश्वस्त करने का साहस करता हूं कि यदि उदाहरण 1, 2 और 3 काल्पनिक हैं, तो उदाहरण 4 एक रोजमर्रा की प्रथा है कि सूचना सुरक्षा बाजार में कई प्रमुख कंपनियां लड़ने की कोशिश करती हैं। और मैं एक कारण के लिए येकातेरिनबर्ग लाया - इस शहर में किसी कारण के लिए 70% धन बह जाता है, और फिर वे लगभग एक ट्रेस के बिना भंग कर देते हैं।
तो यह कैसे होता है?
और सबसे महत्वपूर्ण बात, इससे कैसे निपटें?
मैं आपको कुछ आंकड़े देता हूं जो लगभग हमलों की दिशा को दर्शाते हैं, जिसके परिणामस्वरूप एक हमलावर को आपके दस्तावेज़ के तहत आपके डिजिटल हस्ताक्षर की एक प्रति मिल रही है।
| धमकी
| जोखिम
| जोखिम की ऊंचाई
| निर्णय
|
| एसेट: उपयोगकर्ता के डिजिटल हस्ताक्षर की निजी कुंजी
| |||
| उपयोगकर्ता की निजी कुंजी ईडीएस के बाद के अनधिकृत उपयोग के साथ गोपनीयता का उल्लंघन
| असुरक्षित भंडारण से निजी कुंजी की चोरी (जैसे फ्लैश ड्राइव से)
| 70%
| गैर-पुनर्प्राप्ति योग्य निजी कुंजी क्रिप्टोग्राफ़िक उपकरण
|
| रैम से निजी कुंजी की चोरी
| 5%
| ||
तालिका के पहले भाग को समझने के लिए, हमें ईडीएस पर लेखों की अच्छी तरह से ज्ञात (मुझे इस बात की आशा है) श्रृंखला द्वारा मदद मिलेगी। जैसा कि हम जानते हैं, ईडीएस के साथ काम करने के लिए एक महत्वपूर्ण जोड़ी है - सार्वजनिक और निजी कुंजी। EDS लगाने के लिए, आपको एक निजी कुंजी की आवश्यकता होती है। तालिका का पहला भाग इस उपयोगकर्ता संपत्ति पर हमलों को दर्शाता है।
दुर्भाग्य से, उपयोगकर्ताओं के विशाल बहुमत में एक कुंजी कंटेनर संग्रहीत होता है (यह एक ऐसी चीज है, फाइलों का एक सेट जहां एक कुंजी जोड़ी संग्रहीत है, एक प्रमाण पत्र और कुछ सेवा जानकारी) कहीं भी, लेकिन सुरक्षित स्थान पर नहीं। उदाहरण के लिए, एक फ्लैश ड्राइव, एक फ़ोल्डर "सी: बैंक खाते के लिए कुंजी", एक फ्लॉपी डिस्क, आदि। आपको यह समझने की आवश्यकता है कि यदि आप इस जानकारी को कॉपी करते हैं, तो नया मालिक आपकी इच्छा के लिए अपनी इच्छा को देने में सक्षम होगा। आप कहेंगे: "लेकिन मेरे पास पासवर्ड के साथ चाबियाँ हैं!" और मैं जवाब दूंगा: "यह एक विश्वसनीय सुरक्षा नहीं है। अपना पासवर्ड चुनने के बाद, आप जीवन भर अपने नाम पर ऋण के लिए काम करेंगे।
अब अपने आप से सवाल पूछें: “क्या मेरे पास वेबमनी के लिए बहुत पैसा है? मैं अपने WMID की कुंजियाँ कहाँ संग्रहीत करूँ? क्या आपको किसी चीज़ के मामले में इस पैसे के लिए खेद है? "
या इस तरह से: “मेरी कंपनी के बैंक खाते के साथ काम करने के लिए डिजिटल हस्ताक्षर कुंजी कहां हैं? अगर कोई मेरे काम के लैपटॉप पर 5 मिनट के लिए बैठ जाता है तो मैं इस पैसे को कहाँ देखूँगा? ”
समाधान बहुत सरल है - महत्वपूर्ण प्रणालियों के स्टोर कुंजी (जहां आपका पैसा है) सुरक्षित मीडिया पर (उदाहरण के लिए, स्मार्ट कार्ड, यूएसबी टोकन)। सौभाग्य से, बाजार पर ऐसे लोगों के बहुत सारे हैं। यह 70% हमलों को बंद कर देगा।
लेकिन टैबलेट पर एक और 5% है। ये हमले इस तथ्य के कारण संभव हैं कि, आमतौर पर, डिजिटल हस्ताक्षर का विकास कंप्यूटर पर सॉफ्टवेयर द्वारा किया जाता है। और, जैसे ही सुरक्षित भंडारण से इन साधनों द्वारा EDS कुंजी प्राप्त की जाती है, दुर्भावनापूर्ण ट्रोजन कार्रवाई में प्रवेश करता है और इन चाबियों को चुरा लेता है। इस तरह का हमला फ्लैश ड्राइव से सिर्फ चाबी की नकल करने की तुलना में बहुत अधिक जटिल है, लेकिन समग्र वर्गीकरण में इसका 5% है।
जिस तरह से विशिष्ट डिवाइस (समान स्मार्ट कार्ड और यूएसबी टोकन) हैं जो स्वतंत्र रूप से ईडीएस उत्पन्न करने के लिए तंत्र को लागू करते हैं (हार्डवेयर क्रिप्टोग्राफिक सूचना सुरक्षा उपकरण)। यही है, इनपुट पर उन्हें एक दस्तावेज या उसके हैश दिया जाता है, और आउटपुट में हमारे पास एक इलेक्ट्रॉनिक डिजिटल हस्ताक्षर है। ऐसे उपकरणों में, निजी कुंजी (पीढ़ी, उपयोग, विनाश) के साथ सभी ऑपरेशन केवल डिवाइस के अंदर किए जाते हैं। निजी कुंजी भौतिक रूप से इसे नहीं छोड़ सकती है, अर्थात, इस पर हमले असंभव हैं - केवल डिवाइस चोरी करने के लिए, लेकिन चोरी के तथ्य को छिपाने के लिए बहुत समस्याग्रस्त है। आधुनिक रुझानों और पश्चिमी अनुभव के अनुसार, ऐसे उपकरण भविष्य हैं। यदि आप विशिष्ट मॉडलों में रुचि रखते हैं - टिप्पणियों में विज्ञापन दें।
हम कुंजी चोरी से अधिक जटिल हमलों की ओर मुड़ते हैं।
| धमकी
| जोखिम
| जोखिम की ऊंचाई
| निर्णय
|
| एसेट: हार्डवेयर क्रिप्टोग्राफ़िक सूचना सुरक्षा उपकरणों की क्रिप्टोग्राफ़िक क्षमताएं
| |||
| CIPF का अनधिकृत उपयोग
| क्रिप्टो-चोरी, अंदरूनी सूत्र
| 10%
| उपयोगकर्ता ऑब्जेक्ट (निजी कुंजी सहित) के साथ काम करने के लिए, उपयोगकर्ता के पिन कोड के आधार पर डिवाइस पर प्रमाणीकरण आवश्यक है। 10 विफल प्रमाणीकरण प्रयासों के बाद, डिवाइस अवरुद्ध है। आगे की प्रक्रिया अनलॉकिंग प्रक्रिया को पारित करने के बाद ही संभव है।
|
| कनेक्टेड क्रिप्टोग्राफिक सूचना सुरक्षा उपकरण के साथ मशीन का रिमोट कंट्रोल
| 14%
| CIPF द्वारा उत्पन्न EDS के उपयोग के साथ-साथ, सिस्टम को वन-टाइम पासवर्ड (OTP) के साथ लेनदेन की पुष्टि की आवश्यकता हो सकती है
| |
इसलिए, उन्होंने क्रिप्टोग्राफिक सूचना सुरक्षा प्रणाली चुरा ली, जो खुद एक इलेक्ट्रॉनिक डिजिटल हस्ताक्षर (हमलों का 10%) पैदा करता है। डिवाइस के लिए पासवर्ड का उपयोग! खैर, हमेशा की तरह - कागज के टुकड़ों पर पासवर्ड न लिखें, इसे लगातार बनाएं और इनपुट प्रयासों की संख्या पर एक सीमा निर्धारित करें - आधुनिक हार्डवेयर क्रिप्टोग्राफ़िक सूचना सुरक्षा उपकरण इसकी अनुमति देते हैं। और जैसे ही उन्होंने क्रिप्टोग्राफिक सूचना संरक्षण की चोरी का पता लगाया - प्रमाणपत्र को रद्द कर दिया!
एक और 14% हमले उस समय के दूरस्थ कंप्यूटर नियंत्रण हैं जब CIPF जुड़ा होता है। एक सामान्य उदाहरण: एक चाची लेखाकार कंपनी खाते के साथ आरबी प्रणाली में काम करता है, जो एक क्रिप्टोग्राफिक सूचना सुरक्षा प्रणाली में फंस गया है, पहले भुगतान में भरने के बाद और दूसरा भरने के लिए पहले ही इसे अधिकृत कर चुका है। फिर "इन्तजार, सिस्टम अपडेट ..." जैसे एक शिलालेख दिखाई देता है, स्क्रीन अंधेरे और दुर्गम हो जाती है। इस समय, हमलावर दूरस्थ रूप से मशीन से जुड़ जाता है, भुगतान विवरण बदलता है और निष्पादन के लिए दस्तावेज़ भेजता है। सीआईपीएफ एक ईडीएस का उत्पादन करता है, भुगतान बैंक में जाता है, पैसा चला गया है, चाची-एकाउंटेंट नाराज है।
क्रिप्टोग्राफ़िक सूचना संरक्षण (उदाहरण के लिए, यूएसबी ओवर आईपी) के लिए रिमोट एक्सेस के और भी अधिक परिष्कृत तरीके हैं, लेकिन वे तकनीकी रूप से जटिल हैं, हालांकि उनका उपयोग सुव्यवस्थित हमलों के लिए किया जाता है।
आउटपुट: महत्वपूर्ण प्रणालियों के साथ काम करते समय लेन-देन की पुष्टि करने के लिए एक बार के पासवर्ड का उपयोग करें (उदाहरण के लिए, उन खातों के साथ काम करते समय जहां आपने लॉट में सोना संग्रहीत किया है)। वन-टाइम पासवर्ड वे पासवर्ड होते हैं जो केवल एक ऑपरेशन के लिए या थोड़े समय के लिए वैध होते हैं (आमतौर पर 5-10 मिनट)। शायद, यदि आप एक व्यक्ति के रूप में इंटरनेट बैंकिंग का उपयोग करते हैं, तो आपको तथाकथित टीएसए के एक समूह के साथ एक प्रिंटआउट दिया जाएगा, जिसे क्रमिक रूप से दर्ज किया जाना चाहिए, हर बार एक नया। तो यह एक बार का पासवर्ड है, केवल प्रिंटआउट (http://en.wikipedia.org/wiki/One-time_password) के साथ कागज के एक टुकड़े की तुलना में उनकी पीढ़ी के लिए अधिक सभ्य डिवाइस हैं।
| धमकी
| जोखिम
| जोखिम की ऊंचाई
| निर्णय
|
| एसेट: वह दस्तावेज जिसके लिए डिजिटल हस्ताक्षर उत्पन्न होता है, या उसका हैश
| |||
| सीआईपी को इसके संचरण की प्रक्रिया में एक दस्तावेज़ या हैश मान का प्रतिस्थापन
| विशिष्ट वायरस सॉफ्टवेयर गतिविधि
| 1%
| ...
|
और अंतिम और सबसे कठिन प्रकार का हमला हस्ताक्षर के लिए CIPF को इसके प्रसारण के चरण में एक दस्तावेज़ का प्रतिस्थापन है। यही है, आप एक इलेक्ट्रॉनिक दस्तावेज़ बनाते हैं, इसे हस्ताक्षर के लिए CIPF में संचारित करते हैं, इस समय विशेष वायरस सॉफ़्टवेयर दस्तावेज़ को प्रतिस्थापित करता है और इसे आपके हस्ताक्षर में स्थानांतरित करता है। इसके अलावा, सीआईपीएफ चाबियों तक पहुंचने के लिए एक पासवर्ड का अनुरोध करता है, आप अपने कार्यों की शुद्धता पर पूरी तरह से आश्वस्त हैं, पासवर्ड दर्ज करें और इलेक्ट्रॉनिक डिजिटल हस्ताक्षर प्राप्त करें। अगला कदम यह है कि आप काल्पनिक "सेंड" बटन को दबाएं, अपने दस्तावेज़ को इंगित करें, लेकिन बदसूरत वायरस फिर से प्राप्त किए गए डिजिटल हस्ताक्षर के साथ दस्तावेज़ को अपने आप से बदल देता है, स्क्रीन पर छवि को बदलने के लिए किसी भी तरह से आपको गुमराह करता है, और आप दस्तावेज़ को अपने हाथों से हमलावर को भेजते हैं।
यह सबसे जटिल प्रकार का हमला है, जो एक विशेष प्रणाली के लिए तैयार किया जाता है, आमतौर पर अंदरूनी सूत्रों के साथ अत्यधिक कुशल विशेषज्ञों द्वारा। यह आपकी और हमलावर की इच्छा का एक प्रकार है, लेकिन वास्तव में - एक भ्रामक धोखा। वर्तमान में एक विश्वसनीय पृथक ऑपरेटिंग सिस्टम पर्यावरण (एक विशेष ऑपरेटिंग सिस्टम) का उपयोग करने के अलावा ऐसे हमलों का मुकाबला करने का कोई तरीका नहीं है। लेकिन, मैं आपको आश्वस्त करने की हिम्मत करता हूं, काम चल रहा है।
परिणामस्वरूप
रूसी संघ के भीतर लेख और आंकड़ों में वर्णित हमलों के बारे में जानकारी एकत्र की जाती है। ये हमारे जीवन की वास्तविकताएं हैं जब इलेक्ट्रॉनिक दस्तावेजों और प्रामाणिकता और प्रामाणिकता को सत्यापित करने के तकनीकी साधनों के साथ काम करते हैं। सावधान रहें और आधुनिक तकनीकी साधनों का उपयोग करते समय अपने धन और प्रतिष्ठा की रक्षा के लिए पर्याप्त उपाय करें।