«Аутентификация. Мүлде тікелей құпиялық (PFS – Perfect Forward Secrecy) және Куәландыру орталығы. SSL, TLS қолдану»

Пән: Информатика, Программалау, Мәліметтер қоры
Жұмыс түрі: Реферат
Тегін: Антиплагиат
Көлемі: 16 бет
Таңдаулыға:

ҚАЗАҚСТАН РЕСПУБЛИКАСЫНЫҢ БІЛІМ ЖӘНЕ ҒЫЛЫМ МИНИСТРЛІГІ

АЛМАТЫ ЭНЕРГЕТИКА ЖӘНЕ БАЙЛАНЫС УНИВЕРСИТЕТІ

Коммерциялық емес акционерлік қоғам

Аэроғарыштық және ақпараттық технологиялар факультеті

«Компьютерлік технологиялар» кафедрасы

Есептеу - графикалық жұмыс № 1

Дисциплина : Компьютерлік желілер мен жүйелер қауіпсіздігі

Тақырыбы : «Аутентификация. Мүлде тікелей құпиялық (PFS - Perfect Forward Secrecy) және Куәландыру орталығы. SSL, TLS қолдану»

Мамандығы : 5В070400 - Есептеу техникасы және бағдарламаны қамтамасыз ету

Студенттік билет нөмірі: 132039

Орындаған : Мухамбеткали Дамир Группа: ВТк-13-2

Тексерген : аға оқыт. Рахимжанова З. М.

«» 201___г.

Алматы, 2016

Мазмұны

Кіріспе 3

1 Кілттер туралы ақпарат . . . 4

2 Аутентификация 9

3 Мүлде тікелей құпиялық (PFS - Perfect Forward Secrecy) 11

4 Куәландыру орталығы . . . 12

5 SSL, TLS қолдану . . . 13

Қорытынды. 15

Қолданылған әдебиеттер тізімі. 16

Кіріспе

Есептеу графикалык жумыс мақсаты - интернет жүйесіндегі кілттердің басқаруларын, олардың қасиеттері, артықшылықтары мен кемшіліктерін анықтау. Және де жұмыстың бір бөлімінде SSL және TLS протоколдары туралы мәлімет жинап, оның қайда қолданылатынын, қандай фаза, этапта жүргізілетінін анықтау. Олардың ұғымына және осыған қатысты терминдерге анықтама беру арқылы оның маңыздылығын ашып көрсету, тақырыпты жан-жақты қамту, осы заманға сай ең жаңа ақпарат құрылғыларына, технологияларға сипаттама беріп, олардың мүмкіндіктерін толық ашып көрсету және болашақта күтілетін нәтижелерді қарастыру. Желілік құрылғыларымен, оларды орнату, настройка, желілерді біріктіру және онымен жұмыс істеу қағидаларын түсіне отырып жұмыс жасау.

Кілттер туралы ақпарат

Кілттерді басқарушы ақпарат алмасуда, анықтау және деректер тұтастығының құпиялылығын қамтамасыз ету үшін негіз ретінде криптографияның маңызды рөлін атқарады. Жақсы жасақталған негізгі басқару жүйесінің маңызды ерекшелігі оқшауланған жерлерде олардың физикалық оқшаулауын қамтамасыз ету және жабдықтарды қорғау арқылы салыстырмалы жай шешуге, бірнеше негізгі мәселенің қауіпсіздігіне қойылатын көптеген кілттер қауіпсіздігінің проблемаларын азайту болып табылады.
Кілттерді басқару келесі процедураларды:

жүйеге пайдаланушыны енгізу;
аппаратурага кілттерді өңдеу, бөлу және басқару:
кілттердің пайдалануын бақылау;
кілттердің өзгеруі мен жойылуын;
кілттерді архивтеу, сақтау және қайта құруды қамтамасыз етеді.

Сақталған ақпараттардың қауіпсіздігін қамтамасыз ету үшін ретті уақыт аралығында деректермен жұмыс істеу барысын іске асыратын субъектісі ретінде бір ғана пайдаланушы болуы мүмкін. Байланыс жүйелерінде кілттерді басқарушы кем дегенде екі субъектті - жіберуші мен алушыны қосады.

Кілттерді басқарудың мақсаты болып келесідей қатерлерді бейтараптандыру болып табылады:

жабық кілттердің құпиялылығын компреметациялау;
жабық немесе ашық кілттердің түпнұсқалығын компрометациялау;
жабық немесе ашық кілттердің рұқсатсыз пайдалануы, мысалыға мерзім уақыты өтіп кеткен қолданылған кілттер.

Кілттерді басқарушы әдетте нақты қауіпсіздік саясатының мәнмәтінінде жүзеге асырылады. Қауіпсіздік саясаты жүйе керек қатерлерге қарсы тікелей немесе жанама түрде анықтайды. Сонымен қатар, ол көрсетеді:

автоматты немесе қолмен кілттерді негізгі басқару процесінде басқаралытан және орындалуы тиіс ережелер мен процедуралар;
басқаруда қатысқан барлық субъектілердің жауапкершілігі мен міндеттілігі, сондай-ақ кілттердің қауіпсіздімен байланысты керекті хабарламаларды дайындау үшін сақтау мен әрекеттердің жүргізілуі.

Кілттердің құпиялылығын қамтамасыз ету үшін пайдаланылатын құралдардың бірі төмендегідей деңгейлер арқылы бөлуге болады:

Негізгі (басты) кілт - криптографиялармен қорғалмайтын иерархиядағы ең жоғарғы негізгі кілт. Оның қорғалуы физикалық немесе электрондық құралдар арқылы жүзеге асырылады.
Кілттерді шифрлаушы кілттер - жібермес бұрын немесе басқа шифрлаушы кілттерді сақтау үшін қолданылатын жабық және ашық кілттер. Бұл кілттер басқа кілттер көмегімен шифрланған болуы мүмкін.
Деректерді шифрлау кілттері - пайдаланушылардың деректері мен ақпараттарын қорғау үшін қолданылады.

Аса жоғарғы деңгейлі кілттер кілттерді қорғау үшін немесе төмен деңгейлі деректерді кілттерді және физикалық қорғауды керек ететін көп залал кетірмейтін көлемді ақпаратты ашқанда пайдаланылатын кілттер.

Кілттердің әрекеттеу мерзімі

Кілттерді басқару жүйелерінің негізгі сипаттамалардың бірі болып кілттердің әрекеттеу мерзімі болып табылады. Кілттердің әрекет ету мерзімі сенімді екі жақтың пайдалану уақыты болып табылады.

Кілттердің әрекет ету мерзімінің қысқарылуы келесі мақсаттардың орындалуына әкеледі:

криптоанализ үшін қолданылуы мүмкін берілген кілтте шифрланған ақпараттардың көлемінің шектелуі;
кілттердің компрометациялауы кезінде залал мөлшерінің шектелуі;
криптоанализ үшін қолданылуы мүмкін машиналық уақыттың шектелуі.

Жоғарыдағы айтылып кеткен кілттердің сатылар бойынша классификациялауына қосымша келісідей бөлінеді:

ұзақ мерзімді кілттер. Оған негізгі (басты) кілт, кілттерді шифрлаушы кілттер жатады;
қысқа мерзімді кілттер. Оған деректерді шифрлаушы кілттер жатады.

Телекоммуникациялық қосымшаларда ереже бойынша қысқа мерзімді кілттер қолданылады, ал сақталушы деректерді қорғауда ұзақ мерзімді кілттер қолданылады.

Кілттік ақпарат кілттің әрекет ету мерзімінен бітпес бұрын ауыстырылуы қажет. Бұл үшін әрекет етуші ақпарат, кілттерді бөлетін протоколдар мен кілттік деңгейлер қолданылуы мүмкін.

Мысалы, әреккетенген сеансты кілт көмегімен келесі сеанстық кілтті қорғау ұсынылмайды.

Кілттердің компромертациялауынан залалды шектеу үшін әрекеттенетін және орнатылатын кілттік ақпараттардың арасындағы тәуелділікті болдырмау керек. Жабық кілттерді сақтауда олардың құпиялығы мен шынайылығын қамтамасыздандыру үшін шаралар қолданылуы қажет.

Ашық кілттерді сақтауда олардың түпнұсқалығын тексеруге мүмкіндік беретін шаралар қолданылуы керек. Құпиялығы мен түпнұсқалығы криптографиялық, үйымдастырылған және техникалық шаралармен қамтамасыз етілуі мүмкін.

Қарапайымнан басқа барлық криптожүйелер бір рет және әрдайым тіркелген пайдаланылған кілттер периодты түрде кілттің ауыстырылуын қажет етеді. Үшінші жақпен байланысатын протоколдар паайдаланылатын бұл ауыстырулар белгілі процедуралар мен протоколдар арқылы шығарылады. Орнату сәтінен келесі ауыстыру сәтіне өтетін кілттердің кезекті стадиясы кілттердің өмірлік циклі деп аталады.

Пайдаланушыларды тіркеу. Бұл стадия жеке қарым қатынас арқылы немесе сенімді курьер арқылы жалпы парольдер немесе PIN-кодтар сияқты бастапқы кілттік ақпараттарды алмасуды қосады.
Инициализация. Бұл стадияда пайдаланушы аппараттық жабдық немесе программалық құралдарды орнатылған ұсыныстар мен ережелерге сай орнатады.
Кілттер генерациясы. Генерациялау кезінде қажетті криптографиялық сапалардың қамтамасыздандыру үшін шаралар қолдану қажет. Кілттер пайдаланушы дербес, сонымен қатар жүйенің арнаулы қорғалған элементімен генерациялануы мүмкін.
Кілттерді орнату. Кілттер құрылғығы бір немесе басқа жолмен орантылуы мүмкін. Пайдаланушылардың тіркелу стадиясында алынған бастапқы кілттік ақпарат тікелей құрылғыға енгізіледі немесе кілттік ақпарат жіберілетін қорғалған каналдың орнатылуы үшін пайдаланылады. Бұл стадия кілттік ақпараттың өзгерісі үшін кейін қолданылады.
Кілттерді тіркеу. Кілттік ақпарат пайдаланушы атынан тіркеу центрімен байланысады және кілттік жүйенің басқа пайдалануышымен хабарласады. Бола тұра, ашық кілттер үшін сертификациалық центрде кілттік сертификаттар жасалады және бұл ақпарат бір немесе басқа жолмен жариялайды.
Қалыпты режимдегі жүмыс. Бұл стадияда қалыпты режимдегі ақпаратты қорғайтын кілттер қолданылады.
Кілтті сақтау. Бұл стадия тиісті жағдайларда кілттерді сақтау үшін, алмасуға дейінгі қорғалуын қамтамасыз ететін керекті процедураларды қосады.
Кілттерді ауыстыру. Кілттерді ауыстыру оның жарамдылық мерзімі біткенше жүзеге асырылады және кілттердің генерациялауымен, корреспонденттер арасындағы кілттік ақпараттардың алмасу протоколдарымен, сонымен қатар сенімді үшінші жақпен байланысқан процедураларды қосады. Ашық кілттер үшін бұл стадия әдетте сертификациялық центрме қорғалған канал арқылы ақпараттар алмасуын қосады.
Архивтеу. Белгілі бір жағдайларда кілттік ақпарат, оның ақпарат қорғауы үшін қолданғаннан кейін оның арнайы мақсаттарымен (мысалы, цифрлік қолтаңбадан бас тартулармен байланысты сұрақтарды қарап шығу) шығаруы үшін архивтеуге ұшырауы мүмкін
Кілттерді жою. Кілттердің әрекет ету мерзімі біткеннен кейін олар шақырудан шығарылады және болған барлық көшірмелері жойылады. Бола тұра, бұнымен тоқтап қана қоймай, жабық кілттердің жойылуы кезінде қайта қалпына келуді ескере отырып барлық ақпараттардың жойылуына көз жеткізуіміз керек
Кілттерді қайта қалпына келтіру. Егер кілттік ақпарат жойылған, бірақ бұзылмаған болса(мысалы, құрылғының ақаулығы немесе оператор парольді ұмытып қалған жағдайда) оның көшірмесінің қолайлы жағдайларда сақталған кілттерді қайта қалпына келтіруге мүмкіндік беретін шаралар қарастырылуы қажет.
Кілттерді кері қайтару. Кілттік ақпараттардың компрометациялауы кезінде оның әрекет ету мерзімінің бітуіне дейін қолдануын тоқтауына мұқтаж болады. Бола тұра, желінің абоненттерінің хабарлануына қолайлы шаралар қарастырылуы керек. Сертификаттармен жабдықталған ашық кілттердің кері қайтаруы кезінде сертификаттардың әрекеттері тоқталуы өңделеді.

Өмірлік циклде кілттік басқарумен аса маңызды рөлді сенімді үшінші жақ ойнайды. Бұл функциялар келесі түрде анықталуы мүмкін.

Абоненттер есімдерінің сервері - абонеттердің әрқайсысына жеке-жеке есімдер берілуін қаматамасыз етеді.
Тіркелу орталығы - құпиялы байланыстың берілген желісіне абоненттердің әрқайсысының қосылуын және оған сәйкес кілттік ақпаратты беруін қамтамасыз етеді.
Кілттерді өңдеу орталығы.
Кілттік (идентификациялық) сервер.
Кілтті басқару орталығы - сақтауды, архивтеуді, алмасу мен кілттерді кері қайтаруды, сонымен қатар кілттердің өмірлік циклімен байланысқан әрекеттердің аудитін қамтамасыз етеді.
Сертификациялық орталық - бұл ашық кілттердің оған сертификатталған цифрлік қолтаңбамен сертификаттарды беру түпнұсқалығын қамтамасыз етеді.
Уақытша таңбалардың орнату орталығы - электрондық хабарламаға немесе транзакцияға уақытша таңбаны байланыстыруын қамтамасыз етеді.
Нотаризация орталағы - белгілі бір мәлімдеме уақытында электрондық формада жазылған бас тарту қабілетсіздігін қамтамасыз етеді.

Интернет-ресурсын сертификаттау дегеніміз интернет-ресурстар тізімін (IP адрестерін және автономды жүйелердің нөмірлерін) сертификат субъектісінің ашық (public) цифрлік кілтпен байланысқан цифрлыі документ болып табылады. Ұйым сертификатының құралдары бойынша субъектттің аталып кеткен интернет-ресурстарды толықтай қолдануға хақысы барын дәлелдейді. Субъект сертификатта көрсетілген жарияланған кілтке сәйкес келетін жабық (private) кілтпен меншіктену демонстрациясы жолымен көресетілген ИР пайдалануға өз құқықтарын растай алады.

Әдетте бұл қандай да бір құжаттың жабық кілтпен деректерді қол қойылған сипатын алады. Бұл құжатты алушы өз кезегінде сертификатта көрсетілген жарияланған кілтпен бұл қолтаңбаның сәйкестігіне және оның интернет-ресурстарымен, субъектпен ассоциациясы және құжаттың сенімділігіне көз жеткізе алады.

Аутентификация

Аутентификация (ағылшынша authentication - шын, түпнұсқа) - түпнұсқаны тексеретін процедура, мысалы:

деректер базасында сақталған құпия оларға енгізілген парольді салыстыру арқылы пайдаланушы аутентификациясы;
жіберуші ашық кілтінің электрондық цифрлық қолтаңба туралы тексеру, хаттар арқылы растау, электрондық пошта түпнұсқалық растамасы;
бұл файлдың авторы жариялаған сомасын сəйкестендіру үшін бақылау файлдың сомасын тексеру.

Сенім мен қауіпсіздік саясаты жүйелерінің дәрежесі ескере отырып, аутентификация жүзеге асырылады біржақты немесе өзара болуы мүмкін. Әдетте бұл криптографиялық әдістерін пайдалана отырып жүзеге асырылады.

Аутентификацияны авторизация рұқсатымен және идентификациямен шатастыруға болмайды.

ГОСТ Р ИСО/МЭК 9594-8-98 - Аутентификацияның негіздері

Нағыз стандарт:

Ол аутентификация ақпарат сақталған сілтеме пішімін анықтайды.
Каталогтағы аутентификация ақпаратын алу үшін тәсілін сипаттайды.
Каталогы аутентификация ақпаратты қалыптастыру және орналастыру жолдары туралы жиынтықтар шарттары.
Ол өтініштер түпнұсқалық растаманы орындау үшін осы түпнұсқалық ақпаратты пайдалана алатын үш әдістерін анықтайды және басқа да қауіпсіздік қызметтер аутентификация ұсынылуы мүмкіндігін сипаттайды.

Бұл стандарт аутентификация екі түрін белгілейді: қарапайым, құпия сөз мәлімделген сәйкестілік сынақ ретінде пайдаланылады, сондай-ақ қатаң, криптографиялық әдістерді пайдалану арқылы жеке басын куәландыратын карточкаларын пайдаланады.

Аутентификация жүйесінің элементтері

Кез келген аутентификация жүйесінде әдетте бірнеше элементтерді анықтауға болады:

процедурадан өтетін субъект;
субъекттің сипаттамасы;
аутентификация системасының басшысы;
аутентификация механизмі;
қатынасты баскаратын механизм.

Сурет 1 - Рұқсаттама процессі

Мүлде тікелей құпиялық (PFS - Perfect Forward Secrecy)

Мүлде тікелей құпиялық (ағылшынша Perfect forward secrecy, PFS ) - кейбір негізгі келісімге хаттамаға мүліктік ( Key-agreement ), онда ұзақ мерзімді кілттер ымыралы, егер негізгі ұзақ мерзімді пайдалану жиынтығы арқылы алынған сессиясы пернелері әсер етуі мүмкін емес қамтамасыз етеді.

Perfect құпиясы тікелей (АЖС) сессиясының негізі. Осы ұзақ мерзімді пернелер бір немесе бірнеше болашақта бұзылған болса, ұзақ мерзімді кілтіңіз сенімділігін емес, пайдалана отырып қалыптастырылады дегенді білдіреді. Тасымалданатын деректерді шифрлау үшін пайдаланылатын тамаша тікелей құпия кілтті сақтау үшін кез келген қосымша кілттердің тиіс емес. Сондай-ақ, берілетін деректерді шифрлауға қолданылған кілт одан әрі негізгі материал негізінде алынбаса, бұл материал кез келген басқа кілттердің тиіс емес.

Протоколдар:

PFS IPsec хаттамада параметр болып табылады.
SSH.
Off-the-Record Messaging.
Transport Layer Security.

Сурет 2 - PFS

Куәландыру орталығы

Куәландыру орталығы - электрондық қолтаңбаны (ЭҚ) шығарумен айналысатын коммерциялық ұйым болып табылады. Оларда қажетті материалдар және қаржы қаражаты бар.

Куәландырушы - цифрлық қолтаңба ақпараттық жүйесінің мемлекеттік және жеке кілттерді пайдалануды қамтамасыз ету мақсатында қызмет көрсететін заңды тұлға.

Куәландыру орталығының жағдайы

Қоғамдық ақпараттық жүйелерде пайдалануға арналған куәлік қолтаңба кілтін берген куәландырушы, функцияларды жүзеге асыратын заңды тұлға болуы тиіс.

Бұл куәландырушы шығындар үшін азаматтық-құқықтық жауапкершілігін байланысты қолтаңба кілтінің сертификат қамтылған ақпараттың дәйексіздігі үшін оларға келтірілуі мүмкін пайдаланушының сертификаты қолы пернесін, көтере оны қосу үшін қажетті материалдық және қаржы қаражатын болуы тиіс.

Куәландыру орталығының қызметі

Куәландыру орталығы:

кілттердің, қолдардың сертификаттарын жасайды;
қатысушылардың жеке кілт құпия сандық қолтаңбаны сақтау үшін кепілдік бар ақпараттық жүйе бойынша электрондық сандық қолтаңбаларды кілттерін жасайды;
кілттер, қолдар сертификаттарының іс-әрекетін тоқтатады, жалғастырады және жоя алады;
және т. б.