Коммерциялық емес акционерлік қоғам



жүктеу/скачать 244,16 Kb.
бет21/27
Дата06.01.2022
өлшемі244,16 Kb.
#16830
1   ...   17   18   19   20   21   22   23   24   ...   27
14 Дәріс. Кілттерді басқару

 

  Дәріс мазмұны: кілттерді басқару саясаты.



 

  Дәріс мақсаты: кілттерді басқару процесінің негізгі функцияларын іске асыру принциптерін оқу.

 

Криптожүйе қандай күрделі және сенімді болғанымен, ол  кілттерді қолдануға негізделген. Белгілі ақпараттық жүйеге жарамды криптографиялық жүйені таңдаудан басқа тағы бір мәселе - кілттерді басқару саясаты болып табылады.



Ақпараттық жүйеде жұмыс істейтін барлық кілттер жиынтығы кілттік ақпарат деп аталады. Егер де кілттік ақпаратты жеткілікті сенімді басқару қамтамасыздандырылмаған болса, онда оны біліп алып, қаскүнем ақпаратқа шексіз қол жеткізуді орната алады.

Келесідей негізгі: кілттерді генерациялау, кілттерді жинастыру, кілттерді тарату функцияларын іске асыруды орындайтын ақпараттық процесс кілттерді басқару болып табылады.

Кілттік ақпараттың қауіпсіздігін қамтамасыздандыру үшін осы функциялар қандай принциптер бойынша іске асырылатынын қарастырайық.

          Кілттерді генерациялау. Ақпараттық жүйенің қанағатты криптоберіктігін қамтамсыздандыру үшін жеңіл есте сақталатын кездейсоқ емес кілттерді қолдануға болмайды. Әдетте кездейсоқ кілттерді генерациялауға арнайы жабдықтық және программалық әдістері қолданылады. Жиі жағдайда жалған кездейсоқ сандар датчиктері қолданылады. Олардың генерациялану кездейсоқтық дәрежесі жеткілікті жоғары болуы керек.

         «Табиғи» кездейсоқ процестер негізіндегі құрылғылар идеалды генераторлар болып табылады. Мысалы, «ақ радио шу» негізіндегі кілттер генераторларының сериялық үлгілері пайда болды. Басқа кездейсоқ математикалық объект ретінде иррационалдық сандардың ондық белгілері қолданылады, мысалы, π немесе е сандарының, олар стандартты математикалық әдістерімен есептеледі. Қорғалуға орташа талаптары бар ақпараттық жүйеде кілттердің программалық генераторлары жеткілікті, Олар жалған кездейсоқ сандарды ағынды уақыттың және (немесе) пайдаланушы енгізген санның күрделі функциясы  ретінде есептейді.

ANSI стандартында симметриялық криптожүйелер үшін сеанстық кілтті генерациялаудың бір әдісі бейнеленген. Бұл жерде кездейсоқ R кілтін төмендегі мәнді есептеп анықтайды



 мұнда Ek –шифрлеу нәтижесі, k – жасырынды кілттерді генерациялауға резервіленген кілт, V0 - 64-биттік бастапқы жасырын сан, T - уақыт белгісі.

 Келесі Vi+1  мәнді төмендегі формуламен есептейді:

           Егер де 128-биттік кездейсоқ кілт қажет болса, кілттердің Ri және Ri+1 жұбын генерациялап, оларды бірлестіреді.

          Егер де кілт үнемі өзгертіліп тұрмаса, оны ашып, ақпаратты алып кету мүмкіндігі жоғарылайды. Кілттің үнемі өзгеріп тұруын кілттерді модификациялау процедурасын орындап орнатуға болады.

 Кілтті модификациялау – бір бағыты функция көмегімен жаңа кілтті оның алдындағы мәнінен генерациялау. Ақпараттық алмасуға қатысатындар осы функцияның көмегімен кілтті түрлендіру нәтижесін алып, кілттің жаңа мәнін жасау үшін осы нәтиженің белгілі биттарын қолданады. Бірақ та жаңа кілттің қауіпсіздігі бұрынғы кілттің қауіпсіздігімен бірдей екенін есте сақтау керек. Егер де қаскүнем бұрынғы кілтті ала алса, ол модификациялау процедурасын жасай алуы мүмкін.

          Кілттерді жинастыру. Кілттердің сақталуын, есепке алуын және жоюын  ұйымдастыру кілттерді жинастыру деп аталады. Жасырын кілттер оқуға немесе көшірмелеуге мүмкіндігі бар тасымалдаушыларға ешқашанда ашық түрде жазылмауы керек. Күрделі ақпараттық жүйеде бір пайдаланушы кілттік ақпараттың үлкен көлемімен жұмыс істеуі мүмкін, сондықтан кейбір кезде кілттік ақпараттың миниқорын ұйымдастыру қажет болады.  Қолданылатын кілттер туралы әр ақпарат шифрленген түрде сақталуы керек.

          Басқа кілттермен шифрленген кілттерді сақтаудың және берудің қажеттіліктері себебінен кілттердің иерархиясы концепциясын қолдануды мәжбүр етеді.  Әдістің мағынасы кілттер иерархиясын қолдануда: бас кілт (БК), кілттерді шифрлеу кілті (КК), мәліметтерді шифрлеу кілті (МК) деген кілттер енгізіледі. Иерархия екі деңгейлі (КК/МД) немесе үш деңгейлі (БК/КК/МК) болуы мүмкін.

         Ең төменгі деңгейде жұмыс немесе сеанстық МК  кілттер орналасады, олар мәліметтерді,  ПИН-дарды шифрлеуге, хабарларды аутентификациялауға қолданылады.            

Осы кілттерді тасымалдағанда немесе сақтағанда қорғау мақсатымен шифрлеу керек болса, келесі деңгейдегі – кілттерді шифрлеу кілттерін қолданады. Бұл кілттер ешқашанда сеанстық (жұмыс) кілттер ретінде және кері қарай қолданылмайды. Осындай функцияларды бөлу максималды қауіпсіздікті қамтамасыздандыру үшін қажет.

         Жоғарғы деңгейде бас кілт немесе мастер-кілт орнатылады. Бұл кілтті КК  кілтті шифрлеуге (оларды дискіде сақтау қажет болса) қолданады. Әр пайдаланушы мастер-кілттерін жатқа білу керек. Ақпаратпен алмасушылардың арасында мастер-кілт электронды емес әдісімен, жеке контакт кезінде таратылады.

 Кілттік ақпаратты периодты жаңартып отыру керек.

          Кілттерді тарату. Кілттерді басқару процесінде бұл ең жауапты қадам. Соңғы кезде көбінесе ашық кілті бар асимметриялық криптожүйелер қолданылады, оларда кілттерді тарату мәселесі жоқ. Кілттерді таратуға келесідей талаптар қойылады: таратудың дәлдігі мен оперативтілігі; таратылатын кілттердің құпиялығы.

Кілттерді тарату кілттермен тікелей алмасу жолымен немесе кілттерді тарату орталығын құрумен орындалуы мүмкін.

 Кілттермен тікелей алмасуды орындау үшін екі әдісті қолдануға болады:

- симметриялық криптожүйенің жасырын кілтін шифрлеп, тасымалдау үшін ашық кілті бар криптожүйені қолдану;

- кілттерді ашық таратудың Диффи—Хеллман жүйесін қолдану (11 дәрісті қараңыз).

Кілттерді тарату процесіне кілттерді тарату орталығы (КТО) қатынасатын болса, онда сеансқа қатысатындармен осы орталықтың өзара байланысуы орнатылады; келесі байланыс сеанстарында қолдануға негізделген жасырын немесе ашық кілттерді осы орталық таратады.

Келесі қадам – сеансқа қатысушылардың ақиқаттығын дәлелдеу; бұл кезде алдынғы шақырулардың қайталанғанын немесе ауыстырылғанын анықтау үшін куәләйтін хабарлармен алмасу орындалады.

 Екі әдісте де байланыс сеансының ақиқаттылығының гарантиясы болуы керек. Оны сұрақ-жауап немесе уақытты белгілеу механизмі көмегімен қамтамасыздандырады.



Сұрақ-жауап механизмінің мағынасы келесіде. А пайдаланушы В пайдаланушыға жіберілетін хабарға (сұранысқа) болжанбайтын элементті (мысалы, кездейсоқ санды) енгізеді. Жауабынада В пайдаланушы бұл элементпен кейбір операцияны орындауы керек (мысалы, 1 санын қосу). Нәтижені алғаннан кейін А пайдаланушы сеанстың ақиқат екеніне сене алады.

Уақытты белгілеу механизмі әр хабар үшін түскен уақытын белгілеуге негізделген. Сонда желі субъектісі хабардың көне екенін анықтап, оны қабылдамау мүмкіндігі бар. Бұл жерде рұқсат етілген кідіру интервалын орнату қажет.

Нақты ақпараттық жүйелерде, мысалы, кредитті карточкалармен төлемдерді жасауда, екінші механизм қолданылады. Уақыт интервалы бір минуттен бірнеше минутке дейін болады. Электронды ақшаларды ұрлаудың көптеген әдістері осы аралыққа кіріп, ақшаны алуға сұраныстарды беруге негізделген.

Сонымен, кілттерді басқару есебі келесі талаптарды қанағаттандыратындай кілттерді тарату хаттамасын іздеуде болады:

- кілттерді таратудың орталығын орнатпау мүмкіншілігі;

- байланыс сеансына қатысушылардың ақиқаттығын дәлелдеу;

- сұрақ-жауап немесе уақытты белгілеу механизмдері көмегімен сеанстың ақиқаттығын дәлелдеу;

- ол үшін программалық және жабдықтық құралдарды қолдану;

- кілттермен алмасқанда хабарлардың минималды санын қолдану.

 


жүктеу/скачать 244,16 Kb.

Достарыңызбен бөлісу:
1   ...   17   18   19   20   21   22   23   24   ...   27



©emirsaba.org 2024
әкімшілігінің қараңыз
    Басты бет
Lessons
Curriculum vitae
Documents