Безопасность информационных технологий

В соответствии с законодательством по обеспечению транспортной безопасности ряд транспортных средств должны быть оснащены бортовыми контрольными устройствами, содержащими криптографическое средство аутентификации, регистрации и хранения контрольных данных, в том числе ключевой информации электронной подписи. Целью настоящей работы является представление решения задачи обоснования достаточности мер противодействия известным атакам и методам компрометации предполагаемых криптографических механизмов и соответствующего протокола, оформленного в виде проекта национального стандарта и представленного в предыдущей работе авторов по исследованию его свойств безопасности. Представленное решение ограничено только рассмотрением атак, разделенных на два больших класса: пассивные и активные атаки, включая временные атаки, основанные на изучении времени отклика одного или нескольких участников протокола. Выводы. Анализ модели угроз безопасности протокола выработки общего ключа с аутентификацией абонентов, предназначенного для использования в тахографах, устанавливаемых на транспортные средства, показывает, что исследуемый протокол обеспечивает достаточность мер противодействия известным атакам. Найденные возможные атаки носят формальный характер, не позволяя нарушителю получить какую-либо дополнительную информацию для конструктивной компрометации протокола.

1. Европейское соглашение по работе экипажей транспортных средств, производящих международные автомобильные перевозки (ЕСТР). Европейская экономическая комиссия. Комитет по внутреннему транспорту. Записка секретариата. Добавление 1В к приложению ЕСТР, содержащее требования к конструкции, испытаниям, установке и инспекции цифрового контрольного устройства, используемого на автомобильном транспорте. – ECE/TRANS/SC.1/2006/2/Add.1. – 2008.

2. Приказ Минтранса России от 13 февраля 2013 г. № 36. URL: http://www.mintrans.nso.ru/sites/mintrans.nso.ru/wodby_files/files/wiki/2014/12/prikaz_36_13.pdf.

3. Росстандарт. Информационная технология. Криптографическая защита информации. Рекомендации по стандартизации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации. – 2016. – 36 с.

4. Росстандарт. Информационная технология. Криптографическая защита информации. Рекомендации по стандартизации. Криптографические механизмы аутентификации для применения в контрольных устройствах, обеспечивающих работу автотранспорта (Проект второй редакции). – 2017. –
21 с.

5. Горбатов, Виктор C; Жуков, Игорь Ю; Мурашов, Олег Н. Криптографический протокол аутентификации и выработки общего ключа контрольных устройств автотранспорта. Безопасность информационных технологий, [S.l.], v. 24, n. 4, p. 27-34, nov. 2017. ISSN 2074-7136. Доступно на:
. Дата доступа: 09 dec. 2018. doi:http://dx.doi.org/10.26583/bit.2017.4.03.

6. van Oorschot P.C., Wiener M.J., Parallel Collision Search with Cryptanalytic Applications// Journal of Cryptology – Vol. 12 – 1999. – 1-28 P.

7. Blanchet B., An Efficient Cryptographic Protocol Verifier Based on Prolog Rules, Proceedings of the 14th IEEE Computer Security Foundations Workshop (CSFW), Cape Breton, IEEE Computer Society, 2009. P. 82 – 96.

8. Armando A. et al., The AVISPA Tool for the Automated Validation of Internet Security Protocols and Applications. Proceedings of Computer Aided Verification’05 (CAV), Vol. 3576 of Lecture Notes in Computer Science, Springer, 2005, P. 281 – 285.

9. AVISPA stands for Automated Validation of Internet Security Protocols and Applications. URL: http://www.avispa-project.org/. (Дата обращения: 09.12.2018).

10. Черемушкин А.В. Криптографические протоколы. Основные свойства и уязвимости. – М.: Академия. –2009. – 272 с.

11. Cremers C. J. F. Scyther - Semantics and Verification of Security Protocols// Ph. D. dissertation. Eindhoven University of Technology, 2006.

12. Lowe G. A hierarchy of authentication specifications. In Proc. 10th IEEE Computer Security Foundations Workshop (CSFW). P. 31 – 44. IEEE, 1997.

13. Blanchet B., An Efficient Cryptographic Protocol Verifier Based on Prolog Rules, Proceedings of the 14th IEEE Computer Security Foundations Workshop (CSFW), Cape Breton, IEEE Computer Society, 2009, P. 82 – 96.