Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
6111
Добавлен:
18.03.2016
Размер:
1.98 Mб
Скачать
      1. Криптографічні протоколи

Розв’язання основних задач інформаційної безпеки можна домогтися шляхом реалізації таких криптографічних методів захисту як користувальницької і службової інформації, так і інформаційних ресурсів у цілому:

  • шифрування всього інформаційного трафіка, що передається через відкриті мережі передавання даних, і окремих повідомлень;

  • криптографічна автентифікація об’єктів, що встановлюють зв’язок;

  • захист трафіка, що несе дані, засобами захисту від нав’язування помилкових повідомлень і електронного цифрового підпису з метою забезпечення цілісності і вірогідності переданої інформації;

  • шифрування даних, що представлені у вигляді файлів, або що зберігаються в базі даних;

  • контроль цілісності програмного забезпечення шляхом застосування криптографічно стійких контрольних сум;

  • застосування електронного цифрового підпису для забезпечення юридичної значимості платіжних документів;

  • застосування затемненого цифрового підпису для забезпечення неможливості відстеження дій клієнта в платіжних системах, заснованих на понятті електронних грошей.

При реалізації більшості з наведених методів криптографічного захисту виникає необхідність обміну деякою інформацією.

У загальному випадку взаємодія об’єктів (суб’єктів) подібних систем завжди відбувається за певним протоколом.

Протокол – це послідовність дій об’єктів (суб'єктів) для досягнення певної мети.

Криптографічний протокол – це протокол, у якому учасники для досягнення певної мети використовують криптографічні перетворення інформації.

Основні задачі забезпечення інформаційної безпеки, що розв’язуються за допомогою криптографічних протоколів, такі:

  • обмін ключовою інформацією з наступним встановленням захищеного обміну даними. При цьому не існує ніяких припущень, чи спілкувалися попередньо між собою сторони, що обмінюються ключами (наприклад, системи розподілу ключової інформації в розподілених мережах передавання даних);

  • автентифікація сторін, що встановлюють зв’язок;

  • авторизація користувачів для забезпечення доступу до телекомунікаційнихі інформаційних служб.

Завдяки широкому застосуванню таких відкритих мереж передавання даних, як Іnternet і побудованих на їхній основі мереж Іntranet і Extranet криптографічні протоколи знаходять усе більш широке застосування для розв’язання різноманітного кола задач і забезпечення послуг, що надаються користувачам таких мереж.

      1. Контроль цілісності

Криптографічні засоби дозволяють:

  • надійно контролювати цілісність як окремих порцій даних, так і їх наборів (таких як потік повідомлень);

  • визначати достовірність джерела даних;

  • гарантувати неможливість відмовитися від виконаних дій (“безвідмовність”).

В основі криптографічного контролю цілісності лежать два поняття: хеш-функція та електронний цифровий підпис.

Хеш-функція – це односпрямована функція. Нехай є початкові дані , цілісність яких потрібно перевірити, хеш-функціяі раніше обчислений результат її застосування до початкових даних (так званий дайджест), дані, що перевіряються. Контроль цілісності даних зводиться до обчислення значення хеш-функціїі перевірки рівності=. Якщо ця рівність виконується, то вважається, що=.

Збіг дайджестів для різних даних називається колізією. У принципі, колізії можливі, оскільки множини дайджестів менші, ніж множини хешованих даних, проте, оскільки є односпрямованою функцією, то за прийнятний час спеціально організувати колізію неможливо.

Для вироблення і перевірки електронного цифрового підпису (ЕЦП) застосовується асиметричне шифрування.

У найпростішому випадку ЕЦП є зашифрованим на секретному ключі значенням хеш-функції для даних, що підписуються, .

Електронний цифровий підпис захищає цілісність повідомлення і засвідчує особу відправника, тобто захищає цілісність джерела даних і служить основою безвідмовності.

Для контролю цілісності послідовності повідомлень (тобто для захисту від крадіжки, дублювання і переупорядкування повідомлень) застосовують часові штампи і нумерацію елементів послідовності, при цьому штампи і номери включають у текст, що підписується.

При використанні методів асиметричного шифрування (і, зокрема, для електронного цифрового підпису) необхідно мати гарантію достовірності пари (ім’я користувача, відкритий ключ користувача).

Для вирішення цього завдання в специфікаціях X.509 вводяться поняття цифрового сертифіката і засвідчувального центру.

Засвідчувальний центр – це компонент глобальної служби каталогів, що відповідає за управління криптографічними ключами користувачів.

Відкриті ключі й інша інформація про користувачів зберігається засвідчувальними центрами у вигляді цифрових сертифікатів, що мають таку структуру:

  • порядковий номер сертифіката;

  • ідентифікатор алгоритму електронного підпису;

  • ім’я засвідчувального центру;

  • термін придатності;

  • ім’я власника сертифіката;

  • відкриті ключі власника сертифіката (ключів може бути декілька);

  • ідентифікатори алгоритмів, що асоціюються з відкритими ключами власника сертифіката;

  • електронний підпис, що згенеруваний з використанням секретного ключа засвідчувального центру (підписується результат хешування всієї інформації, що зберігається в сертифікаті).

Цифрові сертифікатимають такі властивості:

  • будь-який користувач, що знає відкритий ключ засвідчувального центру, може дізнатися відкриті ключі інших клієнтів центру і перевірити цілісність сертифіката;

  • ніхто, окрім засвідчувального центру, не може модифікувати інформацію про користувача без порушення цілісності сертифіката.

У специфікаціях X.509 не описується конкретна процедура генерування криптографічних ключів і управління ними, проте даються деякі загальні рекомендації. Зокрема, обумовлюється, що пара ключів може породжуватися будь-яким з таких способів:

  • ключі може генерувати сам користувач. У такому разі секретний ключ не потрапляє до рук третьої особи, проте потрібно розв’язувати задачу безпечного зв'язку із засвідчувальним центром;

  • ключі генерує довірена особа. У такому разі доводиться розв’язувати задачі безпечної доставки секретного ключа власнику і надання довірених даних для створення сертифіката;

  • ключі генеруються засвідчувальним центром. У такому разі залишається тільки завдання безпечного передавання ключів власнику.

Соседние файлы в папке Основи інформаційної безпеки