Аутентификация

Односторонние функции шифрования

Несимметричные алгоритмы шифрования

В середине 70-х годов Винфилд Диффи и Мартин Хеллман сформировали принцип шифрования с открытыми ключами

Получатель генерирует два ключа: открытый Е и закрытый D. Закрытый ключ хранится в надежном месте. Открытый ключ передается всем отправителям в незащищенном виде. Отправитель с помощью этого ключа шифрует сообщение и отправляет его. Получатель расшифровывает сообщение с помощью закрытого ключа

Злоумышленник, под именем легального пользователя может навязать свой открытый ключ, получать сообщения и читать их с помощью своего закрытого ключа

Наиболее известен криптоалгоритм RSA (Rivest, Shamir, Adleman).

Случайно выбирается два очень больших простых чисел p и q. Вычисляются n=p*q и m=(p-1)*(q-1). Выбирается случайное число E. Находится D, такое, что D*E=1 по модулю m. Исходный текст Х разбивается на блоки, каждый < n. Шифрование производится по формуле: С=ХЕ по модулю n. Дешифрирование: Х=СD по модулю n, где n более 200-значное

Для шифровки надо знать пару чисел: (Е,n). Для дешифровки (D,n)

Программная реализация гораздо сложнее чем DES, поэтому чаще применяется для шифрования небольших объемов (например, для рассылки секретных ключей, для цифровой подписи и пр.)

Односторонние функции (one-way-function) или хэш-функции (hash function), или дайджест - функции (digest function)

На вход такой функции подается исходное сообщение, а на выходе сообщение (дайджест), состоящее из фиксированного небольшого числа байт. Дайджест передается вместе с исходным сообщением. Получатель, на основе сообщения, с помощью той же функции получает дайджест и сравнивает его с полученным дайджестом. Если они совпадают, то сообщение передано без искажения.

Для использования функции необходим секретный ключ.

По дайджесту восстановить сообщение невозможно

Дайджест, напоминает контрольную сумму, но отличается от нее тем что, без функции ее невозможно получить.

Часто используется в качестве электронной подписи

Наиболее популярные хэш-функции: MD2, MD4, MD5 (длина дайджеста равна 16 байт), SHA, MDC2, MDC4 (длина дайджеста равна 20 байт)

Аутентификация (authentication) предотвращает доступ в сеть нежелательных лиц и разрешает вход легальным пользователям.

В процессе участвуют две стороны: одна доказывает аутентичность, а другая проверяет доказательства.

Приемы доказательства:

знание некоторого общего секрета (пароля),

владение неким уникальным предметом (ключ, магнитная карта и пр.),

собственные биохарактеристики (рисунок радужной оболочки глаза, отпечатки пальцев).

Чаще используется пароль.

В Windows NT/2000 для решения задач аутентификации и авторизации используется система Kerberos.v

Технология аутентификации:

на основе многоразового пароля

использование одноразового пароля

На основе сертификатов

Цифровая подпись

На основе многоразового пароля. Например в Windows NT. Аутентификация выполняется на основе паролей пользователей. Пароли вводятся и хранятся в зашифрованном виде в базе данных сервера. Шифрация выполняется при вводе с помощью односторонней функции. При входе в систему пользователь вводит свой идентификатор и пароль. Идентификатор передается в открытом виде на сервер. Сервер передает клиенту случайное слово. Пароль плюс слово шифруется также через одностороннюю функцию, и полученный дайджест передается на сервер. Из хранимого пароля плюс слово сервер получает дайджест и сравнивает его с переданным дайджестом. Если ID и дайджесты совпали, то аутентификация прошла успешно. Достоинство этого метода: дешевизна.

Использование одноразового пароля. Суть этого метода такова: сервер генерирует ключ. При входе в систему, пользователь с помощью специального устройства набирает PIN –код и этот ключ. Проблема заключается в передаче этого ключа данному устройству. Существуют две разновидности: синхронизация по времени и использование слова-вызова

Синхронизация по времени. Сервер и устройство аутентификации хранят одинаковый секретный ключ. В качестве случайной добавки к секретному ключу используется число, зависящее от текущего времени. Проблема состоит во временной синхронизации.

Использование слова-вызова. Сервер передает устройству аутентификации (аппаратному ключу) слово в виде случайного числа. Устройство зашифровывает это слово плюс секретный ключ по алгоритму DES и передается на сервер. Сервер также шифрует свое случайное число и секретный ключ (который также хранится на сервере) и сравниваются два значения. Это более сложный вариант по сравнению с синхронизацией по времени.

Аутентификация на основе цифровых сертификатов. Сертификаты выдаются организациями – центрами (Certificate Authority). Задача хранения закрытых ключей возлагается на самих пользователей. Сертификат представляет электронную форму, в которой содержится:

открытый ключ владельца сертификата,

сведения о владельце, наименование сертифицирующей организации,

электронную подпись (зашифрованные закрытым ключом этой организации данные сертификата)

Пользователь предъявляет сертификат в двух формах: открытой и зашифрованной (своим секретным ключом). Проверяющая сторона берет из сертификата открытый ключ и расшифровывает с помощью его электронную подпись. Если расшифрованная информация совпадает с открытой информацией сертификата, то аутентификация прошла успешно. Затем расшифровывается цифровая подпись центра, и сравниваются с именем пользователя и открытым ключом. Этим действием проверяется факт законности пользователя

Цифровая подпись. Назначение – установление подлинности автора. В основном используется алгоритм RSA. Каждый автор имеет закрытый ключ, которым он выполняет шифровку исходного текста. Подписанное сообщение состоит из двух частей: исходный текст и цифровой подписи (шифрованная часть). Расшифровка подписи выполняется открытым ключом. Результат сравнивается с открытой частью. Если они совпали, то документ не изменялся третьей стороной. Для длинных сообщений используется алгоритм DES

Авторизация

Авторизация (authorization) - контроль доступа легальных пользователей к ресурсам системы

Формы предоставления доступа часто делятся на 2 класса:

избирательный

мандатный

Избирательная форма применяется в операционных системах универсального назначения. При этом подходе операции над некоторыми ресурсами разрешаются или запрещаются пользователям или группам, явно указанным своим идентификатором

Мандатный подход заключается в том, что вся информация делится на уровни секретности и все пользователи сети также делятся на группы, образующие иерархию в соответствии с уровнем доступа к этой информации

Программные системы авторизации могут строится на базе двух схем:

централизованная (на сервере). Например система Kerberos

децентрализованная (на рабочих станциях)

В крупных сетях часто используется комбинированный подход. Например сервер безопасности централизованно ограничивает доступ к подсетям и серверам, а каждый отдельный сервер - к свои внутренним разделяемым ресурсам.

Предоставление прав выполняется на основе списка прав доступа (ACL - Access Control List) для каждого ресурса.

Дата добавления: 2014-01-04; Просмотров: 497; Нарушение авторских прав?; Мы поможем в написании вашей работы!