|
Sertifikatlar tiykarında autentifikatsiyalaw
|
| bet | 8/12 | | Sana | 19.05.2024 | | Hajmi | 0,7 Mb. | | #243912 |
Bog'liq Identifikatsiya va autentifikatsiya avtorizatsiya maselesi kurs 1.3. Sertifikatlar tiykarında autentifikatsiyalaw
Tarmaqtan paydalanıwshıdar sanı millionlap ulchanganida paydalanu Bchndar paroldarinin tayınlanıwı hám saklanishi menen baylanisli paydalanuwshilardin dáslepki dizimin alıw emlewi kútá úlken hám ámelge asırılıwı kiyin boladı. Bunday sharayatta rakamli sertifikatlar hasa - sidagi autentifikatsiyalash parollar kullanishiga ratsional alternativa esaplanadi. Rakamli sertifikatlar isletilingeninde kompyuter tarmogi paydala - nuvchilari jónindegi xesh kanday informaciyanı saklamaydi. Bunday informaciyanı paydalanuBchndarning uzi surov-sertifikatlarında takdim etediler. Bunda jasırın informaciyanı, atap aytqanda jasırın giltlerdi saklash wazıypası paydala - nuBchndarning uziga juklenedi.
Paydalanıwshı shaxsın tasdiklovchi rakamli sertifikatlar payda - lanuvchilar surovi buyicha arnawlı kepillikli shólkem-sertifikatsiya mar- kazi CA (Certificate Authority) tárepinen, málim shártler orınlanǵanında beriledi. Ta'kiddash kerekki, sertifikat alıw emlewiniń uzi xam paydalanıwshınıń xakikiyligini tekseriw (yaǵnıy, autentifikatsiyalash) boskichini uz ishine aladı. Bunda tekseriwshi tárep sertifikatsiyalovchi shólkem (sertifikatsiya orayı SA) boladı.
Sertifikat alıw ushın klient sertifikatsiya orayına shaxsın tasdiklovchi maǵlıwmattı hám ochik giltini takdim etiwi kerek. Zárúrli maǵlıwmatlar ruyxati alınatuǵın sertifikat túrine boglik. Sertifikatsiyalovchi shólkem paydalanıwshınıń xakikiyligi tasdigini teksergeni- den sung uzınıń rakamli imzosini ochik gilt hám paydalanıwshı jóninde- gi maǵlıwmat bulgan faylǵa orındashtiradi xamda bul ochik giltning mu- ayyan shaxsqa tiyisli ekenligin tasdiklagan túrde paydalanıwshına sertifikat beredi.
Sertifikat elektron forma bulib, quramında kuyidagi informaciya boladı :
bul sertifikat iyesiniń ochik gilti;
sertifikat iyesi jónindegi maǵlıwmat, mısalı, atı, elektron pochta adresi, isleytuǵın shólkem atı hám x.;
bul sertifikattı bergen shólkem atı ;
sertifikatsiyalovchi shólkemdiń elektron qolı - bul tashki- lotning jasırın gilti járdeminde shifrlanǵan sertifikatsiyadagi maǵlıwmatlar.
Sertifikat paydalanıwshın tarmaq resurslarına shaqırıq etkeninde autentifikatsiyalovchi qural esaplanadi. Bunda tekseriwshi tárep vazi- fasini korporativ tarmaqtıń autentifikatsiya serveri atqaradı. Serti- fikatlar nafakat autentifikatsiyalashda, bálki paydalanıwdıń málim xukuklarini takdim etıwde isletiliwi múmkin. Onıń ushın sertifi- katga kushimcha xoshiyalar kiritilip olarda sertifikatsiya iyesiniń foy- dalanuvchilarning ol yamasa bul kategoriyasiga tiyisliligi kursatiladi.
Ochik giltlerdiń sertifikatlar menen ajıralmas boglikligini ayrıqsha atap ótiw kerek. Sertifikat nafakat shaxstı, bálki ochik gilt tiyisliligin tasdiklovchi hújjet bolıp tabıladı. Rakamli sertifikat ochik gilt jáne onıń iyesi urtasidagi uyqaslıqtı urnatadi hám kepillikleydi. Bul ochik giltni almastırıw qáwpin jónge salıw etedi.
Eger abonent informaciya almasinuvi buyicha sheriginen sertifikat quramındaǵı ochik giltni alsa, ol bul sertifikat daǵı sertifikatsiya marka - zining rakamli imzosini bul sertifikatsiya orayınıń ochik gilti járdeminde tekseriw hám ochik gilt adresi hám boshka maǵlıwmatları serti- fikatda kursatilgan paydalanıwshına tiyisli ekenligine isenim payda kilittti múmkin. Sertifikatlardan paydalanilganda paydalanıwshılar ruyxatini olardıń parolları menen korporatsiya serverlerinde saklash za- ruriyati yukoladi. Serverde sertifikatsiyalovchi shólkemlerdiń atları hám ochik giltleriniń bulishi jetkilikli.
Sertifikatlardıń isletiliwi sertifikatsiyalovchi shólkemler- dıń salıstırǵanda kamligiga hám olardıń ochik giltlerinen kizikkan barlıq shaxslar hám shólkemler paydalana alıwı (mısalı, jurnallardaǵı na- shrlar járdeminde) shamaına tiykarlanǵan.
Sertifikatlar tiykarında autentifikatsiyalash procesin ámelge oshi- rishda sertifikatsiyalovchi shólkem wazıypasın kim orınlawı jónindegi máseleni sheshiw áhmiyetli esaplanadi. Xızmetkerlerdi sertifikat menen támiyinlew máselesin kárxananıń uzi sheshiwi júdá tábiyiy esaplanadi. Kárxana uzınıń xızmetkerlerin jaqsı biladi hám olar shaxsın tasdikdash wazıypasın uziga alıwı múmkin. Bul sertifikat beriliwindegi dáslepki autentifikatsiyalash emlewin ańsatlashtiradi. Kárxanalar sertifikat - larni generatsiyalash, beriw hám olarǵa xızmet kursatish processlerin av- tóbeatlashtirishni támiyinleytuǵın ámeldegi programmalıq ónimlerden paydala - ósindileri múmkin. Mısalı, Netscape Communications kompaniyası serverla- rini kárxanalarǵa jeke sertifikatların chikarish ushın usınıs etedi.
Sertifikatsiyalovchi shólkem wazıypasın orınlawda kommerciya tiykarında sertifikat beriw buyicha mustakil oraylar xam qosılıwı múmkin. Bunday xızmetlerdi, atap aytqanda, verisign kompaniyasınıń sertifikatsiyalovchi orayı usınıs etedi. Bul kompaniyanıń sertifikatları xalkaro standart X. 509 talaplarına juwap beredi. Bul sertifikatlar maǵlıwmatlar ximoyasining kator ónimlerinde, atap aytqanda ximoyalangan kanal SSL protokolında isletiledi.
K, at'iy autentifikatsiyalash
Kriptografik protokollarında ámelge asıriluvchi kat'iy autentifikatsiyalash goyasi kuyidagicha. Tekseriliwshi (tastıyıqlaytuǵın ) tárep kanday bolıp tabıladı sirni biliwin kórsetken túrde tekseriwshige uzınıń xakikiy ekenligin tastıyıqlaydı. Mısalı, bul sır autentifikatsion almaslaw tárepleri urtasida aldınan qawipsiz usıl menen taksimlangan bulishi múmkin. Sirni biliw tastıyıqı kriptografik usıl hám qurallardan paydalanılǵan túrde surov hám juwap izbe-izligi járdeminde ámelge asıriladı.
Eń áhmiyetlii, tastıyıqlaytuǵın tárep fakat sirni biliwligin kórsetip beredi, sirni uzi bolsa autentifikatsion almaslaw dawamında ashılmaydı. Bul tekseriwshi táreptiń túrli surovlariga tastıyıqlaytuǵın táreptiń juwapları járdemi menen támiyinlenedi. Bunda juwmaqlawshı surov fakat paydalanıwshı siriga hám protokol baslanıwında qálegen saylanǵan úlken sandan ibarat baslanǵısh surovga boglik boladı.
Kópshilik túrderda kat'iy autentifikatsiyalashga qaray xar bir paydalanıwshı uzınıń jasırın giltiga egaligi belgii buyicha autentifikatsiyalanadi. Boshkacha aytqanda paydalanıwshı onıń aloka buyicha sheriginiń tiyisli jasırın giltga egaligini hám ol bul giltni informaciya almasinuvi buyicha xakikiy serik ekenligin tastıyıqlawǵa isleta alıwı múmkindigini aniklash múmkinshiligine iye.
X. 509 standartı usınıslarına qaray kat'iy autentifikatsiyalashning kuyidagi emlewleri farkdanadi:
bir tárepdama autentifikatsiya;
eki tárepdama autentifikatsiya;
úsh tárepdama autentifikatsiY.
Bir tárepleme autentifikatsiyalash bir tárepke yunaltirilgan informaciya almasınıwın kuzda tutadı. Autentifikatsiyaning bul túri kuyidagilarga múmkinshilik jaratadı :
informaciya almasinuvchining fakat bir tárepin xakikiydigini tasdiklash;
uzatidayotgan informaciya pútinliginiń aynıwın aniklash;
" uzatıwdıń tákirari" tipidagi hújimdi aniklash;
uzatılıp atırǵan autentifikatsion maǵlıwmatlardan fakat tekseriwshi tárep paydalanıwın kepillik beriw.
Óz-ara autentifikatsilashda bir tárepliligiga nisba- tán tastıyıqlaytuǵın tárepke tekseriwshi táreptiń kushimcha juwabı boladı. Bul juwap tekseriwshi tárepti alokaning áyne autentifikatsiya maǵlıwmat - lari muljaldangan tárep menen urnatilayotganiga ishontirish kerek.
Úsh tárepleme autentifikatsiyalash quramında tastıyıqlaytuǵın tárep- den tekseriwshi tárepke kushimcha maǵlıwmatlar uzatıw bar. Bunday qaptal - dashish autentifikatsiya utkazishda vakt belgnlarndan paydalanıwdan waz keshiwge múmkinshilik beredi.
Atap ótiw kerekki, bul gruppalaw shártli bolıp tabıladı. Ámelde isletiluv- chi usıl hám qurallar tuplami autentifikatsiya procesin ámelge otttirittt- dagi arnawlı bir shárt-shárayatlarǵa boglik. Kat'iy autentifikatsiyaning utkazilishi isletiletuǵın kriptografik algoritmlar hám kator kushimcha parametrlerdi tárepler tárepinen suzsiz muvofiklashtirishni talap eta- di.
Kat'iy autentifikatsiyalashning arnawlı bir variantların kurishdan al- dinge sıyınıw bir retli parametrlerdiń wazıypaları hám múmkinshiliklerine tuxtash kerek. Bir retli parametrler geyde " nonces" - bir maksadga bir mar- den artık isletnlmaydigan shama dep ataladı. Xozirda isletiletuǵın bir retli parametrlerden tosınarlı sanlar, vakt belgileri hám izbe-izliklerdiń nomerlerin kursatish múmkin.
Bir retli parametrler uzatıwdıń tákirarlanıwın, autentifika- sion almasinuv táreplerin almastırıp kúyiwdi hám ochik tekstti tán- lash menen hújim kilitttni aldın alıwǵa múmkinshilik beredi. Bir retli parametrler járdeminde uzatılatuǵın xabarlardıń kem ushraytuǵınlıǵın, bir mánisli- ligini hám vaktiy kepilliklerin támiyinlew múmkin. Bir retli parametrlerdiń hár qıylıları ayrıqsha isletiliwi, yamasa bir-birin tuldirishi múmkin.
Bir retli parametrlerdiń kuyidagi isletiliw mısalların kursatish múmkin:
"surov-juwap" Principinde kurilgan protokollarda uz vaktidaligi- ni tekseriw. Bunday tekseriwde tosınarlı sanlar, saatlardı sinxron- lash menen vakt belgileri yamasa arnawlı bir jup (tekseriwshi, tastıyıqlaytuǵın ) ushın izbe-izliklerdiń nomerlerinen paydalanıw múmkin;
uz vaktidaligini yamasa siyrek gezlesetuǵınlıq kepilligin támiyinlew. Protokol - dıń bir retli parametrlerin tikkeley (tosınarlı sannı tańlaw yuli menen) yamasa tikkeley bolmaǵan (bulinuvchi sirdagi informaciyanı analizlew járdeminde) qadaǵalawlaw orkali ámelge asıriladı ;
xabardı yamasa xabarlar izbe-izligin bir mánisli identifika- siyalash. Bir oxangda usuvchi izbe-izliktiń bir retli kiymatini (mısalı, ceriya nomerleri yamasa vakt belgileri izbe-izligi) yamasa uyqas uzın- likdagi tosınarlı sanlardı dúziw orkali ámelge asıriladı.
Atap ótiw kerekki, bir retli parametrler kriptografik proto- kollarning boshka variantlarında xam (mısalı, gilt informaciyaın taksimlash protokollarında ) keń kullaniladi.
Kat'iy autentifikatsiyalash protokolların kullaniladigan kriptografik algoritmlarına boglik túrde kuyidagi gruppalarǵa ajıratıw múmkin:
shifrlawdıń simmetrik algoritmları tiykarındaǵı kat'iy autentifikatsiyalash protokolları ;
bir tárepleme giltli xesh-funksiyalar tiykarındaǵı kat'iy autentifikatsiyalash protokolları ;
shifrlawdıń asimmetrik algoritmları tiykarındaǵı kat'iy autentifikatsiyalash algoritmları ;
elektron rakamli qol tiykarındaǵı kat'iy autentifikatsiyalash algoritmları.
Simmetrik algoritmlarǵa tiykarlanǵan kat'iy autentifikatsiyalash.
Kerberos protokolı.
Simmetrik algoritmlar tiykarında kurilgan autentifikatsiyalashning islewi ushın tekseriwshi hám tastıyıqlaytuǵın áyne basınan bir jasırın ka- litga iye bulishlari zárúr. Paydalanıwshıları kup bulmagan yopik sistemalar ushın paydalanıwshılardıń xar bir jupi jasırın giltni uzaro bulib alıwları múmkin. Simmetrik shifrlaw texnologiyasın kullovchi úlken taksimlangan sistemalarda isenimli server katnashuvidagi autentifikatsiyalash protokollarınan paydalanıladı. Bul server menen xar bir tárep giltni bilitttligini urtokdashishadi.
Bul jantasıw ápiwayı bulib tuyulsada, tiykarınan bunday autentifikatsiyalash protokolın islep chikish quramalı hám qawipsizlik nuktai názeri- den gúmansız emes. Kuyida shifrlawdıń simmetrik algoritmlarına tiykarlanǵan, ISO/IEC9798-2 de specifikaciyalanǵan autentifikatsiyalash protokolları - dıń ush mısalı keltirilgen. Bul protokollar bulinuvchi jasırın giltlerdi aldınan taksimlanishini kuzda tutadı.
Autentfikatsiyalashning kuyidagi variantların kurib chikamiz. vakt belgilerinen paydalanıwshı bir tárepdama autentifikatsiyalash.
tosınarlı sanlardan paydalanıwshı bir tárepdama autentifikatsiyalash.
eki tárepdama autentifikatsiyalash.
Bul variantlardıń xar birinde paydalanıwshı jasırın giltni bili- shini kórsetiw kidgan túrde, uzınıń xakikiyligini tastıyıqlaydı, sebebi bul jasırın gilt járdeminde surovlarni rasshifrovka etedi. Autentifikatsiyalash processinde simmetrik shifrlawdı kullashda uzatidadigan maǵlıwmatlardıń pútinligin támiyindash mexanizmin súwret bulib kolgan usıllar tiykarında ámelge asırıw xam zárúr.
Tomendegi belgilewlerdi kiritemiz:
gA- katnashuvchi A generatsiyalagan tosınarlı san;
gv- katnashuvchi v generatsiyalagan tosınarlı san;
^- katnashuvchi A generatsiyalagan vakt belgisi;
EK- gilt Kda simmetrik shifrlaw (gilt K aldınan A hám v urtasida taksimlanishi shárt). vatst belgilerine tiykarlanǵan bir tárepleme autentifikatsiyalash: A^v^ (tA, B) (1)
Bul xabardı alıp rasshifrovka kilganidan sung katnashuvchi v vakt metkasi tA xakikiy ekenligine hám xabarda kursatilgan identifikator uzınıki menen sáykes keliwine isenim xosid etedi. Bul xabardı kaytadan uzatıwdı aldın alıw giltni bidmasdan turıp vakt metkasi tA ni hám ın- dentifikator vni uzgartirish múmkin emesligine tiykarlanadı.
|
| |
