116
3. Ашық кілті бар алгоритмдар таңдалған ашық мәтін бойынша шабуылдарға
сезгіш болады.
Сонымен, тәжірибелік жағынан ашық кілті бар және ассиметриялық шифрлау
жүйелерді тек құпиялы кілттерді үлестіруге және цифрлық қолдарды ұйымдастыруға
пайдалану жөн, себебі осы есептерді шешу үшін үлкен деректер блоктарын шифрлаудың
қажеті жоқ.
Ассиметриялық алгоритмдың пайдалануы шифрлаудың сеанстық кілттерін жасауға
мүмкіндік береді, олар байланыс сеансы аяқталғаннан кейін жойылады. Бұл шифрланған
хабардың ашу тәуекелдігін тым төмендетеді. Мұнда симметриялық шифрлаудың алдында
кілттермен алмасу протоколын орындамаса да болады. Шифрланған деректерді кілтпен
бірге беру протоколының мүмкін вариантын көрсетейік.
1. Пайдаланушы
А кездейсоқ сеанстық кілтті
К генерациялайды және онымен
симметриялық
алгоритмы F
сим
көмегімен өз хабарын
М шифрлайды:
Cт =
F
сим
(
M,
K)
2. Пайдаланушы
А деректер қорынан
Б пайдаланушының ашық кілтін
U алады
және онымен сеанстық кілтті
К шифрлайды:
Ck =
F
асим
(
К,
U)
3. Пайдаланушы
А өзінің абонентіне шифрланған хабарды
Cт және шифрланған
сеанстық кілтті
Ck жібереді. «Адам ортада» ашудан қорғау үшін берілетін деректерге
цифрлық қол қосылу мүмкін.
4. Пайдаланушы
Б алынған сеанстық кілтті
Ck өз жабық кілті
R көмегімен
дешифрлайды:
K =
F
асим
-1
(
Ck,
R)
5.
Пайдаланушы Б сеанстық кілт
К көмегімен хабарды ашып оқиды:
M =
F
сим
-1
(
Cт,
K)
Осындай криптографиялық жүйе
аралас деп аталады, себебі онда асимметриялық
та, симметриялық та шифрлау пайдаланылады. Аралас криптожүйелер тәжірибеде кең
қолданылады: дерктерді берудің банктік және төлем желілерде, мобильді байланыста,
электронды пошта жүйелерде және т.б. Қауіпсіздікті күшейту үшін олар
пайдаланушылардың және растау орталықтын цифрлық қолдарымен, уақыт белгілермен
толтырылу мүмкін.
12.9 Ашық кілттерді басқару
Асимметриялық криптографияның арқасында құпиялы кілттерді үлестіру
проблемасы шешілген болатын, бірақ жаңа проблема туды – ашық кілттердің нағыздығын
дәлелдеу проблемасы. Бұл проблеманың мағынасы – кейбір
А абоненттың ашық кілтін
алғанда,
пайдаланушы осы кілт дәл А абоненттікі деп сенімді болу керек.
Ашық кілттерді сертификациялау проблеманы шешуде үлкен роль цифрлық қолды
жасау атқарды. Көп абоненттері бар асимметриялық криптографияны қолданылатын
байланыс жүйелерде арнайы ұйымдастыру құрылымды пайдалана бастады. Бұл
ұйымдастыру құрылымдар сенімді үшінші жағының ролін атқарады және абоненттердің
ашық кілтерін өз цифрлық қолдарымен куәландырады. Сонымен, ашық кілті бар
криптожүйелерді пайдаланатын таратылған байланыс жүйелерде,
ашық кілттер
инфрақұрылымы (Public Key Infrastructure - PKI) деген ұғым енгізіледі. Оған кіреді
бағдарлама-аппараттық құралдар кешені, және де ашық кілттерді басқару үшін қажетті
сервисты қамтамасыз ететін ұйымдастыру-техникалық және әкімшілік іс-шаралар.
Ашық кілттер инфрақұрылымның негізгі элементі
сертификациялау орталығы
(куәландыру орталығы) (Certification authority, CA). Ол барлық процедураларды
бақылайды: кілттерді жасау, тіркеу, сақтау және жаңарту,
ашық кілттердің
сертификаттарын және кері шақырып алынған сертификаттар тізімін. Сертификат
дегеніміз - бұл орталықтын цифрлық қолымен куәландырылған ақпарат, оған кіреді ашық
117
кілт және абонент туралы басқа мәліметтер. Осындай мәліметтер, мысалы, электронды
қол алгоритмның идентификаторы, куәландыру орталықтын аты, сертификаттің
жарамдылық мерзімі, сертификат иесінің аты. Халықаралық стандарт ISO X.509 ашық
кілттер сертификатының құрылымын және аутентификациялау үшін олардың пайдалану
ережесін анықтайды.
Сертификаттың келесі қасиеті бар:
сертификациялау орталығының әрбір пайдаланушысы сертификатқа кіретін ашық
кілтті алу мүмкін;
сертификациялау орталығынан басқа ешкім сертификатты жасырып өзгерте
алмайды (сертификатты жалған жасау мүмкін емес).
Сертификатты жалған жасап мүмкін емес болғандықтан, оларды ашық
анықтамалыққа салып жариялауға болады.
Байланыс жүйенің әрбір пайдаланушысы бір немесе бірнеше сертификатқа ие болу
мүмкін.
Абоненттің ашық кілтін, куәландыру орталығының әкімшінің ашық
кілтін білетін,
қандай да пайдаланушы сертификаттан алу мүмкін. Сертификациялау орталығының
әкімшісі әдетте адам емес - жоғары өнімді автоматтандырылған жүйе болады.
Көп абоненттері бар таратылған байланыс жүйелерде бірнеше сертификациялау
орталығы жасалу мүмкін. Сертификациялау орталықтары ағаш тәріздес құрылымға
бірлеседі, оның түбірінде басты куәландыру орталығы орналасады. Басты орталығы оған
тәуелді орталықтарға сертификаттар береді, сонымен осы орталықтардың ашық кілтерін
куәландырады.
Пайдаланушының ашық кілті жабық кілттің негізінде құрастырылады. Әрбір
пайдаланушы өзінің жабық кілтін берік сақтау керек. Егер жабық кілтті тағы да біреу
білетің болса, онда кілт иесі байланыс жүйенің басқа абонеттерін осы туралы
хабарландыру керек.
Ашық кілттер сертификаттарының іс-әрекет мерзімі бар, бірақ қандай да болса
сертификат одан бұрын да шақырылып алыну мүмкін, егер кілттің абыройы түсіп қалса.
Куәландыру орталығы өз абоненттерін шақырылып алынған сертификаттар туралы
хабарландыру керек. Осы мақсатпен шақырып алынған сертификаттар тізімі немесе
жойылу тізімі жасалынады.
Осындай ұйымдастыруда куәландыру орталығының әкімшісі пайдаланушылардың
құпиялы кілттеріне рұқсат алалмайды. Әкімші тек сертификат анықтамалығындағы ашық
кілтті ауыстыру мүмкін немесе жалған абонентті енгізіп, оның атынан байланысқа кіріп
хабарды алу мүмкін. Осындай қақтығыстан құтылу үшін кілттерді дайындау және
таратудың келесі схемасы қолданылу мүмкін.
1. Куәландыру орталығының әкімшісі қос кілттерді (жабық кілт, ашық кілт)
генерациялайды және өзінің ашық кілтін абоненттердің бәріне хабарлайды.
2. Пайдаланушы
А шифрлауды орындауға және ЭЦҚ құрастыру үшін жабық
кілттерді таңдайды, және де сәйкес ашық кілттерді есептейді.
3. Шифрлаудын және қолдын ашық кілттері әкімшінің ашық кілтімен шифрланады
және куәландыру орталыққа тіркеуге ұсынылады.
4. Куәландыру орталығының әкімшісі
А пайдаланушының ашық
кілттерін тексереді
(өзінің жабық кілтімен дешифрлайды); пайдаланушы
А-ның ашық кілттер
сертификаттарын жасап оларға қол қояды және шифрлаудың ашық кілттері мен қолдар
ашық кілттерінің анықтамалығына орналастырады.
5. Жүйенің әрбір пайдаланушысы анықтамалықтан қажетті абоненттің
сертификатын алады, әкімшінің қолын тексеріп (оны әкімшінің ашық кілтімен
дешифрлайды) ашық кілтті шығарып алады.
Тәжірибеде қарастырылған схема уақыт белгілермен, сертификаттағы қосымша
өрістерді (мысалы, іс-әрекет мерзімі) тексерумен және жүйенің қауіпсіздігін күшейтетін
басқа тексерістермен толықтырылады.
