Лекции 2010-го года (1130544), страница 84
Текст из файла (страница 84)
Здесь надо сопоставлять даты передачи сообщения и сменыключей.7.1.6.3. Сокращение сообщенияРассмотренные методы электронной подписи критикуют за то, что они подменяют задачуустановления подлинности задачей соблюдения секретности. Зачастую нужно толькоустановление подлинности. Кроме этого, шифрование – операция медленная.
Поэтомучасто желательно просто поставить подпись, чтобы удостоверить подлинностьсообщения. Ниже рассматривается метод, который не требует шифрования всегосообщения.Эта схема основана на идее однозначной функции перемешивания, которая по сообщениювычисляет битовую строку фиксированной длины. Эта функция называется сокращениесообщения (MD). Она обладает тремя важными свойствами:1.Для заданного Р вычислить MD(P) просто.2.3.Имея MD(P), невозможно восстановить Р.Никто не сможет подобрать таких два сообщения, что MD от них будутодинаковыми.Этот метод можно применять как с закрытым ключом, так и с открытым. В случаезакрытого ключа, как в схеме на рисунке 7-22, надо пятый элемент в сообщении от ВВ к Взаменить на KBB(A, t, MD(P)).
«Большой брат» подписывает не все сообщение, а лишьего сокращение. В случае возникновения спора В легко докажет в суде, что он получилименно сообщение Р, так как нет другого сообщения, которое даст такое же MD(P).Сторона А также легко докажет свою правоту, так как MD вычисляет ВВ.В случае открытого ключа этот метод также работает. Его схема показана на рисунке 7-24.Здесь сторона А шифрует своим ключом не все сообщение, а лишь его сокращение. Приэтом сторона В защищена от злоумышленника, так как если он подменит сообщение, тосторона В, получив сообщение и вычислив его MD, сравнит полученное MD и обнаружитподмену.Рисунок 7-24. Электронная подпись с использованием сокращения сообщенияБыло предложено несколько алгоритмов для MD.
Наиболее распространенные – MD5 иSHA.7.2. DNS (Domain Name System)В этом разделе мы рассмотрим, как в Интернете пользователь на абонентской машинеможет узнать адреса других абонентских машин. Дело в том, что, несмотря на то, чтолюбая машина в Интернете имеет уникальный IP-адрес, который представляет собойчисло (см.
главу 5), люди предпочитают работать с именами. Очень непросторазговаривать, используя машинную адресацию (как бы это звучало: “192.112.36.5обещает вскоре…”?), еще труднее запомнить эти адреса. Поэтому компьютерам вИнтернете для удобства пользователей были присвоены собственные имена. Всеинтернет-приложения позволяют пользоваться системными именами вместо числовыхадресов. Все эти имена зафиксированы в специальной распределенной базе данных DNS,которая поддерживает иерархическую систему имен для идентификации абонентскихмашин или узлов в сети Интернет.При рассмотрении ее организации будем использовать почтовую аналогию. Сетевыечисленные адреса вполне аналогичны почтовой индексации.
Машины, сортирующиекорреспонденцию на почтовых узлах, ориентируются именно по индексам, и только еслис индексами выходит какая-то несуразность, передают почту на рассмотрение людям,которые по адресу могут определить правильный индекс почтового отделения местаназначения. Людям же приятнее и удобнее иметь дело с географическими названиями –это аналоги доменных имен.Процесс поиска адреса в Интернете совершенно аналогичен процессу поиска индекса дляписьма без почтового индекса. Как определяется этот индекс? Все регионыпронумерованы – это первые цифры индекса.
Письмо пересылается на центральныйпочтамт региона, где имеется справочник с нумерацией районов этого региона – этоследующие цифры индекса. Теперь письмо идет на центральный почтамтсоответствующего района, где уже знают все почтовые отделения в подопечном районе.Таким образом, по географическому адресу определяется почтовый индекс, емусоответствующий. Так же определяется и адрес компьютера в Интернете, но путешествуетне послание, а запрос вашего компьютера об этом адресе.
И, в отличие от случая с почтой,информация доходит до вас, как если бы районный почтамт места назначения отправлялвам письмо, любезно уведомляя вас на будущее об индексе, которого вы не изволилизнать.Конечно, такое именование имеет свои собственные проблемы. Прежде всего, следуетубедиться, что никакие два компьютера, включенные в сеть, не имеют одинаковых имен.Необходимо также обеспечить преобразование имен в числовые адреса, чтобы машины (ипрограммы) могли понимать нас, людей, пользующихся именами: техника по-прежнемуобщается на языке цифр.Вначале Интернет был не велик, иметь дело с именами было довольно просто. NIC создалрегистратуру.
Можно было послать запрос, и в ответ высылали список имен и адресов.Этот файл называется “host file” (файл абонентских машин), регулярно распространялсяпо всей сети – рассылался всем машинам. Имена были простыми словами, все они былиуникальны. Если вы использовали имя, то ваш компьютер просматривал этот файл иподставлял вместо имени реальный числовой адрес. Так же, как работает телефонныйаппарат со встроенным списком абонентов.
Всем хватало простых имен, был один Мокий,один Мокридий, один Пафнутий и одна Перепетуя.По мере развития и расширения Интернета возрастало количество абонентских машин, апотому разрастался и упомянутый файл. Возникали значительные задержки прирегистрации и получении имени для новых компьютеров, стало затруднительноизыскивать имена, которые еще никто не использовал, слишком много сетевого временизатрачивалось на рассылку этого огромного файла всем машинам, в нем упомянутым.Стало очевидно, что при таких темпах изменений и роста сети нужна распределеннаяоперативная система, опирающаяся на новый принцип. Таковая была создана, ее назвалидоменной системой имен – DNS, а способ адресации – способом адресации по доменномупринципу. DNS также иногда называют региональной системой наименований.7.2.1. Структура региональной системы именДоменная система имен - это метод назначения имен путем передачи сетевым группамответственности за подмножество имен в своем домене.
Каждый уровень этой системыназывается доменом. Домены в имени отделяют друг от друга точками: cs.msu.su,math.msu.su. В имени может быть различное количество доменов, но практически их неболее пяти. Первым в имени стоит название абонентской машины - реального компьютерас IP-адресом. Это имя создано и поддерживается группой (например, компьютер redsun вгруппе cs (факультет вычислительной математики и кибернетики)), к которой онотносится. Группа входит в более крупное подразделение msu (университетскоеобъединение – сеть МГУ), которое, в свою очередь, является частью национальной сети(например, стран бывшего СССР, домен su).Рисунок 7.25. Часть пространства доменных имен в ИнтернетеВсе пространство доменов распределено на зоны.
Как это происходит, мы краткорассмотрим ниже. Имена зон можно условно разделить на организационные игеографические. На высшем уровне в этой иерархии зарегистрированы следующиеорганизационные зоны:• com – commercial (коммерческие)• edu – educational (образовательные)• gov – government (правительственные)• mil – military (военные)• net – network (организации, обеспечивающие работу сети)• org – organization (некоммерческие организации)В данный момент, чтобы разгрузить домен «com», собираются создать несколько новыхдоменов.В организационных зонах обычно размещаются непосредственно домены организаций.Каждая страна (государство) имеет свой географический домен из двух букв, например:• ae – United Arab Emirates (Объединенные Арабские Эмираты)• au – Australia (Австралия)• be – Belgium (Бельгия)• br – Brazil (Бразилия)• by – Belarus (Белоруссия)С левого конца доменного имени находятся имена абонентских машин.
Имена бываютсобственные и функциональные. Имена собственные каждый придумывает в меруфантазии: машинам присваиваются имена членов семьи, животных, растений, музыкантови артистов, литературных персонажей – кто во что горазд.Имена функциональные вытекают из функций, выполняемых машиной:• www – Сервер HTTP (WWW)• ftp – FTP-сервер• ns, nss, dns – Сервер DNS (Name)• mail – Mail-сервер• relay – Mail Exchanger• *proxy – соответствующий proxy-серверСчитается нежелательным присваивать какой-либо машине функциональное имя – влюбой момент может потребоваться перенести соответствующую функцию на другуюмашину.
Для этого лучше всего использовать псевдонимы, которые перенаправляютзапросы к данному имени на записи, относящиеся к другому имени.Группа может создавать или изменять любые принадлежащие ей имена. Если группа csрешит ввести в эксплуатацию новый компьютер и назвать его chronos, то для этого ни укого не надо спрашивать разрешения, все, что от нее требуется, - это добавить новое имя всоответствующую часть соответствующей базы данных, и рано или поздно каждый, комупотребуется, узнает об этом имени. Аналогично, если в МГУ решат создать новую группу,например college, они (домен msu) могут также это сделать, ни у кого не спрашиваяразрешения. Тогда, если каждая группа придерживается этих простых правил иподдерживается уникальность имен компьютеров в группе, то у любых разных систем всети Интернет будут всегда разные имена.Описанный выше механизм аналогичен механизму присвоения почтовых адресов.Названия всех стран различаются.
Различаются названия всех областей, республик вФедерации, и эти названия утверждаются в государственном масштабе из центра(конечно, обычно сами регионы заботятся об уникальности своих названий, поэтому здесьцарит полная демократия: как республика хочет, так она и называется). В республиках –субъектах федерации – решают вопросы о названиях районов и округов, в пределах однойреспублики они различаются. Аналогично далее с городами и улицами городов. В разныхгородах могут быть улицы с одинаковыми названиями, например, почти во всех городахСССР были улицы Ленина и Мира.
Однако то были улицы в разных городах. В пределахже одного населенного пункта улицы всегда имеют разные названия, причем именованиеулиц контролирует соответствующий центральный орган местной администрации (мэрии,сельсовета, горсовета).Поскольку Интернет – сеть всемирная, то нужен был механизм распределения имен насамом верхнем, межгосударственном уровне. Сейчас принята двухбуквенная кодировкагосударств. Это оговорено в RFC 822. Так, например, домен «Канада» называется «ca»,бывший СССР – «su», США – «us» и т.д. США включили в эту систему структурированиядля всеобщности и порядка.
Всего же кодов стран почти 300. Единый каталог Интернетанаходится в SRI International (Менло-Парк, Калифорния, США) – в государственнойорганизации.7.2.2. Поиск адреса по доменному имениТеперь, после того как мы узнали, как соотносятся домены и создаются имена,познакомимся с тем, как использовать эту замечательную систему. Она работаетавтоматически. Нам не надо разыскивать адрес, соответствующий имени или подаватьспециальную команду для его поиска (в UNIX – команда nslookup). Все компьютеры вИнтернете способны пользоваться доменной системой.Когда используют имя, например, www.lvk.cs.msu.su, надо преобразовать его в адрес.
Дляэтого приложение начинает запрашивать помощь у DNS-серверов. Эти приложенияобладают соответствующей базой данных, в число обязанностей которых входитобслуживание такого рода запросов. DNS-сервер начинает обработку имени с его правогоконца и двигается по нему влево, т.е. сначала производится поиск адреса в самой верхнейгруппе иерархии, потом постепенно поиск опускается по иерархии, тем самым сужаяобласть поиска.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
