Добрый день, уважаемые специалисты! Возник небольшой вопрос в понимании устройства обеспечения целостности cpverify. В документации, а именно в ЖТЯИ.00101-01 91 03. Руководство администратора безопасности. Linux. указан список файлов, для которых должен быть обеспечен контроль целостности.

1) Так вот, каким образом может быть обеспечена целостность, если есть возможность перерасчёта контрольных (эталонных) сумм? Так злоумышленник (внутренний) может же внести модификации в список данных файлов и пересчитать для них контрольные суммы?

2) Есть ли механизм сохранения контрольных эталонных сумм в защищённом виде?

3) Надо ли ставить на контроль данный список или уже (читая форум, наткнулся на сообщение вашего сотрудника по КриптоПро CSP 4.0) после установки дистрибутива автоматически этот список ставится под контроль (в данном случае интересует периодический контроль обеспечения целостности).

4) Также интересует вопрос механизма проверки данных файлов с помощью подписи (в документации упоминается специальный сертификат, открытый ключ которого используется для проверки подписи вашего кода) - что за сертификат используется? Какие механизмы СЗИ КриптоПро CSP 5.0 при этом задействуются?

5) Есть ли более подробная документация по cpverify кроме документации ЖТЯИ.00101-01 95 01. Правила пользования. Приложение 1. Данные вопросы вызваны заинтересованностью в эффективности обеспечения целостности.

Был бы очень признателен за ссылки на материал (документацию), в котором могли бы быть ответы на мои вопросы.

Отредактировано пользователем 6 августа 2021 г. 12:00:25(UTC)  | Причина: Не указана

Здравствуйте.
1. Для уровней защищённости КС1/КС2/КС3 администратор системы не является залоумышленником, а у пользователя нет прав на пересчёт.
2. Да, см. п.1
3. Не надо, контроль будет автоматически.
4, 5. Какую именно задачу вы хотите решить?