Дәріс. Пайдаланушылар ақиқаттығының өзара тексерілуі

  Дәріс мазмұны: пайдаланушыларды өзара аутентификациялау процедуралары.

Пайдаланушылардың ақиқаттығын екі жақтанда дәлелдеу процесін байланыс сеансының басында орындайды. Келесідей әдістерді қолданады:

Екі әдісте де жауап қаскүнеммен жіберілген емес деп сену үшін бақылау механизмін қорғау үшін шифрлеуді қолдану қажет;

Мысал ретінде екі А мен В пайдаланушылар үшін қол алысу процедурасын қарастырайық (12.1 суретті қараңыз); симметриялық криптожүйе қолданылады деп есептейміз:

- сеанс алдында пайдаланушының әрқайсысы өзара сенудің жасырын К кілтіне ие;

- А пайдаланушы В пайдаланушыға өзінің ID_A идентификаторын ашық түрде жіберіп, қол алысу процедурасын бастайды;

- В пайдаланушы ID_A идентификаторын алып мәліметтер қорында жасырын К кілтін тауып, оны өзінің криптожүйесіне енгізеді;

- А пайдаланушы В пайдаланушыға К кілтінде шифрленген өте үлкен кездейсоқ Х санын жібереді.  

Оның хабары келесі E_К(X) түрде болады, мұндағы E_К – жалпы белгілі  симметриялық шифрлеу функциясы;

- В пайдаланушы E_К(X) шифрмәтінін алып,  К кілтті біле отырып, Х хабарын қалпына келтіреді.

Ол бәріне белгілі бір бағыттағы f(X) функциясын қолданып, (f(X) ретінде жиі жағдайда дискретті дәрежені табу функциясы қолданылады) Х хабарын шифрлейді. Есептелген мән А пайдаланушыға жіберіледі;

   - А пайдаланушы алынған f(X) хабарды өздігінен есептеген  мәнімен салыстырады.

   f(X) пен  беттессе А пайдаланушы В-ға сене алады.

   Байланыстың ашық каналы бойынша E_k(X) мен  f(X) жарияланады, бірақ одан қаскүнем ешқандай пайда ала алмайды.

  12.1 Сурет – Екі пайдаланушының қол алысу процедурасы

  Ірі корпоративті және кеңістік бойынша таратылған есептеу желілерде әр пайдаланушыға барлық қалған пайдаланушылардың өзара сену кілттерін сақтау өте ыңғайсыз, себебі әкімдеудің көп мәселелері туады. Жағдайды қарапайымдау үшін аутентификациялау орталығы орнатылады. Бұл орталықта барлық пайдаланушылардың сенімділік кілттері бар, ал әр пайдаланушы өзінің серверлік сенімділік кілтіне ие. Сонымен барлық ресми пайдаланушылар аутентификациялау орталығына, ал орталық әр ресми пайдаланушыға сене алады. Екі белгілі А және В пайдаланушылар арасында сенімді қатынастарды ұйымдастыру үшін орталық сарапшы ретінде қолданылады, ол олар үшін төрт «қол алысу» нәтижесінде сеанстық кілттерді генерациялайды.  Аутентификациялау орталықты практикалық іске асырудың ең белгілі мысалы Kerberos сұлбасы болып табылады. Бұл сұлба 1980-ші жылдардың ортасында Массачусетс технологиялық институтында өңделген программалық өнім, одан бері оған біраз принципиалды өзгерістер орнатылды. Kerberos сұлбасының клиенттік компоненттері қазіргі кездегі операциялық жүйелердің көбісінде бар.

   Kerberos келесідей есепті шешуге негізделген. Ашық (қорғалмаған) желі бар болсын, оның түйіндерінде субъектілер орнатылған – пайдаланушылар, серверлік және клиенттік программалық жүйелер. Әр субъекттің жасырын кілті бар. C субъект өзінің ақиқаттығын S субъектіге дәлелдеу үшін (S кері жағдайда C–қа қызмет жасамайды) өзін атаумен бірге жасырын кілтті білетіндігін көрсету керек. C өзінің кілтін S–қа жібере алмайды, біріншіден, желі ашық болғандықтан (пассивті және активті тыңдап алуға қол жетеді), екіншіден, S субъект C субъекттің жасырын кілтін білмейді (оған білу керек еместе). Kerberos сенімді үшінші жақ болып табылады. Ол қызмет жасалатын субъектілердің барлығының жасырын кілттерін біледі және оларға бір-бірімен ақиқаттықтарын дәлелдеуге көмек береді.

Kerberos көмегімен S–ке (әдетте бұл сервер) қол жеткізу үшін C (клиент) Kerberos–қа сұраныс жібереді; бұл сұраныста өзі (клиент) және сұранатын қызмет туралы мәліметтер бар. Жауабында Kerberos сервердің жасырын кілтімен шифрленген билетті және клиенттің жасырын кілтімен шифрленген билеттегі ақпараттың бір бөлігінің көшірмесін жібереді. Клиент мәліметтердің екінші бөлігінің шифрын ашып, билетпен бірге серверге жібереді. Билеттің шифрын ашып сервер оның мазмұнын клиентпен жіберілген қосымша ақпаратпен салыстыруына болады. Ақпараттар бірдей болса, клиент оған арналған мәліметтердің шифрын аша алды, яғни ол жасырын кілтті білетінін көрсетті деп түсінуге болады (себебі сервер мен Kerberos-тан басқа билет мазмұнына ешкім қол жеткізе алмайды). Сондықтан клиент ақиқат аталған адам болғаны. Ақиқаттықты тексеру процесінде жасырын кілттер (шифрленген түрде де) желі бойынша тасымалданған жоқ, олар тек қана шифрлеуге қолданылғанын қайтадан айтып кеткен жөн. Келтірілген сұлба ақиқаттықты тексеру процедурасының өте қарапайымдалған версиясы.

Kerberos желілік қауіптерге тұрақтылығымен бірге желіге бірлестірілген кіру концепциясын сүйемелдейді.  Осы анықтаманы түсіндірейік.

Желіге бірлестірілген кіру біріншіден пайдаланушыға ыңғайлығын қамтамасыздандырудың талабы. Егер де корпоративті желіде тәуелсіз қатынасуға мүмкіндік беретін ақпараттық қызметтер саны көп болса, қайталау идентификациялау/аутентификациялау өте қиын болып кетеді. Өкінішке орай желіге бірлестірілген кіру әзірше норма болмады, әзірше басым болған шешім анықталған жоқ. Сонымен, сенімділік, бағасы бойынша қол жетерлік, пайдалану мен әкімдеудің ыңғайлығы жақтарынан компромисті болатын идентификацииялау және аутентификациялау құралдарын іздеу керек.

Идентификациялау/аутентификациялау қызметі қол жеткізуді анықтауға негізделген шабуылдардың объектісі болуы мүмкін. Егер де бірнеше сәтсіз талаптардан кейін жүйенің конфигурациясы бойынша идентификациялық ақпаратты енгізу құрылғысы блоктанатын болса, (мысалы, терминал),  қаскүнем батырмаларға бірнеше рет басып  ресми пайдаланушының жұмысын тоқтатуына болады.

  13 Дәріс.    Мәліметтерді аутентификациялау мәселесі және  электронды цифрлық қолтаңба

  Дәріс мазмұны: электронды цифрлық қолтанба көмегімен мәліметтерді аутентификациялау.

  Дәріс мақсаты: электронды цифрлық қолтаңбаны құрастырудың принциптері мен алгоритмдерін оқу.

  13.1 Электронды цифрлық қолтаңба түсініктемесі

Электронды цифрлық қолтаңба телекоммуникациялық каналдар бойынша тасымалданатын электронды мәтіндерді аутентификациялау үшін қолданылады. Ол кәдімгі қолтаңбаға ұқсас және оның қасиеттеріне ие:

- қолтаңба қойылған мәтін шынында да қолтаңбаны қойған адам жібергенін дәлелдейді;

- қолтаңбаны қойған адамға қолтаңба қойылған мәтіндегі міндеттемелерінен бас тартуға мүмкіндігін бермейді;

- қолтаңба қойылған мәтіннің бүтіндігін кепілдейді.

Электронды цифрлық қолтаңба мәтінмен бірге жіберілетін қосымша цифрлық ақпарат болып табылады.

Электронды цифрлық қолтаңба жүйесі екі процедурадан тұрады:

1) қолтаңбаны қою процедурасы;

2) қолтаңбаны тексеру процедурасы.

Әр қолтаңбада келесідей ақпарат болады: қолтаңба қойылған мерзімі, осы қолтаңба кілтінің жұмысының аяқталу мерзімі, файлға қолтаңбаны қойған адам туралы ақпарат (аты-жөні, қызметі, жұмыс орнының аты), қолтаңбаны қойған адамның идентификаторы (ашық кілтінің аты), цифрлық қолтаңбаның өзі.

Электронды қолтаңба технологиясында электронды пошта желісінің әр абонентінде екі кілт бар деп есептеледі: ­жасырын және ашық кілттер. А абонентінің жасырын кілті тек қана цифрлық қолтаңбаны жасауға қолданылады, ал ашық кілт басқа абоненттермен А-дан алынған хабардың ақиқаттығын тексеруге қолданылады. Электронды цифрлық қолтаңба алгоритмдерінде жиі жағдайда бір бағытты функцияларды пайдалануда негізделген әртүрлі математикалық принциптер қолданылады. Электронды цифрлық қолтаңба механизмін тікелей қолданғанда оны тек қана шектелген ұзындығы бар хабарларға қоюға болады. Сондықтан цифрлық қолтаңба құжаттың өзіне емес, оның хэштеу деп аталатын криптографиялық процедуралар көмегімен алынған кейбір кішкене өлшемді цифрлық бейнесіне қойылады. Хэштеу алгоритмі келесі шартты қанағаттандыруы керек: екі хабардың цифрлық бейнелері (хабардың хэш-функциясының мәні) бірдей болмауы керек.