5-Ma’ruza Mavzu: Ochiq kalit infratuzilmasi Reja


Download 267.6 Kb.
bet1/2
Sana17.02.2023
Hajmi267.6 Kb.
#1208408
  1   2
Bog'liq
5-Ma’ruza Mavzu Ochiq kalit infratuzilmasi Reja


5-Ma’ruza
Mavzu: Ochiq kalit infratuzilmasi
Reja:

  1. Kalitlarni bo’ladigan hujumlar

  2. Man-in-the-middle hujumidan himoyalash

  3. Ochiq kalit sertifikatlari

  4. Ochiq kalitlarni boshqarish infratuzilmasining mantiqiy tuzilmasi va komponentlari

Tarixan axborot xavfsizligini boshqaruvchi har qanday markazning vazifalari doirasiga axborot xavfsizligining turli vositalari tomonidan ishlatiluvchi kalitlarni boshqarish kirgan. Bu-kalitlarni berish, yangilash, bekor qilish va tarqatish.


Simmetrik kriptografiyadan foydalanilganda kapitlarni tarqatish masalasi eng murakkab muammoga aylangan, chunki:
- N foydalanuvchi uchun himoyalangan N(N-l)/2 kalitni tarqatish lozim edi. N bir necha yuzga teng bo’lganida bu sermashaqqat vazifaga aylanishi mumkin;
- bunday tizimning murakkabligi (kalitlarning ko’pligi va tarqatish kanalining maxfiyligi) xavfsizlik tizimini qurish qoidalarining biri-tizim oddiyligiga to’g’ri kelmaydi, natijada zaif joylarning paydo bo’lishiga olib keladi.
Asimmetrik kriptografiya faqat 1 ta maxfiy kalitni tavsiya etib, bu muammoni chetlab o’tishga imkon yaratadi. Bunda dar bir foydalanuvchida faqat bitta maxfiy kalit va maxsus algoritm bo’yicha maxfiy kalitdan olingan ochiq kalit bo’ladi.
Ochiq, kalitdan maxfiy kalitni olib bo’lmasligi sababli ochiq ka¬litni himoyalanmagan xolda barcha o’zaro aloqa qatnashchilariga tarqatish mumkin. O’zining maxfiy kaliti va o’zaro aloqadagi sherigining ochiq kaliti yordamida har qanday foydalanuvchi har qanday kriptoamallarni bajarishi mumkin: bo’linuvchi sirni xisoblash, axborotning konfidensialligi va yaxlitligini himoyalash, elektron raqamli imzoni yaratish.
Shunday qilib, simmetrik kriptografiyaning ikkita asosiy muammosi hal etiladi:
- kalitlar sonining ko’pligi - ular endi atigi 1 ta;
- tarqatishning murakkabligi - ularni ochiq tarqatish mumkin.
Ammo bu texnologiyaning bitta kamchiligi - hujum qiluvchi niyati buzuq odam o’zaro aloqa qatnashchilari o’rtasida joylashganida man-in-the-middle (o’rtadagi odam) hujumiga moyilligi.
Ochiq kalitlarni boshqarish infratuzilmasi PKI (Public Key Infrastructure) ushbu kamchilikni bartaraf qilishga imkon beradi va man-in-the-middle hujumidan samarali himoyalanishni ta’minlaydi. Ochiq kalitlar infratuzilmasi korporativ axborot tizimlarining ishonchli ishlashi uchuy atalgan va ichki va tashki foydalanuvchilarga ishonchli munosabatlar zanjiri yordamida xavfsiz ax¬borot almashishga imkon beradi. Ochiq kalitlar infratuzilmasi foydalanuvchining shaxsiy maxfiy kalitini uning ochiq kaliti bilan bog’lovchi elektron pasportga o’xshab ishlovchi raqamli sertifikatlarga asoslanadi.
Man-in-the-middle hujumidan himoyalash. Man-in-the-middle hujumi amalga oshirilganida niyati buzuq odam ochiq kanal orqali uzatiluvchi o’zaro aloqaning qonuniy ishtirokchilari kalitlarini sekingina o’zining ochiq kalitiga almashtirib, qonuniy ishtirokchilarning har biri bilan bo’linuvchi sir yaratishi va so’ngra ularning barcha axborotlarini ushlab qolishi va rasshifrovka qilishi mumkin.
Hujum qiluvchining xarakatini va bu hujumdan himoyalanish usulini misol orqali (5.1-rasm) ko’rib chiqaylik. Faraz qilaylik, foydalanuvchilar 1 va 2 o’zlariga umumiy bo’lgan bo’linuvchi sirni Diffi-Xellman sxemasi bo’yicha hisoblab, himoyalangan ulanishni o’rnatishga qaror qildilar. Ammo 1-va 2- foydalanuvchilarning K1 va K2 kalitlari uzatilayotgan onda niyati buzuq odam @ adresatga yetkazmay ushlab qoldi. Niyati buzuq odam o’zining maxfiy va ochiq kalitini yaratib, ochiq K kalitini 1 va 2- foydalanuvchilarga sekingina ularning haqiqiy ochiq K1 va K2 kalitlarining o’rniga jo’natadi. Natijada 1 va 2-foydalanuvchilar bo’linuvchi sir¬ni o’zaro emas, balki 1-@ va 2-@ sxemalari bo’yicha yaratadilar, chunki ular o’zlarining maxfiy kalitlaridan va niyati buzuq odam @ning ochiq kaliti K@ dan foydalanadilar.

5.1rasm. "Man-in-the-middle" hujumini amalga oshirish.
1-foydalanuvchi 2-foydalanuvchiga shifrlangan axborotni jo’natgan vaqtida niyati buzuq odam @ uni ushlab qolishi va rasshifrovka qilishi mumkin (unda 1-foydalanuvchi bilan bo’linuvchi sir K1@ bor). So’ngra niyati buzuq odam @ axborotni (o’zgartirilgani bo’lishi mumkin) o’zi va 2-nchi foydalanuvchi xisoblagan bo’linuvchi sir K@2 dan foydalanib yangidan shifrlaydi. Natijada 2-foydalanuvchi 1-foydalanuvchi bilan himoyalangan kanalga egaman deb o’ypab, niyati buzuq odam jo’natgan axborotni oladi, rasshifrovka qiladi va ishlatadi.
Bu hujumga qarshi samarali vosita notarius yoki sertifikatsiyalash idorasi CA (Certificate Authority). Ochiq kalitlarning notarial tasdiqlangan sertifikatlarini qo’llash man-in-the-middle hujumini oldini olishga imkon beradi.
1-foydalanuvchi notariusga boradi, notarius 1-foydalanuvchining ochiq kalitini o’zining maxfiy kalitidan foydalanib, elektron raqamli imzosi bilan imzolaydi. Bunda notarius raqamli imzosi bilan nafaqat 1-foydalanuvchining ochiq kalitini, balki foydalanuvchi xususidagi qator aniq axborotni (F.I.Sh., ish joyi va X-) hamda imzoning ta’sir muddatini imzolaydi. Hosil bo’lgan xujjat (fayl) 1-foydalanuvchi ochiq kalitining sertifikati deb ataladi. Notariusdan o’zining ochiq, kaliti uchun sertifikat olishning xuddi shu muolajasini 2-foydalanuvchi ham bajaradi.
1 va 2-foydalanuvchi imzo chekilgan ochiq, kalitlarini almashishganidan so’ng, ular notariusning elektron raqamli imzosini va sertifikat haqiqattan 1-yoki 2- foydalanuvchiga berilganligini tekshiradi. Notarius¬ning elektron raqamli imzosini tekshirish foydalanuvchilar notariusga tashrif buyurganlarida extiyotdan olib quyilgan notariusni ochiq kaliti yordamida sherigidan olgan sertifikatni rasshifrovka qilish orqali bajariladi. Natijada notarius CA orqali foydalanuvchilar orasida oddiy ishonch zanjiri paydo bo’ladi (5.2-rasm).
Niyati buzuq odam @ notariusga borib 1-foydalanuvchining sertifikatini ololmaydi, chunki unga bu sertifikatni olish vaktida pasportini ko’rsatishiga va u 1- foydalanuvchi ekanligini isbotlashiga to’g’ri keladi.

5.2.rasm. Notairus CA orqali foydalanuvchilar orasidagi oddiy ishonch zanjiri.


Ochiq kalit sertifikatlari. Ochiq kalit sertifikatlarini shakllantirish X.509 standart tarafidan tavsiya etilgan qat'iy autentifikatsiyalash printsipiga va ochiq kalitli kriptotizim xususiyatlariga asoslanadi.
Ochiq kalit sertifikati deganda ma'lumotlar bo'limi va imzo bo'liidan tashkil topgan ma'lumotlar tuzilmasi tushuniladi. Ma'lumotlar bo'limida ochiq kalit xususidagi va kalit egasini identifikatsiyalovchi ma'lumotlar bo'ladi. Imzo bo'limida ochiq kalitli ma'lumotlar bo'limi uchun generatsiyalangan ochiq kalit egasini autentifikasiyalovchi elektron raqamli imzo bo'ladi. Sertifikatsiya markazi CA sertikatlardagi ochiq kalitlarni autentifikatsiyalashni ta’minlovchi ishonchli uchinchi tomon xisoblanadi.
Sertifikatsiyalash markazi uzining juft (ochiq,-maxfiy) kalitiga ega bo’lib, maxfiy kalit sertifikatlarni imzolash uchun ishlatilsa, ochiq ka¬lit chop etiladi va undan foydalanuvchilar sertifikatdagi ochiq, kalitning haqiqiyligini tekshirishda foydalanadilar. Ta’kidlash lozimki, sertifkatsiya markazining ochiq kalitini xavfsiz uzatish nafakat sertifkatsiya markaziga shaxsan murojaat asosida, balki bu ochiq kalitni kerakli vakolatga ega bo’lgan boshqa sertifkatsiya markazi tomonidan sertifikatsiyalash asosida ham amalga oshirish mumkin. Sertifikatsiya markazi foydalanuvchining ochiq kaliti sertifikatini ma’lumotlarning ma’lum to’plamini raqamli imzo bilan tasdiqlash orqali shakllantiradi.
Odatda, ma’lumotlarning bu to’plamiga quyidagilar kiradi:

  • ochiq kalitning ta’sir davri: davrining boshlanishi va nixoyasi sanalarini o’z ichiga oladi;

  • kalitning nomeri va seriyasi;

  • foydalanuvchining noyob ismi;

  • foydalanuvchining ochiq kaliti xususidagi axborot: ushbu kalit atalgan algoritmning identifikatori va ochiq kalitning o’zi;

  • elektron raqamli imzoni tekshirish muolajasida ishlatiluvchi al¬goritm (masalan, elektron raqamli imzoni generatsiyalovchi algoritm identifikatori);

  • sertifikatsiya markazining noyob ismi;

Ochiq kalit sertifikati quyidagi xususiyatlarga ega:
• sertifikatsiya markazining ochiq kalitidan foydalanuvchining xar biri sertifkatga kiritilgan ochiq kalitni chiqarib olishi mumkin;
• sertifkatsiya markazidan tashkari xech bir tomon sertifikatni bilintirmasdan o’zgartira olmaydi (sertifikatlarni soxtalashtirish mumkin emas).
Sertifkatlarni soxtalashtirish mumkin emasligi, ularni umum foydalanuvchi ma’lumotnomalarda, himoyalamasdan chop etishga imkon tug’diradi.
Ochik, kalit sertifkatini yaratish juft kalitni (ochiq-maxfiy) yaratishdan boshlanadi. Kalitni generatsiyalash muolajasi quyidagi ikkita usul orqali amalga oshirilishi mumkin:
- sertifikatsiya markazi kalitlar juftini yaratadi. Ochiq kalit sertifkatga kiritiladi, uning jufti-maxfiy kalit esa foydalanuvchiga uzatiladi (foydalanuvchini autentifikatsiyalashni va kalit uzatilishining konfidensialligini ta’miilagan holda).
- foydalanuvchi kalitlar juftini o’zi yaratadi. Maxfiy kalit foydalanuvchida saqlanadi, ochiq kalit esa himoyalangan kanal orqali sertifkatsiya markaziga yuboriladi.
Xar bir foydalanuvchi sertifkatsiya markazi tomonidan shakllantirilgan bitta yoki bir nechta kalitlarning egasi bo’lishi mumkin. Foydalanuvchi bir necha turli sertifkatsiya markazidan olingan sertifikatlarga ham ega bo’lishi mumkin.
Amalda boshqa sertifikatsiya markazidan sertifkat oladigan foydalanuvchilarni autentifikatsiyalash extiyoji tug’iladi.
Sertifikatlarni boshqarish tizimlarining bazaviy tuzilmalari. Sertifkatlarni boshqarish tizimi-o’zaro axborot almashishda xavfsizlikni ta’minlash maqsadida ochiq kalitli kriptografik texnologiyalardan foydalanishga zarur bo’lgan dasturiy-apparat vositalari hamda tashkiliy- texnik tadbirlar kompleksi.
Ochik kalitlarni boshqarish infratuzilmasi PKI man-in-the-middle hujumlaridan ishonchli himoyalashii amalga oshirishga imkon beruvchi notariuslar tarmog’idan iborat. Notarius orqali foydalanuvchilar orasidagi oddiy ishonch zanjiri (5.2-rasm) bitta notariusga, unga tashrif buyurgan foydalanuvchilarning ochiq kalitlarini, imzolangan sertifikatlarni yaratish yo’li bilan himoyalashga imkon beradi.
Bu tizimning samarali ishlashi quyidagilarga bog’liq:
- o’zaro aloqa ishtirokchilari sertifikatsiya markazi ochiq sertifikatining haqiqiy nusxasiga ega bo’lishlari shart;
- o’zaro aloqa ishtrokchilari ishlatadigan axborotni himoyalash vosi¬talari o’zaro aloqadagi sherigining har qanday sertifikatini sertifikatsiya markazining ochiq, sertifikatidan foydalanib avtomatik tarzda tekshira olishi lozim.
Ba’zida o’zaro aloqadagi sheriklar sertifikatsiya markazidan juda uzoqda bo’lishligi mumkin. Bu holda CA notariuslarining taqsimlangan qatlamlari yaratiladi.
Sertifikatsiyalashning uchta bazaviy modeli farqlanadi:
- sertifikatlarning iyerarxik (shajara) zanjiriga asoslangan ser-tifikatsiyalashning iyerarxik modeli;
- kross-sertifikatsiyalash modeli (o’zaro sertifikatsiyalashni ko’zda tutadi);
- sertifikatsiyalashning tarmoq (gibrid) modeli (iyerarxik va o’zaro sertifikatsiyalash elementlarini o’z ichiga oladi);
Iyerarxik modelda CA lar boshqa CA larga sertifikatlar beruvchi ildiz sertifikatsiya markaziga iyerarxik tobelikda joylashgan (5.3-rasm).
5.3.rasm. CAning ikki satxli iyerarxiyasi
Ildiz sertifikatsiya markazining vazifasi tobe CA1 va CA2 larni qaydlashdan iborat.
Har bir CA xavfsizlikning yagona darajasini ta’minlash maqsadida sertifikatsiyalashning berilgan siyosatiga muvofiq ishlaydi. 5.3-rasmda keltirilgan misolda CA notariuslarning yana bir iyerarxik satxi yaratiladi. Notariuslar:
o foydalanuvchilarga o’xshab sertifikatlarini markaziy CAda imzolashadi;
o markaziy CAga o’xshab oddiy foydalanuvchilariing sertifikatla¬rini maxfiy kalitlari bilan, imzolaydilar.
Masofadagi sherikning haqiqiyligini tekshirish mantiqi quyidagiicha quriladi (5.4-rasm)

5.4rasm. Masofadagi abonent sertifikatini tekshirish sxemasi.

  • foydalanuvchi sherigining sertifikatini olib, uni notanish CA imzolaganini aniqlaydi;

  • u sherigidan ushbu CAning sertifikatini so’raydi;

  • CAning sertifikatini olib, uni markaziy CA sertifikati bilan tekshiradi;

  • muvaffaqiyatli tekshirishdan so’ng foydalanuvchi bu CAga ishona boshlaydi va unnng sertifakat bilan masofadagi foydalanuvchi sertifikatini tekshiradi.

Xuddi shunday tekshirishni ikkinchi sherik ham bajaradi. Muximi, ishlatiladigan axborotni himoyalash tizimlari bunday murakkab iyerarxik tekshirishlarni avtomatik tarzda bajara olsinlar. Tavsiflangan iyerarxik sxemani, zaruriyat tug’ilganda iyerarxiyaning yangi satxlarini kiritib, davom ettirish mumkin.

Download 267.6 Kb.

Do'stlaringiz bilan baham:
  1   2




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling