Средства обеспечения информационной безопасности в Internet

Беспрецедентные возможности технологий Internet, WWW, CORBA, Java требуют адекватных средств обеспечения безопасности при проектировании информационных систем. В частности, требуется исключение возможности перехвата информации и ее подмены, выдачи себя (программы) за другое лицо (программу). Для этого в Интернет действует система обеспечения безопасности, которая уже стала повседневным инструментом при создании систем на основе названных технологий. Далее возможности таких систем безопасности рассматриваются на примере их воплощения в Netscape (http: //home.netscape.com/assist/security/index.html).

В основе системы безопасности лежат криптосистемы с парой ключей (открытым и закрытым). Открытый ключ доступен многим в процессе шифрования информации, которая будет послана обладателю данной пары ключей. Кроме того, при помощи открытого ключа пользователи могут расшифровывать информацию, которая получена ими от владельца ключа. Закрытый ключ должен быть доступен только его владельцу, который может использовать его для расшифровки сообщений, зашифрованных при помощи открытого ключа. Закрытый ключ может быть также использован для шифрования.

При аутентификации расшифровка открытым ключом идентифицирует обладателя закрытого ключа. Криптографический алгоритм (RSA, стандарт PKCS-1) с открытым и закрытым ключами доступен посредством (http://www.RSA.com/).

Метод цифровой подписи обеспечивает проверку аутентичности отправителя и отсутствие подмены сообщения. Кэшированное и шифрованное закрытым ключом сообщение (дайджест) передается вместе с оригинальным сообщением. Получатель расшифровывает дайджест открытым ключом и генерирует кэш. Если дайджесты идентичны, то сообщение действительно послано владельцем ключей и не было изменено при передаче. Таким образом, зашифрованный дайджест сообщения служит в качестве цифровой подписи. Наиболее часто используются следующие два алгоритма получения дайджеста (MDA): MD5, разработанный RSA Laboratories, генерирует 128-битный дайджест; SHA-1 (Secure Hash Algorithm), разработанный NIST (National Institute of Standards and Technonlogy) и NSA (National Security Agency), генерирует 160-битный дайджест.

Система с открытым ключом обеспечивает аутентификацию по ключу, но не гарантирует, что данный ключ принадлежит определенному владельцу. Сертификат - цифровой документ, удостоверяющий, что данный ключ принадлежит данному человеку (организации, серверу). (http: //home.netscape.com/assist/certificate/index.html).

Сертификаты выпускаются специальными агентствами (СА) (VeriSign, Netscape Certificate Server). Формат сертификата (стандарт X.509) содержит информацию о лице и о CA, выпустившем данный сертификат, подпись (сигнатуру), а также информацию о сертифицируемом открытом ключе: название алгоритма и битовое представление ключа. Вторая часть сертификата включает сигнатуру CA, выпустившего сертификат, название алгоритма генерации сигнатуры, зашифрованной при помощи закрытого ключа, принадлежащего CA.

Когда посылается сертификат и сообщение, подписанное при помощи закрытого ключа, получатель может использовать открытый ключ в сертификате для проверки личности посылателя по описанной выше схеме. Сам сертификат тоже подлежит проверке при помощи сертификатов CA, которые импортируются или предварительно инсталлированы в клиентской среде (браузер).

Технология «подписанных объектов» (Object Signing) используется браузерами (Communicator, Netscape) для обеспечения достоверности кода, загружаемого из Интернет (http: //developer.netscape.com/ software/ signedobj/ index.html). Так, Object Signing позволяет Java-апплету запрашивать разрешение различных действий (например, удалять файлы на локальной машине). Object Signing предоставляет пользователю контроль над действиями апплета.

Communicator позволяет пользователям определить создателя данного апплета и разрешить или запретить доступ к некоторым его действиям в локальной системе. Для этих целей браузер поддерживает список «подписчиков» Java-апплетов, и для каждого из них устанавливает список разрешенных видов доступа.

Netscape предоставляет средство для подписи апплетов под названием Zigbert. Zigbert - это программное средство, доступное в Windows 95/NT, в Solaris и в IRIX, предназначенное для использования разработчиками, распространяющими программное обеспечение в Интернет. С помощью Zigbert можно поместить множество файлов апплета в JAR-файл в сжатом виде, а также снабдить этот файл цифровой подписью.

Перед тем как «подписать» апплет, разработчик должен инсталлировать свой сертификат, а также сертификат того CA, который выдал ему сертификат. Пользователю, который намеревается загрузить апплет, необходим только CA-сертификат.

При открытии в браузере страницы с «подписанным» апплетом браузер загружает JAR-архив, содержащий классы апплета и другие вспомогательные файлы. Браузер проверяет цифровую подпись, хранящуюся в архиве в виде файла, для того чтобы узнать, чей сертификат использовался для подписи, а также удостовериться в том, что содержимое архива не изменилось при передаче. Если эти операции завершились успешно, то апплет запускается на исполнение, во время которого апплет может запрашивать привилегии на выполнение того или иного действия при помощи специальных методов.

Дата добавления: 2014-01-04; Просмотров: 383; Нарушение авторских прав?; Мы поможем в написании вашей работы!