Autentifikatsiya protokollariga boiadigan asosiy hujumlar
quyidagilar:
-
maskarad (impersonation). Foydalanuvchi o ‘zini boshqa
shaxs deb ko‘rsatishga urinib, u shaxs tarafidan harakatlaming
imkoniyatlariga va imtiyozlariga ega bo‘lishni moijallaydi;
- autentifikatsiya
almashinuvi tarafini almashtirib qo ‘yish
(interleaving attack). Niyati buzuq odam ushbu hujum mobaynida
ikki taraf orasidagi autenfikatsion almashinish jarayonida trafikni
modifikatsiyalash niyatida qatnashadi. Almashtirib qo‘yishning qu-
yidagi xili mavjud: ikkita foydalanuvchi o‘rtasidagi autentifikatsiya
muvaffaqiyatli o ‘tib, ulanish o ‘matilganidan so‘ng buzg‘unchi foy-
dalanuvchilardan birini chiqarib tashlab, uning nomidan ishni
davom ettiradi;
-
takroriy uzatish (replay attack). Foydalanuvchilaming biri
tomonidan autentifikatsiya ma’lumotlari takroran uzatiladi;
-
uzatishni qaytarish (reflection attak).
Oldingi hujum variant-
laridan biri b o iib , hujum mobaynida niyati buzuq protokolning ush
bu sessiya doirasida ushlab qolingan axborotni orqaga qaytaradi.
-
majburiy kechikish (forsed delay). Niyati buzuq qandaydir
ma’lumotni ushlab qolib, biror vaqtdan so‘ng uzatadi.
-m atn tanlashli hujum (chosen text attack). Niyati buzuq
autentifikatsiya trafigini ushlab qolib, uzoq muddatli kriptografik
kalitlar xususidagi axborotni olishga urinadi.
Yuqorida keltirilgan hujumlami bartaraf qilish uchun auten
tifikatsiya protokollarini qurishda quyidagi usullardan foydalaniladi:
- “so‘rov-javob”,
vaqt belgilari, tasodifiy sonlar, indentifi-
katorlar, raqamli imzolar kabi mexanizmlardan foydalanish;
- autentifikatsiya natijasini foydalanuvchilaming tizim doirasi-
dagi keyingi harakatlariga bogiash. Bunday yondashishga misol
tariqasida autentifikatsiya jarayonida foydalanuvchilaming keyingi
o ‘zaro aloqalarida ishlatiluvchi maxfiy seans kalitlarini almashishni
ko'rsatish mumkin;
- aloqaning o ‘matilgan seansi doirasida
autentifikatsiya muo-
lajasini vaqti-vaqti bilan bajarib turish va h.
“So‘rov-javob” mexanizmi quyidagicha. Agar foydalanuvchi
A
foydalanuvchi
V dan oladigan xabari yolg‘on emasligiga ishonch
hosil qilishni istasa, u foydalanuvchi
V uchun yuboradigan xabarga
135
oldindan bilib bo‘lmaydigan element -
X so‘rovini (masalan,
qandaydir tasodifiy sonni) qo‘shadi. Foydalanuvchi V javob
berishda bu amal ustida m a’lum amalni (masalan,
qandaydir f(X)
fiinksiyani hisoblash) bajarishi lozim. Buni oldindan bajarib bo‘l-
maydi, chunki so‘rovda qanday tasodifiy son
X kelishi foyda
lanuvchi
V ga m a’lum emas. Foydalanuvchi
V harakati natijasini
olgan foydalanuvchi
A foydalanuvchi
V ning haqiqiy ekanligiga
ishonch hosil qilishi mumkin. Ushbu usulning kamchiligi - so‘rov
va javob o ‘rtasidagi qonuniyatni aniqlash mumkinligi.
Vaqtni belgilash mexanizmi har bir xabar uchun vaqtni qayd-
lashni ko‘zda tutadi. Bunda tarmoqning har bir
foydalanuvchisi kel-
gan xabaming qanchalik eskirganini aniqlashi va uni qabul qil-
maslik qaroriga kelishi mumkin, chunki u yolg’on bo‘lishi mumkin.
Vaqtni belgilashdan foydalanishda seansning haqiqiy ekanligini
tasdiqlash uchun
kechikishning jo iz vaqt oralig 7 muammosi paydo
bo‘ladi. Chunki, “vaqt tamg‘asi”li xabar, umuman, bir lahzada uza-
tilishi mumkin emas. Undan tashqari, qabul qiluvchi va jo ‘natuv-
chining soatlari mutlaqo sinxronlangan boMishi mumkin emas.
Autentifikatsiya protokollarini taqqoslashda va tanlashda quyi-
dagi xarakteristikalami hisobga olish zarur:
-
о ‘zaro autentifikatsiyaning mavjudligi. Ushbu xususiyat
autentifikatsion almashinuv taraflari o‘rtasida ikkiyoqlama autentifi
katsiyaning zarurligini aks ettiradi;
-
hisoblash samaradorligi. Protokolni bajarishda zarur b o i-
gan amallar soni;
-
kommunikatsion samaradorlik. Ushbu xususiyat autentifi-
katsiyani bajarish uchun zarur bo’lgan xabar soni va uzunligini aks
ettiradi;
-
uchinchi tarafning mavjudligi. Uchinchi tarafga misol tari-
qasida simmetrik kalitlami taqsimlovchi ishonchli servemi yoki
ochiq kalitlami taqsimlash uchun sertifikatlar daraxtini amalga
oshiruvchi servemi ko’rsatish mumkin;
-
xavfsizlik kafolati asosi. Misol sifatida nullik bilim bilan
isbotlash xususiyatiga ega bo’lgan protokollami ko’rsatish mumkin;
-
sirni saqlash. Jiddiy kalitli axborotni saqlash usuli ko‘zda
tutiladi.
136