Oddiy autentifikatsiyani tashkil etish sxemalari
nafaqat parollarni uzatish,
balki ularni saqlash va tekshirish turlari bilan ajralib turadi. Eng kengtarqalgan
usul — foydalanuvchilar parolini tizimli fayllarda, ochiq holda saqlash usulidir.
Bunda fayllarga o‘qish va yozishdan himoyalash atributlari o‘rnatiladi (masalan,
operatsion tizimdan foydalanishni nazoratlash ruyxatidagi mos imtiyozlarni
tavsiflash yordamida). Tizim foydalanuvchi kiritgan parolni parollar faylida
saqlanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama
funktsiyalar kabi Kriptografik mexanizmlar ishlatilmaydi. Ushbu usulning
kamchiligi - niyati buzuq odamning tizimda ma’mur imtiyozlaridan,
shu bilan
birga tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir.
Xavfsizlik nuqtai nazaridan parollarni bir tomonlama funktsiyalardan
foydalanib uzatish va saqlash qulay hisoblanadi. Bu holda foydalanuvchi
parolning ochiq shakli urniga uning bir tomonlama funktsiya h(.) dan foydalanib
olingan tasvirini yuborishi shart. Bu o‘zgartirish g‘anim tomonidan parolni uning
tasviri orqali oshkor qila olmaganligini kafolatlaydi, chunki g‘anim
yechilmaydigan sonli masalaga duch keladi.
3 Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni
qo‘llashning usullari
Ko‘p martali parollarga asoslangan oddiy autentifikatsiyalash tizimining
bardoshligi past, chunki ularda autentifikatsiyalovchi axborot ma’noli so‘zlarning
nisbatan katta bo‘lmagan to’plamidan jamlanadi. Ko’p martali parollarning ta’sir
muddati tashkilotning xavfsizligi siyosatida belgilanishi va bunday parollarni
muntazam ravishda almashtirib turish lozim. parollarni shunday tanlash lozimki,
ular lug‘atda bo‘lmasin va ularni topish qiyin bo‘lsin.
Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har bir
so‘rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir
marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsaham parol foyda
bermaydi. Odatda bir martali parollarga asoslangan autentfikatsiyalash
tizimi
masofadagi foydalanuvchilarni tekshirishda qo‘llaniladi.
Bir martali parollarni generatsiyalash apparat yoki dasturiy usul oqali amalga
oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat
vositalari tashqaridan to‘lov plastik kartochkalariga o‘xshash mikroprotsessor
o‘rnatilgan miniatyur qurilmalar ko‘rinishda amalga oshiradi. Odatda kalitlar deb
ataluvchi bunday kartalar klaviaturaga va katta bo‘lmagan displey darchasiga ega.
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni
qo‘llashning quyidagi usullari ma’lum:
1. Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan
foydalanish.
2. Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy
parollar ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
3. Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki
qiymatli psevdotasodifiy sonlar generatoridan foydalanish.
Birinchi usulni amalga oshirish misoli sifatida SecurID autentikatsiyalash
texnologiyasini ko‘rsatish mumkin. Bu texnologiya
Security Dynamics
kom’aniyasi tomonidan ishlab chiqilgan bo‘lib, qator kom’aniyalarning, xususan
Cisco Systems kom’aniyasining serverlarida amalga oshirilgan.
Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy
sonlarni vaqtning ma’lum oralig‘idan so‘ng
generatsiyalash algoritmiga
asoslangan. Autentifikatsiya sxemasi quyidagi ikkita parametrdan
foydalanadi:
• har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda
foydalanuvchining a’’arat kalitida saqlanuvchi noyob 64-bitli sondan iborat
maxfiy kalit;
• joriy vaqt qiymati.
Autentifikatsiyaning bu sxemasi bilan yana bir muammo bog‘liq. A’’arat
kalit generatsiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida
haqiqiy parol hisoblanadi. SHu sababli, umuman, qisqa
muddatli vaziyat sodir
bo‘lishi mumkinki, xaker pIN-kodni ushlab qolishi va uni tarmoqdan
foydalanishga ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga asoslangan
autentifikatsiya sxemasining eng zaif joyi hisoblanadi.
Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga oshiruvchi
yana bir variant - «so‘rov-javob» sxemasi bo’yicha autentifikatsiyalash.
Foydalanuvchi tarmoqdan foydalanishga uringanida server unga tasodifiy son
ko‘rinishidagi so‘rovni uzatadi. Foydalanuvchining apparat kaliti bu tasodifiy
sonni, masalan DES algoritmi va foydalanuvchining apparat kaliti xotirasida va
serverning ma’lumotlar bazasida saqlanuvchi maxfiy kaliti yordamida
rasshifrovka qiladi. Tasodifiy son - so‘rov shifrlangan ko‘rinishda
serverga
qaytariladi. Server ham o‘z navbatida o‘sha DES algoritmi va serverning
ma’lumotlar bazasidan olingan foydalanuvchining maxfiy kaliti yordamida o‘zi
generatsiyalagan tasodifiy sonni shifrlaydi. So‘ngra server shifrlash natijasini
a’’arat kalitidan kelgan son bilan taqqoslaydi. Bu sonlar mos kelganida
foydalanuvchi tarmoqdan foydalanishga ruxsat oladi. Ta’kidlash lozimki,
«so‘rov-javob» autentifikatsiyalash sxemasi ishlatishda vaqt sinxronizatsiyasidan
foydalanuvchi autentifikatsiya sxemasiga qaraganda murakkabroq.
Foydalanuvchini
autentifikatsiyalash
uchun
bir
martali
paroldan
foydalanishning ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy
bo‘lgan tasodifiy parollar ruyxatidan va ularning ishonchli sinxronlash
mexanizmidan foydalanishga asoslangan. Bir martali parollarning bo‘linuvchi
ro‘yxati maxfiy parollar ketma-ketligi yoki to’plami bo‘lib, har bir parol faqat bir
marta ishlatiladi. Ushbu ro‘yxat autentifikatsion almashinuv taraflar o‘rtasida
oldindan taqsimlanishi shart. Ushbu usulning bir variantiga binoan so‘rov-javob
jadvali ishlatiladi. Bu jadvalda autentifikatsilash uchun taraflar tomonidan
ishlatiluvchi so‘rovlar va javoblar mavjud bo‘lib, har
bir juft faqat bir marta
ishlatilishi shart.
Foydalanuvchini
autentifikatsiyalash
uchun
bir
martali
paroldan
foydalanishning uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy
bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan
foydalanishga asoslangan. Bu usulni amalga oshirishning quyidagi variantlari
mavjud:
• O‘zgartiriluvchi bir martali parollar ketma-ketligi. Navbatdagi
autentifikatsiyalash sessiyasida foydalanuvchi aynan shu sessiya uchun oldingi
sessiya parolidan olingan maxfiy kalitda shifrlangan parolni yaratadi va uzatadi;
• bir tomonlama funktsiyaga asoslangan parollar ketma-ketligi. Ushbu
usulning mohiyatini bir tomonlama funktsiyaning
ketma-ket ishlatilishi
(Lam’artning mashhur sxemasi) tashkil etadi. Xavfsizlik nuqtai nazaridan bu
usul ketma-ket O‘zgartiriluvchi parollar usuliga nisbatan afzal hisoblanadi.
Mustahkamlash uchun topshiriqlar
1
Bir martali parollarga asoslangan autentifikatsiyalash
2
Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash
3
Bir martali parol
4
O‘zgartiriluvchi bir martali parollar ketma-ketligi
Uyga vazifa
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni
qo‘llashning usullari
