Oʻzbekiston respublikasi axborot texnologiyalari
Ochiq calitli cryptotizimlardan foydalanish
Download 225.98 Kb.
|
Fayzullo
- Bu sahifa navigatsiya:
- Ochiq calitli cryptotizimlardan foydalanish
- Hybrid cryptotizim
- Factorlash ҳuzhumi
- Identification of usullari. Identification of the dasturia wa vositalari technique.
|
Ochiq calitli cryptotizimlardan foydalanish
• A tomonning ochik kaliti bilan khabar M ni ciphrlash: 𝐶 = {𝑀}𝐴. • A tomonning shahsi kaliti bilan shifmatnnni deciphered: 𝑀= [𝐶]𝐴. • Bundan esa kuyidagi tenglikni osonlik bilan yozish mumkin: [{M}A]A=M. Ochiq calitli cryptotizimlardan foydalanish • Symmetric cipherlar bilan bazhargan ikhtiyoriy amalingizni, ochik kalitli ciphrlash algorithmlari bilan am amalga oshirish mumkin. • Symmetry cryptotizimlar kabi ochi kalitli cryptotizimlardan ҳam malumotni butunligini ta'minlashda foydalanilady. • Biroq, zharayon kўprok vakt talab etadi. • Ochik kalitli cryptotizimlar symmetric cryptotizimlarda mavzhud bўlgan kalitni taqsimlash muammosini ўzida bartaraf etgan. Hybrid cryptotizim {K} B E(B tomon malumoti, K) E(A tomon ma'lumoti, K) A tomon Btomon Ochiq calitli cryptotizimlarda kalit uzunligi Symmetric va ochiq kalitli cryptotizimlar bir hil bardishlikka ega bўlganda ulardagi kalitlarning uzunliklari
Factorlash ҳuzhumi • Natizhalar bir secondda millionta amal bajaruwchi (one-million-instruction-per-second, mips) computer yoki yiliga 1013 amal bazharishi ҳisobida olingan.
Ҳisoblash kurilmalari imkoniyatining ortishi cryptography algorithmlarning bardishigini kamayishiga olib keladi. Identification of usullari. Identification of the dasturia wa vositalari technique. Computer tizimida rўyhatga olingan ҳar bir subject (foydalanuvchi yoki foydalanuvchi nomidan ҳarakatlanuvchi zharayon) bilan uni bir ma'noda indentificationlovchi akhborot boglik. Bu ushbu subject nom beruwchi son yoki symbollar satri bўlishi mumkin. Bu akhborot subject indentifatori deb yurityladi. Agar foydalanuvchi tarmokda rўyhatga olingan indentificatorga ega bўlsa u legal (konuniy), aks ҳolda legalal bўlmagan (nokonunii) foydalanuchi ҳisoblanadi. Computer resourcelaridan foydalanisdan avval foydalanuvchi computer tiziming identification va authentication zharaenidan ўtishi lozim. Identification (Identification) ) - foydalanuvchini uning identifiers (nomi) bўyicha aniklash zharayoni. Bu foydalanuvchi tarmoqdan foydalanishga uringanida birinchi galda bazharyladigan functiondir. Foydalanuvchi tizimga uning sўrovi bўyicha ўzining ididiini bildiradi, tizim esa ўzining malumotlar bazasida uning borligini tekshiradi. Охирги вақтда инсоннинг физиологик параметрлари ва характеристикаларини, хулқининг хусусиятларини ўлчаш орқали фойдаланувчини ишончли аутентификациялашга имкон берувчи биометрик аутентификациялаш кенг тарқалмоқда. Biometrik autentifikasiyalash usullari an'anaviy usullarga nisbatan quyidagi afzalliklarga ega: - biometrik alomatlarning noyobligi tufayli autentifikasiyalashning ishonchlilik darajasi yuqori; biometrik alomatlarning sog‘lom shaxsdan ajratib bo‘lmasligi; - biometrik alomatlarni soxtalashtirishning qiyinligi. Foydalanuvchini autentifikasiyalashda faol ishlatiladigan biometrik algoritmlar quyidagilar: • barmoq izlari; • qo‘l panjasining geometrik shakli; • yuzning shakli va o‘lchamlari; • ovoz xususiyatlari; • ko‘z yoyi va to‘r pardasining naqshi. Autentifikasiyalash usullari.Autentifikasiyalash dasturiy va texnik vositalari. Autentifikasiya (Authentication) – ma'lum qilingan foydalanuvchi, jarayon yoki qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish foydalanuvchi (jarayon yoki qurilma) haqiqatan aynan o‘zi ekanligiga ishonch xosil qilishiga imkon beradi. Autentifikasiya o‘tqazishda tekshiruvchi taraf tekshiriluvchi tarafning xaqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda tekshiriluvchi taraf ham axborot almashinuv jarayonida faol qatnashadi. Odatda foydalanuvchi tizimga o‘z xususidagi noyob, boshqalarga ma'lum bo‘lmagan axborotni (masalan, parol yoki sertifikat) kiritishi orqali identifikasiyani tasdiqlaydi. Identifikasiya va autentifikasiya sub'ektlarning (foydalanuvchilarning) haqiqiy ekanligini aniqlash va tekshirishning o‘zaro bog‘langan jarayonidir. Muayyan foydalanuvchi yoki jarayonning tizim resurslaridan foydalanishiga tizimning ruxsati aynan shularga bog‘liq. Sub'ektni identifikasiyalash va autentifikasiyalashdan so‘ng uni avtorizasiyalash boshlanadi. Ma'lumotlarni uzatish kanallarini himoyalashda sub'ektlarning o‘zaro autentifikasiyasi, ya'ni aloqa kanallari orqali bog‘lanadigan sub'ektlar xaqiqiyligining o‘zaro tasdig‘i bajarilishi shart. Xaqiqiylikning tasdig‘i odatda seans boshida, abonentlarning bir-biriga ulanish jarayonida amalga oshiriladi. “Ulash” atamasi orqali tarmoqning ikkita sub'ekti o‘rtasida mantiqiy bog‘lanish tushuniladi. Ushbu muolajaning maqsadi – ulash qonuniy sub'ekt bilan amalga oshirilganligiga va barcha axborot mo‘ljallangan manzilga borishligiga ishonchni ta'minlashdir. O‘zining xaqiqiyligining tasdiqlash uchun sub'ekt tizimga turli asoslarni ko‘rsatishi mumkin. Sub'ekt ko‘rsatadigan asoslarga bog‘liq holda autentifikasiya jarayonlari quyidagi kategoriyalarga bo‘linishi mumkin: - biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikasiya kodi PIN (Personal Identification Number) hamda “so‘rov javob” xilidagi protokollarda namoyish etiluvchi maxfiy va ochiq kalitlarni ko‘rsatish mumkin; - biror narsaga egaligi asosida. Odatda bular magnit kartalar, smartkartalar, sertifikatlar va touch memory qurilmalari; - qandaydir daxlsiz xarakteristikalar asosida. Ushbu kategoriya o‘z tarkibiga foydalanuvchining biometrik xarakteristikalariga (ovozlar, ko‘zining rangdor pardasi va to‘r pardasi, barmoq izlari, kaft geometriyasi va x.) asoslangan usullarni oladi. Bu kategoriyada kriptografik usullar va vositalar ishlatilmaydi. Beometrik xarakteristikalar binodan yoki qandaydir texnikadan foydalanishni nazoratlashda ishlatiladi. Parol – foydalanuvchi hamda uning axborot almashinuvidagi sherigi biladigan narsa. O‘zaro autentifikasiya uchun foydalanuvchi va uning sherigi o‘rtasida parol almashinishi mumkin. Plastik karta va smart-karta egasini autentifikasiyasida shaxsiy identifikasiya nomeriPINsinalgan usul hisoblanadi. PIN – kodning mahfiy qiymati faqat karta egasiga ma'lum bo‘lishi shart. Dinamik – (bir martalik) parol- bir marta ishlatilganidan so‘ng boshqa umuman ishlatilmaydigan parol. Amalda odatda doimiy parolga yoki tayanch iboroga asoslanuvchi muntazam o‘zgarib turuvchi qiymat ishlatiladi. “So‘rov-javob” tizimi - taraflarning biri noyob va oldindan bilib bo‘lmaydigan “so‘rov” qiymatini ikkinchi tarafga jo‘natish orqali autentifikasiyani boshlab beradi, ikkinchi taraf esa so‘rov va sir yordamida hisoblangan javobni jo‘natadi. Ikkala tarafga bitta sir ma'lum bo‘lgani sababli, birinchi taraf ikkinchi taraf javobini to‘g‘riligini tekshirishi mumkin. Sertifikatlar va raqamli imzolar - agar autentifikasiya uchun sertifikatlar ishlatilsa, bu sertifikatlarda raqamli imzoning ishlatilishi talab etiladi. Sertifikatlar foydalanuvchi tashkilotining mas'ul shaxsi, sertifikatlar serveri yoki tashqi ishonchli tashkilot tomonidan beriladi. Internet doirasida ochiq kalit sertifikatlarini tarqatish uchun ochiq kalitlarni boshqaruvchi qator tijorat infratuzilmalari PKI (Public Key Infrastrusture) paydo bo‘ldi. Foydalanuvchilar turli daraja sertifikatlarini olishlari mumkin. Autentifikasiya jaryonlarini ta'minlanuvchi xavfsizlik darajasi bo‘yicha ham turkumlash mumkin. Ushbu yondashishga binoan autentifikasiya jarayonlari quyidagi turlarga bo‘linadi: - parollar va raqamli sertifikatlardan foydalanuvchi autentifikasiya; - kriptografik usullar va vositalar asosidagi qat'iy autentifikasiya; - nullik bilim bilan isbotlash xususiyatiga ega bo‘lgan autentifikasiya jarayonlari (protokollari); - foydalanuvchilarni biometrik autentifikasiyasi. Xavfsizlik nuqtai nazaridan yuqorida keltirilganlarning har biri o‘ziga xos masalalarni yechishga imkon beradi. Shu sababli aut Autentifikasiya protokollariga bo‘ladigan asosiy xujumlar quyidagilar: - maskarad (impersonation). Foydalanuvchi o‘zini boshqa shaxs deb ko‘rsatishga urinib, u shaxs tarafidan xarakatlarning imkoniyatlariga va imtiyozlariga ega bo‘lishni mo‘ljallaydi; - autentifikasiya almashinuvi tarafini almashtirib qo‘yish (interleaving attack). Niyati buzuq odam ushbu xujum mobaynida ikki taraf orasidagi autenfikasion almashinish jarayonida trafikni modifikasiyalash niyatida qatnashadi. Almashtirib qo‘yishning quyidagi xili mavjud: ikkita foydalanuvchi o‘rtasidagi autentifikasiya muvaffaqiyatli o‘tib, ulanish o‘rnatilganidan so‘ng buzg‘unchi foydalanuvchilardan birini chiqarib tashlab, uning nomidan ishni davom ettiradi; - takroriy uzatish (replay attack). Foydalanuvchilarning biri tomonidan autentifikasiya ma'lumotlari takroran uzatiladi; - uzatishni qaytarish (reflection attak). Oldingi xujum variantlaridan biri bo‘lib, xujum mobaynida niyati buzuq odam protokolning ushbu sessiya doirasida ushlab qolingan axborotni orqaga qaytaradi. - majburiy kechikish (forsed delay). Niyati buzuq odam qandaydir ma'lumotni ushlab qolib, biror vaqtdan so‘ng uzatadi. - matn tanlashli xujum (chosen text attack). Niyati buzuq odam autentifikasiya trafigini ushlab qolib, uzoq muddatli kriptografik kalitlar xususidagi axborotni olishga urinadi. Yuqorida keltirilgan xujumlarni bartaraf qilish uchun autentifikasiya protokollarini qurishda quyidagi usullardan foydalaniladi: - “so‘rov–javob”, vaqt belgilari, tasodifiy sonlar, indentifikatorlar, raqamli imzolar kabi mexanizmlardan foydalanish; - autentifikasiya natijasini foydalanuvchilarning tizim doirasidagi keyingi xarakatlariga bog‘lash. Bunday misol yondashishga tariqasida autentifikasiya jarayonida foydalanuvchilarning keyinga o‘zaro aloqalarida ishlatiluvchi maxfiy seans kalitlarini almashishni ko‘rsatish mumkin; - aloqaning o‘rnatilgan seansi doirasida autentifikasiya muolajasini vaqti-vaqti bilan bajarib turish va h. Vaqtni belgilash mexanizmi har bir xabar uchun vaqtni qaydlashni ko‘zda tutadi. Bunda tarmoqning har bir foydalanuvchisi kelgan xabarning qanchalik eskirganini aniqlashi va uni qabul qilmaslik qaroriga kelishi mumkin, chunki u yolg‘on bo‘lishi mumkin. Vaqtni belgilashdan foydalanishda seansning xaqiqiy ekanligini tasdiqlash uchun kechikishning joiz vaqt oralig‘i muammosi paydo bo‘ladi. Chunki, “vaqt tamg‘asi”li xabar, umuman, bir laxzada uzatilishi mumkin emas. Undan tashqari, qabul qiluvchi va jo‘natuvchining soatlari mutlaqo sinxronlangan bo‘lishi mumkin emas. Autentifikasiya protokollarini taqqoslashda va tanlashda quyidagi xarakteristikalarni hisobga olish zarur: - o‘zaro autentifikasiyaning mavjudligi. Ushbu xususiyat autentifikasion almashinuv taraflari o‘rtasida ikkiyoqlama autentifikasiyaning zarurligini aks ettiradi; - hisoblash samaradorligi. Protokolni bajarishda zarur bo‘lgan amallar soni; - kommunikasion samaradorlik. Ushbu xususiyat autentifikasiyani bajarish uchun zarur bo‘lgan xabar soni va uzunligini aks ettiradi; - uchinchi tarafning mavjudligi. Uchinchi tarafga misol tariqasida simmetrik kalitlarni taqsimlovchi ishonchli serverni yoki ochiq kalitlarni taqsimlash uchun sertifikatlar daraxtini amalga oshiruvchi serverni ko‘rsatish mumkin; - xavfsizlik kafolati asosi. Misol sifatida nullik bilim bilan isbotlash xususiyatiga ega bo‘lgan protokollarni ko‘rsatish mumkin; - sirni saqlash. Jiddiy kalitli axborotni saqlash usuli ko‘zda tutiladi. Identifikasiya va autentifikasiya protokollari SKID2, SKID3 protokollari RACE RIPE proekti uchun ishlab chiqilgan simmetrik kriptografik identifikasiyalash protokoli hisoblanadi. Ular xavfsizlikni ta'minlash uchun MAC ni qo‘llab ikkala foydalanuvchi birbiri bilan aloqa qilishida umumiy maxfiy kalit K ni ishlatish yo‘li bilan amalga oshiriladi. SKID2 protokoli 1-foydalanuvchini 2-foydalanuvchiga haqiqiyligini isbotlab beradi. SKID3 protokoli o‘zaro autentifikasiyalashni ta'minlaydi. Bu protokol MITM buzish usuliga bardoshli emas, umuman olganda qanaqadir sir yotmagan har qanday protokol bardosh bera olmaydi. Kompyuter tarmoqlarida autentifikasiyalash protokollarining 2 turi mavjud: 1. Foydalanuvchini autentifikasiyalash 2. Ma'lumotlarni autentifikasiyalash Foydalanuvchini autentifikasiyalash bu foydalanuvchi tomonidan ko‘rsatilgan autentifikator yordamida haqiqiyligini tasdiqlash jarayonidir. Autentifikator bu autentifikasiyalash vositasi bo‘lib, foydalanuvchini farq qiladigan belgilari bo‘yicha xarakterlaydi. Autentifikator sifatida kompyuter tarmoqlarida odatda parol va foydalanuvchini biometrik ma'lumotlari qo‘llaniladi. Biometrik ma'lumotlar sifatida barmoq izlari, ko‘z tur pardasi va panja izi ishlatilishi mumkin. Parol bu kodlangan so‘z bo‘lib, harfli, raqamli va harfli-raqamli shaklda kompyuter bilan muloqat boshlanishidan oldin ishlaydi. Zamonaviy kompyuter tarmoqlarida har bir foydalanuvchi foydalanuvchini haqiqiyligini tasdiqlash va tarmoqda ishlash imkoniyatini ta'minlash maqsadida parol va identifikator bilan ta'minlangan bo‘ladi. Shu bilan birgalikda autentifikasiyalash protokollari ham ishlab chiqiladi. Ulardan eng oddiysi oddiy parollarni yoki (parollar ruyxatida o‘zgarib turadigan) hosil qilingan parollar ro‘yxatidan o‘zgarib turadigan parollarni qo‘llash yordamida shakllanadi. Foydalanilgan adabiyotlar 1. G‘aniev S. K., Karimov M. M., Tashev K. A. Axborot xavfsizligi. Axborotkommunikasiya tizimlar xavfsizligi. Oliy o‘quv yurt talabalari uchun mo‘ljallangan. "Aloqachi", 2008. 2. Mark Stamp. Information security. Principles and Practice. Second edition. A John Wiley& Sons, Inc., publication. Printed in the United States of America. 2011y. 584p. 3. Shangin V.F. «Informasionnaya bezopasnost' i zashita informasii», Uchebnoe posobie. M.: 2014 g Download 225.98 Kb. Do'stlaringiz bilan baham: 
|