Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Основные компоненты межсетевых экранов. Фильтрующие маршрутизаторы



Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

 


  • фильтрующие маршрутизаторы;

  • шлюзы сетевого уровня;

  • шлюзы прикладного уровня.


Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов. Процесс инкапсуляции передаваемых данных и формирования TCP- и IP-заголовков пакетов с данными в стенке протоколов TCP/IP показан на рис. 11.2.



Рис. 11.2. Схема инкапсуляции данных в стенке протоколов TCP/IP

Фильтрующие маршрутизаторы обычно может фильтровать IP-пакет на основе группы следующих полей заголовка пакета:

 


  • IP- адрес отправителя (адрес системы, которая послала пакет);

  • IP-адрес получателя (адрес системы которая принимает пакет);

  • Порт отправителя (порт соединения в системе отправителя );

  • Порт получателя (порт соединения в системе получателя );

 


Рис. 11.3. Схема фильтрации трафика SMTP и TELNET

К положительным качествам фильтрующих маршрутизаторов следует отнести:

 


  • сравнительно невысокую стоимость;

  • гибкость в определении правил фильтрации;

  • небольшую задержку при прохождении пакетов.


Недостатками фильтрующих маршрутизаторов являются:

 


  • внутренняя сеть видна (маршрутизируется) из сети Internet;

  • правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;

  • при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;

  • аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);

  • отсутствует аутентификация на пользовательском уровне.

Билет 14

Криптографичесике методы защиты информации.

Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.

Современная криптография включает в себя четыре крупных раздела:

Симметричные криптосистемы. В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. (Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом, дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный);

Криптосистемы с открытым ключом. В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.( Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.);

Электронная подпись. Системой электронной подписи. называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

 

Управление ключами. Это процесс системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Шлюзы сетевого уровня.

Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом сеансового уровня модели OSI. Такой шлюз исключает, прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.

Шлюз следит за подтверждением (квитированием) связи между авторизированным клиентом и внешним хост-компьютером, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру.

Шлюзы сетевого уровня (ШСУ) исключают прямое взаимодействие между авторизованным клиентом и внешней средой.

Логика работы ШСУ заключается в следующем:

· Сначала авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос и проверяет удовлетворяет ли этот запрос правам, предоставленным клиенту;

· Далее, действуя от имени клиента, шлюз устанавливает связь с внешней средой и следит за процессом квитирования (процесс квитирования заключается в обмене синхронизирующими посылками между клиентом и внешним компьютером);

· После завершения процедуры квитирования шлюз устанавливает соединение, копирует пакеты и перенаправляет их между участниками взаимодействия, не проводя никакой фильтрации.

 

Характерная особенность ШСУ:

 

При работе ШСУ осуществляется т.н. «туннелирование трафика» или маскировка топологии сети, т.е. при обращении авторизованного клиента к внешнему источнику происходит преобразование внутренних IP — адресов в один внешний IP — адрес МЭ и все исходящие из внутренней сети пакеты оказываются отправленными от этого шлюза, что исключает прямой контакт между внутренней сетью и потенциально опасной внешней.

Недостаток ШСУ:

После установления связи ШСУ не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ и кракер во внешней сети может переслать свои вредоносные пакеты через шлюз.

Поэтому ШСУ, как правило, не используются отдельно от других компонент МЭ и для фильтрации передаваемой информации по смыслу к ШСУ необходимо добавлять шлюз прикладного уровня.

Билет 15

Классификация методов шифрования

В зависимости от сложности и возможности дешифрования методы шифрования подразделяются на методы временной криптостойкости и гарантированной криптостойкости.

В зависимости от используемых ключей зашифрования и расшифрования методы шифрования подразделяются на симметричные и ассиметричные. Симметричное шифрование подразумевает идентичность ключей зашифрования и расшифрования. Симметричными шифрами, например, являются Шифр простой замены, Шифр Цезаря, Шифр Виженера, Шифр Вернама, Шифр замены, Шифр перестановки, Аффинный шифр, Шифр Гронсфельда, Шифр квадрат, Шифр Хилла, Шифр Атбаш, Шифр пляшущие человечки. Ассиметричное же шифрование в свою очередь подразумевает различие ключей расшифрования и зашифрования. При этом один из ключей может быть разглашен и не сохраняться в тайне, в таком случае шифрование в некотором смысле получается односторонним - кто угодно может зашифровать информацию (к примеру данные), но расшифровать могут только узкий круг лиц, или наоборот расшифровать кто угодно, но зашифровать только одно лицо (используется для создания электронной подписи). Примерами ассиметричного шифрования могут служить такие шифры и протоколы, как RSA, SSL, HTTPS и SSH. Также шифрование может подразделяться на блочное и потоковое.

Шлюзы прикладного уровня.

Шлюз прикладного уровня исключает прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне. Связанные с приложением серверы – посредники перенаправляют через шлюз информацию, генерируемую конкретными серверами.

Для достижения более высокого уровня безопасности и гибкости шлюзы прикладного уровня и фильтрующие маршрутизаторы могут быть объединены в одном межсетевом экране.Для фильтрации на прикладном уровне они используют дополнительные программные средства (называемые серверами — посредниками). Эти программы (серверы — посредники) перенаправляют через шлюз информацию, которая генерится конкретными приложениями.

Например, если ШПУ содержит серверы — посредники для служб FTP и TELNET, то в защищаемой сети будут разрешены только эти сервисы, а все остальные будут блокироваться.

Как указывалось ранее, для достижения более высокого уровня безопасности и гибкости, шлюзы сетевого и прикладного уровня объединяются с фильтрующими маршрутизаторами в одном межсетевом экране. При этом такой МЭ будет обладать следующими преимуществами:

· Невидимость структуры защищаемой сети;

· Надежная аутентификация и регистрация (прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренней сети);

· Оптимальное соотношение между ценой и эффективностью (организация приобретает только те серверы — посредники для шлюзов прикладного уровня, которые реально используются;

· Раздельные правила фильтрации для ФМ и ШПУ упрощают общую логику фильтрации.

Недостатки:

· Более низкая производительность по сравнению с «чистыми» ФМ из-за процедуры квитирования;

· Более высокая стоимость.

Билет 16

Методы замены.

Шифрование заменой (подстановкой) заключается в том, что символы шифруемого текста заменяются символами того же или другого алфавита в соответствие с заранее оговоренной схемой замены.

Данные шифры являются наиболее древними. Принято делить шифры замены на моноалфавитные и многоалфавитные.

При моноалфавитной замене каждой букве алфавита открытого текста ставится в соответствие одна и та же буква шифротекста из этого же алфавита одинаково на всем протяжении текста.

Рассмотрим наиболее известные шифры моноалфавитной замены.

Шифр Атбаш:

При зашифровании шифром Атбаш первая буква алфавита будет заменяться на последнюю, а вторая - на предпоследнюю. Да и само название шифра - " Атбаш" составлено из первой, последней, второй и предпоследней букв еврейского алфавита.

Так например, при зашифровании шифром Атбаш фразы " это шифр атбаш" полученная шифровка будет выглядеть следующим образом - " ВМР ЖЦКО ЯМЮЯЖ".

Шифры замены меняют (что и является причиной их названия) части открытого текста на нечто другое. Шифр простой замены производят посимвольную замену, то есть однозначно заменяют каждый символ открытого текста на нечто своё, причем это нечто свое в процессе расшифрования однозначно заменяется на исходный символ. Примерами шифров простой замены могут служить такие шифры как Шифр Цезаря, Аффинный шифр, Шифр Атбаш, Шифр пляшущие человечки.

Виртуальная частная сеть как средство защиты информации.

Виртуальной частной сетью (VPN - Virtual Private Network) называют обобщенную группу технологий, обеспечивающих возможность установления сетевых соединений поверх другой сети. Иными словами, VPN можно назвать имитацией сети, построенной на выделенных каналах связи.

 

Технически виртуальная сеть - это криптосистема, защищающая данные при передаче их по незащищенной сети. Т.е. потоки данных одной группы пользователей (предприятия), использующих VPN, в рамках одной публичной сети защищены от влияния иных потоков данных.

Основной угрозой при использовании виртуальных частных сетей, очевидно, является несанкционированный доступ к данным, который можно разделить на два типа:

· несанкционированной доступ в процессе передачи данных по открытой (общей) сети;

· несанкционированный доступ к внутренним корпоративным сетям.

Основными функциями защиты информации при передаче данных по виртуальным сетям являются:

· аутентификация;

· шифрование;

· авторизация.

Классификация VPN по степени защищенности- наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

Билет 17.

Широкое распространение получили шифры перестановки, использующие некоторую геометрическую фигуру. Преобразования из этого шифра состоят в том, что в фигуру исходный текст вписывается по ходу одного ``маршрута'', а затем по ходу другого выписывается с нее. Такой шифр называют маршрутной перестановкой. Например, можно вписывать исходное сообщение в прямоугольную таблицу, выбрав такой маршрут: по горизонтали, начиная с левого верхнего угла поочередно слева направо и справа налево. Выписывать же сообщение будем по другому маршруту: по вертикали, начиная с верхнего правого угла и двигаясь поочередно сверху вниз и снизу вверх.

Зашифруем, например, указанным способом фразу:

ПРИМЕРМАРШРУТНОЙПЕРЕСТАНОВКИ

используя прямоугольник размера:

П Р И М Е Р М

Н Т У Р Ш Р А

О Й П Е Р Е С

И К В О Н А Т

Зашифрованная фраза выглядит так:

МАСТАЕРРЕШРНОЕРМИУПВКЙТРПНОИ

Теоретически маршруты могут быть значительно более изощренными, однако запутанность маршрутов усложняет использование таких шифров.

Также в качестве примера можно привести шифр ``Сцитала'', шифр ``Поворотная решетка'', шифром вертикальной перестановки.

Шифр подстано́ вки каждый символ открытого текста заменяет на некоторый другой. В классической криптографии различают четыре типа шифра подстановки:

Одноалфавитный шифр подстановки (шифр простой замены) — шифр, при котором каждый символ открытого текста заменяется на некоторый, фиксированный при данном ключе символ того же алфавита.

Однозвучный шифр подстановки похож на одноалфавитный за исключением того, что символ открытого текста может быть заменен одним из нескольких возможных символов.

Полиграммный шифр подстановки заменяет не один символ, а целую группу. Примеры: шифр Плейфера, шифр Хилла.

Многоалфавитный шифр подстановки состоит из нескольких шифров простой замены. Примеры: шифр Виженера, шифр Бофора, одноразовый блокнот.

Туннелирование в виртуальных частных сетях.

Туннелирование — это процесс инкапсуляции, маршрутизации и деинкапсуляции. При туннелировании исходный пакет помещается (инкапсулируется) внутрь нового пакета. Этот новый пакет может обладать новыми сведениями адресации и маршрутизации, что позволяет передавать его через сеть. Когда туннелирование сочетается с конфиденциальностью данных, данные исходного пакета (а также исходные адреса источника и назначения) не раскрываются для прослушивающих трафик в сети. Когда инкапсулированные пакеты достигают места назначения, инкапсуляция удаляется, а для маршрутизации пакета к конечной точке используется заголовок исходного пакета.

 

Туннель представляет собой логический путь данных, по которому передаются инкапсулированные пакеты. Для исходных сторон подключения (источника и места назначения) туннель обычно прозрачен и выглядит как еще одна связь от точки к точке в сетевом пути. Маршрутизаторы, коммутаторы, прокси-серверы или другие шлюзы безопасности между начальной и конечной точками туннеля оказываются незаметны и не имеют значения. В сочетании с конфиденциальностью данных туннелирование может использоваться для виртуальных частных сетей (VPN).

 

Инкапсулированные пакеты проходят через сеть по туннелю. В данном примере сеть представляет собой Интернет. Шлюз может находиться между Интернетом и частной сетью. В качестве шлюза может использоваться маршрутизатор, брандмауэр, прокси-сервер или другой шлюз безопасности. Кроме того, два шлюза могут использоваться в пределах частной сети для защиты трафика между частями сети, не имеющими доверительных отношений. Главным различием между VPN соединением и туннелем является то, что система VPN подразумевает шифрование всех данных между вашим компьютером и Интернетом, в то время как при использовании туннеля кодируется только трафик, обрабатываемый отдельными приложениями. Шифрование при этом основывается либо на номерах портов, используемых этими приложениями, либо программа запрашивает у вас информацию о том, какой туннель использовать для каждого приложения. В отличие от VPN, при использовании туннелей требуется отдельно настраивать все приложения, которые должны использовать шифрованный туннель (веб браузер, клиент электронной почты или программа службы обмена мгновенными сообщениями) на работу через него. Интересным фактом является то, что не все приложения способны работать через распространенные типы туннелей.

 

Билет 18.

Шифрование методом гаммирования.

Под гаммированием понимают наложение на открытые данные по определенному закону гаммы шифра [13].

Гамма шифра – псевдослучайная последовательность, вырабатываемая по определенному алгоритму, используемая для зашифровки открытых данных и дешифровки шифротекста.

Принцип шифрования заключается в формировании генератором псевдослучайных чисел (ГПСЧ) гаммы шифра и наложении этой гаммы на открытые данные обратимым образом, например путем сложения по модулю два. Процесс дешифрования данных сводится к повторной генерации гаммы шифра и наложении гаммы на зашифрованные данные. Ключом шифрования в данном случае является начальное состояние генератора псевдослучайных чисел. При одном и том же начальном состоянии ГПСЧ будет формировать одни и те же псевдослучайные последовательности.

Перед шифрованием открытые данные обычно разбивают на блоки одинаковой длины, например по 64 бита. Гамма шифра также вырабатывается в виде последовательности блоков той же длины.

Стойкость шифрования методом гаммирования определяется главным образом свойствами гаммы – длиной периода и равномерностью статистических характеристик. Последнее свойство обеспечивает отсутствие закономерностей в появлении различных символов в пределах периода. Полученный зашифрованный текст является достаточно трудным для раскрытия в том случае, если гамма шифра не содержит повторяющихся битовых последовательностей. По сути дела гамма шифра должна изменяться случайным образом для каждого шифруемого блока.

Обычно разделяют две разновидности гаммирования – с конечной и бесконечной гаммами. При хороших статистических свойствах гаммы стойкость шифрования определяется только длиной периода гаммы. При этом, если длина периода гаммы превышает длину шифруемого текста, то такой шифр теоретически является абсолютно стойким, т.е. его нельзя вскрыть при помощи статистической обработки зашифрованного текста, а можно раскрыть только прямым перебором. Криптостойкость в этом случае определяется размером ключа.

В настоящее время разработано множество алгоритмов работы генераторов псевдослучайных чисел, которые обеспечивают удовлетворительные характеристики гаммы.

Протокол IPSec.

IP Security — это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов; в его состав сейчас входят почти 20 предложений по стандартам и 18 RFC.

Гарантии целостности и конфиденциальности данных в спецификации IPsec обеспечиваются за счет использования механизмов аутентификации и шифрования соответственно. Последние, в свою очередь, основаны на предварительном согласовании сторонами информационного обмена т.н. " контекста безопасности" – применяемых криптографических алгоритмов, алгоритмов управления ключевой информацией и их параметров. Спецификация IPsec предусматривает возможность поддержки сторонами информационного обмена различных протоколов и параметров аутентификации и шифрования пакетов данных, а также различных схем распределения ключей. Основное назначение протоколов IPSec — обеспечение безопасной передачи данных по сетям IP. Применение IPSec гарантирует: • целостность передаваемых данных (т. е. данные при передаче не искажены, не потеряны и не продублированы); • аутентичность отправителя (т. е. данные переданы именно тем отправителем, который доказал, что он тот, за кого себя выдает); • конфиденциальность передаваемых данных (т. е. данные передаются в...

 

Билет 19

Так как шифр Цезаря является частным случаем шифра простой замены, то как и для всех шифров простой замены - шифрование шифром Цезаря заключается в замене символов открытого текста согласно таблице шифрования, которая для шифра Цезаря формируется следующим образом: первому символу алфавита соответствует k+1-ый символ этого же алфавита, второму - k+2-ый, третьему - k+3-ый и так далее (предпоследнему - k-1-ый, последнему символу алфавита - k-ый), где k - ключ, так например при k=3, " А" заменяется на " Г", " Б" на " Д", " В" на " Е", " Э" на " А", " Ю" на " Б", " Я" на " В".

Суть зашифрования шифром Виженера идентична с зашифрованием шифром Цезаря, с той лишь разницей, что если шифр Цезаря сопоставляет для всех символов сообщения (открытого текста, скрываемого в шифровке) одно и то же значение сдвига, то в шифре Виженера для каждого символа открытого текста сопоставлено собственное значение сдвига. Это означает, что длина ключа шифра Виженера должна быть равна длине сообщения. Однако запомнить такой ключ расшифрования, если сообщение будет длинным, непросто. Из этого затруднительного положения выходят так: за ключ шифра Виженера берут слово (фразу), удобное для запоминания, слово (кодовая фраза) повторяется до тех пор, пока не станет раным длине сообщения. Получившуюся последовательность символов и используют для зашифрования шифром Виженера при помощи таблицы Виженера.(пример)

Шифрование предполагает преобразование исходного текста Т с использованием ключа К в зашифрованный текст t. Симметричные криптосистемы для шифрования и дешифрования используется один и тот же ключ К.

Транспортные и туннельные режимы в IPSec.

Различают два режима применения ESP и AH (а также их комбинации) - транспортный и туннельный:

· Транспортный режим используется для шифрования поля данных IP пакета, содержащего протоколы транспортного уровня (TCP, UDP, ICMP), которое, в свою очередь, содержит информацию прикладных служб. Примером применения транспортного режима является передача электронной почты. Все промежуточные узлы на маршруте пакета от отправителя к получателю используют только открытую информацию сетевого уровня и, возможно, некоторые опциональные заголовки пакета (в IPv6). Недостатком транспортного режима является отсутствие механизмов скрытия конкретных отправителя и получателя пакета, а также возможность проведения анализа трафика. Результатом такого анализа может стать информация об объемах и направлениях передачи информации, области интересов абонентов, расположение руководителей.

 

 

· Туннельный режим предполагает шифрование всего пакета, включая заголовок сетевого уровня. Туннельный режим применяется в случае необходимости скрытия информационного обмена организации с внешним миром. При этом, адресные поля заголовка сетевого уровня пакета, использующего туннельный режим, заполняются межсетевым экраном организации и не содержат информации о конкретном отправителе пакета. При передаче информации из внешнего мира в локальную сеть организации в качестве адреса назначения используется сетевой адрес межсетевого экрана. После расшифровки межсетевым экраном начального заголовка сетевого уровня пакет направляется получателю.

 

Билет 20

Система шифрования Виженера, как шифр сложной замены.

Шифры сложной замены называют многоалфавитными, так как для шифрования каждого символа исходного сообщения применяют свой шифр простой замены. Многоалфавитная подстановка последовательно и циклически меняет используемые алфавиты.

Система Вижинера подобна такой системе шифрования Цезаря, у которой ключ подстановки

меняется от буквы к букве. Этот шифр многоалфавитной замены можно описать таблицей шифрования, называемой таблицей (квадратом) Вижинера. На рис. 2.8 и 2.9 показаны таблицы Вижинера для русского и английского алфавитов соответственно.

Таблица Вижинера используется для зашифрования и расшифрования. Таблица имеет два входа:

• верхнюю строку подчеркнутых символов, используемую для считывания очередной буквы исходного открытого текста;

• крайний левый столбец ключа.

Последовательность ключей обычно получают из числовых значений букв ключевого слова. При шифровании исходного сообщения его выписывают в строку, а под ним записывают ключевое слово (или фразу). Если ключ оказался короче сообщения, то его циклически повторяют. В процессе шифрования находят в верхней строке таблицы очередную букву исходного текста и в левом столбце очередное значение ключа. Очередная буква шифртекста находится на пересечении столбца, определяемого шифруемой буквой, и строки, определяемой числовым значением ключа.

Протоколы ESP в IPSec.

Протокол инкапсулирующей защиты содержимого ESP (Encapsulating Security Payload) обеспечивает конфиденциальность, аутентичность, целостность и защиту от повторов для пакетов данных. Следует отметить, что конфиденциальность данных протокол ESP обеспечивает всегда, а целостность и аутентичность являются для него опциональными требованиями. Конфиденциальность данных обеспечивается путем шифрования содержимого отдельных пакетов. Целостность и аутентичность данных обеспечиваются на основе вычисления дайджеста.

В протоколе ESP функции аутентификации и криптографического закрытия могут быть задействованы либо вместе, либо отдельно друг от друга. При выполнении шифрования без аутентификации появляется возможность использования механизма трансляции сетевых адресов NAT (Network Address Translation), поскольку в этом случае адреса в заголовках IP-пакетов можно модифицировать.

Для решения своих задач протокол ESP использует заголовок формата, приведенного на рисунке

 

Билет 21

Шифр Вернамана. Виженера. Цезаря.

Так как шифр Цезаря является частным случаем шифра простой замены, то как и для всех шифров простой замены - шифрование шифром Цезаря заключается в замене символов открытого текста согласно таблице шифрования, которая для шифра Цезаря формируется следующим образом: первому символу алфавита соответствует k+1-ый символ этого же алфавита, второму - k+2-ый, третьему - k+3-ый и так далее (предпоследнему - k-1-ый, последнему символу алфавита - k-ый), где k - ключ, так например при k=3, " А" заменяется на " Г", " Б" на " Д", " В" на " Е", " Э" на " А", " Ю" на " Б", " Я" на " В".

Суть шифрования шифром Вернама проста для понимания и реализации на компьютере. Для того чтобы зашифровать открытый текст нужно всего лишь произвести объединение двоичного кода открытого текста с двоичным кодом ключа операцией " исключающее ИЛИ", полученный двоичный код, представленный в символьном виде и будет шифровкой шифра Вернама. Если попробовать полученную шифром Вернама шифровку еще раз зашифровать шифром Вернама с этим же ключом, мы вновь получим открытый текст. Собственно, зашифрование шифра Вернама идентично его расшифрованию, что и говорит нам о том, что шифр Вернама является симметричным шифром.

Суть зашифрования шифром Виженера схожа с зашифрованием шифром Цезаря, с той лишь разницей, что если шифр Цезаря сопоставляет для всех символов сообщения (открытого текста, скрываемого в шифровке) одно и то же значение сдвига, то в шифре Виженера для каждого символа открытого текста сопоставлено собственное значение сдвига. Это означает, что длина ключа шифра Виженера должна быть равна длине сообщения. Однако запомнить такой ключ расшифрования, если сообщение будет длинным, непросто. Из этого затруднительного положения выходят так: за ключ шифра Виженера берут слово (фразу), удобное для запоминания, слово (кодовая фраза) повторяется до тех пор, пока не станет раным длине сообщения. Получившуюся последовательность символов и используют для зашифрования шифром Виженера при помощи таблицы Виженера.

Базы защиты в IPSEC.

Решение реализации IPSec, работающей на хосте или шлюзе, об определении способа защиты, который она должна применить к трафику основано на использовании в каждом узле, поддерживающем IPSec, двух типов баз данных: базы данных безопасных ассоциаций (Security Associations Database, SAD) и базы данных политики безопасности (Security Policy Database, SPD).

При установлении безопасной ассоциации, как и при любом другом логическом соединении, две стороны принимают ряд соглашений, регламентирующих процесс передачи потока данных между ними. Соглашения фиксируются в виде набора параметров. Для безопасной ассоциации такими параметрами являются, в частности, тип и режим работы протокола защиты (AH или ESP), методы шифрования, секретные ключи, значение текущего номера пакета в ассоциации и другая информация. Наборы текущих параметров, определяющих все активные ассоциации, хранятся на обоих оконечных узлах защищенного канала в виде баз данных безопасных ассоциаций SAD. Каждый узел IPSec поддерживает две базы SAD - одну для исходящих ассоциаций, а другую для входящих.

Другой тип базы данных - база данных политики безопасности SPD - задает соответствие между IP-пакетами и установленными для них правилами обработки. Записи SPD состоят из полей двух типов - поля селектора пакета и поля политики защиты для пакета с данным значением селектора.

Каждый узел IPSec должен поддерживать две базы SPD: одну - для исходящего трафика, а другую - для входящего, так как защита в разных направлениях может требоваться разная. Базы данных политики безопасности создаются и управляются либо пользователем (этот вариант больше подходит для хоста), либо системным администратором (вариант для шлюза), либо приложением.

 

Билет 22

Современные симметричные криптосистемы

В симметричной криптосистеме шифрования используется один и тот же ключ для зашифровывания и расшифровывания информации. Это означает, что любой, кто имеет доступ к ключу шифрования, может расшифровать сообщение.

Соответственно с целью предотвращения несанкционированного раскрытия зашифрованной информации все ключи шифрования в симметричных криптосистемах должны держаться в секрете. Именно поэтому симметричные криптосистемы называют криптосистемами с секретным ключом — ключ шифрования должен быть доступен только тем, кому предназначено сообщение. Симметричные криптосистемы называют еще одноключевыми криптографическими системами, или криптосистемами с закрытым ключом.

Данные криптосистемы характеризуются наиболее высокой скоростью шифрования, и с их помощью обеспечиваются как конфиденциальность и подлинность, так и целостность передаваемой информации. Конфиденциальность передачи информации с помощью симметричной криптосистемы зависит от надежности шифра и обеспечения конфиденциальности ключа шифрования.

Обычно ключ шифрования представляет собой файл или массив данных и хранится на персональном ключевом носителе, например дискете или смарт-карте; обязательно принятие мер, обеспечивающих недоступность персонального ключевого носителя кому-либо, кроме его владельца.

Подлинность обеспечивается за счет того, что без предварительного расшифровывания практически невозможно осуществить смысловую модификацию и подлог криптографически закрытого сообщения. Фальшивое сообщение не может быть правильно зашифровано без знания секретного ключа.

Для современной криптографии характерно использование открытых алгоритмов шифрования, предполагающих использование вычислительных средств. Известно более десятка проверенных алгоритмов шифрования, которые при использовании ключа достаточной длины и корректной реализации алгоритма криптографически стойки. Распространенные симметричные алгоритмы: DES, AES, ГОСТ 28147-89, Camellia, Twofish, Blowfish, IDEA, RC4.

Протокол защиты PGP.

Компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде.

Криптографическая стойкость PGP основана на предположении, что используемые алгоритмы устойчивы к криптоанализу на современном оборудовании. Например, в оригинальной версии PGP для шифрования ключей сессии использовался алгоритм RSA, основанный на использовании односторонней функции (факторизация). В PGP версии 2 также использовался алгоритм IDEA, в следующих версиях были добавлены дополнительные алгоритмы шифрования.

Шифрование PGP осуществляется последовательно хешированием, сжатием данных, шифрованием с симметричным ключом, и, наконец, шифрованием с открытым ключом, причём каждый этап может осуществляться одним из нескольких поддерживаемых алгоритмов. Симметричное шифрование производится с использованием одного из семи симметричных алгоритмов (AES, CAST5, 3DES, IDEA, Twofish, Blowfish, Camellia) на сеансовом ключе. Сеансовый ключ генерируется с использованием криптографически стойкого генератора псевдослучайных чисел. Сеансовый ключ зашифровывается открытым ключом получателя с использованием алгоритмов RSA или Elgamal.

В основу PGP положен стандарт OpenPGP, который содержит:

· сведения о владельце сертификата;

· открытый ключ владельца сертификата;

· ЭЦП владельца сертификата;

· период действия сертификата;

· предпочтительный алгоритм шифрования.

 

Билет 23

Аутентификация.

Процедура проверки подлинности, например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей; подтверждение подлинности электронного письма путём проверки цифровой подписи письма по ключу проверки подписи отправителя; проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла.

Способы аутентификации:

· Аутентификация по многоразовым паролям.

· Аутентификация по одноразовым паролям.

· Многофакторная аутентификация.

Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических методов.

В любой системе аутентификации обычно можно выделить несколько элементов:

· субъект, который будет проходить процедуру аутентификации

· характеристика субъекта — отличительная черта

· хозяин системы аутентификации, несущий ответственность и контролирующий её работу

· сам механизм аутентификации, то есть принцип работы системы

· механизм, предоставляющий или лишающий субъекта определенных прав доступа.

Защита информации в сети доступа.

Среди всего многообразия способов несанкционированного перехвата информации особое место занимает анализ трафика в сети доступа, поскольку сеть доступа - самый первый и самый удобный источник связи между абонентами в реальном масштабе времени, и при этом самый незащищенный.

Сеть доступа имеет еще один недостаток с точки зрения безопасности - возможность перехвата речевой информации из помещений, по которым проходит телефонная линия, и где подключен телефонный аппарат (оконечное оборудование (ОО)), даже тогда, когда не ведутся телефонные переговоры.

Методы защиты информации в канале связи можно разделить на две группы:

· основанные на ограничении физического доступа к линии и аппаратуре связи;


Поделиться:



Популярное:

Последнее изменение этой страницы: 2017-03-03; Просмотров: 1094; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.087 с.)
Главная | Случайная страница | Обратная связь