|
Xavfsizlik / xavfsizlik (MILS) arxitekturasining bir nechta mustaqil
|
| bet | 4/20 | | Sana | 20.12.2023 | | Hajmi | 418,9 Kb. | | #124487 |
Xavfsizlik / xavfsizlik (MILS) arxitekturasining bir nechta mustaqil
darajalari................................................................................................................16
Yashirin autentifikatsiya va xususiy tenglikni sinash........................................17
Gomomorfik shifrlash...........................................................................................17
Xususiy biometrikani hal qilishda foydalaniladigan oldingi yondashuvlar....18
Xususiyatni o‘zgartirish yondashuvi...................................................................19
BioHashing.............................................................................................................20
Biometrik kriptotizim yondashuvi.......................................................................20
Ikki tomonlama qisman gomomorfik shifrlash usuli ........................................21
XULOSA................................................................................................................22
FOYDALANILGAN ADABIYOTLAR RO‘YXATI ........................................23
3
KIRISH
Shifrlash-Kriptografik uslublardan (shifrmatnga va dastlabki matnga oʻgirish, elektron raqamli imzoni shakllantirish va tekshirish, xesh-funksiya shakllantirish va tekshirish) foydalanishga asoslangan axborotni oʻzgartirish jarayoni. Axborotni shifrlash uni begonalar tomonidan oʻrganish yoki oʻzgartirish imkoniyatini yoʻqqa chiqaradi. Shuningdek, maʼlumotlarga va dasturlarga, ulardan noqonuniy foydalanish maqsadida, ruxsatsiz raqamli imzo tizimiga kirishning oldini olishni taʼminlaydi. Shifrlashning ikki usuli mavjud: simmetrik va asimmetrik. Simmetrik shifrlashda, kodlash va kodni ochish uchun birgina kalitning oʻzidan foydalaniladi. Asimmetrik shifrlashda ikkita kalitdan foydalaniladi. Ulardan biri (ochiq kalit) dastlabki matnni shifrmatnga oʻgirishni, ikkinchisi esa (yopiq kalit) dastlabki matnga oʻgirishni taʼminlaydi. Samaradorlikni yanada oshirish maqsadida simmetrik va asimmetrik shifrlash algoritmlari birgalikda ishlatiladi. Bu holatda simmetrik shifrlashdan maʼlumotlarni ochiq kanallar orqali uzatishda maʼlumotlarni shifrlashda, asimmetrik shifrlashdan esa simmetrik shifrlash algoritmlarining kalitlarini shifrlashda ishlatiladi. CryptoAPI yordamida simmetrik shifrlash sxemasini amalga oshirish Hozirgi kunda mavjud kriptografik shiyaralash algoritmlarining asosida kriptografik kalit yotadi, shirlash algoritmlarining kriptobardoshliligi aynan shu kalitlarga bogʻliqdir. Shifrlash algoritmlari uchun kalitlarni generatsiya qilishning usullaridan biri bu parollardan (kalit soʻzdan) kriptografik kalit yaratishdir. Ushbu parol oʻzgaruvchan uzunlikda boʻladi va kriptografik kalitdan uzunligi kichik boʻladi. Lekin parol kalit yaratish uchun uncha yaxshi boʻlmagan material hisoblanadi, chunki foydalanuvchilar parol sifatida esda qoluvchi lugʻatlarda mavjud soʻzlardan koʻp foydalanadi, buni esa lugʻat yordamidagi hurujlardan osonlik bilan buzish mumkin. Odatda lugʻat yordamidagi hurujlar 105-106 operatsiya yordamida amalga oshiriladi, shu sababli parollardan kalit yasash uzoq vaqt davom etishi kerak, bu vaqt hisoblash mashinalari uchun uzoq sanaladi, foydalanuvchilar uchun esa bilinmaydigan vaqtdir. Agar lugʻatdagi soʻzlar soni N ta, kalitnisaqlash vaqti T boʻlsa, u holdakalitdan parol yaratish
4
uchun ketadigan vaqt t0 quyidagi formula orqali hisoblanadi: t0= 2T/N Agar
kalitni saqlash muddati oʻrtacha T = 7kun = 6,1 *105 sekund, lugʻat kattaligi N = 106 ta boʻlsa paroldan kalit yaratish vaqti t0 = 1,2 sekunddan kam boʻlmasligi zarur. Agar xavfsizlikning yuqoribosqichi talab etilsa bunday hollarda parol tasodifiy ketma-ketliklardan tashkil topishi zarur. Bunday ketma-ketliklarni kriptoprovayderda CryptGenRandom()funksiyasi yordamida yoki boshqa tasodifiy sonlar datchigidan olish mumkin. Parollar yordamida kalit yaratishning bir qancha shartlari mavjud: – parol ixtiyoriy uzunlikda berilishi mumkin, kalit esa fiksirlangan uzunlikda boʻladi; – bir-biriga oʻxshash va yaqin parollardan, bir-biriga oʻxshamagan va uzoq kalitlar yaratilishi kerak; – turli xil parollar yordamida bir xil kalitlar yaratilmasligi kerak; Bunday shartlar asosida kalit yaratishga xeshlash funksiyalarini ishlatish juda samarali hisoblanadi.Kalitlarning kriptobardoshliligini yanada oshirish maqsadida ushbu mexanizmga „asos“ vektori (salt) va iteratsiyalar sonini qoʻshish mumkin. “Asos” vektori – tasodifiy ketma-ketlik boʻlib, parol bilan aralashtiriladi. “Asos” vektorining qoʻllanilishi lugʻat hurujlarini qiyinlashtiradi, ushbu vektorning bugungi kunda tavfsiya etilgan uzunligi 8 bayt. Iteratsiyalar soni – bu paroldan kalit yaratish almashtirish funksiyasining qatnashishlar soni. Agar almashtirish funksiyasi sifatida xeshlash funksiyasi ishtirok etsa u holda xeshlash funksiyasi iteratsiyalar soniga teng miqdorda ishtirok etadi. Bugungi kunda iteratsiyalar soni 1000 tadan kam boʻlmasligi zarur. Bu holatda joʻnatuvchi va qabul qiluvchi parollarni oldindan kelishib olishlari zarur. Keltirilgan kalit yaratish mexanizmi orqali foydalanuvchilar quyidagi sxemada koʻrsatilgan kabi maʼlumot almashadi:
Himoyalangan kanal mavjud boʻlmagan holatda kalitlar asimmetrik shifrlash algoritmi yordamida shifrlab joʻnatiladi. Buning uchunxabar joʻnatuvchida qabul qiluvchining ochiq kaliti boʻlishi kerak, ushbu ochiq kalit yordamida shifrlash kaliti asimmetrik shifrlash usulida shifrlanadi va shifrlangan axborot bilan qoʻshib ochiq kanal orqali qabul qiluvchiga uzatiladi. Kalitlar sertifikatlarda yoki konteynerlarda saqlanadi. Shifrlash kalitini esa tasodifiy sonlar generatori orqali yaratiladi. Bu kalit ochiq holatda hech qaerda saqlanmaydi, ushbu kalit bilan
5
bogʻliq barcha operatsiyalar kompyuter tezkor xotirasida amalga oshiriladi.
Bunday kalitlar sessiya kaliti deb ham yoritiladi. Sessiya kaliti har bir yangi aloqa boshlanganda bir marta yaratiladi.
CryptoAPI yordamida asimmetrik shifrlash sxemasini amalga oshirish Asimmetrik shifrlash sxemalari ham simmetrik shifrlash sxemalari kabi amalga oshiriladi faqat kalitlarni tarqatish boshqa usulda amalga oshiriladi. Shifrlash amalga oshirilishidan oldin kalitlar juftligi yaratiladi hamda ochiq kalit yordamida sertifikat yaratiladi boshqa foydalanuvchilarga tarqatiladi. Boshqa foydalanuvchilar ushbu ochiq kalit yordamida maʼlumotlarni shifrlaydi ochiq kanal orqali uzatadi, qabul qilingan shifrlangan xabar ochiq kalitga mos yopiq kalit bilan deshifrlanadi.
CryptoAPI yordamida ERI sxemasini amalga oshirish
Axborotlarni kompyuter tarmoqlari orqali uzatishda ularning toʻlaligi va haqiqiyligini tekshirish maqsadida ERIdan foydalaniladi. ERI amalga oshirish uch bosqichda bajariladi:
– ERI kalitlarini shakllantirish; – ERIni shakllantirish;
– ERIni tekshirish;
– ERI kalitlarini saqlash maxsus tasodifiy sonlar generatori yordamida amalga oshiriladi. Generatorlar yordamida yaratilgan ochiq kalit sertifikatdasaqlanadi va barchaga ochiq boʻladi, yopiq kalitesa faqatgina kriptoprovayder tarkibida yoki maxsus token qurilmalarida saqlanadi. ERIni shakllantirish ERI kaliti mavjud holatda amalga oshiriladi, bunda ERI qoʻyilishi lozim boʻlgan xujjatning xesh qiymati olinadi va xesh qiymat xujjat joʻnatuvchining yopiq kaliti yordamida shifrlanadi hamda xujjat bilan birgalikda qabul qiluvchiga uzatadi. ERIni tekshirishda esa qabul qiluvchi olingan xujjatning xesh qiymatini hisoblaydi, ERIni joʻnatuvchining ochiq kaliti yordamida deshifrlaydi hamda deshifrlangan xesh qiymatni xujjatdan olingan xesh qiymat bilan taqqoslaydi, agar bu qiymatlar teng boʻlsa hujjat haqiqiy va aynan joʻnatuvidan qabul qilingan deb hisoblanadi. Microsoft CSPDK tarkibi Yuqoridagi
6
boʻlimlarda CryptoAPI funksiyalari va ulardan qanday foydalanishni koʻrib
chiqdik, endi ushbu funksiyalarni qanday yaratish yaʼni kriptoprovayderni yaratishni koʻrib chiqamiz. Kriptoprovayder bir nechta tizim kutubxona – DLL fayllardan tashkil topadi hamda fayllarda funksiyalar joylashadi va ular tizimga eksport qilinadi hamda ushbu funksiyalar tizim reestrida roʻyxatdan oʻtgan boʻladi. Microsoft kompaniyasi kriptoprovayderlar yaratish uchun qoʻllanma yaratgan (CSPDK – Cryptographic Service Provider Development Kit) ushbu qoʻllanma yordamida kriptoprovayder yaratish mumkin. Ushbu qoʻllanma tarkibiga tayyor bosh (header) fayllarhamda tizim kutubxona fayllarini roʻyxatdan oʻtkazish dasturlari mavjud.
7
1-BOB. BIOMETRIK SHIFRLASH ALGORITMLARI Xususiy biometriya – bu shifrlangan biometrikaning bir shakli, shuningdek,
maxfiylikni saqlaydigan biometrik autentifikatsiya qilish usullari deb ataladi, bunda biometrik foydali yuk bir tomonlama, gomomorfik tarzda shifrlangan xususiyatlar vektori bo‘lib, u asl biometrik shablonning o‘lchamidan 0,05% hajmda va uni to‘liq qidirish mumkin. aniqlik, tezlik va maxfiylik. Xususiyat vektorining gomomorfik shifrlashi qidirish va moslashtirishni shifrlangan ma’lumotlar to‘plamida polinom vaqtida amalga oshirishga imkon beradi va qidiruv natijasi shifrlangan o‘yin sifatida qaytariladi. Bir yoki bir nechta hisoblash moslamalari shaxsiy kompyuterni tekshirish uchun (1: 1 tasdiqlash) yoki shaxsni ma’lumotlar omborida identifikatsiyalash uchun shifrlangan xususiyatlar vektoridan foydalanishi mumkin (1: ko‘plari identifikatsiyalashadi) hisoblash moslamalari ichida yoki ularning o‘rtasida oddiy matnli biometrik ma’lumotlarni saqlamasdan, jo‘natmasdan yoki qabul qilmasdan yoki har qanday boshqa shaxs. Xususiy biometriyaning maqsadi – shaxsning shaxsiy hayoti va insonning asosiy huquqlarini kafolatlagan holda shaxsni identifikatsiya qilish yoki tasdiqlash uchun faqat shifrlangan maydonda biometrik ma’lumotlar asosida ishlash. Ba’zi xususiy biometriklar, shu jumladan barmoq izlarini autentifikatsiya qilish usullari, yuzni autentifikatsiya qilish usullari va tana xususiyatlariga ko‘ra identifikatsiyalash algoritmlari. Shaxsiy biometriya doimiy ravishda shaxsiy hayotga bo‘lgan ehtiyojning o‘zgarishi, identifikatsiyani o‘g‘irlash va biotexnologiyalar asosida rivojlanib boradi. Biometrik xavfsizlik foydalanuvchining autentifikatsiyasini kuchaytiradi, ammo yaqin vaqtgacha shaxsiy shaxsiy hayoti uchun muhim xavflarni ham keltirib chiqardi. Darhaqiqat, buzilgan parollarni osongina almashtirish mumkin va ular shaxsan aniqlanadigan ma’lumotlar (PII) emas, biometrik ma’lumotlar uning shaxsiy tabiati, foydalanuvchilar bilan noyob aloqasi va buzilgan biometrik (biometrik andozalar) bekor qilinmasligi yoki yo‘qligi sababli juda sezgir hisoblanadi. Ushbu muammoni hal qilish uchun xususiy biometriya ishlab chiqilgan. Shaxsiy biometriklar zarur biometrik
8
autentifikatsiyani ta’minlaydi, shu bilan birga bir tomonlama, to‘liq gomomorfik
shifrlash orqali foydalanuvchi shaxsiy hayoti ta’sirini minimallashtiradi.
Biometrik Ochiq Protokol standarti, IEEE 2410-2018, 2018 yilda xususiy biometrikani o‘z ichiga olgan holda yangilangan va bir tomonlama to‘liq gomomorfik shifrlangan xususiyat vektorlari, “... biometrik ma’lumotlarning ikkalasini ham shifrlangan holda saqlash orqali iste’molchilarning shaxsiy hayotining yangi darajasiga olib keladi. dam olishda va tranzitda”. Biometrik Ochiq Protokol Standarti (BOPS III), shuningdek, xususiy biometrikaning asosiy foydasi APIni soddalashtirishga imkon beradigan yangi standart ekanligini ta'kidladi, chunki biometrik foydali yuk har doim bir tomonlama shifrlangan va shu sababli kalitlarni boshqarishga hojat yo‘q edi. Biometriya uchun to‘liq gomomorfik kriptosistemalar
Tarixiy jihatdan biometrik moslashtirish texnikasi shifrlangan makonda ishlay olmagan va qidirish va moslashtirish ishlari davomida biometrikaning aniq nuqtalarda ko‘rinishini (shifrlanmagan) talab qilgan. Ushbu parolni hal qilish talabi shifrlangan biometrikada (“1: ko‘pchilik aniqlaydi”) keng ko‘lamli qidiruvni har ikkala muhim qo‘shimcha masalalar (masalan, murakkab kalitlarni boshqarish va ma’lumotlarni saqlash va qayta ishlashga oid muhim talablar) hamda biometrikaning yo‘qolishi xavfi borligi sababli amalga oshirib bo‘lmaydigan holga keltirdi. dasturda yoki operatsion tizimda oddiy matnda ishlanganda (masalan, FIDO Alliance ga qarang).
Ma’lumotlarning maxfiyligi to‘g‘risidagi qonunlar va qoidalarga rioya qilgan holda (shu jumladan Apple FaceID, Samsung, Google) biometrik xavfsizlik sotuvchilari o‘z kuchlarini soddalashtirilgan 1: 1 muammosini tekshirishga qaratdilar va 1: ko‘plarni hal qilish uchun chiziqli skanerlash uchun zarur bo‘lgan katta hisoblash talablarini bartaraf eta olmadilar. muammoni aniqlash.
Bugungi kunda xususiy biometrik kriptotizimlar ushbu cheklovlar va xatarlarni bir tomonlama, to‘liq gomomorfik shifrlash yordamida engib chiqmoqda. Ushbu shifrlash shakli hisoblashlarni shifrlangan matnda bajarishga imkon beradi, mos yozuvlarni biometrik shifrini ochmasdan shifrlangan
9
ma’lumotlar to‘plamida o‘tkazishga imkon beradi va shifrlangan o‘yin natijasini
beradi. Shifrlangan maydonda mos kelish eng yuqori aniqlik, tezlik va maxfiylikni ta’minlaydi va biometriyani parolini hal qilish bilan bog‘liq xavflarni yo‘q qiladi.
|
| |
