Статус: Участник
Группы: Участники
Зарегистрирован: 16.07.2021(UTC) Сообщений: 14 Сказал(а) «Спасибо»: 5 раз
|
Добрый день, уважаемые специалисты! Возник небольшой вопрос в понимании устройства обеспечения целостности cpverify. В документации, а именно в ЖТЯИ.00101-01 91 03. Руководство администратора безопасности. Linux. указан список файлов, для которых должен быть обеспечен контроль целостности. 1) Так вот, каким образом может быть обеспечена целостность, если есть возможность перерасчёта контрольных (эталонных) сумм? Так злоумышленник (внутренний) может же внести модификации в список данных файлов и пересчитать для них контрольные суммы? 2) Есть ли механизм сохранения контрольных эталонных сумм в защищённом виде? 3) Надо ли ставить на контроль данный список или уже (читая форум, наткнулся на сообщение вашего сотрудника по КриптоПро CSP 4.0) после установки дистрибутива автоматически этот список ставится под контроль (в данном случае интересует периодический контроль обеспечения целостности). 4) Также интересует вопрос механизма проверки данных файлов с помощью подписи (в документации упоминается специальный сертификат, открытый ключ которого используется для проверки подписи вашего кода) - что за сертификат используется? Какие механизмы СЗИ КриптоПро CSP 5.0 при этом задействуются? 5) Есть ли более подробная документация по cpverify кроме документации ЖТЯИ.00101-01 95 01. Правила пользования. Приложение 1. Данные вопросы вызваны заинтересованностью в эффективности обеспечения целостности. Был бы очень признателен за ссылки на материал (документацию), в котором могли бы быть ответы на мои вопросы. Отредактировано пользователем 6 августа 2021 г. 12:00:25(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.09.2018(UTC) Сообщений: 53
Поблагодарили: 2 раз в 2 постах
|
Добрый день. Запрос обрабатывается, ожидайте ответ.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
Здравствуйте. 1. Для уровней защищённости КС1/КС2/КС3 администратор системы не является залоумышленником, а у пользователя нет прав на пересчёт. 2. Да, см. п.1 3. Не надо, контроль будет автоматически. 4, 5. Какую именно задачу вы хотите решить? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.07.2021(UTC) Сообщений: 14 Сказал(а) «Спасибо»: 5 раз
|
"Какую задачу хотите решить?" - Хочу убедиться в безопасности использования данной технологии, насколько корректнее её использовать по сравнению с альтернативными способами обеспечения целостности (например, механизмы обеспечения целостности Astra Linux: динамический или регламентный контроль). Насчёт сертификата - интересует цепочка, каким образом встроенный сертификат проверяется на доверие (какой риск существует его подмены с перерасчётом подписи исходного кода)?
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close