ГОСТ Р ИСО 7498-2-99 Государственный стандарт Российской Федерации Информационная технология взаимосвязь открытых систем базовая эталонная модель

a) использование услуги конфиденциальности в протоколе административного управления ключами для передачи закрытых ключей;

b) использование услуг целостности или «безотказность» с подтверждением отправителя в протоколе административного управления ключами для передачи ключей общего пользования. Эти услуги могут быть обеспечены путем использования симметричных и/или асимметричных криптографических алгоритмов.

А.4.3 Механизмы цифровой подписи

Понятие цифровой подписи используется для указания конкретного метода, который может быть применен для обеспечения таких услуг защиты, как «безотказность» и аутентификации. Механизмы цифровой подписи требуют использования асимметричных криптографических алгоритмов. Важной характеристикой механизма цифровой подписи является то, что подписанный блок данных не может быть создан без использования личного ключа. Это означает, что:

a) подписанный блок данных не может быть создан каким бы то ни было лицом, за исключением лица, обладающего личным ключом;

b) получатель не может создать подписанный блок данных. Из того следует, что использование доступной информации общего пользования возможно только для идентификации подписчика блока данных единственно в качестве лица, обладающего личным ключом. В случае возникновения последующего конфликта между участниками последнее означает возможность предоставить проверку идентификации подписчика блока данных надежной третьей стороне, которая привлекается при анализе аутентичности подписанного блока данных. Этот тип цифровой подписи называется схемой прямой подписи (см. рисунок 1). В других случаях может потребоваться дополнительное свойство (с):

c) отправитель не может отклонить передачу подписанного блока данных. Надежная третья сторона (арбитр) обеспечивает получателю в этом случае источник и целостность информации. Этот тип цифровой подписи иногда называют схемой арбитражной подписи (см. рисунок 2).

Примечание — Отправитель может потребовать, чтобы получатель не смог позднее отклонить прием подписанного блока данных. Это может быть выполнено с помощью услуги «безотказность» с подтверждением доставки соответствующей комбинацией цифровой подписи, целостности данных и механизмов нотаризации.

А.4.4 Механизмы управления доступом

К механизмам управления доступом относятся те, которые используются для задействования стратегии ограниченного доступа к ресурсам только со стороны полномочных пользователей. К таким методам относятся использование списков или матриц управления доступом (которые обычно содержат идентификаторы конкретных управляемых объектов и полномочных пользователей, например, персонала или процессов), паролей и функциональных возможностей, меток или маркеров, обладание которыми может быть использовано для указания права на доступ. При использовании функциональных возможностей они должны быть сохранены в неизменном виде и переданы достоверно.

А.4.5 Механизмы целостности данных

Существует два типа механизмов целостности данных: одни используются для защиты целостности отдельного блока данных, а другие — для защиты целостности как отдельного блока данных, так и последовательности полного потока блоков данных по соединению.

А.4.5.1 Обнаружение модификации потока сообщений

Методы обнаружения разрушения информации, обычно связанные с обнаружением ошибок битов, блоков и последовательностей, вносимых каналами связи и сетями, могут быть использованы также для обнаружения модификации потока сообщений. Однако, если протокольные заголовки и окончания не защищены механизмами целостности, нарушитель информации может успешно обойти такой контроль. Таким образом, успешное обнаружение модификации потока сообщений может быть достигнуто только путем использования средств обнаружения разрушений в сочетании с последующей информацией. Это может не предотвратить модификацию потока сообщений, но обеспечит уведомление о вторжениях.