ПОӘК 042-18.39.1.206/01-2013
10.09.2013 ж. № 1 басылым
81 беттің 11
Дәріс 3. Криптографиялық әдістердің жүзеге асуы
Мақсаты: Криптографиялық әдістердің жүзеге асуымен танысу.
Жоспар:
- Идентификация (теңестіру) мен аутентификация
- Кіруді басқару
- Хаттау және аудит.
Ақпаратты қорғау әдісін іске асыру мәселесі екі аспектіге ие:Криптографиялық
алгоритмдерді іске асыратын құралдар жасау. Осы құралдарды қолдану әдісі. Қарастырылған
криптографиялық әдістерінің әрқайсысы не бағдарламалы немесе аппаратты тәсілмен жүзеге
асырылу мүмкіндігі криптографиялық түрлену әдістерінің барлығы немқұрайды және соңғы
алгоритмдік процедурасы түрінде көрсетілуі мүмкін екендігіне сүйенеді. Аппаратты жүзеге
асырылуда шифрлеу мен шифрды ашу процедуралары арнайы электронды кескіндермен
орындалады. Анағұрлым көп таралу қоспа әдістерді жүзеге асырылатын модульдерге ие болды.
Шифрлеудің шетелдік сериялы құралдарының көпшілігі DES американдық стандартқа
негізделген. Мысалы, Криптон құрылғысы сияқты отандық жұмыстарды шифрлеудің отандық
стандарты пайдаланылады. Қорғанысты жүзеге асырудың бағдарламалық әдістерінің негізгі
құндылығы олардың иілгіштігі, яғни шифрлеудің алгоритмдерін жылдам өзгерту мүмкіндіктері
болып табылады. Бағдарламалы іске асырылудың негізгі кемістігі аппаратты құралдармен
салыстырғанда әдеуір ауырырақ (шамамен 10 есе) әрекет етуі болып табылады. Соңғы уақытта
бағдарламалы – аппаратты құралдар деп аталатын шифрлеудің қоспа құралдары көріне бастады.
Бұл жағдайда компьютерде ерекше «криптографиялық операцияларды орындауға бағытталған
есептеуіш құрылғы қолданылады. Бағдарламалы қамсыздандыруды өзгерте отырып, мұндай
құрылғы үшін шифрлеудің сол не басқа әдісін таңдауға болады. Мұндай әдіс өз ішінде
бағдарламалық және аппаратты әдістердің құндылықтарын біріктіреді. Осылайша, нақты ПЖ
үшін криптоқорғаныстың жүзеге асырылу түрін таңдау елеулі мөлшерде оның ерекшеліктеріне
байланысты және ақпараттардың қорғаныс жүйесіне қойылатын талаптардың жан – жақты
талдауына сүйенуі тиіс.
Идентификация
(теңестіру)
мен
аутентификация.
Идентификация
мен
аутентификацияны қауіпсіздіктің бағдарламалы–техникалық құралдарының негізі ретінде санауға
болады. Идентификация мен аутентификация – бұл қорғаныстың алғашқы жолы
ұйымдастырудың ақпаратты кеңістігінің дәлізі. Идентификация субъектіге –нақты бір
пайдаланушы атынан әрекет етуші қолданушыға немесе процеске өз атын хабарлап, өзін атауға
жол береді. Аутентификация арқылы екінші жақ субъект шындығында өзі атап тұрған қолданушы
екеніне сенеді. «Аутентификация» сөзінің синонимі ретінде кейде «түп нұсқалықты тексеру»
тіркесін пайдаланады. Субъект өзінің түп нұсқалығын растай алады, егер жоқ дегенде мына
мәнердің біреуін көрсетсе:
- өзі білетін: пароль, жеке идентификациялық нөмір, криптографиялық кілт және т.с.с.
біреуін;
- ол не жеке карточка немесе ұқсас белгідегі басқа құрылғының біреуін;
- оның өзінің бір бөлігі болып табылатын дауысы, саусақ таңбасы және т.с.с., яғни өзінің
биологиялық сипаттамасының бірдемеснің;
- Онымен қоғамдастыққа бірдеңені, мысалы, координаттарды.
Пароль аутентификацияның басты құндылығы. Парольдар операциялық жүйелер мен
басқа сервистерде баяғыда құрылған. Дұрыс қолданғанда парольдер көптеген ұжымдар үшін
қолайлы қауіпсіздік деңгейін қамтамассыз ете алады. Әйткенмен сипаттамалардың жиынтығы
бойынша оларды түпнұсқалықты тексерудің ең әлсіз құралы екенін мойындаған жөн.
Парольдердің сенімділігі оларды есте сақтап, жасырын ұстау қабілеттеріне сүйенеді.
Парольдердің енгізілуін қадағалауға болады. Парольдерді өрескел күш әдісімен, мүмкін сөздік
қолдана отырып біліп алуға болады. Егер пароль файлы шифрленген, бірақ оқуға болатын болса,
онда оны өз компьютеріңе аударып алып, толық таңдауды бағдарламалап, парольді таңдап көруге
ПОӘК 042-18.39.1.206/01-2013
10.09.2013 ж. № 1 басылым
81 беттің 12
болады. Парольдер электронды қамтуға қатысты әлсіз–бұл пайдаланушыларды үйренуімен
немесе әкімшілдік жақсартуымен орнын толтыруға болмайтын анағұрлым принципшіл кемістік.
Жалғыз шешім – байланыс желісімен жіберер алдында парольді шифрлеу үшін криптографияны
қолдану. Алайда, мына шаралар парольді қорғаныстың сенімділігін едәуір жоғарылатуға
мүмкіндік береді.
- Техникалық шектеулер қою (пароль тым қысқа болмауы тиіс) онда әріптер, шифрлар,
тыныс белгілері және т.с. болуы тиіс;
- Парольдің жұмыс істеу мерзімімен олардың мерзімдік ауысымын басқару;
- Пароль файлына енуді шектеу;
- Жүйеге кіруге сәтсіз аяқталатын ұмтылыстарға шек қою, бұл қатты күш жұмсау әдісін
қолдануды қиындатады;
- Пайдаланушыны оқыту мен тәрбиелеу;
- Қиын емес тәртіптерге сүйене отырып, жағымды, сондықтан да оңай есте қалатын
парольдарды тудыруы мүмкін парольдардың бағдарламалық генераторларын қолдану.
Аталған шараларды, типті егер парольмен қатар аутентификацияның мысалы токендер
қолданылуына негізделген басқа әдістері пайдаланылса да әрқашан қолданған дұрыс. Токен – бұл
иелігі пайдаланушының түп нұсқалығын растайтын зат немесе құрылғы. Токендер есте сақтауы
бар токен және интеллектуалды токендер (белсенді) болып бөлінеді. Есте сақтайтын токендердің
ең көп тараған түрі магниттік жолақты карточкалар болып табылады. Мұндай токендерді
пайдалану үшін клавиатуралармен және процессормен жабдықталған оқу құрылғысы қажет.
Әдетте пайдаланушы бұл клавиатурада өзінің жеке идентификация нөмірін тереді де, бұдан соң
оның карточкада жазылғанмен сәйкестілігін, сондай-ақ карточканың өзінің түп нұсқалығын
тексереді. Осылайша бұл жерде қорғаныстың екі әдісінің қосындысы қолданылады, бұл
қаскүнемнің әрекетін едәуір қиындатады. Оқу құралының өзіне компьютерге жіберілінуінсіз
аутентификациялы ақпараттың өңделуі қажет – бұл электронды қамтуды жоққа шығарады.
Кейде корточкаларды өз бетімен жеке идентификация нөмірінсіз қолданады. Біз білетіндей
қаскүнем қолындағы ең күшті құралдардың бірі парольдар тексеріліп қана қоймай, әрі қарайды
рұқсатсыз қолданысы үшін есіне сақтап қалатын аутентификация бағдарламаларының өзгерісі
болып табылады. Интеллектуалды токендер өзінің есептеуіш күштілігімен сипатталады. Олар
интеллектуалды карталар, стандартталған ISO және басқа да токендерге бөлінеді. Карталар
интерфейсті құрылғыны қажетсінеді, басқа токендер әдетте қол интерфейстеріне ие болады және
сырт түрімен калькуляторларды еске салады. Токен жұмыс істей бастау үшін қолданушы өзінің
жеке идентификация номерін енгізуі тиіс. Принцип бойынша интеллектуалды токендердің
жұмысын мына категорияларға бөлуге болады.
- Парольдермен статикалық алмасу: әдеттегі түрмен қолданушы токенге өзінің түп
нұсқалығын дәлелдейді, содан кейін токен компьютер жүйесімен тексеріледі;
- Парольдердің динамикалық генерациясы токен парольдерді мезгілмен өзгерте отырып
шайқалтады. Компьютер жүйесінде парольдердің үйлестірілген генераторы болуы тиіс.
Ақпарат токеннен электронды интерфейс арқылы түседі немесе пайдаланушы оны
терминал клавиатурасында тереді.
- Сұрақ–жауап жүйелері: компьютер токенде құрылған криптографиялық механизммен
түрленетін кездейсоқ санды береді, бұдан соң нәтиже компьютерге тексеру үшін
қайтады. Мұнда сондай-ақ электронды немесе қол интерфейсі пайдаланылуы да мүмкін.
Соңғы жағдайда қолданушы терминал экранынан сұрақты оқиды да оны токен клавиатурасында
тереді, ал токен дисплейінде жауабын көреді де оны терминал клавиатурасына көшіреді.
Кіруді басқару. Кіруді басқару құралдары субъектілер – пайдаланушылар мен процестер
объектілер – ақпараттар және басқа да компьютер ресурстары үстінде орындауы мүмкін
әрекеттерді бақылау және өзгешеліктерін анықтауға мүмкіндік береді. Сөз бағдарламалық
құралдармен іске асатын кіруді басқару туралы болып отыр. Кіруді қисынды басқару – бұл
объектілердің құпиялылық және бүтіндігін, кейбір дәрежелерге дейін автордың ризалығынсыз
пайдаланушылар қызмет көрсетуіне тыйым салу жолымен олардың қол жетерлік болуын