Сложность, присущая криптографическим протоколам, означает, что их разработка для достижения желаемых функциональных требований и требований безопасности может быть сложной задачей. Многие криптографические протоколы просто не достигают заявленных целей безопасности.
Это означает, что протоколы должны быть тщательно проанализированы, чтобы найти ошибки в их разработке. Недавно обновленный международный стандарт, ISO/IEC 29128-1, может помочь гарантировать, что протоколы соответствуют их предполагаемым требованиям безопасности и свободны от уязвимостей или слабых мест, которые могут быть использованы хакерами.
ISO/IEC 29128-1 предлагает четко определенную структуру проверки, основанную на научных методах. Он использует процедуру, которая уже существует для криптографических алгоритмов.
ISO/IEC 29128-1 основан на самых современных методах моделирования протоколов с использованием математики и информатики. Целью процедуры является подтверждение посредством предоставления объективных доказательств того, что требования безопасности были выполнены.
Однако следует отметить, что процесс проверки не является гарантией безопасности, это всего лишь подтверждение того, что требования безопасности были выполнены.
ISO/IEC 29128-1 начинается с описания методов моделирования криптографических протоколов и требований к проверке, включая методы и инструменты. В нем также обсуждаются различия между ограниченной и неограниченной проверкой.
В разделе "Модель криптографического протокола" описывается модель и ее формальная спецификация, состязательная модель и процесс представления. Он включает в себя обсуждение свойств безопасности и доказательства самооценки.
В разделе "Процесс проверки" описан общий процесс, включая обязанности отправителя и оценщика. Обязанности оценщика дополнительно разделены на основные обязанности: оценка доказательства, оценка модели и оценка доказательств. Стандарт также предоставляет пример оценки.
Информационные приложения предоставляют дополнительную информацию по конкретным темам, связанным со стандартом. В приложении A обсуждается протокол открытого ключа Нидхэма-Шредера-Лоу, в то время как в приложении B приводится пример представления.
В приложении C приведен пример оценки, в приложении D рассматривается модель Долева-Яо, а в приложении E обсуждаются свойства безопасности.
Недавно обновленный стандарт является результатом работы совместного технического комитета МЭК и ИСО SC 27, который отвечает за разработку международных стандартов управления и технических стандартов для информационной безопасности и защиты конфиденциальности и смежных тем. Сфера применения SC 27 включает разработку стандартов безопасности и защиты конфиденциальности систем, информационных технологий, процессов и сервисов.
Портфель SC 27 включает стандарты, охватывающие сервисы облачных вычислений, мобильные устройства, телекоммуникационные системы, промышленные системы управления, AI и IoT. Некоторые из хорошо известных стандартов, разработанных SC 27, включают ISO/IEC 27001 и ISO/IEC27002.
Работа SC 27 имеет решающее значение для обеспечения безопасности и конфиденциальности информации в нашем все более взаимосвязанном и цифровом мире.
