Инфраструктуры открытых ключей - [23]

Шрифт

Интервал

. Пользователь сначала однократно регистрируется в локальной сети (используя однофакторную или многофакторную аутентификацию), после чего получает локальный доступ к своим секретным ключам. Затем секретный ключ подписи может быть использован для автоматической и прозрачной аутентификации пользователя другими серверами и устройствами сети независимо от того, желает ли пользователь использовать их для коммуникации. Пользователь может свободно использовать локальную и удаленную среды без необходимости каждый раз вводить пароль или предъявлять для считывания отпечаток пальца.

Целостность

Сервис целостности данных гарантирует то, что данные (передаваемые или хранимые) не были незаметно изменены. Очевидно, что такая гарантия существенна для любого вида электронного бизнеса, а также желательна во многих других средах. Целостность данных может быть достигнута при помощи таких механизмов, как биты контроля четности и циклический избыточный код [10], но они эффективны только для обнаружения случайных ошибок и бессильны противостоять преднамеренному манипулированию данными и модификации их содержания в корыстных целях. Для защиты данных от этого вида атак требуются криптографические методы. Необходимо, чтобы субъект, желающий обеспечить целостность данных, и субъект, желающий быть гарантированно уверенным в целостности данных, понимали и правильно использовали соответствующие алгоритмы и ключи. Преимуществом сервиса целостности, предоставляемого PKI, является возможность участников коммуникации выбирать алгоритмы и согласовывать ключи, причем делать это способом, полностью прозрачным для этих субъектов.

Конфиденциальность

Сервис конфиденциальности гарантирует секретность данных: никто не может прочесть данные, за исключением определенного субъекта, которому они предназначены. Требование конфиденциальности предъявляется к информации, которая:

* хранится на носителе (например, на жестком диске компьютера), откуда она может быть прочитана или скопирована субъектом, не имеющим полномочий;

* представляет собой резервную копию на носителе (типа магнитной ленты), который может попасть в руки стороннего субъекта;

* передается по незащищенным каналам.

Сервис конфиденциальности - это основа достижения понимания между субъектами прозрачным для них способом. Для обеспечения конфиденциальности, с учетом опыта и современных возможностей компьютерных правонарушителей, криптографические методы должны применяться ко всем секретным данным. Как и в случае обеспечения целостности, это требует правильного применения субъектами соответствующих алгоритмов и ключей.

Базовые криптографические механизмы сервисов безопасности PKI

Криптография - область прикладной математики, занимающаяся проблемами преобразования данных для обеспечения информационной безопасности. С помощью криптографии отправитель преобразует незащищенную информацию ( открытый текст ) в непонятный для стороннего наблюдателя, закодированный вид ( шифртекст ). Получатель использует криптографические средства, чтобы преобразовать шифртекст в открытый текст, то есть расшифровать его, проверить подлинность отправителя, целостность данных или реализовать некоторые комбинации перечисленного.

Современная криптография предлагает большой набор механизмов обеспечения информационной безопасности: от "классического" шифрования до алгоритмов хэширования, схем аутентификации, цифровой подписи и других криптографических протоколов [212]. Кратко остановимся на трех классах криптографических механизмов - симметричных алгоритмах, алгоритмах хэширования и асимметричных алгоритмах.

Симметричные алгоритмы

Использование симметричных криптографических алгоритмов предполагает наличие взаимного доверия сторон, участвующих в обмене электронными документами или сообщениями, так как для шифрования и расшифрования применяется известный им один и тот же общий ключ. В этом случае нет никаких гарантий, что секретный ключ не будет скомпрометирован, поэтому применение симметричных алгоритмов требует очень надежных механизмов распределения ключей. Кроме того, необходимость обмена единым ключом между отправителем сообщения и каждым из получателей многократно увеличивает количество ключей в системе и затрудняет ее масштабируемость. Для 10 пользователей нужно 45 ключей, а для 1000 - уже 499 500 ключей [213].

Симметричные алгоритмы могут ограниченно использоваться для поддержания сервисов аутентификации и целостности, но в первую очередь применяются для обеспечения конфиденциальности. Для проверки целостности сообщения и аутентификации источника данных отправитель может сгенерировать шифртекст на базе всего открытого текста, как излагалось выше. После этого он отправляет открытый текст и часть шифртекста получателю сообщения. Эта часть шифртекста известна как код аутентификации сообщения или MAC (Message Authentication Checksum). Функция MAC на основе входа переменной длины и ключа формирует выход фиксированной длины [23]. Получатель использует свою копию секретного ключа отправителя сообщения для генерации

Продолжить чтение