Атаки на реализацию

Атаки именно этого типа наиболее часто используются злоумышленниками. Связано это с тем, что для их реализации нет необходимости обладать обширными познаниями в области математики. Достаточно быть квалифицированным программистом. Примеров неправильной реализации, приводящей к атаке на нее, можно назвать множество. Например:

• • секретный ключ ЭЦП хранится на жестком диске;
• • после завершения работы системы ЭЦП, ключ, хранящийся в оперативной памяти, нс затирается;
• • обеспечивается безопасность сеансовых ключей и недостаточное внимание уделяется защите главных ключей;
• • открыт доступ к «черным спискам» скомпрометированных ключей;
• • отсутствует контроль целостности программы генерации или проверки ЭЦП, что позволяет злоумышленнику подделать подпись или результаты ее проверки.

Вопросы, касающиеся атак на аппаратную реализацию, в данной публикации рассматриваться не будут в связи с тем, что в России практически нет средств, реализующих цифровую подпись на аппаратном уровне. Можно добавить, что существуют варианты атак на аппаратные элементы хранения ключей ЭЦП (таблетки Touch Memory, смарт-карты и т. п.). Такого рода атаки получили широкое распространение в последнее время.

Атаки на пользователей

Не стоит забывать, что конечный пользователь также является элементом криптосистемы и также подвержен атакам, наравне со всеми остальными элементами. Пользователь может передать дискету с секретным ключом ЭЦП своему коллеге для подписи документов в свое отсутствие. Пользователь может потерять такую дискету или другой носитель секретных ключей и не сообщать об утере до того момента, пока эта дискета не понадобится вновь. Во многих системах пользователь может сам создавать себе ключи для выработки подписи. Поэтому выбираются легко запоминаемые слова или фразы, которые легко угадываются злоумышленниками.