12_Безопасность_2016 (1130342), страница 4
Текст из файла (страница 4)
Смелянский Р.Л.09.05.201669Контроль доступа: Межсетевыеэкраны• Два абонента взаимодействуют через сеть: какобеспечить контроль доступа на этом уровне?Концепция межсетевых экранов появилась вконце 80 годов ХХ векаТипы межсетевых экранов в историческомпорядке:пакетные фильтрышлюзы уровня приложенийшлюзы уровня соединения••oooВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201670Пакетные фильтры• Фильтрация на основе полей заголовка IP инекоторых полей транспортного уровня:o IP адреса отправителя и получателяo тип протоколаo номера портов отправителя и получателяo (очень редко) содержимое пакета• Каждый пакет фильтруется независимо отпредыдущихВведение в компьютерные сетипроф.
Смелянский Р.Л.09.05.201671Шлюзы уровня соединения• Умеют отслеживать состояние соединениятранспортного уровня (состояние TCP)• Каждый пакет фильтруется в зависимостиот состояния соединения – можноописывать правила фильтрации вида:allow out tcp from 158.250.10.0/24 to any port80allow in tcp from any port 80 to158.250.10.0/24 establishedВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201672Шлюзы уровня приложений• Анализ сессий протоколов уровня приложенийo HTTP проксиo FTP проксиo и т.д.• Существует два соединения – от клиента к шлюзу, иот шлюза к серверу• Для каждого прикладного протокола требуетсядобавлять поддержку в программное обеспечениешлюзаВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201673Недостатки межсетевых экранов• Пакетные фильтры:o ограниченные возможности контроля доступаo уязвимость к атакам подмены значений полей заголовка• Шлюзы уровня приложений:o высокая вычислительная сложность, нагрузка на аппаратуруo сравнительно низкая пропускная способность• Общие:o сложность защиты новых протоколовo возможность обходаo незащищенность от вредоносного программногообеспечения и компьютерных атакВведение в компьютерные сетипроф.
Смелянский Р.Л.09.05.201674Шифрование: модельВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201675Шифрование• Основная секретность – ключ. Его длина – один изосновных вопросов разработки.• Публикуя алгоритм шифрования, его авторполучает даром консультации многихисследователей в этой области.• Проблема дешифровки возникает в трех вариантах:- есть только шифрограмма;- есть шифрограмма и само сообщение;- есть фрагменты исходного сообщения и ихшифрограммы.- ШифрованиеперестановкойvsШифрованиезамещениемВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201676Шифрование перестановкой• Шифрование перестановкой состоит в изменениипорядка букв без их изменения.• подстановка (123456 – 523146), то словоМОСКВА станет КОСВМА• Пример, шифрование по столбцам.Введение в компьютерные сетипроф.
Смелянский Р.Л.09.05.201677Шифрование перестановкойВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201678Шифр перестановкойШифр Сцитала© Sigh «Code book»Например, используя палочку: по длине окружности - 4 символа , а длинапалочки - 6 символов, то текст: «это шифр древней Спарты» превратится в:«эфвптрнао ер дйтшр ыиеС».Длина блока n = 23, а вектор t, указывающий правило перестановки, дляэтого шифра может быть записан следующим образом:t = {1, 7, 13, 19, 2, 8, 14, 20, 3, 9, 15, 21, 4, 10, 16, 22, 5, 11, 17, 23, 6, 12, 18}.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.201679Шифр «Поворотная решетка»12345ШИФРРЕШЕТКАЯВЛЯЕТСЯЧАСТНЫМСЛУЧАЕМШИФРАМАРШРУТНОЙПЕРЕСТАНОВКИВведение в компьютерные сетипроф.
Смелянский Р.Л.09.05.201680Шифрование перестановкой Не раскрываемый шифр - одноразовые подложки. Рассеивание и перемешивание• Цель рассеивания состоит в перераспределенииизбыточности исходно языка на весь исходный текст.• Цель перемешивания состоит в том, чтобы сделатьзависимость между ключом и шифртекстом настолькосложной, на сколько это возможно. Криптоаналитик наоснове анализа шифртекста не должен получать скольнибудь полезной информации о ключе.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.201681Шифрование замещением• Шифрование замещением – буква или группабукв замещается другой буквой или группойбукв из того же самого или другого алфавита.• Пример, шифр Юлия Цезаряабвгдеёжзийклмнопрстуфхцчшщъыьэюягдеёжзийклмнопрстуфхцчшщъыьэюяабвo пришёл увидел победилo тулыио целжзо тсдзжлоВведение в компьютерные сетипроф.
Смелянский Р.Л.09.05.201682Полиалфавитный шифрзамещениемВведение в компьютерные сетипроф. Смелянский Р.Л.Блез Виженер09.05.201683Полиалфавитный шифр замещениемВведение в компьютерные сетипроф. Смелянский Р.Л.КвадратВиженера, или tabula recta09.05.201684Великий шифр РоссиньоляВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201685Омофоническая заменаВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201686Два основных принципашифрования• все шифруемые сообщения должныиметь избыточность, т.е.
информацию,которая не нужна для пониманиясообщения.• надо позаботиться о специальных мерахот активного злоумышленника, которыйможет копировать, а потом пересылатьмодифицированные копии.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.201687Алгоритмы с секретными ключами(симметричное шифрование)• Если раньше алгоритм шифрования былпрост, а вся сложность заключалась включе, то теперь наоборот стараютсяалгоритм делать как можно изощреннее.• Перестановка и замещение реализуютсяпростыми схемами.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.201688Базовые схемы шифрованияР-схемаS-схемаВведение в компьютерные сетипроф.
Смелянский Р.Л.09.05.201689Алгоритм DES• В январе 1977 правительство США принялостандарт в области шифрования (Data EncryptionStandard), созданный на базе разработки фирмыIBM.• Предложенный алгоритм – это моноалфавитноезамещение с 64 разрядным символом.o Шифрование цепочкой.• Для начала шифрования надо иметь сразу весьисходный текст.o Обратная связь по шифру.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.201690Алгоритм DES6 мая 2016г.Введениев компьютерныесетипроф.
Смелянский Р.Л.9109.05.201691Недостаток блочногомоноалфавитного замещенияВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201692Поблочная передачазашифрованного текстаВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.201693Раскрытие DES• использование двух ключей не дает надежнойсхемы.Ci = EK2 (EK1 (Pi )); DK2 (Ci ) = EK1 (Pi )• Процедура взлома:- вычислить все возможные однократные шифрования, т.е.применения функции Е к шифруемому тексту;- вычислить все возможные однократные дешифрациизашифрованного текста;- в таблице искать совпадающие строки: пара строк – параключей;- проверить эту пару на совпадение шифрования; еслинеудачный результат, продолжить с шага 1.o Модификация схемы шифрования с двумя ключами в триэтапа - схема EDE.Введение в компьютерные сетипроф.
Смелянский Р.Л.09.05.201694Алгоритмы с открытыми ключами• Пусть у нас есть алгоритмы Е и D, которыеудовлетворяют следующим требованиям:- D(E(P))=P;- Чрезвычайно трудно получить D, зная E;- Е нельзя вскрыть через анализ исходныхтекстов.• Алгоритм шифрования Е и его ключ публикуютили помещают так, что каждый может ихполучить, алгоритм D так же публикуют, чтобыподвергнуть его изучению, а вот ключи кпоследнему хранят в секрете.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.201696Алгоритм RSA• Ривест, Шамир и Адлеман - Алгоритм RSA1978г. Общая схема этого алгоритма таковаo Выберем два простых числа p и q (больше10100).o Вычислим n=p×q и z=(p-1)×(q-1);o Выберем простое d, взаимно простое к z.o Вычислим e такое, что e×d=1 mod z.• С=Pe(mod n), (e,n) – это открытый ключшифрования,• P=Cd(mod n) расшифровка, (d,n) – это закрытыйключ для расшифровки.Введение в компьютерные сетипроф.
Смелянский Р.Л.09.05.201697Пример использования алгоритмаRSAПример для p=3, q= 11, n=33, z=20, d=7 откуда e= 3.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.201698Протоколы установленияподлинностиПротоколыустановленияподлинности(аутентификации) позволяют процессу убедиться,что он взаимодействует с тем, кто должен быть, а нес тем, кто лишь представляется таковым.o Не путать с проверкой прав и полномочий.• Общая схема всех протоколов аутентификациитакова: А и В начинают обмениваться сообщениямимежду собой или с Центром раздачи ключей (ЦРК).ЦРК всегда надежный партнер.• Протокол аутентификации должен быть устроен так,что даже если злоумышленник перехватитсообщения между А и В, то ни А ни В не спутаютдруг друга с злоумышленником.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.201699Аутентификация на основесекретного ключаКАВ – общий ключ, RA, RB - вызовыВведение в компьютерные сетипроф.
Смелянский Р.Л.09.05.2016100Сокращенная двусторонняяаутентификацияВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016101Атака отражениемДаша - злоумышленникВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016102На основе секретного общегоключа• Аутентификация на основе закрытого общего ключа- протокол ответ по вызову.• Общиеправилапостроенияпротоколоваутентификации (протокол проверки подлинностиили просто подлинности):o Инициатор должен доказать кто он есть прежде,чем вы пошлете емукакую-то важнуюинформацию.o Инициатор и отвечающий должны использоватьразные ключи.o Инициатор и отвечающий должны использоватьначальные вызовы из разных непересекающихсямножеств.• Атака отражением.Введение в компьютерные сетипроф.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
