Ақпараттық қауіпсіздік

Электрондық қолтаңба. Электрондық қолтаңба тетігі екі процедурадан  тұрады: қолтаңба құрастыру және қол қойылған деректер бөлігін тексеру. Қолтаңба құрастыру процедурасы деректер бөлігіне қол қоюшы адамға ғана белгілі ақпаратты қолданады. Қолтаңба тексеру процедурасы  жалпыға қол жетерлік болып табылады және қол қоюшының құпия кілтін ашуға-табуға мүмкіндік беруге тиісті.

Қатынас құруды басқару тетіктер. Қатынас құрудың сұратылған түріне рұқсат беру туралы шешімдер қабылдау кезінде келесі ақпарат түрлері мен көздерін пайдалануға болады:

• Қатынас құруды басқару дерекқоры. Орталықтандырылған түрде қолдау көрсетілетін  осындай дерекқорда қатынас құруды басқару тізімдері  немесе осыған ұқсас міндет атқаратын құрылымдар сақталу мүмкін;
• Құпиясөздер немесе басқа аутентификациялау  ақпараты;
• Токендер, билеттер немесе басқа куәліктер. Бұлар көрсетілген кезде  олардың қатынас құруға құқықтарының бар екендігі куәландырады.
• Қауіпсіздік тамғалары.
• Сұратылған қатынас құрудың болар уақыты және ұзақтығы.

Деректердің тұтастығын бақылау тетіктері. Тұтастықтың екі жайы  ажыратылады: бөлек хабардың  немесе ақпарат өрісінің  тұтастығы және  хабарлар ағынының немесе ақпарат өрістерінің тұтастығы. Тұтастықтың екі түрін бақылау әр түрлі тетіктермен жүзеге асырылады (бірақ  та бөлек хабарларды  тексермей ағынның тұтастығын бақылауда мағына жоқ шығар).

Бөлек хабардың немесе өрістің  тұтастығын  бақылау процедурасы  екі үрдістен тұрады: біреуі жіберуші, ал екіншісі қабылдаушы жақта. Жіберуші жақта хабарға оның функциясы болып табылатын (бақылау қосындысының бір түрі) қосымша ақпарат қосылады. Қабылдаушы жақта  алынған хабардың  бақылау қосындысы  саналады және жіберушіден келген  қосындымен салыстырылады. Бірақ бұл тетік  хабарлардың қайталануынан қорғамайды.

Хабарлар ағынының тұтастығын тексеру (ұрлаудан, қайта  реттеуден, қайталаудан және бөтен хабар  ендіруден қорғау) үшін реттік нөмірлер, кезектегі хабарды шифрлаудың нәтижесі  алдындағыға тәуелді болатын криптографиялық байланыстырулар немесе  осыларға ұқсас басқа тәсілдер қолданылады.

Аутентификациялау тетіктері. Аутентификациялау құпиясөздерді, жеке кәртішкелерді немесе осыған ұқсас міндеттер атқаратын басқа құрылғыларды криптографиялық әдістерді, биометрикалық сипаттамаларды өлшеу және талдау құрылғыларын қолдану негізінде іске асырылады.

 Аутентификациялау  бір бағытты (бұл кезде, әдетте, қажеткер серверге өзінің шынайылығын  дәлелдеуге тырысады) және екі бағытты (немесе өзараралық) болады. Бір бағытты аутентификациялаудың мысалы ретінде пайдаланушының жүйеге кіру процедурасын келтіруге болады.

Трафикті толықтыру  тетіктері қамтамасыз ету құралдарымен  бірге қолданғанда ғана тиімді. Өйтпеген жағдайда  қаскүнемге қосымша хабарлардың жалған сипатты екендігі мәлім болып қалады.

Бағдарғылауды басқару тетіктері. Бағдарғы статикалық немесе динамикалық түрде таңдалуы мүмкін. Бағдарғыны таңдауға тасымалданатын деректермен байланыстырылған қауіпсіздік таңбасы әсер ете алады.

Нотариалдау тетіктері. Тұтастық, уақыт, жіберушілер мен қабылдаушылардың  жеке бастары сияқты қатынастық сипаттамаларды куәландыру үшін керек. Куәландыру сенуге болатын үшінші жақтың растауы негізінде қамтамасыз етіледі. Нотаризация әдеттегі электрондық қолтаңба тетігіне сүйенеді.

Қауіпсіздік құралдарына  әкімшілік ету қауіпсіздік функциялары  мен тетіктерінің жұмысына қажетті  ақпаратты таратудан, сондай-ақ олардың  жұмыс істеуі жайында ақпарат  жинаудан және талдаудан тұрады. Мысал  ретінде криптографиялық кілттерді тарату, қорғаныш параметрлерінің мәнін тағайындау, журнал толтыру – жүргізу және  іс-әрекеттерді келтіруге болады.

Қауіпсіздік құралдарының әкімшісі өз  жұмысын үш бағытта  жүргізуге  тиісті: жүйеге тұтастай  әкімшілік ету; қауіпсіздік функцияларына    әкімшілік ету; қауіпсіздік тетіктеріне әкімшілік ету.  Жүйеге тұтастай қатысты әрекеттердің мысалы ретінде мыналарды атап кетуге болады: қауіпсіздік саясатының өзектілігін қолдау,  әкімшілік қызметтермен  әрекеттесу, болып жатқан оқиғаларға жауап қайтару, тексеру (аудит) және қауіпсіз түрде  бұрынғы қалпына келтіру. Қауіпсіздік функцияларына әкімшілік етудің  құрамына қорғалатын  обьектілерді анықтау, қауіпсіздік тетіктерін  ( баламалары бар кезде) іріктеп алу ережелерін құру, қауіпсіздік функцияларын  жүзеге асыруға арналған тетіктерді қисындастыру, келісімді жұмыс істеуді қамтамасыз ету үшін  басқа әкімшілермен әрекеттесу кіреді. Қауіпсіздік тетіктері әкімшісінің міндеттері іске кірістірілген  тетіктердің тізімімен анықталады.

Тораптың сенімді қорғанышына  сауатты қауіпсіздік саясаты  және оны  жоғарыдан  бастап төменге  дейінгі барлық  қызметкерлердің  сақтауы арқылы қол жетеді [8].

Қауіпсіздік саясаты  – тораптық қорларды пайдаланудың қарапайым ережелері немесе барлық байланысулардың жете (толық) сипаттамалары мен олардың ережеліктері. Оны әзірлеу  және жүзеге асыру  кезінде келесі  ұстанымдарды  басшылыққа алған лайықты.

Қорғаныш құралдарын айналып өту мүмкін еместік ұстанымы.  Егер қаскөйде немесе наразы пайдаланушы да қорғаныш құралдарын  орала өтіп кету мүмкіншілігі  пайда болса, әрине, ол дәл осылай істейді де. Мәселен, торапаралық экрандарға  орай бұл ұстаным мынаны білдіреді: қорғанылатын  торапқа баратын  немесе одан шығатын  барлық ақпараттық  ағындар экран  арқылы өтуге тиісті.  «Жасырын», айналып өтетін  басқа жолдар болмауы керек.

Ең осал буынды күшейту  ұстанымы. Кез келген қорғаныстың  сенімділігі оның ең әлсіз буынымен анықталады. Жиі ең осал буын болып  компьютер немесе бағдарлама емес, адам болып шығады.

Қауіпті күй-жағдайда өту мүмкін еместік  ұстанымы кез келген, оның ішінде көзделмеген, жағдайларда қорғау құралы  немесе өз функцияларын  толық орындайтынын білдіреді.

Артықшылықты  оңтайландыру ұстанымы пайдаланушыларға және әкімшілерге тек өздерінің қызметтік міндеттерін  орындауларына  қажетті қатынас құру құқығын қана беруді көздейді.

Міндеттерді бөлу ұстанымы сын маңызды үрдісті бір адам  бұза алмайтындай етіліп рөлдер мен жауаптылықтың бөлініп – таратылуын көздейді. Әсіресе, мұның жүйелік әкімшінің жаман ниетін  немесе біліктіліксіз  іс- әрекетерінің алдын – алу  үшін мыңызы зор.

Қорғанысты  бірінен соң бірін жалғастыра орналастыру  ұстанымы  қандай да бір сенімді болып көрінгенімен бір қорғаныш шегіне  арқа тартпауды талап етеді. Физикалық қорғаныш құралдарынан соң  программалық – техникалық  құралдар болуға, идентификациялау мен аутентификациялаудан кейін  қатынас құруды  басқару, ал соңғы шек ретінде – хаттамалау және  аудит болуға  тиісті. Бірінен соң бірін  жалғастыра орналастырылған қорғаныстың кем дегенде  қаскүнемді ұстап қалуға қабілеті бар, ал хаттамалау және тексеру сияқты шектің болуы қаскүнемдік әрекеттердің жасырын орындалуын  қиындатады.

Қорғаныш құралдарының әр түрлі болу  ұстанымы қаскөйден әр түрлі және бір- бірімен үйлесімсіз  дағдыларды  меңгеруді талап ететіндей  әрқайсысы өзіндік  сипаттамалы қорғаныш  шектерін ұйымдастыруды ұсынады.

Ақпараттық  жүйенің қарапайымдылық және басқарылмалық  ұстанымы. Тек қана қарапайым және басқарылатын жүйеде әр түрлі сыңарларының  пішінүйлесімінің келісушілігін  тексеруге болады және орталықтандырылған әкімшілеуді жүзеге асыруға болады.

Қауіпсіздік  шараларын жалпыға бірдей қолдау ұстанымы. Егер пайдаланушылар немесе жүйелік әкімшілер ақпараттық  қауіпсіздікті керексіз немесе  тіпті зиянды деп есептесе, онда қауіпсіздік режимін  қалыптастыру  сәтсіз аяқталатыны  алғашқы кезден-ақ  белгілі. Ең басынан  қызметшілер ниетінің  түзулігін, тұрақты оқыту- үйретуді  қамтамасыз етуге бағытталған шаралар кешені  көзделуі керек. 

 

 

Дәріс № 11

11 Криптографиялық  кілттер

11.1 Криптология  тарихы

 

Крипталогия тарихы

Криптография мен криптоталдау дамуы мен қолдану тарихы көп  ғасырға созылады. Криптографияның  дамуын 3 кезеңге бөлуге болады:

1. Ғылыми криптографияға дейінгі кезең (б.д.д. есте жоқ уақыттан хх-ғасырдың ортасына дейін), ол уақытта мұнымен жалғыз адамдардың соңғы жұмыстары болған, мысалыға әскер басылар, ғалымдардың, дипломатиялық, құдайға сенушілердің;
2. Классикалық криптография кезеңі (құпия кілтпен криптография)-ол ғылыми сабақ ретінде қалыптасуы, информацияларды шифорларды жасаумен байланысты және олардың тұрақтылығына баға беру (1949-1976ж.ж); бұл кезеңге Шенонның «құпия жүйелердегі байланыс теорияс» деген жұмысы бастама салды.
3. Қазіргі криптография кезеңі, бұл кезең классикалық криптографиядан ашық кілтпен криптографиялық тез қарқынмен дамуы, бұдан математиканың жаңа бағыттары дүниеге келді;бұл кезеңге бастама салған Ц.Деффи мен М.Х.Элманның криптографиядағы жаңа бағыттар деген жұмысы.

Криптографиялық кілттер

Барлық шифрлау алгаритмдерінде  криптографиялық кілттер қолданады. Сондықтан криптографияның генерациясының, жинақталуын және бөлінуін. Егер компьютерлік желіде nқолданушы тіркелген болса, және әр қайсысы әркіммен байланыса алатын болса, онда ол үшін n*(n-1)/2әртүрлі кілттер болуы қажет. Сонымен қатар әр n қолданушы (n-1) кілт беруі қажет, себебі оларды таңдаудан құпия ақпаратты қорғау сеімділігінің көп мөлшері тисілі. Криптожүйе үшін кілт таңдауға ерекше мән беріледі.Практика жүзінде  криптографиялық кілт қаскүнемдермен бұзылуы мүмкін, сондықтан белгілі-бір таңдау ережесін қолдану қажет. Мысалы: генерация, сақтау және құпия хабарды алмасу үрдісі кезінде оларды жаңарту, және оларды алушыға дейін қауіпсіз жеткізу әдістері. Сонымен бірге бір кілтті крипто жүйе үшін кілтті басқару үшін қорғалған байланыс арнасы қажет. Екі кілтті криптожүйе үшін мұндай байланыс арнасының қажеті жоқ.

Кілтті генерациялау үрдісі кездейсоқ болуы қажет. Бұл  үшін кездейсоқ сан генераторын  қолдануға болады. Кілтті жинақтау кезінде тасушыларға тікелей  түрде жазуға болмайды.Қауыпсіздікті  жоғарылату үшін кілт басқа кілтпен шифрлануы қажет, басқа үшіншімен және тағы басқа. Шифрлаудағы соңғы кілтті шифрлау керек емес, Бірақ оны аппаратың қорғалған аймағына орналастыру қажет. Мұндай кілт шебер кілт деп аталады.

Таңдалған кілтті қолданушыдан- қолданушыға өзгерту заңдылығы болмауы қажет етіп оларды орналастыру керек. Сонымен бірге кілтті жиі ауыстыруды қамтамасыз ету керек және олардың өзгеру жиілігі екі фактормен анықталады: Жүру уақыты мен ақпарат алмасуы, оларды қолдануы мен жабу.

 

Диффи-Хелмон

1976 ж. Американдық криптологтар  У.Диффи және М.Хелмон ашық  кілтпен криптографияны жасап  шығарды. Олар кілттің екі түрін  қолдануды ұсынды- ашық және құпия  .1-сурет Диффи- Хеллман алгаритмін  бірге құпия кілттер  құру  үшін қолдну мысалыкелтірілге*(n-1)/н  екі пайдаланушы (Айбота және Ержан) қорғалған қатынас арнасын ұйымдастырады деп есептейік.

  I-қадам. Айбота мен Ержан Джәне  Имәндері жайында келіседі.

                        Айбота________ Интернет _________ Ержан

II-қадам.  Айботамен Ержан Уа және Ув  мәндерін есептейді, нәтижелерімен алмасады. 

                     Айбота                 Интернет               Ержан

                   Уа=gKa(modN)                  Ув=gKb(modN)

 

III-қадам Айбота мен Ержан құпия кілт к мәндерін есептейді.

    Е^=(Уа)ка)(modN)           К*=(Уа)кв)(modN)          

                                  К=К*=gКаКв)(modN)          

 

                         1-сурет.Диффи Хелмнан алгаритмы.

1-қадам. Екі пайдаланушы  алдын ала N модулі (N жай сан болуы керек )және g € zn(1≤ g<N-1) қарапайым элементі туралы келіседі g элементтері zn жиынының барлық 0 емес элементтері табылмайды. Яғыни {g,g²,…gn-1=1}= zn –{0}Бұл N және g бүтін сандары құпия емес, мәндері жүйенің барлық пайдалануына ортақ сандар болып табылады.

      Айбота  мен Ержан бір-бірінен тәуелсіз, Ка және Кв кездейсоқ үлкен бүтін сандарды таңдайды. Бұл сандар құпия кілттер. Оларды пайдаланушылар құпия түрде сақтайды.

        2-қадам. Әрі қарай Диффи- Хеллман  алгаритімі қолданылады. Айбота  Уа=gKa(modN) ашық кілтін ,ал Ержан-Ув=gKв(modN )ашық кілтін есептейді. Сосын олар есептелгенУа және Ув ашық кілттер мәндерімен қорғалған ара бойынша алмасады.

        3-қадам. Олар келесі салыстырымдарды  пайдаланып ортақ құпия кілтті  есептейді  Айбота: (К=Ув)кА=(gкв (modN))

Ержан:  К*=(Уа)кв=(gка)кв (modN)

Мұнда К= К*, өйткені деректерді шифрлау және кері шифрлау кезінде DES кілті ретінде пайдаланылады.

Екі пайдаланушы С=Ек (М)=Мк(modN)шешу түрлендіруін (RSA-сияқты) қолданып хабарларды шифрлау мүмкін

Хабар алушы кері шифрлауда  орындау үшін К*К*=1(Mod N-1)салыстыру көмегімен кері шифрлау кілтін табады, ал содан соң М=Дк(с)=ск*(modN)хабарды қалпына келтіреді.

Мысалы Модуль N=47,ал қарапайым  элемент g=23дейін. Ка=12(mod47)ж2не Кв=33(mod47)деп  таңдаған болсын.

   Олар К ортақ  құпия кілтті алу үшін алдын ала дербес ашық кілттердің мәндерін есептейді: Уа=дка=23¹²=27(mod47)

                    Ув=дкn=23³³=33(mod47)

Енді Ажәне Впайдаланушылары Іажәне Ув өз мәндерімен алмасып ортақ  құпия кілтін есептейді:

К=(Ув)кА=(Уа)кв=33¹²=27³³=23¹²*³³=25(mod47)

Одан кейін, олар К*К*=1(Mod N-1)салыстыруын қолданып, кері шифрлау құпия кілтін К*=35(mod47) табад.

М=16 болғанда криптограмма С=Мк=16 25=21(mod47) болады, хабар алушы  хабарды қалпына келтіреді.