vlsergey / infosec Goto Github PK

большие отступы при перечислении, можно сделать меньше

Думаю стоит упомянуть что из стандарта убрали описание режимов шифрования - вывели в отдельный стандарт ГОСТ Р 34.13-2015. По описанию все вроде бы ок, со стандартом сходится. Для схемы формирования сеансовых ключей лучше нарисовать картинку, описание довольно путанным получилось, в самом стандарте стройнее на мой взгляд.
Что касается атак, появляются новые, местами очень смелые )) исследования, вот например http://www.ivdon.ru/uploads/article/pdf/IVD_176_Maro.pdf_81fed81a84.pdf
рассматривается в виде RFC5742 вот эхо обсуждения http://search.gmane.org/?query=34.12-2015&group=gmane.ietf.irtf.cfrg в итоге приняли как информационный без номера вот здесь https://datatracker.ietf.org/doc/draft-dolmatov-kuznyechik/

crypt/bcrypt/scrypt/PBKDF2/Argon2

Т.е. криптографические хеш-функции, специально спроектированные так, чтобы их нельзя было ускорить. Также не освещен вопрос о получении ключей шифрования из пользовательских паролей.

Good to generate .mobi and/or .fb2 formats, not only .pdf.

Слишком длинные подзаголовки. Как следствие заголовок не помещается в верхний колонтитул. Список заголовков:
3.2. Российский стандарт...
4.4. Три способа...
5.2. Российский стандарт...
6. Криптосистемы с открытым .... (Глава)
7.3. Протоколы ...
9.3. Шифрование ...
9.6. Защита персональных ...
10.4. Хранение паролей и аутентификация ...
11.1. Контроль доступа ....
11.4. Переполнение ....
11.6. SQL-инъекции....
А.2. Конечные ....
А.5. Группа точек ....
А.6. Полиномиальные и ....

13.3. Виды программных уязвимостей далее описаны зловреды - к уязвимостям не имеют никакого отношения, кроме того, что они используют их. Узявимость - недостаток, недоработка в ПО.

Отсутствуют инициалы авторов в библиографии.

Использование соли, вычисляемой от логина или от пароля также возможно. Если можно, освятите плюсы и минусы каждого из методов "соления".

Хэш-функцией называется отображение, переводящее аргу-
мент произвольной длины в значение фиксированной длины. - Уточнить, операция математическая или какая вообще?

а в чём разница? К сожалению, не смог найти нормальное определение // Сергей

Стр 259 поехали колонтитулы

Защита персональных данных в
мобильной связи - может просто защита данных в мобильной связи?

В шифровании по Эль-Гамалю предлагается брать секретный ключ в диапазоне [0, p - 1]. Это не очень хорошее решение с точки зрения безопасности. Лучше исключить 0, 1 и p - 1 из множества возможных значений. Аргумент: при выборе x = 0 или x = p - 1, открытый ключ (y = g^x mod p) будет равен 1 (и только при этих двух значениях). Из-за этого злоумышленник, зная p и что y = 1, проверяет два возможных значения секретного ключа (0 и p - 1) вместо долгого и нудного поиска алгоритмами. Для единицы ситуация похожая - g^x mod p = g при x = 1. Зная, что y = g, злоумышленник принимает x = 1, минуя всю защиту.

\item Выбирает $x \in [0, p - 1]$ с помощью генератора случайных чисел.

То же самое можно сказать про

\item Сторона $B$ выбирает случайное число $r \in [1, p-1]$ и вычисляет:
в этом случае r =1 и r = p - 1 находятся без особых усилий

#4388 Боюсь, что во всей куче пулл реквестов он может затеряться. Вынесу его сюда отдельно, так как считаю его крайне необходимым. Возможность нормальной компиляции на Windows никогда не будет лишней.

стр 121 - ключей создаётся пользователем, который свой за-
крытый ключ держит в секрете, а открытый ключ делает общедо-
ступным для всех пользователей.

Или третьей доверенной стороной, у нас часто этим УЦ занимаются.

На страницах пособия фигурируют оба варианта ("бит", "битов"), что снижает единообразие текста.

Кроме того, это позволило бы избежать необходимости все время рассматривать правки "шила на мыло" (и делать эти правки).

Современный русский язык допускает употребление обеих форм.

Допускается оба варианта, но, возможно, имеет смысл зафиксировать

стр 122 сливается колонтитул

Пока переименовал в "Асимметричные криптосистемы", но надо подумать // @vlsergey

Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право..."

Источник:

"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008)

fixed // Сергей

150 страница пустая

В содержании пункт 9.6.2 GSM3 -> 3GSM то же самое касается GSM2. Лучше уточнять поколение или семейства протоколов. И раз указаны 2g/3g сети, то почему бы не добавить 4g стандарт, например, LTE (E-UTRA)?

Так как пробелы экранируются по разному на Windows и Bash, сегодня необходимо поддерживать два руководства и, в перспективе, удвоенное число сценариев для тестирования и подобных вещей. Возможно, наличие пробела вызовет трудности при использовании каких-либо ещё инструментов. Наконец, явное указание «main.tex» упрощает сборку, т. к. читателю будет необязательно даже читать README, чтобы подать верный файл PDFLaTeX'y.

стр 185, интернет с маленькой буквы