82
Сурет. 8.3. Симметриялық шифрлауды пайдаланатын құпиялы жүйенің жалпы құрылымы
Жіберуші (хабарлар көзі) және алушы (шифрланған хабарларды қабылдаушы)
шифр мен кілтті таңдау туралы келіседі. Сосын жіберуші таңдап алынған шифрлау
алгоритмды пайдаланып өз хабарын шифрлайды және алынған шифрмәтінді (ашық)
байланыс арна арқылы жібереді. Алушы шифр мен кілтті пайдаланып оны ашып оқиды.
Қарсылас шифрланған хабарды әрине, ұстап алу мүмкін, өйткені ол ашық байланыс
арна арқылы жіберіліп отыр. Бұл жағдайда қарсыластын криптоталдаушысы шифрмәтінді
ашуға тырысады. Хабарды жіберуші мен алушы жеткілікті сенімді шифрды пайдалансын,
және оны ашып оқу ықтималдығы аса ұлкен емес болсын. Бұл жағдайда шифрлаудың
қауіпсіздігі кілттің қауіпсіздігіне толық тәуелді болады. Кілттің ашылуы берілетін
деректерді ашуға келтіріде. Сонымен, кілт жасырынып сақталыну керек. Сондықтан
кілттерді бастапқы үлестіру үшін сенімді байланыс арна қажет.
Кілттерді бастапқы үлестірудің ең сенімді тәсілі - абоненттер жеке кездескенде
кілттермен алмасу. Кілттерді жеткізу үшін арнайы курьерлерді де пайдалануға болады.
Егер құпиялы хабарлармен алмасуда көп емес, мысалы, екі немесе үш қатысушылар
болса, онда айтылған тәсілдерді әбден пайдалануға болады. Егер де абоненттер саны көп
болса, онда кілттерді үлестіру есебі өте күрделі болып шығады.
Құпиялы кілттерді пайдаланғанда басқа да қиыншылақтар бар. Мысалы, кілттер
анда-санда ауыстырылу қажет. Өйткені кілт неғұрлым көп пайдаланса, соғұрлым оны ашу
ықтималдығы көп болады. Кілт ашылмаса да, қарсыласқа криптоталдауды жүргізу оңай
болады, себебі оның қолында бірдей кілтпен шифрланған жеткілікті көп хабарлар болады.
Әрбір шифрланған хабарлармен алмасу сеансында ең жақсы өз бірегей кілтті (сеанстық
кілт) пайдалану. Үлкен телекоммуникациялық желі үшін сонша көп кілттерді қайдан
алуға болады және оларды үлестіруге қалай болады?
Сонымен, өзара әрекеттесу жақтар саны көп болғанда, едәуір көп кілттерді алдын
ала тарату қажет және оларды сақтау мен ауыстыру керек. Жергілікті желіде 100
пайдаланушы болсын. Пайдаланушылар құпиялы деректермен «әрбір әрбіреумен»
принципы бойынша бір-бірімен алмасқысы келсін. Бұл жағдайда әрбір жұп
пайдаланушылар үшін өз құпиялы кілт қажетті. Жүз пайдаланушылардан 100 99/2=4950
жұп құрастыруға болады, демек деректерді беру жүйеде 4950 әртүрлі құпиялы кілт
пайдаланатын болады. Осы кілттердің барлығы сенімді түрде жасалынып үлестірілу
керек. Одан басқа, жүз пайдаланушылардың әрбіреуі 99 әртүрлі кілтті есте сақтау керек.
Егер де хабарлармен алмасуда жүз емес мың адам қатысатын болса, онда кілттерді
басқару есебі тым күрделі болып шығады.
83
Айтылған қиындықтарға байланысты тәжірибеде арнайы автоматтандырылған
кілттерді басқару жүйелер қолданылады. Осындай жүйелер кілттерді генерациялауға,
сақтауға, архивтеуге және жоғалған кілттерді қалпына келтіруге, ауыстыруға немесе ескі
кілттерді жоюға мүмкіндік береді. Кілттерді басқару жүйенің ең маңызды бөлігі
кілттерді үлестіру орталығы (Key Distribution Center – KDC), оның міндеті кілттерді
генерациялау, үлестіру және беру.
Мамандар арнайы процедуралар (немесе протоколдар) жасап шығарған, олар
кілттерді үлестіру орталығына пайдаланушыларға жеке байланыс сеансты жүргізу үшін
кілттерді (сеанстық кілттер) жеткізуге мүмкіндік береді. Өкінішке орай, симметриялық
шифрлауды пайдаланатын барлық протоколдарда кемшіліктер бар. Мүмкін болатын
кілттермен алмасу протоколдын біреуін қарап шығайық.
Кілттерді үлестіру орталығын (қысқаша Орталық деп атайық) пайдаланып, екі
абоненттер арасындағы байланыс сеансты жүргізу үшін құпиялы кілттерді үлестіру
процедурасы былайша болу мүмкін:
1. Абонент А абонент Б-мен байланысу үшін Орталықтан сеанстық кілт сұрайды.
2. Орталықта кездейсоқ сеанстық кілт жасалынады. Осы сеанстық кілттің екі
көшірмесі шифрланады – біреуі абонент А-ның құпиялы кілтің пайдаланып, басқасы -
абонент Б-ның құпиялы кілтің пайдаланып. Сосын екі шифрланған көшірмелер
Орталықтан абонент А-ға жіберіледі.
3. Абонент А сеанстық кілттің өз көшірмесін ашады және екінші шифрланған
көшірмесін абонент Б-ға жібереді.
4. Абонент Б сеанстық кілттің өз көшірмесін ашады.
5. А мен Б абоненттер алынған сеанстық кілтті ақпаратпен құпиялы алмасуда
пайдаланады.
Көрсетілген протокол қарапайым және мысалы, деректерді беру программа арқылы
автоматтандырылу мүмкін. Бірақ келтірілген сеанстық кілтті үлестіру процедурасында
бірнеше анық кемшіліктері бар.
Берілген жүйенің бірінші кемшілігі – Орталық барлық алмасуға қатысады. Егер
Орталық жұмысында қателік болса онда барлық жүйенін де жұмысы бұзылады.
Екінші кемшілік - кілтті үлестіру орталығы желі абонентердің құпиялы кілттерін
қандай да болса түрде сақтау керек. Егер қаскүнем жүйе пайдаланушылардың құпиялы
кілттеріне қол жеткізсе (жүйені «бұзып ашу», әкімшіні сатып алу және т.б.), онда
берілетің хабарларды ол оқып өзгерте алады.
Ақырында, пайдаланушы желігі кіргенде құпиялы кілттін бастапқы үлестіру
проблемасы қалады. Бастапқы құпиялы кілт абсолютті сенімді байланыс арна бойынша
жеткізілу керек, әйтпесе барлық протоколдың мағынасы жоғалады.
Симметриялық шифрлау алгоритмдардың осындай және басқа кемшіліктері XX
ғасырдың 70-ші жылдары анықталған болатын. Кілттерді үлестіру проблеманың (және
кейбір басқа маңызды проблемалар) шешімі симметриялық емес шифрлау алгоритмды
пайдалануы болып шықты.
Негізгі ұғымдар
CTR – блокты шифрдың жұмыс тәртібі, ол ақпаратты ағынды шифрлауда кілттерді
генерациялауға мүмкіндік береді.
LFSR (linear feedback shift register ) – кері байланысы бар сызықтық ығысу
регистры.
OFB – блокты шифрдың жұмыс тәртібі, ол ақпаратты ағынды шифрлауда кілттерді
генерациялауға мүмкіндік береді.
RC4 алгоритмы – псевдокездейсоқ сандарды генерациялау алгоритмы. Ағынды
шифрлауда кілттерді генерациялау үшін пайдалану мүмкін.
Достарыңызбен бөлісу: |