answers2010 (1131265), страница 20

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 20)

У предложенного алгоритма есть два недостатка. Он представляет собой моноалфавитное замещение с 64-разрядным символом. Одни и те же поля исходного текста попадут в одни и те же места шифра. Второй недостаток – для начала шифрования надо иметь сразу весь 64-разрядный блок исходного текста. Это не совсем удобно, когда приходится иметь дело с интерактивными приложениями.

Первый недостаток устраняется модификацией алгоритма DES, в которой очередной блок исходного текста через операцию EXCLUSIVE OR смешивается с шифром предыдущего блока.

Для устранения второго недостатка используется т.н. обратная связь по шифру

Раскрытие DES

проект машины стоимостью в 20 миллионов долларов, которая вскрывала DES. Достаточно было подать на вход этой машине небольшой фрагмент зашифрованного текста и соответствующий фрагмент исходного текста, как эта машина в течение дня находила ключ шифра. Основной вывод - DES не является надежным шифром и его нельзя использовать для ответственных документов. Удвоение длины ключа до 112 бит кардинально меняет ситуацию.

В этом случае можно предложить следующую процедуру взлома:

1. Вычислить все возможные применения функции Е к шифруемому тексту.

2. Вычислить все возможные дешифрации зашифрованного текста однократным применением дешифрирующей функции.

3. Отсортировать полученные таблицы и искать совпадающие строки.

4. Полученная пара номеров строк – пара ключей.

5. Проверить эту пару на совпадение шифрования; если неудачный результат, продолжить с шага 1.

Алгоритмы с открытыми ключами

Пусть у нас есть алгоритмы Е и D, которые удовлетворяют следующим требованиям:

1. D(E(P))=P

2. Чрезвычайно трудно получить D из E.

3. Е нельзя вскрыть через анализ исходных текстов.

Алгоритм шифрования Е и его ключ публикуют или помещают так, чтобы каждый мог их получить, алгоритм D также публикуют, чтобы подвергнуть его изучению, а вот ключи к последнему хранят в секрете. Пусть А хочет послать В сообщение Р. А шифрует EВ(P), зная алгоритм и открытый ключ для шифрования. В, получив EВ(P), использует DВ с секретным ключом, т.е. вычисляет DВ(EВ(P))=P. Никто не прочтет P кроме A и B, т.к. по условию алгоритм EВ не раскрываем по условию, а DВ не выводим из EВ.

63. Безопасность и способы защиты данных в сетях ЭВМ: протоколы установления подлинности документов и пользователей (аутентификация на основе закрытого разделяемого ключа, установка разделяемого ключа, проверка подлинности через центр раздачи ключей, установление подлинности протоколом Цербер, установление подлинности, используя шифрование с открытым ключом). Электронная подпись (подпись с секретным ключом, подпись на основе открытого ключа). Сокращение сообщения.

Протоколы установления подлинности

Протоколы установления подлинности (аутентификации) позволяют процессу убедиться, что он взаимодействует с тем, с кем должен, а не с тем, кто лишь представляется таковым.

Общая схема всех протоколов аутентификации такова: сторона А и сторона В начинают обмениваться сообщениями между собой или с Центром раздачи ключей (ЦРК). ЦРК - всегда надежный партнер. Протокол аутентификации должен быть устроен так, что даже если злоумышленник перехватит сообщения между А и В, то ни А, ни В не спутают друг друга со злоумышленником.

Аутентификация на основе закрытого разделяемого ключа

Основная идея первого протокола аутентификации, так называемого «протокола ответ по вызову», состоит в том, что одна сторона посылает некоторое число (вызов), другая сторона, получив это число, преобразует его по определенному алгоритму и отправляет обратно. Посмотрев на результат преобразования и зная исходное число, инициатор может судить, правильно сделано преобразование или нет. Алгоритм преобразования является общим секретом взаимодействующих сторон.

Есть несколько общих правил построения протоколов аутентификации :

1. Инициатор должен доказать, кто он есть, прежде чем вы пошлете ему какую-либо важную информацию.

2. Инициатор и отвечающий должны использовать разные ключи.

3. Инициатор и отвечающий должны использовать начальные вызовы из разных непересекающихся множеств.

Установка разделяемого ключа

Это протокол обмена ключом Диффи-Хеллмана. Прежде всего, А и В должны договориться об использовании двух больших простых чисел n и g, удовлетворяющих определенным условиям. Эти числа могут быть общеизвестны. Затем, А выбирает большое число, скажем x, и хранит его в секрете. То же самое делает В. Его число – y. А шлет В сообщение (n, g, gx mod n), В шлет в ответ (gy mod n). Теперь А выполняет операцию (gy mod n)x, В - (gx mod n)y. теперь оба имеют общий ключ - gxy mod n

Проверка подлинности через центр раздачи ключей

Идея этого протокола состоит в следующем. А выбирает ключ сессии KS. Используя свой ключ KA, A шлет в центр KDC запрос на соединение с В. Центр KDC знает В и его ключ KB. С помощью этого ключа KDC сообщает В ключ сессии KS и информацию о тех, кто хочет с ним соединиться.

Однако решение с центром KDC имеет изъян. Пусть злоумышленник как-то убедил А связаться с В и скопировал весь обмен сообщениями. Позже он может воспроизвести этот обмен за А и заставить В действовать так, как если бы с В говорил А. Этот способ атаки называется атака подменой.

Против такой атаки есть несколько средств. Одно из них – временные метки. Другое решение - использование разовых меток.

Установление подлинности протоколом «Цербер»

В нем используется предположение, что все часы в сети хорошо синхронизованы.

Протокол «Цербер» предполагает использование кроме рабочей станции А еще трех серверов:

1. Сервер установления подлинности (СП) – проверяет пользователей на этапе login.

2. Сервер выдачи квитанций (СВБ) – идентификация квитанции.

3. Сервер В – тот кто должен выполнить работу, необходимую А.

СП аналогичен KDC и знает секретный пароль для каждого пользователя. СВБ выдает квитанции, которые подтверждают подлинность заказчиков работ.

Сначала пользователь шлет открыто свое имя серверу СП. СП отвечает ключом сессии и квитанцией – <KS, KTGS(A, KS)>. Все это зашифровано секретным ключом А. Когда сообщение 2 пришло на рабочую станцию, у А запрашивают пароль, чтобы по нему установить KA для расшифровки сообщения 2. Пароль перезаписывается с временной меткой, чтобы предотвратить его захват злоумышленником. Выполнив login, пользователь может сообщить станции, что ему нужен сервер В. Рабочая станция обращается к СВБ за квитанцией для использования сервера В. Ключевым элементом этого запроса является KTGS(A, KS), зашифрованное секретным ключом СВБ. В ответ СВБ шлет ключ для работы А и В - KAB.

Установление подлинности с шифрованием с открытым ключом

Установить взаимную подлинность можно с помощью шифрования с открытым ключом. Пусть А и В уже знают открытые ключи друг друга. Они их используют, чтобы установить подлинность друг друга, а затем используют шифрование с секретным ключом, которое на несколько порядков быстрее.

Электронная подпись

Нужна система, которая позволяла бы одной стороне посылать «подписанный» документ другой стороне так, чтобы:

1. Получатель мог удостовериться в подлинности отправителя.

2. Отправитель позднее не мог отречься от документа.

3. Получатель не мог подделать документ.

Подпись с секретным ключом

Одно из решений проблемы электронной подписи – наделить полномочиями третью сторону, которую знают все, которая знает всех и которой верят все. Временные метки

Подпись на основе открытого ключа

Недостаток вышеописанного решения в том, что все должны доверять СД, который может читать сообщения.

Закрытый-открытый – закрытый-открытый

Сокращение сообщения

Эта схема основана на идее однозначной функции перемешивания, которая по сообщению вычисляет битовую строку фиксированной длины. Эта функция называется сокращение сообщения (MD). Она обладает тремя важными свойствами:

1. Для заданного Р вычислить MD(P) просто.

1. Имея MD(P), невозможно восстановить Р.

2. Никто не сможет подобрать таких два сообщения, что MD от них будут одинаковыми.

64. Служба DNS: основные функции, структуры данных, принципы функционирования

Все интернет-приложения позволяют пользоваться системными именами вместо числовых адресов. Все эти имена зафиксированы в специальной распределенной базе данных DNS, которая поддерживает иерархическую систему имен для идентификации абонентских машин или узлов в сети Интернет.

Структура региональной системы имен

Доменная система имен - это метод назначения имен путем передачи сетевым группам ответственности за подмножество имен в своем домене. Каждый уровень этой системы называется доменом. Домены в имени отделяют друг от друга точками. Все пространство доменов распределено на зоны. С левого конца доменного имени находятся имена абонентских машин. Имена бывают собственные и функциональные (www,ftp,mail).

Группа может создавать или изменять любые принадлежащие ей имена.

1. Доменная система именования указывает на то, кто ответственен за поддержку имени, то есть в чьем ведении оно находится. Однако она ничего не сообщает о владельце компьютера, где эта машина находится (несмотря на коды стран

2. Понятия доменного имени и сети, вообще говоря, не связаны. Часто доменные имена и сети перекрываются, и жестких связей между ними нет: две машины одного домена могут не принадлежать к одной сети.

3. У машины может быть много имен

65. Организация, функционирование и основные протоколы почтовой службы в Internet.

Поначалу возможности электронной почты сводились к передаче файлов с одним ограничением, что первая строка файла должна содержать адрес получателя. проблемы:

1. Посылать одно и то же сообщение сразу нескольким получателям было не удобно.

2. Сообщение не имело внутренней структуры, что усложняло его обработку на машине.

3. Отправитель никогда не знал, получено сообщение или нет.

4. Если, отправляясь в командировку, кто-то хотел перенаправить свои сообщения кому-то другому, это было не возможно.

5. Интерфейс пользователя был неудобен. Он требовал от пользователя сначала работать в редакторе файлов, затем переходить в систему отправки файлов.

6. Было невозможно отправить вперемешку и текст, и голос и видео.

Архитектура почтовой системы состоит из двух основных компонентов - агента пользователя и агента передачи сообщений. Первый отвечает за интерфейс с пользователем, составление и отправку сообщений. Второй – за доставку сообщения от отправителя к получателю.

MIME

Основная задача системы передачи почтовых сообщений – надежно доставить сообщение от отправителя к получателю. Самый простой способ сделать это – установить транспортное соединение и по нему передавать почту.

SMTP (Simple Mail Transfer Protocol) – Простой протокол передачи почты. В Internet почта передается следующим образом. Машина отправитель устанавливает ТСР-соединение с 25-м портом машины получателя. На 25 порту находится почтовый демон, который работает по протоколу SMTP. Он принимает соединение и распределяет поступающие сообщения по почтовым ящикам машины-получателя.

Почтовые шлюзы

Простой протокол для изъятия почты из удаленного почтового ящика – РОР3. Он позволяет входить в удаленную систему и выходить из нее, передавать письма и принимать их. Главное - он позволяет забирать почту с сервера и хранить ее на машине пользователя.

Более сложный протокол IMAP – Interactive Mail Access Protocol. Он позволяет одному и тому же пользователю заходить с разных машин на сервер, чтобы прочесть или отправить почту. Это по существу удаленное хранилище писем. Он, например, позволяет получать доступ к письму не только по его номеру, но и по содержанию.

Третий часто используемый протокол – DMSP. Этот протокол не предполагает, что пользователь работает все время с одной и той же почтовой службой. Пользователь может обратиться к серверу и забрать почту на свою локальную машину, после чего разорвать соединение. Обработав почту, он может ее отправить позже, когда будет установлено очередное соединение.

Важными почтовыми сервисами являются:

1. Фильтры

2. Пересылка поступающей почты на другие адреса

3. Демон отсутствия

4. Почтовый робот (программа, анализирующая входящие письма и отвечающая на них)

PGP – Pretty Good Privacy. Это полный пакет безопасности, который включает средства конфиденциальности, установления подлинности, электронной подписи, сжатия, и все это в удобной для использования форме.

PEM – почтовая служба с повышенной конфиденциальностью. имеет статус Internet-стандарта. Сообщения, пересылаемые с помощью PEM, сначала преобразуются в каноническую форму. В этой форме соблюдены соглашения относительно спецсимволов типа табуляции, последовательных пробелов и т.п. Затем сообщение обрабатывается MD5 или MD2, шифруется с помощью DES (56-разрядный ключ) и передается с помощью кодировки base64. Передаваемый ключ защищается либо с помощью RSA, либо с помощью DES по схеме EDE.

66. Служба FTP: организация, протокол.

FTP (File Transfer Protocol, Протокол передачи данных) - это один из первых и все еще широко используемых интернет-сервисов. Протокол FTP предназначен для решения следующих задач:

1. разделение доступа к файлам на удаленных абонентских машинах

2. прямое или косвенное использования ресурсов удаленных компьютеров

3. обеспечение независимости клиента от файловых систем удаленных абонентских машин

4. эффективная и надежная передача данных

FTP - это протокол прикладного уровня, который, как правило, использует в качестве транспортного протокола TCP. FTP не может использоваться для передачи конфиденциальных данных, поскольку не обеспечивает защиты передаваемой информации и передает между сервером и клиентом открытый текст. FTP-сервер может потребовать от FTP-клиента аутентификации. FTP поддерживает сразу два канала соединения - канал передачи команд (и статусов их обработки) и канал передачи данных.

FTP может использоваться не только при передаче файлов между клиентом и сервером, но и между двумя FTP-серверами, ни один из которых не расположен на локальном хосте пользователя.

Основу передачи данных FTP составляет механизм установления соединения между соответствующими портами и механизм выбора параметров передачи. Каждый участник FTP-соединения должен поддерживать 21 порт передачи данных по умолчанию.

Характеристики

Список файлов ответов (шпаргалок)