Amaliy matematika va intellektual texnologiyalar fakulteti Axborot xavfsizligi yo’nalishi 4-kurs talabasi Kenjayeva Gulhayoning amaliyot topshirig’i
Download 19.07 Kb.
|
Kenjayeva G. amaliyot
|
Amaliy matematika va intellektual texnologiyalar fakulteti Axborot xavfsizligi yo’nalishi 4-kurs talabasi Kenjayeva Gulhayoning amaliyot topshirig’i. 7.3.1 Kirish IBM tomonidan amalga oshirilayotgan bank ma'lumotlarini qayta ishlash tizimi xorijiy kompaniyalarning bir qator bank loyihalarida (UNISYS, NCR va boshqalar) axborot xavfsizligi masalalarini hal qilishda kompleks yondashuv bilan ajralib turadi. IBM axborot xavfsizligi sohasidagi tadqiqotlari bilan mashhur, xususan, ushbu kompaniya mutaxassislari Amerikaning ma'lumotlarni shifrlash standarti DES mualliflari hisoblanadi. Kompaniya tomonidan taklif etilayotgan bank ma'lumotlarini qayta ishlash tizimi Tranzaksiya xavfsizligi tizimi (TSS) deb ataladi. TSS xavfsizlik tizimi kriptografik funktsiyalarni bajaradigan apparat va dasturiy vositalar to'plamidir. Tizim shaxsiy kompyuter bilan jihozlangan bank ish stantsiyalari, ish joylari va markaziy protsessor o'rtasidagi aloqa kanallari xavfsizligini yaxshilash uchun maqsadli ishlab chiqilgan. TSS tizimi tomonidan amalga oshiriladigan kriptografik protseduralar standart ma'lumotlarni shifrlash algoritmiga (DEA) asoslangan. TSSda kriptografik usullardan foydalanish bir terminalda boshlangan va boshqa terminalda yoki markaziy protsessorda davom etadigan moliyaviy operatsiya xavfsizligini kafolatlashi mumkin. Chiziqli protsessorda qayta ishlangan ma'lumotni himoya qilish uchun uskuna tarmoq xavfsizligi protsessorini o'z ichiga oladi. Amaldagi texnik qurilmalar bir-biri bilan o'zaro ta'sir qiladi va bu shovqinda yagona xavfsizlik darajasini ta'minlaydi. Texnik qurilmalarning zarur funktsiyalarini va ularning o'zaro ta'sir qilish tartibini aniqlash IBM mutaxassislari tomonidan ishlab chiqilgan Tizimli Kriptografik Arxitektura (SCA) deb ataladigan vazifadir. SCA arxitekturasi shuningdek, maxfiylik, yaxlitlik, shu jumladan autentifikatsiya va identifikatsiya hamda joriy shifrlash kalitlarining ishlashi kabi asosiy kriptografik funksiyalarni standartlashtirishga qaratilgan. TSSda kriptografik usullardan foydalanish bir terminalda boshlangan va boshqa terminalda yoki markaziy protsessorda davom etadigan moliyaviy operatsiya xavfsizligini kafolatlashi mumkin. Chiziqli protsessorda qayta ishlangan ma'lumotni himoya qilish uchun uskuna tarmoq xavfsizligi protsessorini o'z ichiga oladi. Amaldagi texnik qurilmalar bir-biri bilan o'zaro ta'sir qiladi va bu shovqinda yagona xavfsizlik darajasini ta'minlaydi. Texnik qurilmalarning zarur funktsiyalarini va ularning o'zaro ta'sir qilish tartibini aniqlash IBM mutaxassislari tomonidan ishlab chiqilgan Tizimli Kriptografik Arxitektura (SCA) deb ataladigan vazifadir. SCA arxitekturasi shuningdek, maxfiylik, yaxlitlik, shu jumladan autentifikatsiya va identifikatsiya hamda joriy shifrlash kalitlarining ishlashi kabi asosiy kriptografik funksiyalarni standartlashtirishga qaratilgan. SCA tajovuzkor ma'lumotlariga tahdidni baholashga asoslanadi. Shu bilan birga, tashqi hujum va ichkaridan (qonuniy foydalanuvchidan) hujum qilish imkoniyatlari ajratiladi. Birinchi holda, taxmin qilinadi: • tajovuzkorning barcha tijoratda mavjud qurilmalarga (kompyuterlar, terminallar, POS-terminallar, bank kartalari va boshqalar) kirishi; • telekommunikatsiyalarga passiv kirish va uzatilgan ma'lumotlar va suhbatlarni yozib olish; • xabarlarni almashtirish, o'chirish va o'zgartirish bilan telekommunikatsiyalarga faol kirish; • terminallarni taqlid qilish; • kriptografik protokollar, xabar formatlari va boshqalarni bilish. Ichki tajovuzkor qo'shimcha ravishda texnik qurilmalarga (buyruqlar to'plami) kirish interfeysini biladi va ularga kirish operatsion tizim tomonidan boshqarilsa ham, shifrlangan kalitlarga kirish huquqiga ega. SCA axborot xavfsizligi tahdidlarining maxsus sinfini ajratib ko'rsatadi, bu kalitlarga, ma'lumotlarga kirish yoki buzish uchun o'zboshimchalik bilan ma'lumotlar to'plamini kiritish bilan birga kriptografik interfeysga kiritilgan barcha turdagi chaqiruv funktsiyalari va buyruqlarini birlashtirishga urinishdan iborat. ma'lumotlarning yaxlitligi. Bundan tashqari, SCA xavfsizlik tizimiga qo'yilgan talabni ilgari suradi, bu ko'rilgan choralar, u qanday vakolatlarga ega bo'lishidan qat'i nazar, bir shaxs tomonidan tahdidlarga qarshi turish uchun etarli bo'lishi kerakligidan iborat. Shu bilan birga, shuni ta'kidlash kerakki, TSS himoyani engib o'tish uchun kutilayotgan xarajatlar uchun himoya choralarining etarliligi printsipiga asoslanadi. 7.3.2 Texnik qurilmalar Kriptografik funktsiyalarni amalga oshiradigan TSS tizimining texnik qurilmalariga quyidagilar kiradi: • kriptografik adapter IBM 4755 (Cryptographic Adapter - CA); • Xavfsiz interfeysni ta'minlovchi IBM 4754 kartani o'quvchi (Security Interface Unit -- SIU); • shaxsiy himoyalangan IBM kartasi (Personal Security Card -- PSC). Bundan tashqari, foydalanuvchining jismoniy imzosi yordamida identifikatsiya moslamasini kartani o'quvchiga ulash mumkin. Kriptografik funktsiyalarni bajaradigan texnik qurilmalarni ishlab chiqish SCAning ajralmas qismi bo'lgan Common Cryptographic Architecture (CCA) tamoyillariga muvofiq amalga oshirildi. Kriptografik funktsiyalarni amalga oshiradigan texnik qurilmalarni ishlab chiqishda quyidagi asosiy tamoyil belgilandi: aniq shakldagi maxfiy kalit ma'lumotlari faqat qurilma ichidagi xavfsiz hududda joylashgan bo'lishi mumkin. Ushbu printsip interfeys nuqtai nazaridan qurilmalar uchun maxsus talablarni o'z ichiga oladi: • qurilmaga kirish interfeysi standartlashtirilgan bo‘lishi kerak, ya’ni bitta qurilmada shifrlangan ma’lumotlar, qoida tariqasida, istalgan boshqa qurilmada shifrlanishi mumkin; • qurilmaga kirish interfeysi axborotni qayta ishlash vazifalarini bajarish uchun zarur bo'lgan funksiyalar to'plami bilan qat'iy cheklanishi kerak; • interfeysga kirish foydalanuvchi tomonidan taqdim etilgan vakolat darajasi bilan belgilanishi kerak; • interfeys to'g'ri buyruqlar to'plamining har qanday kombinatsiyasi uchun aniq matnda asosiy ma'lumotlarni chiqarishga ruxsat bermasligi kerak. Texnik tomondan, ushbu tamoyilni amalga oshirish himoyalangan hududda kriptoadapterda kriptografik funktsiyalarni bajaradigan asboblarni joylashtirishda o'z ifodasini topdi. Bu quyidagilardan himoya qiladi: • jismoniy kirish; • xotirani turli yo‘llar bilan o‘qishga urinishlar – elektr ta’siri, rentgen nurlanishi, elektron o‘tkazish, kimyoviy ta’sir va boshqalar orqali. Xotiraga jismoniy kirish yoki o'qishga urinayotganda, aniq matndagi himoyalangan hududdagi maxfiy ma'lumotlar avtomatik ravishda nolga qaytariladi. Bundan tashqari, tashqaridan buyruq bo'yicha xotiraning "sezgir" joylarini qayta tiklash mumkin. Tabiiyki, ushbu buyruqni topshirish foydalanuvchidan tegishli vakolatni taqdim etishni talab qiladi. Tashkiliy tomondan, asosiy ma'lumotlarni kiritish va o'rnatish protseduralari komponentlar bo'yicha ikki yoki undan ortiq turli shaxslar tomonidan amalga oshiriladi va birinchi komponentni kiritish protokoli ikkinchi komponentni kiritish protokolidan farq qiladi va hokazo. 7.3.3 Kalitlar tizimi TSSda kalitlar bilan ishlash protokollari alohida e'tiborga loyiqdir. 15 yildan ko'proq vaqt oldin DES uchun ishlab chiqilgan asosiy ma'lumotlardan foydalanishning taniqli tamoyillari bilan bir qatorda, TSSda kalitlar bilan ishlashning ishonchliligini oshirish uchun qo'shimcha chora-tadbirlar joriy etildi. IBM 4755 kriptoadapterining kalit tizimiga quyidagilar kiradi: • asosiy kalit; • kalitni shifrlash kaliti; • fayllarni shifrlash kalitlari (sessiya kalitlari); • Xabar autentifikatsiya kodini yaratish uchun kalitlar (qo'shish taqlidi); • shaxsiy identifikatorlar (PIN) uchun shifrlash kalitlari. Bu erda har bir kriptografik funktsiya o'z kaliti bilan ta'minlanganligini ta'kidlash kerak. Turli kriptografik funktsiyalarni bajarish uchun bir xil kalitdan foydalanishga yo'l qo'yilmaydi. Ushbu qoidaga qo'shimcha tushuntirishlar quyida keltirilgan. Himoyalangan hududdagi kriptoadapter ichida faqat asosiy kalit aniq matnda saqlanadi. Boshqa barcha kalitlar faqat ochiq matnda himoyalangan hududda va faqat kriptografik funktsiyalarni bajarish vaqtida mavjud bo'lishi mumkin. Qolgan vaqtda bu kalitlar shifrlangan. "Hisoblash muhiti" ni zaxiralash va tiklash uchun asosiy kalit hali ham ma'muriyatda saqlanadigan oraliqli mustaqil asoslarda ikkita komponent shaklida markaz. Har bir komponent uch martalik o'tish bilan shifrlangan. Kriptoadapterdagi asosiy kalit kalit shifrlash kalitlari va shaxsiy identifikatorlarning shifrlash kalitlarini shifrlaydi. O'z navbatida, fayllarni shifrlash kalitlari va taqlid kiritishni yaratish uchun kalitlar kalit shifrlash kalitlarida shifrlangan. Bunday holda, quyidagi printsipga rioya qilinadi: kattaroq uzunlikdagi kalitni kichikroq uzunlikdagi kalit bilan shifrlash (saqlash yoki uzatish uchun) mumkin emas. Shunday qilib, asosiy kalit va kalit shifrlash kalitlari 128 bit uzunlikda va uch marta shifrlash uchun ishlatiladi (birinchi-ikkinchi-birinchi komponentlar). Fayl shifrlash kalitlari 64 bit uzunlikda va bitta o'tishda shifrlanadi. PIN-kod shifrlash kalitlari uzunligi 128 bit bo'lib, uch marta shifrlash uchun ham ishlatiladi. TSS kalitlar tizimining muhim qiziqarli xususiyati bu kalitlardan assimetrik foydalanishdir. Xususan, A abonentidan B abonentiga va teskari yo'nalishda ishlash uchun turli kalitli shifrlash kalitlari va faylni shifrlash kalitlari qo'llaniladi. Buning uchun TSS tizimi kalitlardan foydalanishga cheklovlarni kuchaytiruvchi tekshirish vektor mexanizmidan foydalanadi. Bu avval ishlab chiqilgan usullar bilan ta'minlanganidan ko'ra, kalitlardan foydalanish ustidan ko'proq nazorat qilish imkonini beradi. Boshqaruv vektori kriptografik qurilmada har bir alohida kalitdan foydalanish mumkin bo'lgan buyruq yoki funksiya turini tavsiflaydi. Tekshirish vektori maxfiy bo'lmagan qiymat bo'lib, u har bir turdagi ma'lumotlarni shifrlash kaliti yoki kalitlari uchun alohida aniqlanadi. Har bir kalit u bilan bog'langan boshqaruv vektoriga ega. Foydalaniladigan kalit va original kalitning boshqaruv vektorida qo'shish moduli 2 ning mantiqiy operatsiyasi bajariladi, uning natijasi shifrlangan shaklda saqlanadi. Bu jarayon kriptografik apparat ichida amalga oshiriladi. Shifrlangan kalit va uning tekshirish vektori markaziy tizim uskunasining tashqi xotirasida saqlanadi. Ochiq shaklda, yuqorida aytib o'tilganidek, asl kalit faqat kriptografik qurilmaning himoyalangan hududida mavjud. Shifrlangan kalit va tekshirish vektorining kombinatsiyasini olgandan so'ng, kriptografik qurilma tekshirish vektorining qiymati so'ralgan buyruq bilan mos kelishini tahlil qiladi. Tekshirish vektor mexanizmi shu tariqa kalitlarni saqlash va ishlatish jarayonida ularning yaxlitligini tekshirish muammosini hal qilishga qo'shimcha yordam beradi. Bundan tashqari, bu maqsadda alohida mustaqil chora-tadbirlar nazarda tutilgan. 7.3.4 Uskuna himoya vositalarining ishlashi Bank tizimida quyidagi asosiy xavfsizlik talablarini ta'minlash zarur: • ma'lumotlar maxfiyligi; • ma'lumotlarning yaxlitligi, shu jumladan xabarlar tartibi; • xabar manbalarining autentifikatsiyasi; • kirishni boshqarish; • hodisalar va xabarlarni ro'yxatga olishning audit jurnalini yuritish va undagi yozuvlarni tekshirish; • himoya vositalari faoliyatining uzluksizligi. Ushbu talablarni kriptografik himoya vositalari bilan amalga oshirish barcha darajadagi himoya vositalarining berilgan algoritmlarga muvofiq ishlashi haqidagi dolzarb savolni tug'diradi. Shu bilan birga, nazorat summalarini hisoblash orqali amalga oshiriladigan an'anaviy usullar (masalan, CRC kodi) umuman etarli emas, chunki kriptografik vositalarni maqsadli o'zgartirish haqida gapirish mumkin. Xuddi shu sababga ko'ra, sof dasturiy mexanizmlar tomonidan amalga oshiriladigan yaxlitlikni nazorat qilish qoniqarsiz ko'rinadi. IBM 4755 kriptoadapteri xavfsizlik vositalari, jumladan unga kirish interfeysi, shuningdek har qanday fayllar, shu jumladan bajariladigan fayllarning apparat-dasturiy yaxlitligini nazorat qilishni amalga oshiradi. Nazorat qilish uchun maxsus algoritm, masalan, xesh-funktsiya Modification Detection Code -- MDC ishlatiladi. Butunlikni nazorat qilish bosqichma-bosqich amalga oshiriladi: keyingi darajani tekshirish avvalgi darajadagi allaqachon tasdiqlangan vositalar yordamida amalga oshiriladi. MDC boshqaruv qiymatlari kriptoadapter ichida saqlanadi. Konstruktiv nuqtai nazardan, yuqoridagi himoya vositalari quyidagi texnik qurilmalardir. IBM 4755 kriptografik adapteri 80186 mikroprotsessor, ROM, tasodifiy kirish xotirasi, DES chipi (barchasi xavfsiz modul ichida) va boshqaruv mantiqini o'z ichiga olgan platadir. Barcha kriptografik funktsiyalar va kriptografik kalitlar elektromagnit, kimyoviy va fizik ta'sirlardan himoyalangan. Agar kriptografik adapter kartani o'quvchi bilan birgalikda ishlatilmasa, u holda shaxsiy kompyuter klaviaturasidan kiritilgan parol bilan identifikatsiya qilish talab qilinadi. Kriptoadapter imzoni tasdiqlash protsessor modulini ulash uchun ulagich bilan jihozlangan. IBM 4754 kartani o'quvchi ulanishi mumkin: • to'g'ridan-to'g'ri kriptoadapter terminaliga (agar mavjud bo'lsa); • kriptoadapter bo'lmaganda asinxron seriyali adapter yoki portga. IBM 4754 o'z ichiga o'zgartirishga chidamli qoplama, kriptografik protsessor, 12 tugmachali klaviatura va zaxira batareyani o'z ichiga oladi. Klaviatura shaxsiy identifikatsiya raqamini (PIN) kiritish uchun ishlatiladi. Kiritilgandan so'ng, shaxsiy PIN-kod shifrlangan shaklda Shaxsiy xavfsizlik kartasiga (PSC) o'tkaziladi, u erda PIN-kod tekshiriladi. Har bir kartani o'quvchi uchta PSC bilan ta'minlangan. Ko'rinib turibdiki, kriptografik funktsiyalar kartani o'quvchi tomonidan kripto adapterga qaraganda sekinroq bajariladi. PSC kartasi kripto adapter bilan kartani o'quvchi orqali o'zaro ta'sir qiladi va bitta chipli protsessorni o'z ichiga olgan integral sxemadir. PSC quyidagi ma'lumotlarni saqlash va texnik funktsiyalarni bajarish uchun xizmat qiladi: 1. 10 Kb ROM: • shifrlash algoritmi (DEA); • kriptografik funksiyalar; • asosiy boshqaruv funktsiyalari. 2. 256 bayt uchun tasodifiy kirish xotirasi; 3. Xavfsiz saqlash uchun EEPROM 8 Kbayt: • foydalanuvchi ma'lumotlari; • dastlabki kalit; • ma'lumotlarni shifrlash uchun asosiy saqlash bazalari; • kalitlarni shifrlash uchun kalitlarni saqlash bazalari. Kalitlar, identifikatsiya kodlari, imzo namunalari kabi maxfiy ma'lumotlar XKM xotirasida maxfiy shaklda saqlanadi. Bitta PSC xotira maydoni har bir foydalanuvchi uchun beshta imzo namunasini saqlash uchun etarli. IBM 7446 Imzoni tasdiqlash ruchkasi kartani oʻquvchiga ulanishi mumkin, bu qoʻshimcha vosita boʻlib, kartani oʻquvchi va kriptoadapter bilan birgalikda ishlaydi. Ushbu qalam imzolash paytida qalam uchining tezlashishi va bosimini o'lchaydigan sensorlarni o'z ichiga oladi. Ushbu o'lchovlar kartani o'quvchida raqamlangan. Ushbu ma'lumotlar PSCda saqlanadigan parametrlar bilan taqqoslanadi, natijada imzoning haqiqiyligi to'g'risida xulosa chiqariladi. Karta o'quvchi va kriptoadapter o'rtasida va karta va kriptoadapter o'rtasida ma'lumotlar almashinuvi shifrlangan. Kriptoadapter, kartani o'quvchi va PSC kimga ma'lum buyruqlarni bajarish va PSCdagi ma'lumotlar bloklariga kirish huquqiga ega ekanligini nazorat qilish qobiliyatiga ega va aniqlashga qodir. Buning uchun quyidagi o'zaro bog'liq sohalarni ajratib ko'rsatish kerak: • buyruqlar konfiguratsiyasi; • foydalanuvchilarning avtorizatsiya darajalari (profillash); • ma'lumotlar bloki sarlavhalari. Buyruqlar konfiguratsiyasi tegishli qurilmada bajarilishi kerak bo'lgan buyruqlar uchun talablarni belgilaydi. Har bir buyruq uchun buyruq amal qiladimi yoki xavfsiz aloqa seansini o'rnatish uchun ma'lum bir sana va vaqt kerakmi yoki dastlabki tasdiqlash va oldindan avtorizatsiya talab qilinadimi va qanday vakolatlar darajasida ekanligini aniqlash mumkin. Har bir kriptografik qurilma uchun foydalanuvchi profilini aniqlash kerak. PSC va kriptoadapter 4 darajagacha foydalanuvchi ruxsatini beradi. Bundan tashqari, kripto adapter va kartani o'quvchi yana bitta ochiq va bitta mehmon darajasiga ega. Har bir foydalanuvchi ruxsati darajasi ma'lum bir foydalanuvchi qaysi buyruqlarni bajarishga vakolatli ekanligini ko'rsatadi. Xavfsiz aloqa seansi o'rnatilgandan va foydalanuvchi identifikatsiya raqami yoki uning imzosi tasdiqlangandan so'ng, PSCda o'rnatilgan foydalanuvchi vakolatlari darajasi kriptoadapter va kartani o'quvchida kuchga kiradi. Floppy diskdagi fayllar singari, ma'lumotlar bloklari shaxsiy kartaning EEPROM-dagi xotira maydonlaridir. Ushbu bloklarni yaratish, yo'q qilish, o'qish va yozish mumkin. Ma'lumotlar bloki sarlavha va ma'lumotlar maydonidan iborat. Ma'lumotlar bloki sarlavhasi foydalanuvchiga tegishli ma'lumotlar bloklarida muayyan operatsiyalarni bajarish uchun qanday ruxsatnomalar kerakligini ko'rsatadi. Blok sarlavhasi, xususan, blokni identifikatsiya qilish, vakolatlarning minimal darajasi, identifikatsiya raqami yoki imzoni tasdiqlash zarurati, ma'lumotlarni shifrlashdan foydalanish zarurati va foydalanuvchiga qanday o'qish yoki yozish huquqlari berilganligi haqida ma'lumotlarni o'z ichiga oladi. . Download 19.07 Kb. Do'stlaringiz bilan baham: 
|