Полный курс лекций 2009-го года (1130357), страница 89
Текст из файла (страница 89)
Пусть машинаполучатель имеет лист рассылки, где указана машина-отправитель, и наоборот. Тогда отправка сообщенияпо листу рассылки вызовет бесконечно долгие обмены сообщениями между этими машинами.Для преодоления этих проблем в RFC 1425 был описан протокол ESMTP. Клиент вначале шлеткоманду EHLO, если она отвергается сервером, то это означает, что сервер работает по SMTP.7.4.4.2.
Почтовые шлюзыПротокол SMTP хорош, когда обе машины находятся в Internet. Однако это не всегда так. Многиекомпании в целях сетевой защиты соединяют свои сети через надлежащие средства, либо используютдругие протоколы. Например, отправитель или получатель могут использовать протокол Х.400. Такаяситуация показана на рисунке 7-55. Отправитель передает сообщение шлюзу, тот его буферизует ипозднее передает получателю. Звучит просто, но на деле все сложнее.Рисунок 7-55. Передача электронного письма с использованием почтовогошлюза на прикладном уровнеПервая проблема – соответствие адресов. Вторая – соответствие конвертов и заголовков. Третья –соответствие тела сообщения.
Например, в случае, если тело содержит аудиофайл, а на сторонеполучателя с ним работать не умеют. Или отправитель поставил следующее условие: если передачасообщения не пройдет по почтовому соединению, то нужно повторить его по факсу, а получатель не умеетработать с факсом. Однако для простых неструктурированных ASCII-сообщений SMTP-шлюз – решениепроблемы.7.4.4.3. Доставка получателюДо сих пор мы предполагали, что машина пользователя может и отправлять сообщения, и получатьих.
Однако часто машина пользователя – это персональный компьютер или ноутбук, которая время отвремени связывается с почтовым сервером, чтобы отправить или получить почту.Как это происходит? Простой протокол для изъятия почты из удаленного почтового ящика – РОР3(Post Office Protocol – RFC 1225). Он позволяет входить в удаленную систему и выходить из нее,передавать письма и принимать их. Главное - он позволяет забирать почту с сервера и хранить ее намашине пользователя.Более сложный протокол IMAP – Interactive Mail Access Protocol (RFC 1064).
Он позволяет одному итому же пользователю заходить с разных машин на сервер, чтобы прочесть или отправить почту. Это посуществу удаленное хранилище писем. Он, например, позволяет получать доступ к письму не только поего номеру, но и по содержанию.Третий часто используемый протокол – DMSP (Distributed Mail System Protocol RFC 1056). Этотпротокол не предполагает, что пользователь работает все время с одной и той же почтовой службой.Пользователь может обратиться к серверу и забрать почту на свою локальную машину, после чегоразорвать соединение.
Обработав почту, он может ее отправить позже, когда будет установлено очередноесоединение.Важными почтовыми сервисами являются:§Фильтры§Пересылка поступающей почты на другие адреса§Демон отсутствия§Почтовый робот (программа, анализирующая входящие письма и отвечающая на них)7.4.5. Конфиденциальность почтыПославший почту, естественно, предполагает, что ее никто не читает кроме адресата. Однако если обэтом специально не позаботиться, то гарантировать этого нельзя. Далее мы рассмотрим две широкораспространенных безопасных почтовых системы - PGP и PEM.7.4.5.1.
PGP – Pretty Good PrivacyPGP – дословно: «вполне хорошая конфиденциальность» – разработка одного человека - ФилаЗиммермана (Phil Zimmermann, 1995). Это полный пакет безопасности, который включает средстваконфиденциальности, установления подлинности, электронной подписи, сжатия, и все это в удобной дляиспользования форме. Благодаря тому, что это разработка далекого от государственных структурчеловека, качественная, работает как на платформе Unix, так и MS-DOS/Windows, Macintosh ираспространяется бесплатно, она получила очень широкое распространение.Зиммерман был обвинен в нарушении ряда законов США о шифровании.
Дело в том, что в СШАдействует закон, запрещающий экспорт военной амуниции. Системы и алгоритмы шифрования подпадаютпод действие этого закона. Филл передал свою разработку приятелю из Швейцарии, а тот выложил ее вИнтернет. Полученный в этом инциденте опыт он сформулировал в виде лозунга «Есликонфиденциальность - вне закона, то она доступна только тем, кто вне закона».PGP использует алгоритмы шифрования RSA, IDEA и MD5. PGP поддерживает компрессиюпередаваемых данных их секретность, электронную подпись и средства управления доступом к ключам.Схема работы PGP показана на рисунке 7-56.
На этом рисунке DA, DB - личные (закрытые) ключи А и Всоответственно, а EA, EB – их открытые ключи. Отметим, что секретный ключ для IDEA строитсяавтоматически в ходе работы PGP на стороне А и называется ключом сессии - KM, который затемшифруется алгоритмом RSA с открытым ключом пользователя В. Также следует обратить внимание на то,что медленный алгоритм RSA используется для шифрования коротких фрагментов текста: 128-разрядногоключа для MD5 и 128-разрядного ключа для IDEA.Рисунок 7-56. Действия PGP при отправке сообщенияPGP поддерживает три длины ключей:§Обычный – 314 бит (может быть раскрыт за счет больших затрат).§Коммерческий – 512 бит (может быть раскрыт специализированными организациями, названия которых,как правило, состоят из трех букв, например, ЦРУ, АНБ, ФСБ, МВД, ФБР).§Военный – 1024 бита (не может быть раскрыт пока никем на Земле).Формат PGP-сообщения показан на рисунке 7-57.Рисунок 7-57. Формат PGP-сообщения7.4.5.2.
PEM – почтовая служба с повышеннойконфиденциальностьюPEM имеет статус Internet-стандарта (RFC 1421, 1424). Сообщения, пересылаемые с помощью PEM,сначала преобразуются в каноническую форму. В этой форме соблюдены соглашения относительноспецсимволов типа табуляции, последовательных пробелов и т.п. Затем сообщение обрабатывается MD5или MD2, шифруется с помощью DES (56-разрядный ключ) и передается с помощью кодировки base64.Передаваемый ключ защищается либо с помощью RSA, либо с помощью DES по схеме EDE.В таблице 7-58 дано сравнение почтовой системы PEM и PGM.Таблица 7-58. Сравнение PGM и PEMПризнакPGPPEMПоддерживает шифрование?ДаДаПоддерживает аутентификацию?ДаДаПоддерживает невозможность отказа от авторства?ДаДаПоддерживает сжатие?ДаНетПоддерживает канонизацию (приведение кстандартному имени)?НетДаПоддерживает список рассылки?НетДаИспользует кодировку base64?ДаДаАлгоритм шифрования текущих данныхIDEADESДлина ключа для шифрования данных (бит)12856Алгоритм управления ключомRSARSA или DESДлина ключа для управления ключом (бит)384/512/1024ВарьируетсяМесто имени пользователяОпределяетсяпользователемX.400Согласован с X.509?НетДаНужно ли доверять кому-либо?НетДа (IPRA)Сертификация ключейЗависит от конкретногослучаяИерархия IPRA/PCA/CAОтзыв ключаБессистемныйЛучшийВозможен ли перехват сообщения?НетНетВозможен ли перехват подписи?НетДаЯвляется ли интернет-стандартом?НетДаКем разработан?Небольшой командойКомитетом постандартизации7.5.
Протокол передачи файлов - FTPFTP (File Transfer Protocol, Протокол передачи данных) - это один из первых и все еще широкоиспользуемых интернет-сервисов. Первые спецификации FTP относятся к 1971 году. С тех пор FTPпретерпел множество модификаций и значительно расширил свои возможности.Протокол FTP предназначен для решения следующих задач:§разделение доступа к файлам на удаленных абонентских машинах§прямое или косвенное использования ресурсов удаленных компьютеров§обеспечение независимости клиента от файловых систем удаленных абонентских машин§эффективная и надежная передача данныхFTP - это протокол прикладного уровня, который, как правило, использует в качестве транспортногопротокола TCP.
FTP не может использоваться для передачи конфиденциальных данных, поскольку необеспечивает защиты передаваемой информации и передает между сервером и клиентом открытый текст.FTP-сервер может потребовать от FTP-клиента аутентификации (т.е. при подсоединении к серверу FTPпользователь должен будет ввести свой идентификатор и пароль). Однако и пароль, и идентификаторпользователь будут переданы от клиента на сервер открытым текстом.7.5.1. Модель работы FTPПростейшая модель работы протокола FTP представлена на рисунке 7-59, где введены следующиеобозначения:§«User Interface» - пользовательский интерфейс работы с FTP.§«User-PI» - интерпретатор команд пользователя (User Protocol Interpretator). Этот объект взаимодействуетс «Server-PI», чтобы обмениваться командами управления передачей данных по каналу передачи команд ис «User-DTP» - модулем, который осуществляет непосредственную передачу данных по каналу передачиданных.§«User-DTP» - модуль, осуществляющий обмен данными (User Data Transfer Process) между клиентом исервером FTP по каналу передачи данных на основании команд модуля «User-PI».
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
