Ақпаратты инженерлік қорғаудың әдістеріне анықтама беріңіз

9 Ақпаратты инженерлік қорғаудың әдістеріне анықтама беріңіз

Ақпаратты инженерлік-техникалық қорғау ерекшеліктері

Инженерлік-техникалық қорғау (ИТЗ) – бұл ағып кетудің, ақпараттың жариялануының және ұйымның желілік ресурстарына рұқсатсыз кірудің алдын алуға бағытталған техникалық құралдар мен іс-шаралар жиынтығы. Ақпаратты қорғаудың өзектілігі көптеген әлеуетті бәсекелестердің, сондай-ақ компанияға зиян келтіруі мүмкін зұлымдардың болуына байланысты. Соққы бөтен, құнды ақпарат болып тауар. Оның бұрмалануы, бүлінуі немесе плагиаты компанияның беделі мен қаржысына зиян келтіруі, зиян келтіруі және нарықтан шығуға ықпал етуі мүмкін.

Көптеген кәсіпорындар үшін ақпараттың құпиялылығын қорғау бірінші кезектегі міндет болды, оның бәсекеге қабілеттілігі мен технологиялық жаңалықтарды нарыққа сәтті шығару мүмкіндігі шешім сапасына байланысты. Қазіргі заманғы инженерлік-техникалық құралдарды пайдалана отырып, құпия немесе құпия санатына жататын мәліметтерді қорғауды қамтамасыз етуге болады.

Компаниядағы құпия құжаттардың орналасқан жерін бақылауға "СерчИнформ FileAuditor" көмектеседі. Бағдарлама файлдық жүйені автоматты түрде тексереді, құпия құжаттарды мазмұн түрі бойынша белгілейді және жабық ақпарат қорғалған шеңберден тыс болса, уақытында хабарлайды. Толығырақ білу.

Ақпаратты инженерлік-техникалық қорғау қажеттілігіне не себеп болды?

Ақпаратты өндіру құралдарын белсенді дамыту, оның ішінде қашықтықта деректерге рұқсатсыз қол жеткізуге мүмкіндік береді.

Тұрғын үй - жайларды, өндірістік және қызметтік үй-жайларды радио және электр аппаратурасымен жарақтандыру, олардың жұмысындағы ақаулар құпия ақпараттың жария болуына жиі ықпал етеді.

Микроэлектрониканың (аудиожазбалар, миникамералар) жетістіктері қарапайым пайдаланушыларға қолжетімді болды және оларды жасырын көздерден ақпаратты заңсыз алу үшін пайдалануға болады.

Ақпаратты қорғаудың сенімді техникалық құралдарын пайдалану деректердің ағып кетуіне жол бермейтін жалғыз әдіс болып табылады. Сондықтан ақпаратты қорғаудың қандай әдістері ең сенімді және қолдануға болатындығын білу пайдалы болады.

Ақпаратты инженерлік-техникалық қорғаудың негізгі түрлері

Ақпаратты түрі, әсер ету объектілері және пайдаланылатын технологиялар бойынша инженерлік-техникалық қорғаудың жіктемесі бар. Инженерлік-техникалық қорғау құралдарының мынадай түрлері бөлінеді:

Физикалық. Олар кәсіпорынды қорғау, аумақты және үй-жайларды бақылау, ғимаратқа бақыланатын кіруді жүзеге асыру мәселелерін шешу үшін қолданылады. Оларға өрт сөндіру жүйелері, Төтенше жағдайлар және жергілікті жарықтандыру, сондай-ақ қауіпсіздік теледидары кіреді. Ақпаратты қорғаудың физикалық құралдарын алдын-алу, анықтау және жою қауіп-қатерлеріне бөлуге болады, Бүгінде көптеген кәсіпорындардың басшылары белсенді қолданады.

Аппараттық. Оларға ақпаратты инженерлік-техникалық қорғауға және тыңшылыққа қарсы тұруға арналған электрондық және механикалық құрылғылар жатады. Олардың негізгі міндеті – ақпараттың ағып кету арналарын анықтау, оларды оқшаулау (анықтау) және бейтараптандыру. Мұндай құралдардың мысалдары құпия тыңдау мақсатында орнатылған желілік радио таратқыштарды, телефон бетбелгілерін және радиомикрофондарды іздеуге арналған кешендер болып табылады.

Бағдарламалық. Олар құпия деректерді қорғауды қамтамасыз ететін ақпаратты қорғау жүйелерін қамтиды: жобалар, сызбалар, компанияның стратегиялық және тактикалық міндеттері, қаржылық және бухгалтерлік мәліметтер, жұмыс істейтін қызметкерлер туралы ақпарат.

Криптографиялық. Телефон арқылы сөйлесу, жұмыс кездесулері, жиналыстар кезінде ақпаратты қорғау үшін қолданылатын арнайы шифрлау және кодтау жүйелері. Криптографияның жұмыс істеу принципі хабарламаларды кодтаудың математикалық модельдерін қолданудан тұрады, бұл ақпаратты рұқсатсыз өзгертуден және зиянкестердің пайдалануынан тиімді қорғауды қамтамасыз етеді.

Ақпаратты қорғауды қамтамасыз ететін техникалық құралдардың арқасында компания жаңа әзірлемелер мен технологияларды егжей-тегжейлі пысықтап, сынап қана қоймай, оларды патенттей алады. ITZ өнеркәсіптік тыңшылық пен жаңа өнімді плагиат қаупін азайтады, сондықтан компьютерлік ақпаратты қорғау кез – келген компания үшін басты міндет болып табылады.

Деректерді бағдарламалық қорғауды аутсорсингке беруге болады. Тәжірибелі шақырылған маман компания үшін қауіпсіздік саясатын дұрыс орнатады және олардың орындалуын бақылайды. Көбірек білу.

ITZ-ді келесідей жіктеуге болады:

іске асыру тәсілі бойынша;

зиянкес құралдарының сыныптары бойынша;

қамту ауқымы бойынша;

ықпал етуге бағытталған нақты объектілер бойынша;

іс-шаралар сипаты бойынша;

инженерлік қорғауға арналған жүйелер класы бойынша.

Ақпаратты қорғау жөніндегі кешенді шаралар

Құпия деректерді қорғау туралы айтатын болсақ, кешенді тәсілді қолданудан аулақ болуға болмайды. Тәжірибе көрсеткендей, жүйелердің біреуіне ғана ставка жасау арқылы ақпараттың 100% қорғалуына қол жеткізуге болмайды. Бүгінгі таңда ақпаратты бақылауға бағытталған техникалық құралдар жүйесі үнемі жетілдіріліп отыратыны таңқаларлық емес.

Біздің еліміздің өмір сүруінің нарықтық кезеңінде өндіріс жабық құрылымдар жүйесі болды, ол ақпараттың ағып кетуінен өзіндік қорғауды қамтамасыз етті, бірақ олар әлі де орын алды. Жалпы бақылау және батыс ғалымдарымен өзара әрекеттесудің болмауы ғылыми-техникалық прогресті бәсеңдетті. Сол кездегі көптеген инновациялық жобалар ведомстволардың өзара іс-қимылының болмауына байланысты ешқашан іске асырылмаған.

Әрине, капиталистік нарық жағдайында мұндай қорғауды жүзеге асыру мүмкін емес, өйткені компания өз өнімдерін жарнамалай алады, осылайша құпияны ашады. Алайда, ақпаратты инженерлік - техникалық қорғау құралдарын белсенді пайдалану компанияға зиян келтіру қаупін азайтады.

Ақпаратты инженерлік-техникалық қорғау туралы қорытындылай келе, барлық кәсіпорындар деректерді ұрлауға қарсы тиімді жүйемен жабдықталмағанын атап өткен жөн. Қазіргі заманғы кешендер мен ақпаратты қорғаудың инженерлік-техникалық жүйелерін уақтылы енгізу ұйымның тиімді жұмыс істеуін қамтамасыз ете отырып, ағып кетуді барынша азайтуға мүмкіндік береді.

10 Симметриялық шифрлеу алгоритміне анықтама беріңіз.

 Симметриялық шифрлау

"Касперский" энциклопедиясы симметриялық шифрлау бар Глоссарий

Симметриялық шифрлау-деректерді шифрлау әдісі, онда бірдей кілт кодтау үшін де, ақпаратты қалпына келтіру үшін де қолданылады. 1970 жылдарға дейін, алғашқы асимметриялық шифрлар пайда болған кезде, бұл жалғыз криптографиялық әдіс болды.

Симметриялық алгоритмдердің жұмыс принципі

Жалпы алғанда, шифрлау және шифрлау үшін бірдей құпия кілтті қолданатын кез-келген шифр симметриялы болып саналады.

Мысалы, егер алгоритм әріптерді сандармен ауыстыруды қамтыса, онда хабарлама жіберушіде де, оны алушыда да әріптер мен сандардың сәйкестік кестесі бірдей болуы керек: біріншісі хабарламаларды шифрлайды, екіншісі шифрлайды.

Алайда, мұндай қарапайым шифрларды бұзу оңай-мысалы, тілдегі әр түрлі әріптердің жиілігін біле отырып, сіз мағыналы сөздерді ала алмайынша, ең көп кездесетін әріптерді кодтағы ең көп сандармен немесе таңбалармен байланыстыра аласыз. Компьютерлік технологияны қолдана отырып, мұндай тапсырма аз уақытты ала бастады, сондықтан мұндай алгоритмдерді қолдану барлық мағынасын жоғалтты.

Сондықтан қазіргі заманғы симметриялы Алгоритмдер келесі талаптарға сай болса сенімді деп саналады:

Шығыс деректерінде бастапқы деректердің статистикалық үлгілері болмауы керек (жоғарыдағы мысалдағыдай: мағыналы мәтіннің ең жиілік таңбалары шифрдың ең жиілік таңбаларына сәйкес келмеуі керек).

Шифр сызықты емес болуы керек (яғни, шифрланған мәліметтерде қолында бірнеше ашық мәтіндер мен шифрлар бар болатын заңдылықтар болмауы керек).

Осы талаптарға сәйкес келетін нәтижелерге қол жеткізу үшін көптеген нақты симметриялық шифрлар алмастыру операцияларының комбинациясын (бастапқы хабарламаның фрагменттерін, мысалы, әріптерді басқа деректерге, мысалы, белгілі бір ереже бойынша немесе сәйкестік кестесін қолдана отырып) және пермутацияны (бастапқы хабарламаның бөліктерін белгілі бір ереже бойынша араластыру) қолданады.оларды кезекпен қайталаңыз. Осы операциялардан тұратын бір шифрлау шеңбері дөңгелек деп аталады.

Симметриялық шифрлау алгоритмдерінің түрлері

Жұмыс принципіне байланысты симметриялы шифрлау алгоритмдері екі түрге бөлінеді:

блоктық;

ағындық.

Блок алгоритмдері деректерді белгіленген ұзындықтағы блоктармен шифрлайды (алгоритмге байланысты 64, 128 немесе басқа бит саны). Егер барлық хабарлама немесе оның соңғы бөлігі блоктың өлшемінен аз болса, жүйе оны алгоритммен берілген таңбалармен толықтырады, олар қосымша деп аталады.

Ағымдағы блоктық алгоритмдерге мыналар жатады:

AES

МЕМСТ 28147-89

RC5

Blowfish

Twofish

Деректерді ағынмен шифрлау гамма көмегімен ақпараттың әр битін өңдеуді, яғни кілт негізінде қалыптасатын және шифрланған хабарламамен бірдей ұзындыққа ие жалған кездейсоқ құпия сандар тізбегінің сәйкес битін қолдана отырып, осы битті өзгертуді қамтиды. Әдетте, бастапқы деректер биттері XOR логикалық операциясын қолдана отырып, құпия реттілік биттерімен салыстырылады (егер биттердің мәні сәйкес келсе, 0-ге, ал егер олар әр түрлі болса, 1-ге рұқсат етіледі).

Ағынды шифрлау қазіргі уақытта келесі алгоритмдерді қолданады:

RC4

Salsa20

HC-256

WAKE

Симметриялық шифрлаудың артықшылықтары мен кемшіліктері

Симметриялық Алгоритмдер аз ресурстарды қажет етеді және асимметриялық алгоритмдерге қарағанда шифрлау жылдамдығын көрсетеді. Көптеген симметриялы шифрлар кванттық компьютерлер арқылы шабуылдарға төзімді, олар теорияда асимметриялық алгоритмдерге қауіп төндіреді.

Симметриялық шифрлаудың әлсіз жері-кілтпен алмасу. Алгоритмнің жұмысы үшін кілт жіберушіде де, хабарлама алушыда да болуы керек, оны беру керек; алайда, қорғалмаған арналар арқылы беру кезінде оны бөтен адамдар ұстап, қолдана алады. Іс жүзінде, көптеген жүйелерде бұл мәселе асимметриялық алгоритм көмегімен кілтті шифрлау арқылы шешіледі.

Симметриялық шифрлауды қолдану саласы

Симметриялық шифрлау көптеген заманауи қызметтерде деректерді бөлісу үшін қолданылады, көбінесе асимметриялық шифрлаумен үйлеседі. Мысалы, хабаршылар осындай шифрлармен хат алмасуды қорғайды (симметриялы шифрлау кілті әдетте асимметриялық шифрланған түрде жеткізіледі), ал бейне байланыс қызметтері — аудио және бейне ағындары. TLS қорғалған көлік протоколында берілген деректердің құпиялылығын қамтамасыз ету үшін симметриялық шифрлау қолданылады.

Симметриялық алгоритмдерді сандық қолтаңбалар мен сертификаттарды қалыптастыру үшін қолдануға болмайды, өйткені бұл әдісті қолданған кезде құпия кілт шифрмен жұмыс істейтіндердің бәріне белгілі болуы керек, бұл электрондық қолтаңба идеясына қайшы келеді (иесіне жүгінбестен оның түпнұсқалығын тексеру мүмкіндігі)

21 VPN-қызметінің сұлбасын көрсетіңіз.

Виртуалды жеке желілер технологиясының мәні мен мазмұны

Виртуалды жеке желілер технологиясы (VPN - Virtual Private Network) таратылған есептеу желілерінде деректерді беру кезінде ақпараттық қауіпсіздікті қамтамасыз етудің тиімді тетіктерінің бірі болып табылады.

Виртуалды жеке желілер бірнеше тәуелсіз қауіпсіздік қызметтерінің (механизмдерінің) тіркесімі болып табылады:

* бөлінген шлюздерде шифрлау (криптожүйелер инфрақұрылымын пайдалана отырып) (шлюз әртүрлі хаттамалар бойынша жұмыс істейтін есептеу желілері арасында деректер алмасуды қамтамасыз етеді);

* экрандау (желіаралық экрандарды қолдану арқылы);

* туннельдер.

VPN технологиясының мәні келесідей (сурет. 11):

* Интернетке шығу мүмкіндігі бар барлық компьютерлерге (Интернеттің орнына кез-келген басқа жалпы желі болуы мүмкін) есептеу желілері арқылы берілетін IP пакеттерін өңдейтін VPN агенттері орнатылады.

IP пакетін жібермес бұрын VPN агенті келесі әрекеттерді орындайды:

* пакет алушының IP-мекен-жайы талданады, осы мекен-жайға байланысты осы пакетті қорғау алгоритмі таңдалады (VPN агенттері бір уақытта бірнеше шифрлау және тұтастықты басқару алгоритмдерін қолдай алады). Егер мұндай алушы VPN агентінің параметрлерінде көрсетілмесе, Пакет толығымен жойылуы мүмкін;

* берілген деректердің тұтастығын бақылауды қамтамасыз ететін оның Имитациялық приставкасы есептеледі және пакетке қосылады;

* пакет шифрланады (қызметтік ақпаратты қамтитын IP-пакеттің тақырыбын қоса алғанда);

* пакеттің Жаңа тақырыбы пайда болады, онда алушының мекен-жайының орнына оның VPN агентінің мекен-жайы көрсетіледі (бұл процедура пакеттің инкапсуляциясы деп аталады).

Нәтижесінде, екі жергілікті желі арасындағы деректер алмасу vpn агенттері орнатылған екі компьютер арасындағы алмасу ретінде ұсынылады. Сыртқы шабуыл үшін пайдалы барлық ақпарат, мысалы, желінің ішкі IP мекенжайлары, бұл жағдайда қол жетімді емес.

[pic 1]

Сурет 11.- VPN технологиясының схемасы

* IP пакетін алған кезде кері әрекеттер орындалады:

* пакеттің тақырыбынан пакетті жіберушінің VPN агенті туралы ақпарат алынады, егер мұндай жіберуші рұқсат етілгендердің қатарына кірмесе, онда пакет тасталады (пакетті әдейі немесе кездейсоқ зақымдалған тақырыппен қабылдаған кезде де солай болады);

* параметрлерге сәйкес криптографиялық алгоритмдер мен кілттер таңдалады, содан кейін пакет шифрланады және оның тұтастығы тексеріледі(тұтастығы бұзылған пакеттер де тасталады);

* барлық кері түрлендірулерден кейін пакет өзінің бастапқы түрінде жергілікті желі арқылы нақты адресатқа жіберіледі.

Барлық аталған операциялар автоматты түрде орындалады, VPN агенттерінің жұмысы пайдаланушыларға көрінбейді. Vpn агенттерін орнату өте қиын, оны тек тәжірибелі қолданушы жасай алады. VPN агенті тікелей қорғалған компьютерде болуы мүмкін (бұл әсіресе мобильді пайдаланушылар үшін пайдалы). Бұл жағдайда ол орнатылған бір ғана компьютердің деректер алмасуын қорғайды.

Желілерде деректерді беру кезіндегі "туннель" ұғымы

Деректерді беру үшін VPN агенттері қорғалған жергілікті желілер немесе компьютерлер арасында виртуалды арналар жасайды (мұндай арна "туннель" деп аталады және оны құру технологиясы "туннель"деп аталады). Барлық ақпарат туннель арқылы шифрланған түрде беріледі.

[pic 2]

12-сурет-vpn-де туннельді ұйымдастыру.

VPN агенттерінің міндетті функцияларының бірі пакеттерді сүзу болып табылады. Пакеттік сүзу vpn агентінің параметрлеріне сәйкес жүзеге асырылады, олардың жиынтығы виртуалды жеке желінің қауіпсіздік саясатын құрайды. Туннельдердің ұштарында виртуалды жеке желілердің қауіпсіздігін арттыру үшін брандмауэрлерді орналастырған жөн.

Тақырып бойынша қорытындылар

* Виртуалды жеке желілер-бұл бірнеше тәуелсіз қауіпсіздік қызметтерінің (механизмдерінің) жиынтығы:

* шифрлау (криптожүйелер инфрақұрылымын пайдалану);

* экрандау (желіаралық экрандарды қолдану арқылы);

* туннельдер.

* Виртуалдық жеке желілер технологиясын іске асыру кезінде интернетке шығу мүмкіндігі бар барлық компьютерлерге (Интернеттің орнына ортақ пайдаланудағы кез келген басқа желі де болуы мүмкін) есептеуіш желілер бойынша берілетін IP-пакеттерді өңдейтін VPN-агенттер орнатылады.

* Виртуалды жеке желіде екі жергілікті желі арасында деректер алмасу vpn агенттері орнатылған екі компьютер арасында алмасу ретінде ұсынылады. Сыртқы шабуыл үшін пайдалы барлық ақпарат, мысалы, желінің ішкі IP мекенжайлары, бұл жағдайда қол жетімді емес.

* Деректерді беру үшін VPN агенттері қорғалған жергілікті желілер немесе компьютерлер арасында виртуалды арналар жасайды (мұндай арна "туннель" деп аталады және оны құру технологиясы "туннель"деп аталады).

* VPN агенттерінің міндетті функцияларының бірі-пакеттерді сүзу.

* Пакеттік сүзу vpn агентінің параметрлеріне сәйкес жүзеге асырылады, олардың жиынтығы виртуалды жеке желінің қауіпсіздік саясатын құрайды.

* Туннельдердің ұштарында виртуалды жеке желілердің қауіпсіздігін арттыру үшін брандмауэрлерді орналастырған жөн.

22) DES алгоритмінің структурасын түсіндіріңіз.

Des деректерді шифрлау стандарты (DATA ENCRYPTION

STANDARD) – ұлттық стандарттар және технологиялар институты (Nist-National Institute of Standards and Technology) әзірлеген симметриялы кілттері бар блоктық шифр. Тарих: l973 жылы NIST симметриялы кілттері бар ұлттық криптографиялық жүйенің ұсынысын әзірлеу туралы өтініш шығарды IBM ұсынған жобаның модификациясы

LUCIFER, DES ретінде қабылданды. FIPS коды – Federal Information Processing Standard.

Жалпы ережелер

Шифрлау үшін DES 64 биттік ашық мәтінді қабылдайды және 64 биттік Шифр мәтінін жасайды және керісінше 64 биттік Шифр мәтінін алып, 64 биттік Шифр мәтінін шығарады. Екі жағдайда да шифрлау және шифрлау үшін бірдей 56 биттік кілт қолданылады.

[pic 3]

DES құрылымы

Шифрлау процесі бастапқы және соңғы (соңғы) пермутация деп аталатын екі пермутациядан және Фейстельдің 16 раундынан тұрады. Әр раундта әр түрлі 48 биттік кілттер қолданылады.

2) бастапқы IP және соңғы 1 IP пермутациялық IP

Олардың әрқайсысының кірісіне 64 бит кіреді, содан кейін

берілген кестелерге сәйкес ретке келтіріледі. Бұл

пермутациялар өзара кері. Басқаша айтқанда, бастапқы пермутацияның кіреберісіндегі 58-ші бит одан шығу кезінде 1-ші позицияға өтеді. Ал соңғы пермутация 1-ші кіріс биті 58-ші орынға шығады.

Шифрлау процессінде 64-биттік блоктың алғашқы алмастыруы, шифрлаудың он алты раунды және соңғы алмастыруы орындалады. Шифрлаудың он алты раундын қолдануға келесі себептер бар: - криптографиялық қорғаудың керекті деңгейін қамтамасыз ету үшін минималды қажетті раундтар саны он екі; - аппаратты жүзеге асыру кезінде он алты раундты қолдану келесі түрлендірулер үшін түрлендірілген кілтті алғашқы күйге қайтаруға мүмкіндік береді; - берілген раундтар саны сонымен қатар шифрланған деректер блогына екі жақтан шабуыл жасауды аластату үшін қажет. Әр раунд әртүрлі (он алты) генерацияланған 48-биттік кілттерді қолданады. DES кейбір жүзеге асыруларында ашық мәтін блоктары шифрлау құрылғысының регистрлеріне жүктеу алдында алғашқы алмастыру процедурасын өтеді. Бұл процедураны хабардың статистикалық құрылымын алғашқы шашыратуын өткізу үшін қолданылады [12, 29]. Алғашқы алмастыруды қолдану жағдайда (Initial Permutation – IP), он алты раундты орындағаннаң кейін алынған блокқа кері алмастыру қолданылады (IP - 1 ). IP деректер биттерін алмастыру IP – 1 инверсиясы бар сым коммутация деп аталады, яғни соңғы алмастыру алғашқысына кері болады. Қолданылатын екі алмастырудың DES криптографиясына ешқандай мәні жоқ. Екі алмастыру кілтсіз және алдыналы белгілі. Бұл процесстің екі жағына да бір бағдарламалық немесе аппараттық қамтаманы қолдануға мүмкіндік береді: шифрлау және керішифрлау үшін. 5.3 суреті алғашқы және соңғы алмастыруды көрсетеді. Әр алмастыру 64-биттік деректер блоктарын қабылдайды және оның элементтерін берілген ереже бойынша ауыстырады. 5.3 суретінде кіріс және сәйкес келетін шығыс порттарының кейбіреулері ғана көрсетілген. Бұл алмастырулар – кілтсіз түзу алмастырулар, олар бір біріне инверсты. Мысалы, алғашқы алмастыруда (IP) кірісте 58-ші бит шығыста бірінші битке ауысады. Тұра солай, соңғы алмастыруда (IP– 1 ) бірінші кіріс биты шығыста 58-ші битке ауысады. Басқа сөзбен, егер осы екі алмастыру арасында раунд болмаса, алғашқы алмастыру құрылғысының кірісіне келге 58-ші бит соңғы алмастырудың 58-ші шығысына жіберіледі.

23) Triple-DES сызбасын түсіндіріңіз.

Triple DES (3DES), ресми атауы Triple Data Encryption Algorithm (TEA немесе Triple DES) - 1978 жылы УИТФИЛД Диффи, Мартин Хеллман және Уолт Тачманн des алгоритмі негізінде жасаған симметриялы блок шифры. 3DES — тің жұмыс жылдамдығы DES-тен 3 есе төмен, бірақ криптоға төзімділік әлдеқайда жоғары-3DES-тің криптоанализіне кететін уақыт des-ті ашуға кететін уақыттан миллиард есе көп болуы мүмкін. Ресми атаудың орнына криптожүйелерді жеткізушілер, пайдаланушылар және әзірлеушілер "3DES"терминін қолданады.

Пайда болу себептері

3DES-DES шифрінің ұрпағы-1975 жылы құрылған. Алайда, ақпаратты қорғау технологиясының дамуымен бірге бұзу технологиялары да дамыды. Бұл шифрлау әдісінің негізгі проблемасына айналған des көмегімен шифрланған кілттерді таңдаудағы жылдамдық. Бірақ жаңа шифрлау алгоритмін ойлап табу тек дамудың өзі үшін ғана емес, сонымен қатар des-ті қолданған көптеген әлемдік компаниялардың қауіпсіздік құрылымын өзгерту үшін көп ақша мен уақытты қажет етеді. Көп ұзамай прагматикалық шешім табылды. Шифрдың өзін емес, оны қолдану әдісін өзгерту ұсынылды. Дәл сол кезде 3DES пайда болды.

Алгоритм

EDE3 көмегімен шифрлау

EDE3 алгоритмін қолдана отырып шифрлау

3DES алгоритмімен шифрлаудың 2 негізгі нұсқасы бар: 3-Key Triple DES және 2-key Triple DES. Атауынан көрініп тұрғандай, бұл әдістердің түбегейлі айырмашылығы - кілттердің саны (сәйкесінше үш және екі). Өз кезегінде, осы алгоритмдердің әрқайсысында 2 түрлі болады: EEE (encryption-encryption-encryption) және EDE (encryption-decryption-encryption) шифрлау. Үш кілттен бастайық:

DES-EEE3: бастапқы мәтін әр түрлі кілттерді пайдаланып үш рет шифрланады.

DES-EDE3: бастапқы мәтін шифрланады, содан кейін шифрланады (басқа кілтпен), содан кейін қайтадан шифрланады (үшінші кілтпен). Көрнекі бейнені төменде көруге болады.

DES-EEE2: бастапқы мәтін үш рет шифрланған, бірақ бірінші және соңғы қадамдардағы кілттер бірдей.

DES-EDE2: бастапқы мәтін шифрланады, содан кейін шифрланады (басқа кілтпен), содан кейін қайтадан шифрланады (бірінші шифрлау кезінде қолданылатын кілт).

Іс жүзінде 3DES шифрлаудың ең көп қолданылатын түрі - des-EDE3.

Кілттерді таңдау

Шифрлау кезінде кілттерді бірнеше жолмен таңдауға болады. Төменде, криптовалютаның төмендеу реті бойынша, бұл әдістер ұсынылған:

Барлық кілттер тәуелсіз, яғни әртүрлі.

Бірінші және соңғы шифрлауда қолданылатын кілттер бірдей, екінші кілт олардан өзгеше.

Барлық кілттер бірдей.

Бірінші нұсқа-ең тұрақты, өйткені ол әр түрлі кілттермен шифрлауды 3 рет қайталайды. Егер DES шифрлау кезінде кілттің ұзындығы 56 бит болса (әр бит 8 ЕМЕС, 7 бит қолданады), онда 3DES әр түрлі кілттермен шифрлау кезінде соңғы кілттің ұзындығы үш есе артады - 168 бит.

Екінші нұсқа аз сенімді-оның кілтінің ұзындығы тек 112 бит. Алайда, шифрлаудың бұл нұсқасы des көмегімен әдеттегі Қос шифрлауға қарағанда сенімдірек: ол "ортадағы кездесу" шабуылдарынан қорғайды, өйткені екі дәйекті шифрлаудың орнына оның құрамында Шифр бар, бұл кесте құруды және сол кестелерде бірдей мәндерді табуды қиындатады (шабуылдың осы түріндегі негізгі әрекеттер).

Үшінші нұсқа des - тің өзі сияқты криптографиялық төзімділікке ие-кілттің ұзындығы 56 бит. Сонымен қатар, EDE3 алгоритмін қолданған кезде, бірдей кілттері бар, шифрлау және шифрлау қадамдары бір-бірін жоққа шығарады.

Әрбір des кілті сақталады және 8 байт түрінде беріледі, әр байт тақ паритетпен беріледі, сондықтан кілттердің толық жиынтығы бірінші нұсқада 24 байтты, екіншісінде 16 және үшіншісінде 8 байтты алады.

Қолдану

Үш кілті бар 3DES интернетке негізделген көптеген қосымшаларда, соның ішінде PGP және S/mime бағдарламаларында жүзеге асырылады. Үш есе DES-бұл des-ке өте танымал балама және ANSI X9.17 және ISO 8732 стандарттарында және PEM-де (жеке күшейтілген пошта) кілттерді басқаруда қолданылады. Электрондық төлем индустриясы 3DES қолданады және оған негізделген стандарттарды (мысалы, EMV) белсенді түрде әзірлеуді және жариялауды жалғастыруда. Microsoft OneNote, Microsoft Outlook 2007 және Microsoft System Center Configuration Manager 2012 жүйелік деректер мен пайдаланушыларды парольдер арқылы қорғау үшін 3DES қолданады. Іс жүзінде қолданылатын белгілі криптографиялық шабуылдар 3DES-те жоқ.

Мамандар үш түрлі кілті бар 3DES-EDE алгоритмі 2030 жылға дейін сенімді болып қалады деп мәлімдегеніне қарамастан, 3DES біртіндеп кетеді: оның орнына жаңа AES rijndael алгоритмі келеді. Бағдарламалық түрде жүзеге асырылған Rijndael алты есе жылдам жұмыс істейді. Сондықтан 3DES аппараттық құралдарды енгізу үшін қолайлы. Көптеген қауіпсіздік жүйелері әдепкі бойынша AES қолдана отырып, 3DES және AES-ті қолдайды. Кері үйлесімділік үшін 3DES қолдауы мүмкін, бірақ оны пайдалану ұсынылмайды.

24) Хэш-функциясын түсіндіріңіз.

H m () хэш функциясы немесе хэш функциясы (hash-function) – бұл детерминистік функция, оның кірісіне еркін ұзындықтағы бит жолы беріледі, ал шығысы әрқашан белгіленген ұзындықтағы бит жолы болып табылады .

Әдебиетте басқа атаулар кең таралған болуы мүмкін, атап айтқанда

Хэш = хэш бейнесі= хэш коды = жинақтау =

=хабарлама дайджесі =

криптографиялық бақылау сомасы =

= = сандық із =

= хабарламаның түпнұсқалық коды =

= манипуляцияларды анықтау коды .

Есептелген хэш мәні бар бастапқы m жолы,

хэш функциясының прототипі деп аталады. Криптографиялық хэш функцияларына тән қасиеттер:

1. Бірінші прототипті табуға төзімділік-болмауы

кері функцияны есептеудің тиімді полиномиялық алгоритмі, яғни нақты уақытта (қайтымсыздық ) белгілі H m () жиынтығы арқылы m мәтінін қалпына келтіру мүмкін емес. Бұл қасиет хэш функциясы бір жақты функцияға тең.

2. Екінші прототипті іздеуге төзімділік (қақтығыстар

m хабарламасын және оның түйінін H m () біле отырып, есептеу мүмкін емес, мұндай басқа хабарламаны табу M M '≠ , H m H m ( ) ( ) = ' .

3. Қақтығыстарға төзімділік –екінші типтегі қақтығыстар) -.

Хэш функциясының соқтығысуы M және m', m M≠ мәндерінің жұбы деп аталады, ол үшін H M H m () ()= ' . Мүмкін болатын ашық мәтіндердің саны ықтимал жинақтау мәндерінің санынан көп болғандықтан, кейбір жинақтау үшін көптеген прототиптер бар ⇒ хэш функцияларына арналған қақтығыстар міндетті түрде болады. Мысалы, хэш прототипінің ұзындығы 6 бит, жинақтау ұзындығы 4 бит болсын. Содан кейін әр түрлі саны көбірек ⇒ барлығының кем дегенде бір жиынтығы 4 прототипке сәйкес келеді. Хэш функциясының соқтығысуға төзімділігі соқтығысуды табуға мүмкіндік беретін тиімді полиномиялық алгоритм жоқ дегенді білдіреді. Ескерту: қасиеттер тәуелсіз емес:

* Қайтымды функция екінші прототип пен соқтығысуды қалпына келтіруге тұрақсыз.

* Екінші прототипті қалпына келтіруге тұрақсыз, соқтығысуға тұрақсыз Функция; керісінше дұрыс емес.

* Функция соқтығысуға төзімді, екінші прототипті табуға төзімді.

* Соқтығысуға төзімді хэш функциясы міндетті түрде бір жақты емес. Криптография үшін хэш функциясының мәндері Аргументтің шамалы өзгеруімен қатты өзгеруі маңызды, яғни көшкін әсері оған тән болуы керек. Хэш мәні Аргументтің жеке биттері туралы ақпараттың ағып кетуіне жол бермеуі керек.

ХЭШ ФУНКЦИЯЛАРЫН ҚОЛДАНУ

ХАБАРЛАРДЫҢ ШЫНАЙЫЛЫҒЫН ТЕКСЕРУ

Хэш процесінің негізгі қадамдары:

А жіберушісі хэш функциясының кірісіне хабарлама жібереді және оның түйінін (хэш) табады.

Хабардың жиынтығы хабарға қосылады.

Жіберуші а алушыға хабарлама + жинақтау жібереді .

Алушы хабарламаны хэш функциясы арқылы жібереді.

Алушы в өзінің хабарлама жинақтау мәнін жасайды және хабарламаның екі жиынтығын салыстырады. Егер олар сәйкес келсе, хабарлама өзгерген жоқ.

Мүмкін шабуыл: криптоаналитик хабарламаны ұстап алып, оны өзгертеді, жаңа хэшті есептейді, оны өзгертілген хабарламаға қосады және алушыға жібереді. Қорғаудың жоғары деңгейі үшін хабарламалардың аутентификация кодын пайдалану керек (message Authentication Code).

25) PPTР хаттамасының қолданылу сұлбаларын түсіндіріңіз.

Microsoft корпорациясы бірқатар басқа компаниялардың қолдауымен әзірлеген РРТР ХАТТАМАСЫ қашықтағы пайдаланушыларға Интернет арқылы жергілікті желілерге қол жеткізу кезінде қорғалған виртуалды арналарды құруға арналған. РРТР ХАТТАМАСЫ қашықтағы компьютерді ашық желіге тікелей қосу жағдайында да, оны провайдер арқылы телефон желісі арқылы ашық желіге қосу кезінде де OSI моделінің арна деңгейінде крипто-қорғалған туннель құруды қамтиды .

РРТР ХАТТАМАСЫ оны Windows NT және Windows 2000 операциялық жүйелерінде іске асырған Microsoft компаниясының арқасында практикалық түрде таратылды. Кейбір өндірушілердің брандмауэрлері мен VPN шлюздері РРТР протоколын қолдайды. РРТР ХАТТАМАСЫ IP, IPX немесе NetBEUI хаттамалары бойынша деректермен алмасу үшін қорғалған арналарды құруға мүмкіндік береді. Осы хаттамалардың деректері РРР кадрларына оралады, содан кейін РРТР хаттамасы арқылы IP хаттамасының пакеттеріне инкапсулирленеді, оның көмегімен кез келген TCP/IP желісі арқылы шифрланған түрде тасымалданады.

РРТР сессиясы шеңберінде берілетін пакеттер мынадай құрылымға ие (14.1-сурет):

- интернет ішінде пайдаланылатын арна деңгейінің тақырыбы, мысалы, Ethernet жақтауының тақырыбы;

- пакетті жіберуші және алушы мекен-жайлары бар IP тақырыбы;

- GRE (Generic Routing Encapsulation)бағыттау үшін жалпы инкапсуляция әдісінің тақырыбы;

- IP, IPX немесе NetBEUI пакетін қамтитын бастапқы РРР пакеті.

Қабылдаушы желі торабы IP пакеттерінен РРР кадрларын алады, содан кейін бастапқы IP, IPX немесе NetBEUI пакетін РРР кадрынан алады және оны жергілікті желі арқылы белгілі бір адресатқа жібереді. РРТР протоколын қамтитын арна деңгейіндегі инкапсуляциялық хаттамалардың көп протоколы олардың жоғары деңгейдегі қорғалған арна хаттамаларына қарағанда маңызды артықшылығы болып табылады. Мысалы, егер IPX немесе NetBEUI корпоративті желіде қолданылса, IPSec немесе SSL протоколдарын қолдану мүмкін емес, өйткені олар тек бір IP желілік деңгейдегі протоколға бағытталған.

Инкапсуляцияның бұл әдісі OSI моделінің желілік деңгейінің протоколдарынан тәуелсіздікті қамтамасыз етеді және кез-келген Жергілікті желілерге (IP, IPX немесе NetBEUI) ашық IP желілері арқылы қауіпсіз қашықтан қол жеткізуге мүмкіндік береді. РРТР хаттамасына сәйкес қорғалған виртуалды арнаны құру кезінде қашықтағы пайдаланушыны аутентификациялау және берілетін деректерді шифрлау жүргізіледі (14.2-сурет).

[pic 4]

Қашықтағы пайдаланушыны аутентификациялау үшін РРР үшін қолданылатын әртүрлі хаттамаларды пайдалануға болады. Microsoft компаниясымен Windows 98/XP/NT/2000 енгізілген РРТР іске асыруда келесі аутентификация хаттамаларына қолдау көрсетіледі: Pap құпия сөзі бойынша тану ХАТТАМАСЫ (Password Authentication Protocol), mschap қол алысу кезіндегі тану ХАТТАМАСЫ (Microsoft Challenge-Handshaking Authentication Protocol) және EAP-TLS тану ХАТТАМАСЫ (Extensible Authentication Protocol-Transport layer Security). Pap хаттамасын пайдалану кезінде сәйкестендіргіштер мен парольдер байланыс желісі бойынша шифрланбаған түрде беріледі, бұл ретте тек сервер Клиентті аутентификациялауды жүргізеді. MSCHAP және EAP-TLS хаттамаларын пайдалану кезінде шабуылдаушының шифрланған парольмен ұсталған пакеттерді қайта пайдаланудан қорғау және Клиент пен VPN серверінің өзара аутентификациясы қамтамасыз етіледі.

RRTR көмегімен шифрлау Интернет арқылы жіберілген кезде ешкім деректерге қол жеткізе алмайтындығына кепілдік береді. MRRE шифрлау протоколы (Microsoft point-to-point Encryption) тек MSCHAP (1 және 2 нұсқалары) және EAP-TLS-пен үйлесімді және Клиент пен сервер арасындағы параметрлерді үйлестірген кезде шифрлау кілтінің ұзындығын автоматты түрде таңдай алады. MRRE протоколы 40, 56 немесе 128 биттік кілттермен жұмыс істеуді қолдайды.

РРТР ХАТТАМАСЫ әрбір қабылданған пакеттен кейін шифрлау кілтінің мәнін өзгертеді. MMRE протоколы "нүкте-нүкте" байланыс арналары үшін жасалды, онда пакеттер дәйекті түрде беріледі және деректердің жоғалуы өте аз. Бұл жағдайда келесі пакет үшін кілттің мәні алдыңғы пакетті шифрлау нәтижелеріне байланысты болады. Ортақ желілер арқылы виртуалды желілерді құру кезінде бұл шарттарды сақтау мүмкін емес, өйткені деректер пакеттері алушыға жіберілген ретпен жиі келмейді.

26) IPSec архитектурасын толық сипаттап беріңіз.

IPSec Архитектурасы

IP Security-бұл IP пакеттерін тасымалдау кезінде шифрлау, аутентификация және қорғауды қамтамасыз ету мәселелеріне қатысты хаттамалар жиынтығы; қазір оның құрамына 20-ға жуық стандарттар ұсынысы және 18 RFC кіреді.

IP Security спецификациясын (бүгінде IPsec ретінде белгілі) IP Security Protocol IETF жұмыс тобы жасайды. Бастапқыда IPsec "IP қауіпсіздік архитектурасы", "аутентификация тақырыбы (AH)", "шифрланған деректердің инкапсуляциясы (ESP)" (RFC1825, 1826 және 1827) RFC құжаттары ретінде жарияланған 3 алгоритмдік тәуелсіз негізгі сипаттаманы қамтыды. Айта кету керек, 1998 жылдың қараша айында IP Security Protocol жұмыс тобы қазіргі уақытта алдын — ала стандарттар мәртебесіне ие осы сипаттамалардың жаңа нұсқаларын ұсынды, бұл RFC2401-RFC2412. Айта кету керек, RFC1825-27 бірнеше жылдан бері ескірген болып саналады және іс жүзінде қолданылмайды. Сонымен қатар, MD5, SHA, DES протоколдарын қолданатын бірнеше алгоритмге тәуелді ерекшеліктер бар.

[pic 5]

IP Security Protocol жұмыс тобы негізгі ақпаратты басқару хаттамаларын да әзірлейді. Бұл топтың міндеті Internet Key Management Protocol (IKMP), қолданылатын қауіпсіздік протоколдарына тәуелсіз қолданбалы деңгейдегі кілттерді басқару протоколын жасау болып табылады. Қазіргі уақытта Internet Security Association and Key Management Protocol (ISAKMP) спецификациясын және Oakley Key Determination Protocol хаттамасын қолдана отырып, кілттерді басқару тұжырымдамалары қарастырылуда. ISAKMP спецификациясы пайдаланылған хаттамалардың атрибуттарын сәйкестендіру механизмдерін сипаттайды, ал Oakley протоколы Интернет компьютерлеріне сессия кілттерін орнатуға мүмкіндік береді. Бұрын skip хаттамасының кілттерін басқару тетіктерін пайдалану мүмкіндіктері де қарастырылған, бірақ қазір мұндай мүмкіндіктер іс жүзінде еш жерде қолданылмайды. Құрылған негізгі ақпаратты басқару стандарттары Kerberos жүйесінде қолданылатын кілттерді тарату орталықтарына ұқсас болуы мүмкін. Kerberos негізіндегі IPSec үшін негізгі басқару хаттамаларымен қазір салыстырмалы түрде жаңа KINK жұмыс тобы айналысады (Kerberized Internet negotiation of Keys).

IPsec спецификациясындағы деректердің тұтастығы мен құпиялылығына кепілдіктер сәйкесінше аутентификация және шифрлау тетіктерін пайдалану арқылы қамтамасыз етіледі. Соңғысы, өз кезегінде, Тараптар деп аталатын ақпарат алмасуды алдын – ала келісуге негізделген. "қауіпсіздік контексті" - қолданылатын криптографиялық алгоритмдер, негізгі ақпаратты басқару алгоритмдері және олардың параметрлері. IPsec спецификациясы әр түрлі протоколдар мен деректер пакеттерін аутентификациялау және шифрлау параметрлері, сондай-ақ кілттерді таратудың әртүрлі схемалары туралы ақпарат алмасуды қолдау мүмкіндігін қарастырады. Бұл ретте қауіпсіздік мәнмәтінін келісудің нәтижесі қауіпсіздік параметрлерінің ықтимал жиынтықтарын сипаттайтын ақпарат алмасу тарапының ішкі құрылымының белгілі бір элементіне көрсеткіш болып табылатын қауіпсіздік параметрлерінің индексін (SPI) белгілеу болып табылады.

IPv6 құрамдас бөлігі болатын IPSec үшінші деңгейде, яғни желілік деңгейде жұмыс істейді. Нәтижесінде берілетін IP пакеттері желілік қосымшалар мен инфрақұрылым үшін мөлдір болады. Төртінші (яғни, көлік) деңгейде жұмыс істейтін және OSI моделінің жоғары деңгейлерімен тығыз байланысты SSL (Secure Socket Layer) - тен айырмашылығы, IPSec төмен деңгейлі қорғауды қамтамасыз етуге арналған.

27) Паралелльді қосылудан қорғау блогының функционалды схемасын сипаттап беріңіз.

Абонент желісінің  рұқсат етілмеуі.

Рұқсат етілмеудің екі  айырмашылығын білу керек:

1) байланыс каналдары;

2) канал бойынша берiлетiн мәлiметтер.

Егер берiлетiн мәлiметтiң қорғалуы абоненттiң бойына  қаптап жатса, онда байланыс каналдарына рұқсат етiлмеген рұқсат туралы қалалық телефон желi мүддесіне тиедi.

Тәжірибе бойынша, телефон каналына рұқсат етiлмеген қосуды негiзгi орынға көрсету телефон станцияға абонент енгiзуiнен абоненттiк желісі  болып табылады.

Әдеттегiдей, абоненттiк сызыққа рұқсат етiлмеген қосуы үш әртүрлi әдiстермен өндiрiп ала алады:

- қожайынның жоғында  ТА қолдану;

- параллель негiзінде ТА қосымша қосу;

- желінің  үзiлуi болғанда  "қарақшы"  аппаратын  қосымша қосу.

 Радиотелефондар және сымсыз  телефондарды қолданғанда қосымша  қосылу мүмкіндігін туғызады, жоғарыда көрсетілгеннен басқа. Қосу әдiстерімен сәйкес қорғаудың әдiстерi де өзгередi.

Абонент желісінің  қорғалу ықтималдығының әдістері мен құралдары.

Жаңа ұрпақтың цифрлық станцияларының қалалық телефон желiсiнде пайда болуы АТС бағдарламалық қамтамасыз етеді, жартылай тұрақты бөлiктiң абоненттiк мiнездемелерiнде тиiстi кодтардың абонентiнiң мәлiмдемесi бойынша енгiзу бағдарламалық әдiспен бұл есептi жолмен шешедi.

Электромеханикалық АТС аналогиясы үшін пароль арқылы абонент желісін қорғау әдісін қолдануға болады.  Мұндай тәсілдің аппаратурасы «ЗОНД», игерілген ЛОНИИС (Санкт-Петербург)қолдануға болады. «ЗОНД» аппаратурасы АТС абонент аналогын қорғау үшін қала аралық және халықаралық автоматты байланысты  бөтен адамдар қолданбас үшін пайдаланылады. Аппаратура үлкен бір құрылғы ұсынады, ол сыйымдылығы 10000 АТС ретінде анықталған, жіберілген хабарлама түйіні АМТС бағыты бойынша. Қалааралық және халықаралық байланыс абонент бөлiмiнде абоненттерге қызмет тапсырысы жеткiзiлiп берiлетiн пароль бойынша iске асады. Бұдан басқа, қызмет тапсырыс берген абонент шығу қалааралық және халықаралық байланыспен пайдалануға тиімді (немесе қайтарып алыну) ендiруге өз алдына мүмкiндiгi болады. Бұл оператор өзіне берілген  абонентті берілген парольмен бекітеді, сосын «ЗОНД» аппаратурасына парольді енгізіп ПЭВМ модем арқылы коммутацияланылатын каналғана дейiн жүреді.

0,5 с  кідірісімен АТС (120В,25 Гц) кіретін байланыс арқылы жіберілуі «Пароль»-ді ашық күйіне аударады, сонымен ТА шақыру сигналын өткізеді. Әрбір кідірістегі жіберулер аяқталғаннан кейін «Пароль» жүйесі жабылып, үзіліс қайнар көзі телефонға қосылады. Абоненттік алған соң ол рұқсаттық кодын қайта теру қажет. Тек сол кезде ТА желіде орын алып бірігуді орнатып АТС-ке тікелей қосылады. Бұл қорғау әдісінің артықшылығы – АТС-ке блок орнатудың жеңілдігі және желіні кодтауының кодтауының жеңілдігі. Кемшілігі әрбір бірігуді орнату кезінде қолмен теру қажеттілігі және осындай кодтауда бірнеше мөлшердегі кодтау комбинацияларын енгізу. Одан басқа егерде ішкі қайнар көзі «Пароль»  энергияға тәуелді онда абоненттік желінің шлейф қорғалуының ұзақтығы 500-1500 метр шегінде тербеледі. Басқа жағдайда керекті импульстағы амплитуданың коды қорғау жүйесінің қабылдау құрылғысында мүмкін емес. Одан әрі жетілген қорғау жүйесінің нұсқасы «Пароль ТД» екі блогының қойылуын ескереді. 2-ші суретте жүйе қорғауының қосылуының схемасы көрсетілген. Екі модуль (а мен б) дәйекті түрде қосылады.

[pic 6]

14.3 сурет - Паралелльді қосылудан қорғау блогының функционалды схемасы

Ондай құралдың функционалдық схемасы 14.3-ші суретте көрсетілген. Осындай құрал блок қойылған жерден «Пираттық» қосылудан қорғау үшін арналған (шлейфтің ажырауынсыз АТС шығу клеммінің заңсыз қосылуына дейін). Дәл осындай қосылудың түрі абоненттік желіге рұқсат етілмеген қосылулардың 50-70 пайызын құрайды. Одан күрделі құралдар тауып қана қоймай, тыңшы құралдарда басып, рұқсат етілмеген телефондарды қоршайды. Ондай құралдардан УЗТ-01 (Мәскеу фирмасы «НЕЛК»), Фонтмастер ФСМ -6 (фирма «фантазия»), «МиниТех» фирмасының бірқатар олар торға жиі 220 В-пен қосылып, қосымша реттуіштері бар болады, ток аударғыштары, индикаторлар және т.б. ондай деңгейдегі құралдар телефон желісін тек аппараттан АТС-ке дейін бақылайтынын түсінуге қажет.

28) PPTP хаттамасы бойынша байланыс процессiн түсіндіріңіз.

PPTP хаттамасын (Point-to-Point Tunneling Protocol) Microsoft компаниясы Ascend Communications, 3Com/Primary Access, ECI-Telematics және US Robotics компанияларымен бірлесіп әзірледі. Бұл хаттама IETF-тің "PPP Extentions" жұмыс тобына қашықтағы пайдаланушыларға қоғамдық желілер (ең алдымен Интернет) арқылы корпоративтік желілерге қол жеткізу кезінде қорғалған арнаны құрудың стандартты хаттамасына үміткер ретінде ұсынылды. Бұл хаттама Internet стандартты жобасы мәртебесін алды, бірақ стандарт ретінде бекітілмеген. Қазір IETF жұмыс тобы стандарт ретінде L2TP хаттамасын (Layer 2 Tunneling Protocol) қабылдау мүмкіндігін қарастыруда, ол PPTP хаттамасының ең жақсы жақтарын Cisco ұсынған l2f (Layer 2 Forwarding) ұқсас мақсаттағы хаттамамен біріктіруі тиіс.

PPTP протоколы әртүрлі желілік протоколдар — IP, IPX немесе NetBEUI арқылы деректермен алмасу үшін қауіпсіз арналар құруға мүмкіндік береді. Бұл хаттамалардың деректері PPTP протоколы арқылы IP протоколының пакеттеріне инкапсуляцияланады, оның көмегімен олар кез-келген TCP/IP желісі арқылы шифрланған түрде тасымалданады. РРР-дің бастапқы жақтауы инкапсуляцияланған, сондықтан PPTP протоколын желідегі арна деңгейінің инкапсуляция протоколдары класына жатқызуға болады.

Көп протоколдық-PPTP протоколын қамтитын арна деңгейіндегі инкапсуляциялық хаттамалардың басты артықшылығы. SSL протоколы, мысалы, желілік деңгейдегі бір протоколға — IP-ге бағытталған. Сонымен қатар, қорғалған арна хаттамасын тікелей қолданбалы деңгейдің астына орналастыру, егер олар қорғаныс мүмкіндіктерін пайдаланғысы келсе, санақ қосымшаларын қажет етеді. Арна деңгейіндегі Деректерді қорғау қорғаныс құралдарын қолданбалы деңгейдегі протоколдар үшін де, желілік деңгейдегі протоколдар үшін де мөлдір етеді.

Желілік деңгейде қорғалған арнаны құру құралдарын ендірудің нұсқалары да бар. Желілік деңгейдегі протоколды шифрлау мен инкапсуляцияны қолданатын осы типтегі бірнеше хаттамалар бар. IP желілеріндегі деректерді қорғау үшін IPSec деп аталатын IP протоколының қорғалған нұсқасы жасалды (бұл туралы мақаланың келесі бөлігінде толығырақ тоқталайық). Бұл нұсқа желілік деңгейде аутентификацияны қолдайды, сонымен қатар пайдаланушы деректерін шифрлай алады. IPSec-бұл стандарттар жиынтығы, олардың кейбіреулері жобалар түрінде болады, ал кейбіреулері әлі де дамуда. IPSec протоколы аутентификация және қауіпсіз арнаны құру үшін шифрлаудың қандай әдістерін қолдану керектігін қатаң анықтамайды, дегенмен алғашқы енгізулер үшін аутентификация үшін MD5 дайджест функциясын және қорғалған арнаны құру үшін des шифрлау алгоритмін қолданатын IPSec нұсқасы анықталған. IPSec протоколының кемшілігі-бұл тек IP желілерінде жұмыс істейді және басқа протоколдардың пакеттерін қауіпсіз тасымалдау әдісін анықтамайды. Бұл кемшілік PPTP немесе L2F сияқты протоколдарды жояды.

Қашықтан қол жеткізудің барлық идеясы клиенттің машинасына сервер машинасына телефон желісі арқылы қосылуға рұқсат беру болғандықтан, Pptp қосылымын Windows NT — Remote Access Service (RAS) қызметтік құралын пайдаланатын Клиент Internet қызмет провайдерімен PPP байланысын орнату үшін бастайды. Содан кейін Интернетке қосылған және Ras сервері ретінде әрекет ететін серверді қолдана отырып, PPP іске қосылған кезде, клиент екінші қосылымды орындау үшін Ras қолданады. Бұл жолы телефон нөмірі өрісінде IP мекенжайы (немесе домен атауы) көрсетіледі және Клиент қосылуды жүзеге асыру үшін Com портының орнына VPN портын пайдаланады (VPN порттары PPTP орнату кезінде клиент пен сервер машиналарында конфигурацияланған).

IP мекенжайын енгізу сұрауды сеанстың басында серверге жіберуді бастайды. Клиент серверден пайдаланушы аты мен парольді Растауды және байланыс орнатылғанын хабарлама арқылы жауап күтеді. Осы кезде PPTP арнасы өз жұмысын бастайды және клиент пакеттерді серверге туннельдей бастайды. Олар IPX және NetBEUI пакеттері болуы мүмкін болғандықтан, сервер олармен әдеттегі қорғаныс процедураларын орындай алады.

PPTP деректер алмасуы PPTP басқару қосылымына негізделген — туннельді орнататын және қызмет көрсететін басқару хабарламаларының тізбегі. Толық PPTP қосылымы тек бір TCP/IP қосылымынан тұрады, ол транзакциялар аяқталған кезде оны ашық ұстау үшін эхо командаларын беруді қажет етеді. 1-кестеде осы хабарламалар және олардың функционалды мақсаты көрсетілген.

https://nestor.minsk.by/sr/2003/03/30312.html 

29) "Пароль" қорғаудың құрылымының қосылу  схемасын сипаттап беріңіз.

https://www.securitylab.ru/contest/276876.php 

http://www.konspektov.net/question/2077090 

Сәйкестендіру қолжетімділік субъектілері мен объектілеріне сәйкестендіргішті беру және (немесе) ұсынылған сәйкестендіргішті берілген сәйкестендіргіштер тізбесімен салыстыру

Аутентификация қол жеткізу субъектісіне ол ұсынған сәйкестендіргіштің тиесілігін тексеру; түпнұсқалығын растау

Пароль-пайдаланушыны аутентификациялау үшін пайдаланушы немесе ақпаратты енгізу жүйесі енгізетін таңбалар жиынтығы.

Құпия сөз схемалары-пайдаланушылардың аутентификациясының ең көп таралған схемалары.

Пароль схемаларының әртүрлі түрлерін қолданыңыз:

қарапайым пароль;

бір реттік пароль;

нөлдік ашылу схемасы;

кейбір тексеру мәні бойынша;

криптографиялық кілт алу үшін құпия сөзді пайдалану.

Пароль схемаларын қолданудың бірқатар кемшіліктері бар:

Есептік жазба параметрлерін жария ету:

Парольді интерактивті түрде таңдауға болады;

Подсматривание;

Құпия сөзді оның иесі бөтен адамға әдейі беруі;

Пароль схемасының дерекқорын түсіру;

Желі арқылы берілген ақпаратты ұстап алу;

Парольді қол жетімді жерде сақтау;

Пароль жүйесінің компоненттерінің жұмысына араласу:

Бағдарламалық бетбелгілерді енгізу;

Жүйені жобалау кезінде жіберілген қателерді анықтау және пайдалану;

Пароль жүйесін істен шығару.

Бір реттік пароль-бұл тек бір аутентификация сеансы үшін жарамды пароль. Бір реттік парольдің әрекеті белгілі бір уақыт аралығында шектелуі мүмкін. Бір реттік парольдің статикалық парольмен салыстырғанда артықшылығы-парольді қайта пайдалану мүмкін емес.

OTR технологиясын қолдана отырып аутентификацияның төрт әдісі белгілі:

- Бірыңғай уақыт жүйесі негізінде уақыт белгілері механизмін пайдалану;

- заңды пайдаланушы Мен кездейсоқ парольдердің тізімін және оларды синхрондаудың сенімді механизмін тексеру үшін жалпы құпия сөзді қолдану;

- пайдаланушы үшін жалпы парольді және бірдей бастапқы мәні бар жалған кездейсоқ сандар генераторын пайдалану;

-скретч-карталар түрінде тасымалдаушыларға көшірілген кездейсоқ (жалған кездейсоқ) тізбектердің тіркелген санын қолдану.

ОТР-токендер деп аталатын бір реттік парольдердің ең көп таралған аппараттық қосымшалары. OTP таңбалауыштары ықшам және әртүрлі форма факторларында қол жетімді:

- қалта калькуляторы түрінде;

- салпыншақ түрінде;

- смарт-карта түрінде;

- USB кілтімен біріктірілген құрылғы түрінде.

Мысал: интернет арқылы банк картасымен тауарлар мен қызметтерді төлеу. Парольдер банкомат арқылы жасалады

Оля Гурьяновская

Функционалды мақсатына сәйкес пароль кірісі қолданылады:

- жүйенің жүктелуін бақылау үшін;

- жұмыс істеуін бақылау;

- бұғаттау мақсатында.

Жүктеуді бақылау үшін жүйені жүктеуді бастамас бұрын пайдаланушыны сәйкестендіру және аутентификациялау процедурасы орнатылуы мүмкін, мысалы, кірістірілген BIOS құралдары. Бұл жағдайда тек рұқсат етілген пайдаланушы жүйені жүктей алады.

Жүктеу режимінің тапсырмасына кіру BIOS-тің тұрақты құралдарымен басқарылады, онда аутентификациядан кейін пайдаланушы жүйенің қай жерден жүктелетінін — қатты дискіден немесе сыртқы медиадан орната алады, сонымен қатар жүктеу құралдарын таңдау тәртібін көрсете алады.

Жүктеу режимінің тапсырмасына кіруді бақылау ретінде қауіпсіз режимде жүктеу мүмкіндігіне пароль кірісі орнатылуы мүмкін.

Есептеу жүйесінің жұмысын бақылау мәселесін шешу үшін мыналар бөлінеді:

Жүйеге кіру кезінде пайдаланушыны бақылау. Ол сонымен қатар ОЖ-нің штаттық құралдарымен жүзеге асырылады.

Процесті бастау кезінде бақылау. Осының арқасында кейбір қосымшаларды іске қосқан кезде құпия сөзді қорғауды орнатуға болады. Біріншіден, мұнда жауапты адамның, мысалы, бөлім бастығының паролін орнату қызығушылық тудырады.

Бақылау кезінде қол жеткізуге жергілікті ресурстар. Мысалы, жергілікті принтерге және т.б. кірген кезде жауапты тұлғаның аутентификациясы да пайдаланылуы мүмкін.

Желілік ресурстарға қол жеткізуді басқару. Ол сонымен қатар ОЖ-нің штаттық құралдарымен жүзеге асырылады. Мысалы, ресурстарға қол жеткізуді парольмен бөлуге болады. Осылайша, Windows ОЖ үшін NETBIOS протоколы бойынша ортақ ресурстарға желілік қол жетімділік жүзеге асырылады.

Пайдаланушының рұқсатсыз әрекеттеріне реакция ретінде қорғау жүйесі кейбір функцияларды бұғаттауды орната алады: жүйені жүктеу, пайдаланушының есептік жазбалары жүйесіне кіру (идентификаторлар), белгілі бір қосымшаларды іске қосу. Бұғаттауды алып тастау үшін қауіпсіздік әкімшісін немесе жауапты тұлғаны авторизациялау қажет.

Сонымен қатар, пайдаланушы жүйеге және қосымшаларға кіруге және т.б., жүйеге және ол болмаған кезде осы қосымшаларға кіруге тыйым салуы мүмкін. Бағдарламаның құлпын ашу үшін ағымдағы пайдаланушыға кіру керек. Бұл ретте қауіпсіздік әкімшісі пайдаланушылардың есептік жазбаларын жұмыстан тыс уақытта жүйеге кіру үшін бұғаттай алады.

Енгізілген жіктеуді ескере отырып, парольдік қорғау тетіктерін қолданудың функционалдық мақсаты туралы қорытынды жасауға болады:

"Жүктемені бақылау мақсатында жүйені жүктеуді бастамас бұрын пайдаланушыны бақылау мүмкіндігі белгіленуі мүмкін. Сонымен қатар, пайдаланушыны бақылау әдісті тағайындау кезінде және жүктеу режимінің тапсырмасына қол жеткізу кезінде жүзеге асырылуы мүмкін.

"Қолжетімділікті бақылау мақсатында жүйеге кіру кезінде пайдаланушыны бақылау бөлінеді. Сондай-ақ, процесті бастау кезінде бақылау болуы мүмкін (ең алдымен, жауапты тұлғаның паролін орнату қызығушылық тудырады) және жергілікті және желілік ресурстарға қол жеткізу кезінде бақылау.

"Бұғаттауды (реакцияны) жою мақсатында қауіпсіздік әкімшісінің немесе жауапты тұлғаның бақылауы пайдаланылады. Сонымен қатар, пайдаланушы бұғаттауды кейбір қосымшаларға қоя алады және т.б. оларды алып тастау үшін пайдаланушы бақыланады.

Құпиясөздің тиесілігіне қарай құпиясөзді қорғау ерекшеліктері

Парольді жіктеу тұрғысынан "пайдаланушы" ерекшеленеді, оған жүйенің қолданбалы пайдаланушысы мен әкімшісі, сондай-ақ, мысалы, бөлімше бастығы ретінде әрекет ете алатын "жауапты адам" кіреді.

Жауапты тұлғаның авторизациясы пайдаланушының ресурстарға, ең алдымен процесті бастауға қол жеткізуін физикалық бақылауды жүзеге асыру үшін орнатылуы мүмкін. Сонымен қатар, мұнда ерекшелігі-жауапты адамды авторизациялау жүйеге кірген кезде емес, ағымдағы пайдаланушының жұмыс істеуі кезінде жүзеге асырылады.

Мысал. Сыртқы желіге, мысалы, Internet желісіне физикалық бақыланатын қол жетімділікті қамтамасыз ету қажет. Тиісті қосымшаны іске қосуға жауапты тұлғаны авторизациялау тетігі орнатылады (оның есептік деректері қорғау жүйесінде сақталады). Содан кейін тиісті қосымшаны іске қосқан кезде жауапты адамның авторизация терезесі пайда болады және оны сәтті авторизациядан кейін ғана іске қосуға болады. Бұл жағдайда бағдарлама тек бір сессияда басталады.

Осылайша, қосымшаны жауапты адам қорғалатын объектінің жергілікті консолінен физикалық түрде іске қосады. Нәтижесінде жауапты адам Интернетке кіруді кім және қашан сұрағанын біледі, өйткені ол өзі қол жеткізуге рұқсат беру немесе бермеу туралы шешім қабылдайды. Егер кіруге рұқсат етілсе, жауапты адам осы қолжетімділікті толық бақылай алады, себебі қосымшаны іске қосу оның қатысуымен ғана мүмкін болады.

Есептік жазбаның тиесілілігін жіктеуге сәйкес есептік деректерді (сәйкестендіргіштер мен парольдерді) беру тәсілдерін жіктеу де енгізілді. Тиісінше, тіркелгі деректерін тағайындауды шот иесі де, әкімші де жүзеге асыра алады (мәжбүрлеп)

30) RSA алгоритміне сипаттам беріңіз.