Безопасность информационных технологий

Создание доверенных информационных систем требует построения доверенных цепочек поставок аппаратных и программных компонентов. С точки зрения информационных технологий доверие – это уверенность в том, что все компоненты системы, процессы и данные являются подлинными, целостными и безопасными, а сервисы являются доступными. Одним из общепринятых приёмов обеспечения доверия в информационных системах является построение доверенных цепочек на основе использования технологии инфраструктуры открытых ключей (public key infrastructure, PKI). В статье рассматриваются аспекты создания доверенной цепочки поставки на основе PKI при выполнении операции обновления встраиваемого программного обеспечения доверенных программно-аппаратных комплексов. Дано общее описание стадий процесса обновления встроенного программного обеспечения, приведены форматы и основные операции по подготовке и загрузке образа встроенного программного обеспечения. Приведены оценки затрат вычислительных ресурсов, необходимые для реализации описанных операций. Следует отметить, что рассматриваемая технология может также использоваться для обновления системного и прикладного программного обеспечения. Данная статья будет интересна специалистам по разработке доверенной электронно-компонентной базы, доверенных программно-аппаратных комплексов (ПАК), системным интеграторам КИИ, разработчикам сквозных технологических процессов по разработке и производству доверенных устройств и информационных систем.

1. Fauzi, Muhammad & Mohan, Vinod & Qi, Yang & Chandrasegar, Christal & Muzafar, Saira. Secure Software Development Best Practices. International Journal of Emerging Multidisciplinaries: Computer Science & Artificial Intelligence. 2023, v. 2, p. 1–18.
DOI: http://dx.doi.org/10.54938/ijemdcsai.2023.02.1.256.

2. Alauthman, M., Al-Qerem, A., Aldweesh, A., Almomani, A. Secure SDLC Frameworks: Leveraging DevSecOps to Enhance Software Security. Modern Insights on Smart and Secure Software Development. IGI Global Scientific Publishing. 2025, p. 77–118.
DOI: https://doi.org/10.4018/979-8-3693-9851-7.ch003.

3. Bakhshi, T., Ghita, B., Kuzminykh, I. A Review of IoT Firmware Vulnerabilities and Auditing Techniques. Sensors. 2024, v. 24, no. 2. DOI: https://doi.org/10.3390/s24020708.

4. El Jaouhari S., Bouvet E. Secure firmware Over-The-Air updates for IoT: Survey, challenges, and discussions. Internet of Things. 2022, v. 18, p. 100508.
DOI: http://dx.doi.org/10.1016/j.iot.2022.100508.

5. Bast C., Yeh K.-H. Emerging Authentication Technologies for Zero Trust on the Internet of Things. Symmetry. 2024, v. 16, no. 8, p. 993. DOI: http://dx.doi.org/10.3390/sym16080993.

6. Hoang, Trong-Thuc & Duran, Ckristian & Serrano, Ronaldo & Sarmiento, Marco & Nguyen, Khai-Duy & Tsukamoto, Akira & Suzaki, Kuniyasu & Pham, Cong-Kha. Trusted Execution Environment Hardware by Isolated Heterogeneous Architecture for Key Scheduling. IEEE Access. 2022, v. 10, p. 46014–46027.
DOI: http://dx.doi.org/10.1109/ACCESS.2022.3169767.

7. Wei, J., & Pu, C. (2005). TOCTTOU vulnerabilities in UNIX-style file systems: an anatomical study. USENIX Conference on File and Storage Technologies. URL: https://www.usenix.org/legacy/event/fast05/tech/full_papers/wei/wei.pdf (дата обращения: 18.05.2025).

8. S. El Jaouhari. Toward a Secure Firmware OTA Updates for constrained IoT devices. IEEE International Smart Cities Conference (ISC2), Pafos, Cyprus, 2022, p. 1–6.
DOI: https://doi.org/10.1109/ISC255366.2022.9922087.

9. Конев А.А. Модель угроз безопасности защищенного микроконтроллера и обрабатываемой им информации. Доклады ТУСУР. 2022, т. 25, № 4, с. 80–87.
DOI: http://dx.doi.org/10.21293/1818-0442-2022-25-4-80-87.

10. Беляков Д. С., Калинин Е.О., Конев А.А., Шелупанов А.А., Мицель А.А. Модели жизненного цикла и угрозы безопасности микросхемы во время ее разработки и эксплуатации. Доклады ТУСУР. 2023, т. 26, № 1, с. 76–81.
DOI: http://dx.doi.org/10.21293/1818-0442-2023-26-1-76-81.

11. Горбатов В.С., Полянская О.Ю. Основы технологии PKI. Монография. ISBN: 978-5-9912-0213-8. М.: Горячая линия – Телеком. 2011. – 248 с. – EDN: KWAAHG.

12. Молдовян А.А., Молдовян Д.Н., Молдовян Н.А. Новый подход к разработке алгоритмов многомерной криптографии. Вопросы кибербезопасности. 2023, № 2(54), c. 52–64.
DOI: 10.21681/2311-3456-2023-2-52-64. – EDN: JXHQMI.

13. Беляев С.С., Будько М.Б., Будько М.Ю., Гирик А.В., Грозов В.А. Построение функции генерации криптографически стойких псевдослучайных последовательностей на базе алгоритма шифрования «Кузнечик». Вопросы кибербезопасности. 2021, № 4(44), c. 25–34. DOI: 10.21681/2311-3456-2021-4-25-34. – EDN: GBNJBU.

14. Энциклопедия Касперского, Глоссарий, Цепочка доверия (chain of trust). https://encyclopedia.kaspersky.ru/glossary/chain-of-trust/ (дата обращения 18.05.2025).

15. Дьяков, Олег Н. Специальное встроенное программное обеспечение доверенной электронной компонентной базы. Безопасность информационных технологий, [S.l.], т. 31, № 4, с. 67–86, 2024. ISSN 2074-7136. DOI: http://dx.doi.org/10.26583/bit.2024.4.04.