Intranet va internetda axborot himoyasi mualliflar: P. F. Hasanov, R. I. Isayev, X. P. Hasanov


Download 445 b.
Sana17.03.2017
Hajmi445 b.


INTRANET VA INTERNETDA AXBOROT HIMOYASI

  • Mualliflar: P.F.Hasanov, R.I.Isayev, X.P.Hasanov

  • Toshkent 2000


M U N D A R I J A

  • 1. Axborot xavfsizligi muammosi

  • 2. Fakt va raqamlar.

  • 3. Axborot xavfsizligini ta'minlash yo’nalishlari

  • 4. Amaliy tavsiyalar

  • 5. Simmetrik va nosimmetrik kriptografik tizimlar

  • 6. Kriptotizimlar asosida tuzilgan aloqa tarmog'ida foydalaniladigan kalitlar soni.

  • 7. Simmetrik va nosimmetrik kriptotizimlardan birga foydalanish amaliyoti.

  • 8.Nosimmetrik va aralash kriptotizimlar algoritmlari.



1. AXBOROT XAVFSIZLIGI MUAMMOSI

  • Axborot xavfsizligi muammosi

  • Internet texnologiyalarining yaratilishi turli manbalardan tez va oson yo'l bilan axborot olish imkoniyatlarini hamma uchun-oddiy fuqarodan tortib yirik tashkilotlargacha misli ko'rilmagan darajada oshirib yubordi. Davlat muassasalari, fan-ta'lim muassasalari, tijorat korxonalari va alohida shaxslar axborotni elektron shaklda yaratib-saqlay boshladilar. Bu muhit avvalgi fizikaviy saqlashga nisbatan katta qulayliklar tug'diradi: saqlash juda ixcham, uzatish esa bir onda yuz beradi va tarmoq orqali boy ma'lumotlar bazalariga murojaat qilish imkoniyatlari juda keng. Axborotdan samarali foydalanish imkoniyatlari axborot miqdorining tez ko'payishiga olib keldi. Biznes qator tijorat sohalarida bugun axborotni o'zining eng qimmatli mulki deb biladi. Bu albatta ommaviy axborot va hamma bilishi mumkin bo'lgan axborot haqida gap borganda o'ta ijobiy hodisa. Lekin pinhona(konfidentsial) va maxfiy axborot oqimlari uchun Internet texnologiyalari qulayliklar bilan bir qatorda yangi muammolar keltirib chiqardi. Internet muhitida axborot xavfsizligiga tahdid keskin oshdi:

    • Axborot o'g'irlash
    • Axborot mazmunini buzib qo'yish, egasidan iznsiz o'zgartirib qo'yish
    • Tarmoqqa va serverlarga o'g'rincha suqulib kirish
  • Tarmoqqa tajovuz qilish: avval qo'lga kiritilgan transaktsiya(amallarning yaxlit ketma-ketligi)larni qayta yuborish, "xizmatdan yo axborotga daxldorlikdan bo'yin tovlash" , jo'natmalarni ruxsat berilmagan yo'l orqali yo'naltirish.

  • Axborot xavfsizligini ta'minlash quyidagi uch asosiy muammoni yechishni nazarda tutadi. Bular:

    • Pinhonalik(Confidentiality)
    • Butunlik(Integrity)
    • Qobillik(Availability)


2. FAKT VA RAQAMLAR.

  • Fakt va raqamlar.

  • AQSH dagi kompyuter xavfsizligi instituti va FBR tomonidan kompyuter jinoyatlari bo'yicha 1999 yilda o'tkazilgan so'rov natijalariga ko'ra so'rovda qatnashgan tashkilotlarning 57 foyizi Internet bilan ulanish joyi "ko'pincha tajovuzlar tashkil etiladigan joy" deb, 30 foyizi ularning tarmog'iga suqulib kirish yuz berganini, 26 foyizi esa tajovuz vaqtida pinhona axborotni o'g‘irlash sodir bo'lganini ma'lum qilishgan. AQSH kompyuter jinoyatlariga qarshi kurash Federal markazi - FedCIRC ma'lumotlariga ko'ra 1998 yilda 1100000 kompyuterli 130000 ga yaqin davlat tarmoqlari tajovuzga duchor bo'lgan.

  • "Kompyuter tajovuzi" deganda kishilar tomonidan kompyuterga beruxsat kirish uchun maxsus dasturni ishga tushirishni nazarda tutiladi. Bunday tajovuzlarni tashkil etish shakllari har xil. Ular quyidagi turlarga bo'linadi

  • Kompyuterga olisdan kirish: Internet yoki intranetga kimligini bildirmay kirishga imkon beruvchi dasturlar

  • O'zi ishlab turgan kompyuterga kirish: kompyuterga kimligini bildirmay kirish dasturlari asosida.

  • Kompyuterni olisdan turib ishlatmay qo'yish: Internet (yo tarmoq) orqali olisdan kompyuterga ulanib, uning yoki uni ayrim dasturlarining ishlashini to'xtatib qo'yuvchi dasturlar asosida(ishlatib yuborish uchun kompyuterni qayta ishga solish yetarli).

  • O'zi ishlab turgan kompyuterni ishlatmay qo'yish: ishlatmay qo'yuvchi dasturlar vositasida.

  • Tarmoq skanerlari: tarmoqda ishlayotgan kompyuter va dasturlardan qay biri tajovuzga chidamsizligini aniqlash maqsadida tarmoq haqiqatda axborot yig'uvchi dasturlar vositasida.

  • Dasturlarning tajovuzga bo'sh joylarini topish: Internetdagi kompyuterlarning katta guruhlari orasidan tajovuzga bardoshsizlarini izlab qarab chiquvchi dasturlar vositasida.

  • Parol ochish: parollar fayllaridan oson topiladigan parollarni izlovchi dasturlar vositasida.

  • Tarmoq tahlilchilari (snifferlar): tarmoq trafikini tinglovchi dasturlar vositasida. Ularda foydalanuvchilarning nomlarini, parollarini, kredit kartalari nomerlarini trafikdan avtomatik tarzda ajratib olish imkoniyati mavjud.



FAKT VA RAQAMLAR.

  • Eng ko'p yuz beradigan tajovuzlar quyidagi statistikaga ega:

  • 1998 yili NIST tomonidan o'tkazilgan 237 kompyuter tajovuzining tahlili Internetda e'lon qilingan:

  • 29 % tajovuzlar Windows muhitida yuz bergan.

    • Saboq: Faqat Unixgina xatarli emas ekan.
  • 20% tajovuzlarda tajovuz qilganlar olisdan turib tarmoq elementlari(marshrutlovchilar, kommutatorlar, xostlar, printerlari brandmauer) gacha yetib borganlar.

    • Saboq: xostlarga olisdan turib bildirmay kirish bot-bot yuz beradi.
  • 5% tajovuzlar marshrutlovchilarga va brandmauerlarga qarshi muvaffaqiyatli bo'lgan.

    • Saboq: Internet tarmoq infrastrukturasi tashkil etuvchilarining kompyuter tajovuzlariga bardoshi yetarli emas.
  • 4% tajovuzlarda Internetda tajovuzga bardoshi bo'sh xostlarni topish uchun uyushtirilgan.

  • Saboq: Tizim administratorlarining o'zlari o'z xostlarini muntazam skanerlab turganlari ma'qul.

  • 3% tajovuzlar web-saytlar tomonidan o'z foydalanuvchilariga qarshi uyushtirilgan.

    • Saboq WWWda axborot izlash xavfsiz emas.
  • Internetda 1999 y. mart oyida eng ommaviy bo'lgan kompyuter tajovuzlari . Sendmail(eng eski dastur), ICQ(murakkab "Sizni izlayman"dasturi, undan 26 millionga yaqin kishi foydalanadi), Smurf(ping- paketlar bilan ishlaydigan dastur), Teardrop(xatolarga sezgir dastur), IMAP(pochta dasturi), Back Orifice(troyan ot, Windows 95/98ni olisdan boshqarish uchun), Netbus( Back Orifice ga o'xshash), WinNuke (Windows 95ni to'la to'xtatib qo'yaoladi )i Nmap(skanerlovchi dastur) bilan bo'lgan.

  • WinNuke, Papa Smurf i Teardrop dasturlari vositasida niyati buzuq kimsalar sizning kompyuteringizga tajovuz qilib ziyon yetkazishlari mumkin.



3. AXBOROT XAVFSIZLIGINI TA'MINLASH YO'NALISHLARI

  • NIST 7498-2 xalqaro standarti asosiy xavfsizlik xizmatlarini belgilaydi. Uning vazifasiga ochiq tizimlar aloqasi modelining xavfsizlik yo’nalishlarini aniqlash kiradi. Bular:

  • Autentifikatsiya. Kompyuter yo tarmoq foydalanuvchisining shaxsini tekshirish;

  • Kirishni boshqarish(Access control). Kompyuter tarmog‘idan foydalanuvchining ruxsat etilgan kirishini tekshirish va ta’minlash;

  • Ma’lumotlar butunligi. Ma’lumotlar massivi mazmunini tasodifiy yo qasddan beruxsat usullar bilan o‘zgartirishlarga nisbatan tekshirish;

  • Axborot pinhonaligi. Axborot mazmunini iznsiz oshkor bo‘lishdan himoyalash

  • Inkor eta olinmaslik(Neoproverjimost). Ma’lumotlar massivini jo‘natuvchi tomonidan uni jo‘natganligini yoki oluvchi tomonidan uni olganligini tan olishdan bo‘yin tovlashining oldini olish.

  • Ko‘plab qo‘shimcha xizmatlar (audit, kirishni ta’minlash) va qo‘llab-quvvatlash xizmatlari (kalitlarni boshqarish, xavfsizlikni ta’minlash, tarmoqni boshqarish) mazkur asosiy xavfsizlik tizimini to‘ldirishga xizmat qiladi. Web tugunining to‘la xavfsizlik tizimi barcha yuqorida keltirilgan xavfsizlik yo’nalishlarini qamrab olgan bo’lishi shart. Bunda tegishli xavfsizlik vositalari (mexanizmlari) dasturiy mahsulotlar tarkibiga kiritilgan bo‘lishi lozim.

  • Autentifikatsiyalashni takomillashtirish qayta ishlatiladigan parollarga xos kamchiliklarni bartaraf etishni, shu maqsadda bir martagina ishlatiladigan parol tizimidan tortib identifikatsiyalashning yuqori texnologik biometrik tizimlarigacha qo‘llashni nazarda tutadi. Foydalanuvchilar o‘zlari bilan olib yuradigan predmetlar, masalan, maxsus kartochkalar, maxsus jeton yoki disketa ancha arzon ham xavfsiz. Noyob, modul kodi himoyalangan dastur moduli ham bu maqsadlarda qulay.



AXBOROT XAVFSIZLIGINI TA'MINLASH YO'NALISHLARI

  • Oshkor kalitlar infratuzilmasi ham Web – tugun xavfsizligining ajralmas qismi. Autentifikatsiya, ma’lumot butunligi va axborot pinhonaligi(konfidentsialligi)ni ta’minlash uchun ishlatiladigan taqsimlashga n tizim(odamlar, kompyuterlar), Ochiq kalit infrastrukturali (sertifikat nashrchisi) elektron sertifikatni e’lon qiladi.

  • Unda foydalanuvchi identifikatori, uning ochiq kaliti, xavfsizlik tizimi uchun qandaydir qo‘shimcha axborot va sertifikat nashr etuvchisining raqamli imzosi bor.

  • Ideal variantda bu tizim Yer yuzining har qanday ikki nuqtasidagi foydalanuvchi uchun sertifikatlar zanjirini tuzib beradi. Bu zanjircha kimgadir maxfiy xatni imzolash, hisob bo‘yicha pul o‘tkazish yoki elektron kontrakt tuzish uchun, boshqa kishi uchun – hujjat manbaini va imzolovchi shaxsning aslini tekshirib bilish imkonini beradi. NIST bir necha boshqa tashkilotlar bilan bu yo‘nalishda ish olib bormoqda.

  • Internetga ulangan tarmoqlar xakerlarning tajovuzi tufayli ochiq muloqotga xalal bersa xam brandmauerlar o‘rnatib oldilar.

  • PGP ga o‘xshash mukammal dasturlar bo‘lmaganda ochiq tarmoq bo‘lishi ham mumkin bo‘lmas edi.



4. AMALIY TAVSIYALAR

  • Amaliy tavsiyalar

    • Tarmoqni kompyuter tajovuzlaridan himoyalash doimiy va o'z-o'zidan yechilmaydigan masaladir. Lekin qator oddiy himoya vositalari yordamida tarmoqqa suqulib kirishlarning ko'pchiligini oldini olish mumkin. Masalan yaxshi konfiguratsiyalangan tarmoqlararo ekran va harbir ish stantsiyalari(kompyuterlar)da o'rnatilgan virusga qarshi dasturlar ko'pchilik kompyuter tajovuzlarini barbod etadi.
  • Quyida Intranetni himoyalash bo'yicha 14 amaliy tavsiya bayon etilgan.

  • 1. Xavfsizlik siyosati lo'nda va aniq qo'yilishi lozim. Intranet tarmog‘i xavfsizligi bo‘yicha yorqin va sobit qadamlik bilan qo‘yilisini ta'minlaydigan qoidalar va amallar bo’lishi lozim.

  • Tarmoq xavfsizligi tizimi uning eng bo'sh joyi qanchalik kuchli himoyalangan bo'lsa shu qadar kuchlidir. Agar bir tashkilot doirasida turli xavfsizlik siyosatlariga ega bo'lgan bir necha tarmoq mavjud bo'lsa bir tarmoq boshqa tarmoqning yomon xavfsizligi tufayli obro'sini yo'qotishi mumkin. Tashkilotlar shunday xavfsizlik siyosatini qabul qilishlari lozimki, kutilgan himoya darajasi hamma yerda bir xil amalga oshsin. Siyosatning eng ahamiyatli tomoni brandmauerlar orqali o'tkaziladigan trafiklarga yagona talab ishlab chiqilishidir. Shuningdek siyosat tarmoqda qaysi himoya vositalari (masalan, tajovuzlarni payqash vositalarimi yoki qaltis joylar skanerlarimi)va ular qanaqa ishlatilishi lozimligini belgilashi, yagona xavfsizlik darajasiga erishish uchun kompyuterlarning har xil turlari uchun standart xavfsiz konfiguratsiyalar belgilanishi shart.

  • 2. Brandmauer (Tarmoqlararo ekran, inglizcha-firewalls,) qo'llash lozim. Bu tashkilotning eng asosiy himoya vositasidir. Tarmoqqa kiruvchi, undan chiquvchi trafik(axborot oqimi)ni nazorat qiladi. U trafikning biror turini to'sib qo'yishi yo tekshirib turishi mumkin. Yaxshi konfiguratsiyalangan bradmauer kompyuter tajovuzlarining ko'pchiligini qaytarishi mumkin. brandmauerlar, intellektual kartalar va boshqa texnikaviy-dasturiy himoya vositalaridan oqilona foydalanish lozim.



AMALIY TAVSIYALAR

  • 3. Brandmauer va WWW-serverlarni ularning ishini to'xtatib qo'yish tahdidlariga qarshi bardoshliligini testdan o'tkazib turish lozim. Internetda kompyuterning ishini to'xtatib qo'yishga yo'naltirilgan tajovuzlar tarqalgan. Tajovuzkorlar doimo WWW-saytlarni ishdan chiqaradilar, kompyuterlarni ortiq vazifalar bilan yuklab qo'yadilar yoki tarmoqlarni ma'nosiz paketlar bilan to'ldirib tashlaydilar. Bu turdagi tajovuzlar juda jiddiy bo'lishi mumkin, ayniqsa tajovuzkor davomli tajovuzlarni uyushtirish darajasida aqlli bo'lsa. Chunki buning manbaini topib bo'lmaydi. Xavfsizligi haqida qayg'iruvchi tarmoqlar bunday tajovuzlardan ko'riladigan zararni chamalab ko'rish uchun o'zlariga o'zlari tajovuzlarni uyushtirishlari mumkin. Bunday tahlillarni faqat katta tajribaga ega tizim administratorlari yoki maxsus maslahatchilar o'tkazishi maqsadga muvofiq.

  • 4. Kriptotizimlardan keng foydalanish lozim. Tajovuzkorlar ko'pincha tarmoqqa uning ahamiyatga molik joylaridan o'tuvchi trafigini tinglash orqali trafikdan foydalanuvchilarni va ularning parollarini ajratib olish yordamida suqulib kiradilar. Shuning uchun olisdagi mashinalar bilan bog'lanishlar parol bilan himoyalanganda shifrlanishi shart. Bu ayniqsa, bog'lanish Internet kanallari orqali amalga oshirilganda yoki ahamiyatli server bilan bog'lanilganda zarur. TCP/IP (eng mashhuri SSH) trafigini shifrlash uchun tijoratli va bepul dasturlar mavjud. Bulardan foydalanish tajovuzlarning oldini oladi. Internet muhit bilan birlashgan Intranetda axborot oqimini va resurslarni eng ishonchli himoyalash vositasi–nosimmetrik va simmetrik kriptotizimlardan birgalikda foydalanishdir.

  • 5. Kompyuterlarni xavfsizlik nuqtai-nazaridan savodxonlarcha konfiguratsiyalash kerak. Kompyuterda amal tizimlari yangitdan o'rnatilganda ko'pincha tajovuzlarga qaltis bo'ladilar.Buning sababi amal tizimi dastlab o'rnatilganda barcha tarmoq vositalaridan foydalanishga ruhsat beriladi va ulardan to'g'ri foydalaniladi deb bo'lmaydi. Bu tajovuzkor uchun mashinaga tajovuz uyushtirishda ko'p usullardan foydalanishga yo'l ochadi. Shuning uchun barcha zarur bo'lmagan tarmoq vositalari kompyuterdan uzib qo'yilishi lozim.



AMALIY TAVSIYALAR

  • 6. Dasturiy ta'minotga tuzatishlarni operativ kiritishni tartibga solish(Patching). Kompaniyalar bot-bot o'z dasturlarida topilgan xatolarni yo'qotish uchun tuzatishlar kiritib boradilar. Agar bu xatolar tuzatilmasa tajovuzkor undan foydalanib dasturingizga va u orqali kompyuteringizga tajovuz uyushtirishi mumkin. Tizim administratorlari avvalo o'zlarining eng zarur tizimlaridagi dasturlarga tuzatishlarni o'rnatib zarur xostlarni himoyalashlari zarur. Chunki tuzatishlar tez-tez yuzaga kelib turadi va ularni barcha kompyuterlarda o'rnatib chiqishga ulgurmay qolish mumkin. Odatda tuzatishlar faqat dastur ishlab chiqargan korxonadangina olinishi shart.

  • Intranet-tarmoq xavfsizligida uchratilgan defektlarni albatta tuzatish.

  • Shuning bilan birga quyida keltirilgan boshqa himoya vositalaridan ham foydalanishlari zarur.

  • 7. Tajovuzni payqash vositalari (Intrusion Detection)dan foydalanish lozim. Tajovuzni payqash tizimlari tajovuzlarni operativ payqab aniqlaydilar. Tarmoq ichkarisidan bo'ladigan tajovuzlarni payqash uchun ular brandmauer orqasiga qo'yiladi, branmauerga bo'ladigan tajovuzlarni aniqlash uchun esa- uning oldiga o'rnatiladi. Bunday vositalar turli imkoniyatlarga ega. Quyidagi saytdan bu xaqda qo'shimcha ma'lumotlar olish mumkin. http://www.icsa.net/services/consortia/intrusion/educational_material.shtml

  • 8. Viruslar va "troyan ot" dasturlarini o'z vaqtida payqashga intilish kerak. Harqanday tarmoqning xavfsizligi uchun virusga qarshi dasturlar himoyaning ajralmas qismidir. Ular kompyuter ishini nazorat qilib zarar keltiruvchi dasturlarni topib beradilar. Ular tufayli yuzaga keladigan yagona muammo shundaki, himoya maksimal samara berishi uchun ular tarmoqning barcha kompyuterlariga o'rnatilgan bo'lishlari va muntazam yangilanib turilishlari shart. Buning uchun ko'p vaqt ketadi, lekin aks holda vosita kutilgan samarani bermaydi. Kompyuterdan foydalanuvchilarga buni qanday amalga oshirishni o'rgatib qo'yish kerak, ammo faqat ularga bu ishni to'la topshirib qo'ymaslik zarur. Virusga qarshi dasturlar bilan bir qatorda pochta serverida elektron xatlarga ilovalarni skanerlash ham lozim. Bu yo'l bilan foydalanuvchilar kompyuteriga yetib borishi mumkin bo'lgan viruslarning yo'li to'siladi.



AMALIY TAVSIYALAR

  • 9. Bardoshi bo'sh joylarni skanerlab turish lozim. Bunday skanerlovchi dasturlar aniq biror turdagi tajovuzlarga qaltis (bardoshi bo'sh)kompyuterlarni topish uchun tarmoqni skanerlaydi. Ular qaltis joylar haqida kattagina ma'lumotlar bazasiga ega bo'lib, undan u yo boshqa kompyuterda qaltis joy bor-yo'qligini topishda foydalaniladi. Tijoratli va bepul skanerlar mavjud. Tizim administratorlari davriy tarzda bunday dasturlarni o'zlarining tarmoqlariga nisbatan o'z vaqtida bardoshi bo'sh kompyuterlarni o'zlari topib tegishli chora ko'rib qo'yishlari lozim.

  • Alohida qurilmalarni himoyasidagi zaif bo‘g‘inlarni payqab olish uchun qaltislik darajasini baholash lozim.

  • 10. Tarmoq topologiyasini aniqlash va port skanerlarini ishga solib turish lozim. Bunday dasturlar tarmoq qanday tuzilganligi, unda qanaqa kompyuterlar ishlashi, har bir mashinada qanday xizmatlar bajarilishii haqida to'la manzarani ochib beradi. Hujumkorlar bu dasturlarni qaltis kompyuterlar va dasturlarni aniqlash uchun ishga soladilar. Tarmoq administratorlari ham bunday dasturdan ularning tarmoqlarida qanday dasturlar qaysi kompyuterlarda ishlayotganini aniqlashtirish uchun foydalanadilar. Noto'g'ri konfiguratsiyalangan kompyuterlarni topib ularga tuzatishlar kiritish uchun bu yaxshi vositadir.

  • 11. Parol ochuvchilar (Password Crackers)ni ishlatib turish lozim. Xakerlar ko'pincha parollar bilan shifrlangan fayllarni o'g‘irlash uchun kompyuterlarning bardoshi bo'sh joylaridan foydalanishga intiladilar. So'ngra parol ochuvchi maxsus dasturlarni ishga soladilar va ular orqali shu shifrlangan fayllardagi bardoshi bo'sh parollarni topib oladilar. Bunday parol qo'lga kirishi bilan kompyuterga odatdagi foydalanuvchi kabi kompyuterga va tarmoqqa bildirmay kirishning turli usullaridan foydalanadilar. Garchi bu vosita niyati buzuq kimsalar tomonidan ishlatilsa ham bu tizim administratori uchun ham foydalidir. Tizim administratorlari davriy tarzda bunday dasturlarni o'zlarining shifrlangan fayllariga nisbatan o'z vaqtida bardoshi bo'sh parollarni o'zlari topib tegishli chora ko'rib qo'yishlari lozim.



AMALIY TAVSIYALAR

  • 12. Jangovor muloqot o'rnatuvchilar(war dialer)ga nisbatan ziyrak bo'lish lozim. Foydalanuvchilar ko'pincha tashkilot tarmog'i himoyasi vositalarini chetlab o'tib o'z kompyuterlariga keladigan telefon qo'ng'iroqlari qabul qilib olishga ruxsat beradilar. Ular ba'zan Ishdan qaytish oldidan modemni ulab kompyuterni uydan turib modem orqali unga ulanib tarmoqdan foydalanishni ko'zlab o'z dasturlarini shunga sozlab ketadilar. Tajovuzkorlar jangovar muloqot o'rnatuvchi dasturlardan foydalanib ko'plab telefon nomerlariga qo'ng'iroq qilib ko'radilar va shu tariqa chetdan modem orqali kirishga yo'l qoldirgan bunday tarmoqlarga suqulib kirib tajovuz uyushtiradilar. Foydalanuvchilar ko'pincha o'z kompyuterlarini o'zlari konfiguratsiyalashlari tufayli bunday kompyuterlar tajovuzlardan yomon himoyalangan bo'ladilar va tarmoqqa tajovuz qilishga yana bitta imkoniyat tug'diradilar. Tizim administratorlari jangovor muloqot o'rnatuvchilardan muntazam suratda foydalanib o'z foydalanuvchilarining telefon raqamlarini tekshirib turishlari va unga mos qilib konfiguratsiyalangan kompyuterlarni o'z vaqtida topib chorasini ko'rishlari lozim. Tijoratli va bepul tarqaltiladigan jangovor muloqot o'rnatuvchi dasturlar mavjud.

  • 13. Xavfsizlikka oid tavsiyalar (security advisories)dan o'z vaqtida xabordor bo'lib, ularga amal qilish lozim. Xavfsizlikka oid tavsiyalar – kompyuter jinoyatlariga qarshi kurash guruhlari va dastur ishlab chiqaruvchilar tomonidan yaqin orada payqalgan dasturning qaltis joylari haqida e'lon qilinadigan ogohlantirishlar. Tavsiyalar juda foydali bo'lib, o'qish uchun juda kam vaqt oladi va payqab qolingan qaltis joylar tufayli yuzaga kelishi mumkin bo'lgan eng jiddiy xavf-xatarlardan ogoh etadi. Ular xavf-xatarni ifodalab uning oldini olish uchun maslahatlar beradi. Ularni qator joylardan olish mumkin. Ikkita eng foydali bo'lgan tavsiyalar kompyuter jinoyatlariga qarshi kurash guruhi e'lon qilib turadigan tavsiyalar bo'lib CIAC va CERT saytlaridan olish mumkin.



AMALIY TAVSIYALAR

  • 14. Xavfsizlik bilan bog'liq hodisalarni tekshirish guruhi muntazam faoliyat olib borishi lozim. Har qanday tarmoqda ham xavfsizlik billan bog'liq hodisalar sodir bo'lib turadi(yolg'on trevoga bo'lsa ham). Tashkilot xizmatchilari avvaldan u yo bu holda nima qilishni bilishlari shart. Qaysi hollarda huquqiy-himoya organlariga murojaat qilish kerak, qaysi hollarda kompyuter jinoyatlariga qarshi kurash guruhini chaqirish va qaysi hollarda tarmoqni Internetdan uzib qo'yish kerak va ahamiyatli serverning qulfi buzilganda nima qilish kerak. CERT AQSH doirasida bu borada maslahatlar beradi. FedCIRC AQSH jamoat va davlat tashkilotlariga maslahatlar berish uchun mas'uldir. Harbir davlatda bunday maslahat olish joylari bo'lishi maqsadga muvofiqdir.

  • Kompyuter tajovuzlariga oid qo'shimcha ma'lumotlar tajovuz uyushtirish mo'ljallangan ayrim dasturlarga bag'ishlangan quyidagi maqola dan topilishi mumkin.



AMALIY TAVSIYALAR

  • Kompyuter xavfsizligi bo'yicha umumiy axborot quyidagi manzillardan olinishi mumkin:

  • NIST Computer Security Resource Clearinghouse

  • Federal Computer Incident Response Capability

  • Center for Education and Research in Information Assurance and Security

  • Carnegie Mellon Emergency Response Team

  • Bugungi kunda axborot xavfsizligini ta'minlashda an'anaviy qo'llanilib kelingan yondoshuvlar va vositalar yetarli bo'lmay qoldi. Bunday sharoitda axborot himoyasining eng ishonchli va sinalgan usuli bo'lgan kriptografiyaning ahamiyati yanada oshdi. Quyida Internet va Intranetda axborot himoyasining kriptologiya yo'nalishi haqida batafsil to'xtalamiz.



5. SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • Simmetrik va nosimmetrik kriptografik tizimlar

  • Kriptografik tizim, yo qisqacha, kriptotizim shifrlash ham shifrni ochish algoritmlari, bu algoritmlarda ishlatiladigan kalitlar, shu kalitlarni boshqaruv tizimi hamda shifrlanadigan va shifrlangan matnlarning o'zaro bog'langan majmuasidir.

  • Kriptotizimdan foydalanishda matn egasi shifrlash algoritmi va shifrlash kaliti vositasida avvalo dastlabki matnni shifrlangan matnga o'giradi. Matn egasi uni o'zi foydalanishi uchun shifrlagan bo'lsa (bunda kalitlarni boshqaruv tizimiga hojat ham bo'lmaydi ) saqlab qo'yadi va kerakli vaqtda shifrlangan matnni ochadi. Ochilgan matn asli (dastlabki matn)ga aynan bo'lsa saqlab qo'yilgan axborotning butunligiga ishonch hosil bo'ladi. Aks holda axborot butunligi buzilgan bo'lib chiqadi. Agar shifrlangan matn undan qonuniy foydalanuvchiga(oluvchiga) mo'ljallangan bo'lsa u tegishli manzilga jo'natiladi. So'ngra shifrlangan matn oluvchi tomonidan unga avvaldan ma'lum bo'lgan shifr ochish kaliti va algoritmi vositasida dastlabki matnga aylantiriladi.

  • Bunda kalitni qanday hosil qilish, aloqa qatnashchilariga bu kalitni maxfiyligi saqlangan holda yetkazish, va umuman, ishtirokchilar orasida kalit uzatilgunga qadar xavfsiz aloqa kanalini hosil qilish asosiy muammo bo'lib turadi. Bunda yana boshqa bir muammo – autentifikatsiya muammosi ham ko'ndalang bo'ladi. Chunki:

  • Dastlabki matn(xabar) shifrlash kalitiga ega bo'lgan kimsa tomonidan shifrlanadi. Bu kimsa kalitning haqiqiy egasi bo'lishi ham, begona (mabodo kriptotizimning siri ochilgan bo'lsa) bo'lishi ham mumkin.

  • Aloqa ishtirokchilari shifrlash kalitini olishganda u chindan ham shu kalitni yaratishga vakolatli kimsa tomonidan yo tajovuzkor tomonidan yuborilgan bo'lishi ham mumkin.



SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • Bu muammolarni turli kriptotizimlar turlicha hal qilib beradi.

  • Kriptotizimda axborotni shifrlash va uning shifrini ochishda ishlatiladigan kalitlarning bir-biriga munosabatiga ko'ra ular bir kalitli va ikki kalitli tizimlarga farqlanadilar. Odatda barcha kriptotizimlarda shifrlash algoritmi shifr ochish algoritmi bilan aynan yo biroz farqli bo'ladi. Kriptotizimning ta'bir joiz bo'lsa "qulfning" bardoshliligi algoritm ma'lum bo'lgan holda faqat kalitning himoya xossalariga, asosan kalit axborot miqdori(bitlar soni)ning kattaligiga bog'liq deb qabul qilingan.

  • Shifrlash kaliti shifr ochish kaliti bilan aynan yo ulardan biri asosida ikkinchisi oson topilishi mumkin bo'lgan kriptotizimlar simmetrik(sinonimlari: maxfiy kalitli, bir kalitli) kriptotizim deb ataladi.

  • Bunday kriptotizimda kalit aloqaning ikkala tomoni uchun bir xil maxfiy va ikkovlaridan boshqa hech kimga oshkor bo'lmasligi shart.

  • Bunday tizimning xavfsizligi asosan yagona maxfiy kalitning himoya xossalariga bog'liq.

  • Simmetrik kriptotizimlar uzoq o'tmishga ega bo'lsa-da, ular asosida olingan algoritmlar kompyuterlardagi axborotlarni himoyalash zarurati tufayli ba'zi davlatlarda standart maqomiga ko'tarildilar. Masalan, AQSHda ma'lumotlarni shifrlash standarti sifatida 56 bitli kalit bilan ishlaydigan DES(Data Encryption Standart) algoritmi 1977 yilda qabul qilingan. Rossiya(sobiq SSSR)da unga o'xshash standart (GOST 28147-89) sifatida 128 bitli kalit bilan ishlaydigan algoritm 1989 yilda tasdiqlangan. Bular dastlabki axborotni 64 bitli bloklarga bo'lib alohida yoki bir-biriga bog'liq holda shifrlashga asoslanganlar. Algoritmlarning matematikaviy asosida axborot bitlarini aralashtirish, o'rniga qo'yish, o'rin almashtirish va modul bo'yicha qo'shish amallari yotadi. Unda kirish va chiqishdagi matnlarning axborot miqdorlari deyarli bir xil bo'ladi.

  • Simmetrik kriptotizimni ishlashini bu kungi davrimizning Kumush va Otabeklari orasida elektron maktublar almashish misolida ko'rib chiqamiz. pinhona aloqaga nisbatan tajovuzkor shaxsni Homid deb ataymiz.



SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • Faraz qilaylikki, Otabek Kumushga pinhona maktub yo'llamoqchi. Ular orasida aloqa boshlanguncha o'zlarining yagona maxfiy kalit nusxalarini bir-birlariga berib, maktubni faqat shifrlangan shaklda yuborishga kelishib qo'ygan edilar. Otabek Kumushga M maktubini yozib, uni K kaliti bilan shifrlaydi. Natijada M maktubi shifrlangan matn C ga aylanadi. So'ngra Otabek shifrlangan maktubni elektron pochta orqali Kumushga jo'natadi. Kumush shifrlangan maktub C ni qabul qilib olgach uni o'zidagi maxfiy kalit bilan uning shifrini ochib Otabek yozgan M maktubiga aylantirib uni o'qiydi.



SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • Aloqa kanali himoyalanmagan bo'lgani uchun bu maktub Homidning qo'liga tushishi ham mumkin. Lekin, Homidda Kumush va Otabeklarning maxfiy kaliti bo'lmagani uchun u xatning mazmunini bilaolmaydi va xatni o'zgartirib qo'yaolmaydi. Homidning qo'lidan maktubni yo'q qilib yuborishgina keladi xolos. Homid maktub mazmunini bilmay turib Otabek nomidan shifrlanmagan yoki biror kalit bilan shifrlangan maktub jo'natsa ham, buning qalbaki ekanligi Kumushga darhol oshkor bo'ladi. Chunki, xat shifrlanmay kelsa, bu pinhona xat almashish haqidagi ularning kelishuviga zid bo'lib chiqadi. Agar xat Homiddagi boshqa kalit bilan shifrlanib kelsa, uni Kumush o'zidagi va Otabekdagi maxfiy kalit nusxasi bilan ocha olmaydi va bu bilan xatning Otabekdan emasligini bilib oladi.

  • Shifrlash algoritmi odatda barcha uchun oshkora bo'ladi. Bunday tizimning xavfsizligi asosan maxfiy kalitning himoya xossalariga bog'liq.

  • Simmetrik kriptotizimdan foydalanib elektron yozishmalar boshlash uchun avvalo maxfiy kalitni yoki parolni ikki aloqa ishtirokchisidan biri ikkinchisiga maxfiy holda yetkazishi kerak . Maxfiy kalitni yetkazish uchun maxfiy aloqa kanali(shaxsan uchrashish, himoyalangan aloqa kanali va sh.o'.) kerak . SHunday qilib yopiq davra hosil bo'ladi: maxfiy kalitni topshirish uchun maxfiy kanal kerak, maxfiy kanalni hosil qilish uchun maxfiy kalit kerak. Maxfiy kalit tez-tez o'zgartirib turilsa(aslida, harbir yozishmaga alohida maxfiy kalit ishlatilganda eng yuqori maxfiylikka erishiladi) bu muammo doimo ko'ndalang bo'laveradi.

  • Shifrlash va shifr ochish kalitlari o'zaro funktsional bog'langan bo'lib ulardan biri asosida ikkinchisi amaliy jihatdan(mavjud hisoblash vositalari taraqqiyoti darajasida) hisoblab topilishi mumkin bo'lmagan va ulardan biri faqat bitta aloqa ishtirokchisiga ma'lum bo'lib boshqalardan maxfiy tutiladigan, ikkinchisi esa aloqa ishtirokchilarining hammasiga oshkor bo'lgan kriptotizim nosimmetrik(sinonimlari: oshkora kalitli, ikki kalitli) kriptotizim deb ataladi.



SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • Nosimmetrik kriptotizim ikki kalitli tizim bo'lib, unda aloqa ishtirokchilarining har biri o'zining shaxsiy maxfiy va oshkora kalitlari juftiga ega bo'lib o'z oshkora kalitini boshqa aloqa ishtirokchilariga e'lon qiladi. Shaxsiy maxfiy kalit qabul qilinadigan axborot pinhonaligini ta'minlash uchun yaratilganda shifrni ochish kaliti bo'lib xizmat qiladi. Bunda kimga pinhona axborot jo'natiladigan bo'lsa shuning oshkora kalitidan foydalanib shifrlangan axborot jo'natiladi. Bunday axborotning shifrini faqat yagona maxfiy kalit egasigina ocha oladi. Agar maxfiy kalit autentifikatsiya maqsadida jo'natmalarga raqamli imzo bosish uchun hosil qilingan bo'lsa, u shifrlash kaliti sifatida foydalaniladi. Oshkora kalit esa yuqoridagi birinchi holda shifrlash kaliti bo'lib, ikkinchi holda shifrni ochish (tekshirib ko'rish) kaliti bo'lib xizmat qiladi.

  • Nosimmetrik kriptotizimlar asoslari simmetrik tizimlarda yechilmay qolgan kalit tarqatish va raqamli imzo muammolarining yechimini izlash yo'llarida Massachusets texnologiya institutida U.Diffi(W.Diffie) va uning ilmiy rahbari M.Xellman(M.E.Hellman) tomonidan 1975 yilda taklif etilgan. 1977 yili shu tamoyil asosida o'sha institutda R.Rivest, A.SHamir,L.Adlman(R.Rivest,A.Shamir, L.Adleman) tomonidan RSA algoritmi ishlab chiqildi. Keyinchalik elliptik va sh.o'.  bir tomonlama oson hisoblanadigan funktsiyalar asosiga qurilgan boshqa algoritmlar(El Gamal va boshqalar algoritmlari) yaratildi.

  • Nosimmetrik kriptotizimlar simmetrik kriptotizimlarga nisbatan o'nlab marta ko'proq axborot miqdoriga ega(512, 1024,2048,4096 bitli) kalitlardan foydalanadi va shunga ko'ra yuzlab marta sekinroq ishlaydi. Nosimmetrik kriptotizimlarning matematik asosida bir tomonlama oson hisoblanadigan funktsiyalar(darajaga oshirish, elliptik funktsiya, rekursiya va sh.o'.) yotadi.



SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • U.Diffi va M.Xellman taklif etgan himoyalanmagan ochiq aloqa kanali orqali kalit tarqatish usulining mohiyatini quyidagi misolda ko‘ramiz.

  • Faraz qilaylikki Otabek va Kumush simmetrik kriptotizimdan foydalanish uchun o‘zaro mahfiy kalit belgilab olmoqchilar. Buning uchun ulardan biri biror katta tub son M ni va 1 bilan M-1 orasidan butun son g ni tanlab himoyalanmagan aloqa kanali(masalan, telefon) orqali ikkinchilariga bildirib kelishib oladilar. So‘ngra ikkavlari ham 1 bilan M-1 orasidan aloxida ixtiyoriy butun sonlarni tanlab uni o‘zlarining shaxsiy kalitlari deb belgilaydilar va uni xech kimsaga(bir-birlariga ham) bildirmaydilar. Faraz qilaylikki, Otabekning shaxsiy mahfiy kaliti o, Kumushning shaxsiy maxfiy kaliti esa k bo‘lsin. Bu shaxsiy mahfiy kalitlar o‘zaro mahfiy(ikkavlaridan boshqa xechkim bilmaydigan) kalitni va o‘zlarining shaxsiy oshkora kalitlarini xosil qilishda qatnashadigan kalitlardir. Otabek o‘z shaxsiy oshkora kaliti Eota ni, Kumush o‘z shaxsiy oshkora kaliti Ekum ni xosil qilish uchun g sonini M moduli bo‘yicha o‘z shaxsiy maxfiy kalitlariga teng bo‘lgan darajaga oshirishlari kifoya. Ular o‘z shaxsiy oshkora kalitlarini bir-birlariga va boshqalarga ham ochiq aloqa kanali orqali ma’lum qilganlaridan so‘ng o‘zaro mahfiy kalitni xisoblab topishlari mumkin bo‘ladi.



SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • Otabek bilan Kumushning o‘zaro maxfiy kaliti k birlarining oshkora kalitini ikkinchilarining mahfiy kalitiga teng darajaga M moduli bo‘yicha oshirilganiga teng. Endi ular biror simmetrik kriptotizimdan foydal anib maktub almashishda faqat o‘ikkavlarigagina ma’lum bo‘lgan kalit K bilan o‘z maktublarini shifrlaydilar va shu kalit bilan shifrlangan maktub shifrini ochib o‘qiydilar.



SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • Shaxsiy oshkora kalitlar, M moduli va g asos Homidga ham ma’lum. Lekin, u shaxsiy mahfiy kalitlardan bexabar bo‘lgani uchun Otabek va Kumushlarning o‘zaro mahfiy kalitlarini bilaolmaydi. CHunki, buning uchun yo Otabekning yo Kumushning shaxsiy mahfiy kalitini bilishi zarur. Uni bilish uchun g asosda M moduli bo‘yicha oshkora kalitning diskret logarifmini hisoblab topish zarur. M soni 2 ning 512 chi darajasiga teng songa yaqin son bo‘lsa va u “yaxshi tub son” (ya’ni, undan bitta kam sonni yarmisi ham tub son) bo‘lsa diskret logarifmni hisoblashda ishlatiladigan ko‘paytuv amallari ning (M moduli bo‘yicha) soni 2 ning 256 chi darajasiga yaqin bo‘ladi. Buncha amalarni bajarish uchun eng zo‘r zamonaviy superkompyuter ham minglab yillar davomida tinimsiz ishlashi lozim bo‘ladi.

  • Yuqorida ko‘rib o‘tilgan shaxsiy oshkora va shaxsiy mahfiy kalitlar bir tomonlama hisoblanadigan funktsiya asosiga qurilgan bo‘lib, ular maktublarni bevosita shifrlash va shifrini ochish muammosini emas, balki maktub(umuman, harqanday axborot)larni simmetrik kriptotizimlarda shifrlashda va shifr ochishda foydalaniladigan o‘zaro mahfiy kalitlarni oshkora taqsimlash muammosini yechib beradi.

  • Yashirin yo‘lli birtomonlama funktsiyalardan foydalanilganda almashiladigan axborotlarni uzatish va raqamli imzo asosida autentifikatsiya muammosini yechish ham oson hal bo‘ladi. Bunday qulay funktsiya turini birinchi bo‘lib RSA algoritmining mualliflari taklif etishgan. Unda oshkora modul M ikki tub sonning ko‘paytmasi bo‘lib, ko‘paytuvchilar sir tutiladi. Ko‘paytuvchilardan bitta kam sonlar ko‘paytmasi ikkinchi(mahfiy) modul bo‘lib, u ham sir tutiladi. Mahfiy modulga nisbatan o‘zaro teskari ikki sondan biri shaxsiy oshkora kalit, ikkinchisi shaxsiy mahfiy kalit deb qabul qilinadi. SHu shaxsga yo‘llaniladigan axborot bloklari uning oshkora kalitida shifrlab(M moduli bo‘yicha oshkora kalitga teng darajaga oshirib) jo‘natiladi. Qabul qilib olingan axborot bloklari shifri shu shaxsning shaxsiy mahfiy kalitida ochiladi(M moduli bo‘yicha maxfiy kalitga teng darajaga oshirib).



SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • Faraz qilaylikki, Otabek Kumushga nosimmetrik kriptotizimdan foydalanib pinhona maktub yo'llamoqchi. Ular orasida aloqa boshlanguncha Kumush o'z oshkora kaliti nusxasini Otabekka va boshqalarga ma'lum qilgan. Ular bir-birlariga maktubni faqat shifrlangan shaklda yuborishga kelishib qo'yganlar. Otabek Kumushga M maktubini yozib, uni Kumushning oshkora kaliti bilan shifrlaydi. Natijada M maktubi shifrlangan matn C ga aylanadi. So'ngra Otabek shifrlangan maktubni elektron pochta orqali Kumushga jo'natadi. Xat Kumushning oshkora kaliti bilan shifrlangan bo'lgani uchun uni Kumush o'z maxfiy kaliti bilan ochib bemalol o'qiy oladi. Ya'ni, shifrlangan matn C Kumushning maxfiy kaliti bilan dastlabki matn M ga aylantiriladi.



SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR

  • Aloqa kanali himoyalanmagan bo'lgani uchun bu maktub Homidning qo'liga ham tushishi mumkin. Lekin Homidda Kumushning maxfiy kaliti bo'lmagani uchun u xatning mazmunini bilaolmaydi va xatni o'zgartirib qo'ya olmaydi. Homidning qo'lidan maktubni yo'q qilib yuborish va/yoki Kumushga uning oshkora kalitidan foydalanib Otabek nomidan shifrlangan yangi qalbaki maktub yo'llash keladi. Homid maktub mazmunini bilmay turib Otabek nomidan shifrlangan maktub jo'natsa, buning qalbaki ekanligi Kumushga darhol oshkor bo'lmasligi mumkin. Chunki, xat Kumushning oshkora kaliti bilan shifrlangan bo'lgani uchun uni Kumush o'z maxfiy kaliti bilan ochib o'qiydi. Bu xatning chindan ham Otabekdan ekaniga ishonch hosil qilish uchun buyerda autentifikatsiya muammosini(Otabekning raqamli imzosini tekshirish orqali) hal qilish lozim bo'ladi. Bu muammoni yechishda raqamli imzo qo‘yish uchun shaxsiy maxfiy kalitdan, imzoni tekshirish uchun shaxsning oshkora kalitidan foydalaniladi. Bu sal keyinroq ko’rilgan.



6. KRIPTOTIZIMLAR ASOSIDA TUZILGAN ALOQA TARMOG'IDA FOYDALANILADIGAN KALITLAR SONI.

  • Tarixan kriptotizimlar yuqorida keltirilgan axborot xavfsizligi muammolaridan asosan bittasini - pinhonalik muammosini yechishga qaratilgan edilar. Qolgan muammolarning kun tartibiga qo'yilishi simmetrik-kalitli tizimlar bilan bir qatorda nosimmetrik-kalitli kriptotizimlarning yaratilishiga sabab bo'ldi.

  • Foydalanuvchilar soni kam bo'lganda simmetrik kriptotizimdan foydalanish qulay. Lekin foydalanuvchilar soni ko'p bo'lib ular butun dunyo bo'ylab tarqalgan bo'lishsa kalit taqsimlash katta muammoga aylanadi. Har bir kishi bunday tarmoqda harbir boshqa kishi bilan axborot almashishi uchun alohida maxfiy kalitga ega bo'lishi kerak.Masalan, 1000 foydalanuvchiga ega bo'lgan tizim taxminan 500,000 kalit bo'lishini va shuncha almashuv jarayonini amalga oshirishni va shuncha kalitni maxfiy saqlashni talab etadi.

  • Nosimmetrik-kalitli kriptotizimlarda tarmoqdan foydalanuvchining harbiri o'zining yagona maxfiy kalitiga ega. O'zining va boshqalarning oshkora kalitlarini sir saqlashiga hojat yo'q. Masalan, 1000 foydalanuvchisi bo'lgan tarmoqda harbir foydalanuvchi bittadan oshkora va bittadan maxfiy kalitga ega bo'lishi kifoya. YAni bunda , simmetrik kalitli tizimdagi 500,000 kalit o'rniga hammasi bo'lib 2000 kalit bo'lishi yetarli.

  • Simmetrik kalitli tizimlar oshkora kalitli tizimlarga nisbatan tez ishlashlari tufayli, katta hajmdagi axborotlarni shifrlashda nosimmetrik tizimli kriptotizimlar ular bilan raqobatlasha olmaydilar.

  • Amaliyotda ikki xil tizimni birgalikda ishlatish yuqori samara beradi: simmetrik tizimdan ko'p hajmli axborotlarni shifrlashda, nosimmetrik tizimdan simmetrik tizim kalitini shifrlab tarqatishda foydalanish qulay. Bunday maqsadlarda oddiy foydalanuvchi-fuqarolar tomonidan eng ko'p tan olinganlaridan biri PGP(Pretty Good Privacy-Binoyidek xavfsizlik) dasturidir.



7.SIMMETRIK VA NOSIMMETRIK KRIPTOTIZIMLARDAN BIRGA FOYDALANISH AMALIYOTI.

  • Nosimmetrik kriptotizimlar axborot xavfsizligining barcha muammolarini yechib berishga qodir. Quyida nosimmetrik kriptotizimdan simmetrik kriptotizim kalitini shifrlab uzatishda, simmetrik kriptotizimdan esa axborotni shifrlab almashishda foydalanish amaliyoti bayon etiladi.

  • Har bir aloqa tomoni bajaradigan amallarni bu kungi davrimizning Kumush va Otabeklari orasidagi elektron maktublar almashish va ularga nisbatan tajovuzkor shaxs Homid timsolida namoyish qilamiz. Otabekning maxfiy(shaxsiy) kalitini Dotabek uning oshkora kalitini Eotabek orqali belgilaymiz.

  • Faraz qilaylikki, Kumush Otabekka pinhona maktub yo'llamoqchi. Ular orasida aloqa boshlanguncha Otabek o'zining oshkora kalitini Kumushga va boshqalarga ham berib qo'ygan edi. Otabekka M maktubini shifrlab jo'natish uchun Kumush avvalo tasodifiy biror son tanlab, uni bir marta ishlatiladigan maxfiy seans kaliti K sifatida qabul qiladi va u bilan maktubni simmetrik kriptotizim asosida shifrlaydi.



SIMMETRIK VA NOSIMMETRIK KRIPTOTIZIMLARDAN BIRGA FOYDALANISH AMALIYOTI.

  • So'ngra Eotabek oshkora kalitni olib u bilan nosimmetrik kriptotizim asosida maxfiy seans kaliti K ni shifrlaydi va natijada M maktubi shifrlangan matn C ga, maxfiy seans kaliti K esa shifrlangan seans kaliti Ke ga aylanadi. Bu jarayon quyidagicha funktsiyaviy bog'lanish tarzida ifodalanishi mumkin:

  • C = K(M)

  • Ke = Eotabek(K)

  • So'ngra Kumush C va Ke dan tarkib topgan jo'natmani Otabekka yo'llaydi.



SIMMETRIK VA NOSIMMETRIK KRIPTOTIZIMLARDAN BIRGA FOYDALANISH AMALIYOTI.

    • Otabek C va Ke dan tarkib topgan jo'natmani qabul qilib olgach, shifrlangan seans kaliti Ke shifrini o'z maxfiy kaliti Dotabek yordamida ochib maxfiy seans kaliti K ni topadi, so'ngra K kaliti bilan shifrlangan C xatni M maktubiga aylantiradi:
    • K = Dotabek(Ke),


SIMMETRIK VA NOSIMMETRIK KRIPTOTIZIMLARDAN BIRGA FOYDALANISH AMALIYOTI.

  • Kumush va Otabekning ishonchi komilki, ulardan boshqa hech kim M maktubini ko'rmagan. Chunki, S maktubi va Ke kaliti begona(masalan, Homid)ning qo'liga tushib qolgan taqdirda ham u shifrlangan xatning mazmunini mutlaqo tushunmagan bo'lur edi, chunki S maktubini asl M maktubiga aylantirish uchun zarur bo'lgan maxfiy seans kaliti K ni Ke asosida topish mumkin bo'lgan maxfiy kalit Dotabek faqat Otabekdagina bor. Bu maktubni hatto uni yozgan Kumush ham agar dastlabki M maktubini yoqib yuborib yodida saqlab qolmagan bo'lsa qaytadan M maktubini tiklay ololmaydi.

  • Kumush Otabekka yo'llagan maktubni Homid qo'lga tushirgan taqdirda uni anglay olmasa-da Homid Otabekka Kumush nomidan qalbaki xat jo'natishi mumkin. Chunki Otabekning oshkora kaliti hammaga ma'lum qilingan. Bunday hollarning oldini olish uchun Kumush o'z xatiga raqamli imzo qo'yishi lozim bo'ladi. Bu holda autentifikatsiya muammosini hal qilish lozim bo'ladi. Quyida shu haqda gap boradi.

  • Raqamli imzo an'anaviy qo'lda qo'yiladigan imzoning elektron ekvivalentidir. Qog'ozga qo'l qo'yishda shaxsiy imzoni qalbaki imzo bilan almashtirish ancha mushkul. Chunki harkim o'zining qaytarish qiyin bo'lgan imzosiga ega. Lekin raqamli imzo barcha hujjat uchun bir xil qo'yiladigan bo'lsa uni oson ko'chirib olinib boshqa hujjatga qo'yilishi mumkin. Bu yerda har bir raqamli imzoni faqat bitta hujjat bilan bog'lash muammosi ko'ndalang bo'ladi. Buning uchun ochiq kalitli kriptotizim juda qo'l keladi. Bunda avvalgi maktub jo'natishdagidan farqli o'laroq shifrlash uchun maxfiy kalit, shifrni ochish uchun esa oshkora kalit ishlatiladi.



SIMMETRIK VA NOSIMMETRIK KRIPTOTIZIMLARDAN BIRGA FOYDALANISH AMALIYOTI.

  • Kumush Otabekka maktub yo'llamoqchi bo'lsa avvaldan o'z oshkora kaliti Ekumush ni e'lon qilib qo'ygan bo'lishi lozim. Shunda jo'natilayotgan maktub bilan birga o'z maxfiy kaliti va maktub M asosida shakllantirilgan raqamli imzosini ham jo'natadi.

  • Shunda Otabek shifrlangan S xatning Kumushdan kelganiga ishonch hosil qilish uchun uning raqamli imzosini Ekumush kaliti yordamida sinab ko'rishi kifoya qiladi. Gap shundaki Ekumush oshkora kalit bilan ochiladigan shifrlangan axborotni faqat Kumushga ma'lum bo'lgan uning maxfiy kaliti Dkumush bilangina shifrlash mumkin. Homid yuborgan maktub esa bunday xususiyatga ega emas, chunki u Kumushning maxfiy kalitini bilmaydi. Raqamli imzoni hosil qilish va uni sinab ko'rish jarayonlarida oshkora hisoblangan bir tomonlama funktsiyalarga qo'shimcha tarzda faqat bir tomonlama hisoblanadigan va hammaga oshkora bo'lgan yana boshqa bir funktsiya (shifrlanadigan matnning bir tomonlama hisoblana oladigan funktsiyasi h(M), ko'pincha xesh-funktsiya)lardan ham foydalaniladi. Xuddi ana shu funktsiya avvalo, dastlabki M maktubi asosida hisoblanib (hisoblangan h(M) message digest deyiladi), so'ngra maxfiy kalit Dkumush bilan shifrlanib raqamli imzo sifatida jo'natiladi.



SIMMETRIK VA NOSIMMETRIK KRIPTOTIZIMLARDAN BIRGA FOYDALANISH AMALIYOTI.

  • Raqamli imzo mohiyatini ochib berish uchun quyida Kumush tomonidan hosil qilingan raqamli imzolangan ochiq hujjat X jo'natishni ko'rib chiqish bilan cheklanilgan. Formal tarzda raqamli imzo S hosil qilish quyidagicha ifodalanadi:

  • S = Dkumush (h(X))



SIMMETRIK VA NOSIMMETRIK KRIPTOTIZIMLARDAN BIRGA FOYDALANISH AMALIYOTI.

  • Imzoning рaqiqiyligini sinash qabul qilib olingan hujjatning hisoblab topilgan xesh-funktsiyasi(hash function)u bilan birga qabul qilib olingan raqamli imzo shifrining ochilgan xolati (message digest) aynanligi asosida xulosa chiqarishdir.

  • Otabek X va S ni qabul qilib olgach Kumushning oshkora kalitidan foydalanib S asosida h(X) (message digest) ni hosil qiladi so'ngra X asosida ma'lum algoritmdan foydalanib Xning daydjesti h(X) ni hisoblaydi va ularni taqqoslash natijasiga ko'ra hujjat X ning Kumush tomonidan imzolangani yo imzolanmagani haqida hukm chiqaradi.:

  • h(X)=Ekumush(S).



8. NOSIMMETRIK VA ARALASH KRIPTOTIZIMLAR ALGORITMLARI.

  • RSA

  • RSA algoritmi 1977 yilda AQSHning Massachusets texnologiya institutida ishlab chiqilgan bo'lib, 4405829 raqamli AQSH patenti bilan himoyalangan. Algoritmning nomi uning mualliflari familiyalarining bosh harflari(Rivest, Shamir, Adleman)dan tuzilgan. Algoritmning kriptobardoshliligi katta sonni tub ko'paytuvchilarga ajratish muammosi matematikada amaliy hisoblash nuqtai-nazaridan hanuz yechilmaganligiga asoslanadi.

  • ElGamal

  • El Gamal algoritmi 1985 yilda ishlab chiqilgan. Algoritmning nomi uning muallifi familiyasida atalgan. DSS (Digital Signature Standard) AQSH standartida ishlatiladi. Algoritmning kriptobardoshliligi chekli maydonlarda butun sonlarni logarifmlash muammosi matematikada amaliy hisoblash nuqtai-nazaridan hanuz yechilmaganligiga asoslanadi.

  • PGP

  • PGP dasturi PHilip TSimmermann tomonidan 1991 yilda ishlab chiqilgan. Pretty Good Privacy –binoyidek maxfiylik deb nomlangan. PGP kriptotizimining ishlash tamoyili simmetrik va nosimmetrik kriptotizimlarni birga ishlashiga asoslangan. PGP RSA ga alternativa bo'lib uning kriptobardoshliligi PGP kabi katta sonni tub ko'paytuvchilarga ajratish muammosi matematikada amaliy hisoblash nuqtai-nazaridan hanuz yechilmaganligiga asoslanadi.



NOSIMMETRIK VA ARALASH KRIPTOTIZIMLAR ALGORITMLARI.

  • PGP daturini Internet orqali quyidagi manzillardan olish mumkin:

  • Norvegiyadagi http://www.ifi.uio.no/pgp/ bosh saytdan 2.6.3i rusum( i harfi international , ya'ni AQSHdan tashqarida yashovchilar uchun erkin tarqatiladigan rusumni belgilaydi).

  • Rossiyadan (323K) ftp://ftp.kiae.su/pub/windows/crypto/pgp/pgp263i-win32.zip.

  • Evropa saytlaridan ftp://ftp.ox.ac.uk/pub/crypto/pgp/pc/windows95/PGP50trial.exe 3.5 MB hajmli Windows 95 amal tizimi uchun mo'ljallangan PGP dasturining 5.0 versiyasini yozib olish mumkin.

  • AQSH da istiqomat qiluvchilar yo bepul 2.6.2 rusumni MIT saytidan http://bs.mit.edu:8001/pgp-form.html manzili bo'yicha, yoki so'nggi turli platformalar (Windows 95 i Makintosh) uchun yozilgan PGP 5.0 rusumini http://www.pgp.com manzilidan olishlari mumkin

  • PGP dasturining avvalgi 2-rusumlaridan Windows muhitida ishlatish uchun quyidagi manzillardagi qobiq- dasturlardan foydalanish mumkin:

    • Aegis Shell (2.43M)
    • MailPGP 1.3 (80K)
  • Ikkala dastur ham shifrlash-shifr ochish amallarini fayllar klaviaturadan yo diskdan kiritilganda ko'ngildagidek bajaradilar. Lekin bu dasturlardan foydalanish uchun pgp263i-win32.zip, faylining o'zi ham kerak bo'ladi.



NOSIMMETRIK VA ARALASH KRIPTOTIZIMLAR ALGORITMLARI.

  • RPK

  • RPK algoritmi AQSH va Yangi Zelandiya fuqarosi matematik, hisoblash texnikasi bo‘yicha mutaxassis doktor William M.Raike (Uilyam M.Reyk) tomonidan New Zealand kompaniyasi (Yangi Zelandiya, Okiyanda tashkil etilgan) da yaratilgan. Dastur "RPK Sate Cracker Challenge"deb nomlangan bo’lib, uning muallifi familiyasining bosh harfidan boshlanadi. Dastur muallifi o’zi ishlab chiqqan algoritmni eng tez ishlaydigan va xavfsizligi bo'yicha RSA algoritmi bilan teng yangi nosimmetrik kriptotizim algoritmi ekanini e'lon qildi. Uning kriptobardoshliligi chekli katta maydonlarda diskret logarifmni hisoblash amaliy nuqtai-nazardan yechilmaganligiga va qorishtirish generatorining kompleks hisoblashlariga asoslangan.

  • RPK haqida ikki og’iz so’z.

  • Reykning RPK tizimi sodda komponentlarni birlashtirib "qorishtiruvchi generator " (mixture generator) deb nomlangan yangi kriptografik tizim yadrosini yaratishga asoslangan.

  • Bu algoritm bilan WWW orqali yozib olib, uni tekshirib ko‘rish mumkin. Bu kompaniya himoya va shifrlash bo‘yicha sanoat darajasidagi umumiy standartni yaratishni maqsad qilib qo‘ygan. Texnologiyani testdan o‘tkazishda qatnashishni istovchilarni rag'batlantirish maqsadida "RPK Sate Cracker Challenge" dasturning bepul rusumini http//crypto.swdev.co.nz manzildan yuklab olinishi mumkinligi bildirilgan. Uning Web-sahifasi "Oshkora kalitli kriptografiya" deb nomlanib, algoritmni baholash uchun unda keng material (mahsulotning dastlabki matni, algoritmlar va texnikaviy hujjat) berilgan. Unda Windows 95 yoki Windows NT foydalanuvchilari uchun uning yangi usuli aslida yangilligini ko‘rsatish uchun bepul kompyuter dasturi ham keltirilgan.

  • Texnologiya ixtirochisi kimda-kim RPK ning virtual seyfiga kira olsa va bu bilan uning loyihasi zaif ekanini isbot etsa unga 3000 dollar mukofot va'da qilgan.

  • Reyk yaqinda Security Dinamics Technologies, Inc. RSA Data Security. Inc.ni 300 mln. dollarga sotib olganini, RSA algoritmini ochiq kalitli sanoat kriptografik tizim deb tan olib, o‘z texnologiyasini ancha tez va jahon miqyosida juda keng qo‘llanilishi mumkin deb hisoblaydi

  • Bu AQSH hukumati tomonidan Amerikada ishlab chiqarilgan kriptotizimlarning eksportiga cheklovlar qo‘yilgani (RSA ga, PGPga) hisobga olinsa ancha foydali ma'lumotdir.



NOSIMMETRIK VA ARALASH KRIPTOTIZIMLAR ALGORITMLARI.

  •  PGP haqida ikki og'iz so'z.

  • Elektron pochtalarni begona ko'zlardan himoyalash dasturlari ichida eng ommaviylashib borayotganlaridan biri - bepul tarqatiladigan PGP-dasturidir. Hozirgi kunda uning elektron yozishmalar uchun jahon standarti darajasiga ko'tarilib borayotganining sababi bu kriptotizimni qulfini buzish uchun hozirgi eng kuchli kompyuterlar uchun ham asrlar davomida hisoblashlar bajarishga to'g'ri keladi.

  • PGP dasturi ikki kalitli – maxfiy va oshkora kalitli kriptotizimning asosini tashkil etadi. Bunda har bir xat oluvchi o'z oshkora kalitini barcha uchun(masalan o'z Web sahifasida) e'lon qilib qo'yadi yoki xat yozishi kutilayotgan kimsaga o'z oshkora kalitini elektron quti orqali jo'natadi. Kimda-kim unga elektron xat yuboradigan bo'lsa PGP dasturidan foydalanib shu oshkora kalit yordamida o'z xatini shifrlab xat oluvchiga jo'natadi. Bu xatning shifrini shu xat oluvchidan o'zga kimsa ochaolmaydi, chunki bu xatni ocha oladigan maxfiy kalit faqat oshkora kalitning egasidagina bor. Oshkora kalit bir kalitli kriptotizimlardagi maxfiy kalitlarga nisbatan o'nlab marta ko'p axborot miqdori(bitlar soni)ga ega bo'lib taxminan quyidagi ko'rinishga ega:



NOSIMMETRIK VA ARALASH KRIPTOTIZIMLAR ALGORITMLARI.

  • Filip Zimmermann 1991 yilda insonparvarlik maqsadlarini ko'zlab Internetda o'z dasturini bepul nashr etgach, kriptografiya vositalarining eksporti qoidalarini buzganlikda gumon qilinib, AQSH huquqiy organlari tomonidan tergovga tortilgan. 1996 yilda tergov to'xtatilgach u o'z kompaniyasini ochgan. PGP dasturining yangi 5,0 rusumi Windows va Apple Macintosh amal tizimlarida ishlashga mo'ljallangan. 1997 yilda Diffi va Xellmanlarning hamda Xellman va Merklining patentlari muddati tugagani oshkora kalitli yangi algoritmlar yaratishga (patent uchun chegiruvlardan xoli)keng yo'l ochilib, oshkora kalitli tizimlarga bo'lgan monopoliya tugagan.

  • Yangi rusumdan har bir foydalanuvchiga ikki juft kalit beriladi. Bitta jufti Diffi-Xellman algoritmidagi kabi shifrlash va shifrni ochish uchun ishlatiladi, ikkinchi jufti NIST tomonidan taklif etilgan sertifikatli imzo qo'yish(DSS) uchun ishlatiladi. Bu rusumda ham simmetrik kriptotizimning IDEA shifridan foydalanishda davom etilgan, uch karra DES yoki CASTni tanlash imkoniyati ham saqlangan. Raqamli imzodan foydalanish uchun SHA-1 hesh algoritmidan foydalanilgan. Bu esa RSA da ishlatilgan MD5 hesh-algoritmidan mukammaldir. PGP ni ochiq kalitlar serverlari bilan ishlay olishi uning kuchli tomoni hisoblanadi. Foydalanuvchi yangi oshkora kalitni hosil qilganda PGP uni olisdagi (masalan MIT dagi) serverga o'rnatishni taklif qiladi. Bu PGPdan foydalanuvchilarni global makonga birlashtiradi. Bunday imkoniyat hozircha boshqa oshkora kalitli tizimlarda mavjud emas.




Do'stlaringiz bilan baham:


Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2017
ma'muriyatiga murojaat qiling