vlsergey / infosec Goto Github PK
View Code? Open in Web Editor NEWУчебное пособие по защите информации кафедры радиотехники и систем управления МФТИ
License: Other
Учебное пособие по защите информации кафедры радиотехники и систем управления МФТИ
License: Other
большие отступы при перечислении, можно сделать меньше
Думаю стоит упомянуть что из стандарта убрали описание режимов шифрования - вывели в отдельный стандарт ГОСТ Р 34.13-2015. По описанию все вроде бы ок, со стандартом сходится. Для схемы формирования сеансовых ключей лучше нарисовать картинку, описание довольно путанным получилось, в самом стандарте стройнее на мой взгляд.
Что касается атак, появляются новые, местами очень смелые )) исследования, вот например http://www.ivdon.ru/uploads/article/pdf/IVD_176_Maro.pdf_81fed81a84.pdf
рассматривается в виде RFC5742 вот эхо обсуждения http://search.gmane.org/?query=34.12-2015&group=gmane.ietf.irtf.cfrg в итоге приняли как информационный без номера вот здесь https://datatracker.ietf.org/doc/draft-dolmatov-kuznyechik/
crypt/bcrypt/scrypt/PBKDF2/Argon2
Т.е. криптографические хеш-функции, специально спроектированные так, чтобы их нельзя было ускорить. Также не освещен вопрос о получении ключей шифрования из пользовательских паролей.
Good to generate .mobi and/or .fb2 formats, not only .pdf.
Слишком длинные подзаголовки. Как следствие заголовок не помещается в верхний колонтитул. Список заголовков:
3.2. Российский стандарт...
4.4. Три способа...
5.2. Российский стандарт...
6. Криптосистемы с открытым .... (Глава)
7.3. Протоколы ...
9.3. Шифрование ...
9.6. Защита персональных ...
10.4. Хранение паролей и аутентификация ...
11.1. Контроль доступа ....
11.4. Переполнение ....
11.6. SQL-инъекции....
А.2. Конечные ....
А.5. Группа точек ....
А.6. Полиномиальные и ....
13.3. Виды программных уязвимостей далее описаны зловреды - к уязвимостям не имеют никакого отношения, кроме того, что они используют их. Узявимость - недостаток, недоработка в ПО.
Отсутствуют инициалы авторов в библиографии.
Line 8 in 0c97568
Использование соли, вычисляемой от логина или от пароля также возможно. Если можно, освятите плюсы и минусы каждого из методов "соления".
Хэш-функцией называется отображение, переводящее аргу-
мент произвольной длины в значение фиксированной длины. - Уточнить, операция математическая или какая вообще?
а в чём разница? К сожалению, не смог найти нормальное определение // Сергей
Стр 259 поехали колонтитулы
Защита персональных данных в
мобильной связи - может просто защита данных в мобильной связи?
В шифровании по Эль-Гамалю предлагается брать секретный ключ в диапазоне [0, p - 1]. Это не очень хорошее решение с точки зрения безопасности. Лучше исключить 0, 1 и p - 1 из множества возможных значений. Аргумент: при выборе x = 0 или x = p - 1, открытый ключ (y = g^x mod p) будет равен 1 (и только при этих двух значениях). Из-за этого злоумышленник, зная p и что y = 1, проверяет два возможных значения секретного ключа (0 и p - 1) вместо долгого и нудного поиска алгоритмами. Для единицы ситуация похожая - g^x mod p = g при x = 1. Зная, что y = g, злоумышленник принимает x = 1, минуя всю защиту.
\item Выбирает
$x \in [0, p - 1]$ с помощью генератора случайных чисел.
То же самое можно сказать про
\item Сторона
$B$ выбирает случайное число$r \in [1, p-1]$ и вычисляет:
в этом случае r =1 и r = p - 1 находятся без особых усилий
#4388 Боюсь, что во всей куче пулл реквестов он может затеряться. Вынесу его сюда отдельно, так как считаю его крайне необходимым. Возможность нормальной компиляции на Windows никогда не будет лишней.
стр 121 - ключей создаётся пользователем, который свой за-
крытый ключ держит в секрете, а открытый ключ делает общедо-
ступным для всех пользователей.
Или третьей доверенной стороной, у нас часто этим УЦ занимаются.
На страницах пособия фигурируют оба варианта ("бит", "битов"), что снижает единообразие текста.
Кроме того, это позволило бы избежать необходимости все время рассматривать правки "шила на мыло" (и делать эти правки).
Современный русский язык допускает употребление обеих форм.
Допускается оба варианта, но, возможно, имеет смысл зафиксировать
стр 122 сливается колонтитул
Пока переименовал в "Асимметричные криптосистемы", но надо подумать // @vlsergey
Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право..."
Источник:
"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008)
fixed // Сергей
150 страница пустая
В содержании пункт 9.6.2 GSM3 -> 3GSM то же самое касается GSM2. Лучше уточнять поколение или семейства протоколов. И раз указаны 2g/3g сети, то почему бы не добавить 4g стандарт, например, LTE (E-UTRA)?
Так как пробелы экранируются по разному на Windows и Bash, сегодня необходимо поддерживать два руководства и, в перспективе, удвоенное число сценариев для тестирования и подобных вещей. Возможно, наличие пробела вызовет трудности при использовании каких-либо ещё инструментов. Наконец, явное указание «main.tex» упрощает сборку, т. к. читателю будет необязательно даже читать README, чтобы подать верный файл PDFLaTeX'y.
стр 185, интернет с маленькой буквы
A declarative, efficient, and flexible JavaScript library for building user interfaces.
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
An Open Source Machine Learning Framework for Everyone
The Web framework for perfectionists with deadlines.
A PHP framework for web artisans
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
Some thing interesting about web. New door for the world.
A server is a program made to process requests and deliver data to clients.
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
Some thing interesting about visualization, use data art
Some thing interesting about game, make everyone happy.
We are working to build community through open source technology. NB: members must have two-factor auth.
Open source projects and samples from Microsoft.
Google ❤️ Open Source for everyone.
Alibaba Open Source for everyone
Data-Driven Documents codes.
China tencent open source team.