Каталог "Системы безопасности"-2018

ГОСПРОЕКТЫ, ТЕХРЕГУЛИРОВАНИЕ, ЦИФРОВАЯ ЭКОНОМИКА 13 МЕЖОТРАСЛЕВОЙ ТЕМАТИЧЕСКИЙ КАТАЛОГ "СИСТЕМЫ БЕЗОПАСНОСТИ-2018" 1 РАЗДЕЛ системы близки по своим функциональным характеристикам к уже используемым в настоящее время. C точки зрения вопросов информационной безопасности необходимо рассмотреть два аспекта – теоретический и практический. Безопасность протоколов консенсуса Теоретический прежде всего связан с общей научной непроработанностью обосно- вания безопасности протоколов консенсуса. Для наиболее старого, используемого в криптовалюте биткойн протокола Proof-of- Work к настоящему моменту предложено большое количество различных атак, неко- торые из которых достаточно просто могут быть реализованы практически. Большин- ство из них связано с отсутствием управ- ляющего центра и основано на воздействии на сетевые протоколы и изменении пара- метров внутреннего трафика сети: Punitive and Feather Forking, Transaction Malleability, Sybil, DDoS, Eclipse, Tampering. Узлы, зани- мающиеся подтверждением транзакций (майнеры), также могут действовать вопре- ки правилам системы: атака 51%, подкуп майнера, изменение системного времени майнера, Selfish Mining, Finney Attack. Другие варианты достижения консенсуса, такие как Proof-Of-Stake, Delegated Proof-Of- Stake, Proof-Of-Space, которые активно рас- сматриваются в настоящее время, обладают еще большим набором уязвимостей или слабо изучены. В целом пока до конца не понятно, каким должен быть безопасный протокол консен- суса с тем, чтобы обеспечивать стабильное функционирование блокчейн-системы про- должительное время с учетом возможного воздействия нарушителей. Практическая безопасность С практической точки зрения разрабатывае- мые энтузиастами современные блокчейн- системы зачастую обладают серьезными уязвимостями, которые позволяют прово- дить хакерские атаки. Это в большей степе- ни справедливо для области криптовалют. Широко известны атаки на криптовалютные биржи (Mt. Gox, Bitfinex, Coincheck и др.) и отдельных пользователей, направленные прежде всего на кражи данных криптова- лютных кошельков. Попытка использования блокчейна вне замкнутой цифровой среды, например для регистрации объектов недвижимости, конт- роля за движением товаров, ставит вопрос юридической значимости регистрационных действий. Даже не рассматривая норматив- ные и организационно-технические вопросы применения электронной подписи, критиче- ским в таком случае является вопрос досто- верности регистрации в системе событий или объектов, происходящих в реальном (физическом) мире. Это крайне проблемный вопрос и для существующих систем, кото- рый остается и в случае применения техно- логии блокчейн. На данный момент отсут- ствуют доверенные способы такой (автома- тической) регистрации. Ряд исследователей связывают вопрос внедрения блокчейна именно с решением задачи разработки таких способов. Интернет вещей и сенсорика Вопрос о доверенном внесении информации в блокчейн напрямую соприкасается с поня- тием Интернета вещей, существующим с 1999 г. Несмотря на долгую историю, ключе- вые вопросы безопасности в этой области до сих пор не решены. Широко известны многочисленные примеры критических атак на устройства, подключаемые к сети Интер- нет. В частности, у всех на слуху история с ботнетом Mirai, использовавшим устройства Интернета вещей для организации DDoS- атак. При этом многие принципы обеспечения безопасности, широко используемые в клас- сической криптографии, не работают в мире Интернета вещей: возможность доступа нарушителя непосредственно к устройству затрудняет использование секретных клю- чей, хранение сертификатов ключей защи- щенным образом. Как следствие, возникают серьезные слож- ности с доверенной идентификацией/аутен- тификацией IoT-устройств, реализацией без- опасных механизмов обновления и обес- печением достоверности получения инфор- мации от таких устройств. При этом существующие национальные стандарты Российской Федерации в области криптографической защиты информации в достаточной степени удовлетворяют экс- плуатационным требованиям, накладывае- мым характеристиками устройств Интерне- та вещей. Алгоритм шифрования "Магма", определяемый стандартом ГОСТ Р 34.12– 2015, является одним из мировых лидеров среди низкоресурсных алгоритмов по эффективности реализации и обеспечивае- мому запасу стойкости. Раздел 4 рекомендаций по стандартизации Р 50.1.114 "Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для крип- тографических алгоритмов и протоколов" определяет крайне эффективные способы представления эллиптических кривых, удов- летворяющих требованиям ГОСТ Р 34.10– 2012, тем самым обеспечивая возможность реализации считающейся "тяжеловесной" асимметричной криптографии на устрой- ствах с ограниченными ресурсами. Наиболее сложным вопросом для Интернета вещей являются широко используемые криптографические протоколы, требующие передачи существенных объемов служебных полей, что зачастую крайне нежелательно для устройств с ограниченными ресурсами. В настоящее время в Техническом комитете по стандартизации "Криптографическая защита информации" (ТК 26) создана рабо- чая группа "Криптографические механизмы для М2М и индустриальных систем", задача которой состоит в разработке и стандарти- зации "низкоресурсных" протоколов инду- стриального Интернета вещей. Биометрическая идентификация/аутентификация Биометрическая идентификация и аутенти- фикация в настоящее время является еще одной из активно обсуждаемых технологий. Однако система биометрической идентифи- кации/аутентификации, состоящая из подси- стем считывания биометрического образа, обработки биометрического образа, хране- ния биометрических данных, сравнения и принятия решения, в силу своей сложности и разнородности используемых механизмов позволяет нарушителям реализовывать новые векторы атак. Можно выделить следующие проблемные моменты: l зависимость точности распознавания от задействованных ресурсов и характери- стик аппаратуры; l возможность создания искусственных биометрических образов; l возможность синтеза биометрических параметров (например, при удаленной биометрической идентификации); l намеренная модификация биометриче- ских характеристик; l сложность сохранения биометрических характеристик в тайне и их неотчуждае- мость в случае компрометации; l влияние реальных условий эксплуатации на качество распознавания; l возможность утечки или изменения храни- мых биометрических параметров. Важно, что для биометрии, как ни для какой другой технологии, развитие методов распо- знавания (синтеза биометрических систем) влечет за собой соответствующее развитие угроз. В этой связи рассматривать биометрию исключительно в качестве единственной альтернативы существующим методам идентификации/аутентификации нецелесо- образно. Вопрос неотчуждаемости биометрических данных требует разработки жестких мер обеспечения безопасности их обработки и хранения операторами, в особенности при реализации разрабатываемой в настоящее время национальной биометрической плат- формы. n Внедрение технологии искусственного интеллекта рассматривается как один из стимулов развития бизнеса и экономики в целом. Однако использование самооб- учающихся нейронных сетей как основного способа реализации данной технологии порождает совершенно новые, не рассмат- риваемые ранее типы угроз Цифровая экономика в настоящий момент связывается в первую очередь с развитием ряда сквозных технологий, таких как боль- шие данные, нейротехнологии, искусствен- ный интеллект, системы распределенного реестра (блокчейн), промышленный Интер- нет и сенсорика