ПОӘК 042-18.39.1.206/01-2013
10.09.2013 ж. № 1 басылым
81 беттің 35
Хэш функция құрастыру үшін симметриялы алгоритмдерді қолдануға болады. Алгоритм
сенімділігі қолданылып отырған блоктық алгоритмнің сенімділігіне тәуелді болады. Төменде
осындай типті алгоритмдердің сүлбесі көрсетілген (1-сурет)
H
0
=I
H
, мұндағы I
H
кездейсоқ бастапқы сан.
H
i
=E
A
(B)
C
A, B, C cандары Mi,
Hi-
1, (M
i
H
i-1
)сандарының біреуіне тең болуы мүмкін. Бастапқы хабарды
симметриялы алгоритмге сәйкес ұзындығы бекітілген блоктарға бөлу керек.
1-сурет
Идентификация, аутентификация, авторизация. Ақпараттық жүйемен жұмыс істер
алдында тұтынушы өзінің идентификаторын енгізуі тиіс. Идентификатор көмегімен жүйе
тұтынушыны таниды. Енді жүйе тұтынушының шынайылығын тексереді, яғни аутентификация
процедурасын орындайды. Ол үшін пайдаланушы пароль енгізу немесе тестік сұрақтарға жауап
беруі мүмкін. Кейбір жүйелер биометриялық қасиеттерді пайдаланады (дауысы, бармақ басымы
т.б.). Басқа сөзбен айтқанда тұтынушы өзі ғана білетін және өзін жүйе алдында растайтын құпия
мәліметі бар екендігін дәлелдейді. Сонымен, қарапайым жағдайда тұтынушы келесі мәліметті
енгізеді: идентификатор+пароль. Идентификатор ашық мәлімет болып саналады (мысалы, сіздің
e-mail), парольді құпия сақтау қажет. Парольді ашу үшін көбінесе тікелей шабуыл, сөздік
бойынша шабуыл, немесе тұтынушыға қатысты мәлімет жинау (автомобиль нөмірі, туған жылы,
күйеуінің немесе әйелінің аты, т.б.) қолданылады.
Аутентификация процедурасынан кейін жүйе пайдаланушының қатынау мүмкіндіктерін
тексереді. Бұл қадам авторизация деп аталады. Қатынау мәселесін шешу үшін негізінен қатынау
кестесі қолданылады. Кестенің бағаналарында жүйе ресурстарының идентификаторлары
жазылады, ал жолдарында тұтынушылардың идентификаторлары жазылады. Қатынау түрі сәйкес
бағана мен жолдын қиылысуында жазылады.
Мысал келтірейік. Бізде үш ресурс account.doc, game.com, edit.exe және екі тұтынушы –
Айгүл мен Болат. Болат account.doc файлын оқуға, өзгертуге, game.com программасын оқуға және
орындауға құқығы бар. Ал edit.exe программасын тек орындай алады.
Айгүл – программист, ол game.com жазды. Сондықтан ол артынан game.com программасын
оқу, орындау және өзгерту құқығын қалдырды. Айгүл account.doc файлына қатынауға рұқсаты
жоқ. Болат сияқты ол edit.exe файлын тек орындай алады.
Қатынау кестесінің түрі төмендегідей болуы мүмкін (7.1-кестесі).
account.doc
game.com
edit.exe
Айгүл
-
{read, write,
execute}
{execute}
Болат
{read, write}
{read, execute}
{execute}
Шнорр аутентификациясы
Шнорр протоколы шынайылықты тексерудің кеңінен тараған сүлбенің күрделілігіне
негізделген. Алдымен р және q жай сандарын таңдап алады, мұндағы q қалдықсыз (р-1) санын
Шифрлау
кілт
H
i-1
M
i
ПОӘК 042-18.39.1.206/01-2013
10.09.2013 ж. № 1 басылым
81 беттің 36
бөледі. Енді a
q
= 1(mod p), a
1 теңдігі орындалатындай а саны таңдап алынады. Құпия кілт
ретінде кездейсоқ s, s
s
mod p мәні алынады.
Айгүл кездейсоқ r, r
r
mod p мәнін есептейді. Алынған нәтижені
Болатқа жібереді.
Болат e кездейсоқ санын {0,1,...(2’-1)} диапазонынан таңдап алып Айгүлге жібереді
Айгүл y=(r+se) mod q мәнін есептеп Болатқа жібереді.
Болат x=a
y
v
e
mod p теңдігін тексереді. Егер теңдік орындалса, ол шынайылықты растайды,
әйтпесе қабылдамайды.
Алгоритм сенімділігі t санына байланысты. Шнорр t ұзындығын 72 разрядтан кем емес сан алу
керек деп ұсынады.
Ашық криптожүйеде кілт басқару. Ашық кілтті криптография қолданушылар арасында
кілт басқару проблемасын жеңілдетті. Дегенмен жаңа мәселеге байланысты жаңа проблема
туындады. Асимметриялық криптографияны қолданғанда алдымыздан ашық кілтке деген
сенімділік проблемасы шығады. Расында, егер мен Маратқа шифрмәтін жіберуім керек болса, бұл
құпия хабарды мен Мараттың кілтімен шифрлап отырғаныма кім кепіл. Мүмкін ол Еваның кілті
болар.
Мынадай сұрақ туады: Бұл мәселені шешу үшін не істеуіміз керек?Мүмкін, ашық кілтті
өзініздің сайтыңыздағы мәліметтер базасына орналастыру керек?Бірақ мұндай мәлімет көзіне
сенуге болады ма?
Сертификация. Алдында аталған есептің шешімі үшінші жақпен сертифициаланған ашық
кілт болады. Әрине, үшінші жақ сіз өзіңіз сенетін ұйым болуы тиіс. Бұл үшінші жақты
сертификация органы (Certificate Authority, немесе СА) деп атайды. СА өзінің ашық және жабық
кілттерін есептеп, оларды жариялайды. Біз әр қолданушы оларға қол жеткізе алады деп
есептейміз. Мұндай кілт ұзақ уақыт сақталатындықтан СА қатаң шаралар қолданып, олардың
шынайылығына жауап беруі тиіс. Қолданушы өзінің ашық және жабық кілттерін есептеп табады.
Жабық кілтті құпия ретінде сақтау қажет. Ал ашық кілт идентификациялық мәліметпен қатар
сертификация органына жіберіледі. СА қолданушы анықтап оған сертификат жібереді.
Сертификатта қолданушының аты мен ашық кілті және қосымша мәлімет жазылады.
Х.509 протоколдары тор бойынша мәліметтің шынайылығын тексеру үшін қолданылады.
Протоколдың ең маңызды бөлімі болып ашық кілттер сертификаттарының құрылымы болып
есептелінеді. СА қолданушының әрқайсысына ат тағайындап, қолы қойылған сертификат беріледі
Х.509 сертификатының құрамы төмендегідей:
1. Версиясы
2. Сертификат нөмірі
3. Қол қою алгоритмі
4. Берген ұйым аты
5. Басталу уақыты
6. Аяқталу уақыты
7. Субъект
8. Қолданушының ашық кілті, алгоритмдер және параметрлер
9. Қолы.
Егер Айгүл Болаттың ашық кілтінің шынайылығын тексергісі келсе, онда ол мәліметтер
базасынан оның сертификатын тауып алады. Сертификация иерархиясының мысалы 8.1-суретінде
көрсетілген. Айгүлдің сертификаты СА
А
ұйымымен расталған, ал Болаттыкі СА
В
ұйымымен
расталған. Айгүл СА
А
ұйымының ашық кілтін біледі, сондықтан ол СА
С
сертификатын тексере
алады. Көрсетілген график бойымен СА
D
нүктесіне дейін жоғары көтеріле отырып, Айгүл
Болаттың сертификатын тексере алады.