|
Sertifikatlar tiykarında autentifikaciya
|
| bet | 5/5 | | Sana | 06.02.2024 | | Hajmi | 119,63 Kb. | | #152090 |
Bog'liq Paroller ham sertifikatlar (Автосохраненный) A. Rasulov - Ehtimollar nazariyasi va matematik statistika, 1, Test, 3-amaliy — sirtqi (1), 2-amaliy —sirtqi, Tafakkur haqida tushuncha, Kompyuter tarmoqlari HEMIS Student axborot tizimi, 9-ameliy jumis, 19-mavzu, Катламлар жаратыу, Tema, kitob 0061f0f9385bb32, dokumen.tips audacity-presentation, 124840 6-МАВЗУ)2. Sertifikatlar tiykarında autentifikaciya.
3. Bir márteli parollardı qóllawdıń usılları.
Identifikaciya (Identification) - paydalanıwshınıń onıń identifikatorı (atı) boyınsha anıqlaw procesi. Bul paydalanıwshı tarmaqtan paydalanbaqshı bolǵanda birinshi náwbette atqarılatuǵın funksiya bolıp tabıladı. Paydalanıwshı sistemaǵa onıń sorawı boyınsha óziniń identifikatorın ańlatadı, sistema bolsa óziniń maǵlıwmatlar bazasında onıń bar ekenin tekseredi. Autentifikaciya (Authentication) - xabar berilgen paydalanıwshı, process yamasa qurılmanıń haqıyqıy ekenligin tekseriw processi. Bul tekseriw paydalanıwshı (process yamasa qurılma) haqıyqattan ózi ekenligine isenim payda etiwine múmkinshilik beredi. Autentifikaciya ótkeriwde tekseriwshi tárep tekseriliwshi táreptiń haqiqiy ekenligine isenim payda etiwi menen bir qatarda tekseriliwshi tárep de informaciya almasıw processinde aktiv qatnasadı. Ádetde paydalanıwshı sistemaǵa óz haqqında, basqalarǵa málim bolmaǵan informaciyanı (mısalı, parol yamasa sertifikat) kirgiziwi arqalı identifikaciyanı tastıyıqlaydı. Identifikaciya hám autentifikaciya subektlerdiń (paydalanıwshılardıń) haqıyqıy ekenligin anıqlaw hám tekseriwdiń óz-ara baylanısqan procesi bolıp tabıladı. Arnawlı bir paydalanıwshı yamasa processtiń sistema resurslarınan paydalanıwına sistemanıń ruxsatı usılarǵa baylanıslı. Subektti identifikaciyalaw hám autentifikaciyalawdan keyin onı avtorizaciyalaw baslanadı. Avtorizaciya (Authorization) - subektge sistemada málim kepillik hám resursların beriw processi, yaǵnıy avtorizaciya subekt háreketi sheńberin hám ol paydalanatuǵın resursların belgileydi. Eger sistema avtorizaciyalanǵan Shaxstı avtorizaciyalanbaǵan Shaxstan isenimli ajrata almasa bul sistemada informaciyanıń konfidenciallıǵı hám pútinligi ózgeriwi múmkin. Autentifikaciya hám avtorizaciya menen paydalanıwshı háreketin administratorlaw ajıralmas baylanısqan. Administratorlaw (Accounting) - paydalanıwshınıń tarmaqtaǵı háreketin, sonday-aq, onıń resurslardan paydalanıwǵa urınıwın atap kórsetiw. Bul esabat informaciyası qawipsizlik kóz qarasınan tarmaqtaǵı qawipsizlik hádiyselerin jarıyalaw, analizlew hám olarǵa uyqas reaksiya kórsetiw ushın júdá zárúrli bolıp tabıladı. Maǵlıwmatlardı uzatıw kanalların qorǵawda subektlerdiń óz-ara autentifikaciyası, yaǵnıy baylanıs kanalları arqalı baylanısatuǵın subektler haqıyqıylıǵınıń óz-ara tastıyıǵı atqarılıwı shárt. Haqıyqıylıǵınıń tastıyıǵı ádetde seans basında, abonentlerdiń bir-birine jalǵanıw processinde ámelge asırıladı. “Jalǵaw” termini arqalı tarmaqtıń eki subekti ortasında logikalıq baylanısıw túsiniledi. Bul processtiń maqseti - jalǵaw nızamlı subekt penen ámelge asırılǵanlıǵına hám barlıq informaciya mólsherlengen adreske barıwına isenimdi támiyinlew bolıp tabıladı. Óziniń haqıyqıylıǵın tastıyıqlaw ushın subekt sistemaǵa túrli tiykarlardı kórsetiwi múmkin. Subekt kórsetetuǵın tiykarlarǵa baylanıslı halda Autentifikaciya processleri tómendegi kategoriyalarǵa bóliniwi múmkin:- geypara zattı biliw tiykarında. Mısalı parol, Jeke identifikaciya kodı PIN (Personal Identification Number) hám de “soraw juwap” túrindegi protokollarda kórsetiletuǵın jasırın hám ashıq giltlerdi kórsetiw múmkin. Ádetde bular magnit kartalar, smart-kartalar, sertifikatlar hám touch memory qurılmaları. Bul kategoriya óz quramına paydalanıwshınıń biometrik xarakteristikalarına (dawıslar, kóziniń perdesi hám tor perdesi, barmaq ızleri, alaqan geometriyası hám t.b.) tiykarlanǵan usıllardı aladı. Bul kategoriyada kriptografik usıllar hám qurallar isletilmeydi. Beometrik xarakteristikalar imaratdan yamasa qanday da texnikadan paydalanıwdı qadaǵalawlawda isletiledi. Parol - paydalanıwshı hám de onıń informaciya almasıwındaǵı Sherigi biletuǵın zat. Óz-ara autentifikaciya ushın paydalanıwshı jáne onıń Sherigi ortasında parol almasıwı múmkin. Plastik karta hám smart-karta iyesin autentifikaciyasında jeke identifikaciya nomeri PIN sınalǵan usıl esaplanadı. PIN - koddıń jasırın mánisi tek karta iyesine málim bolıwı Shárt. Dinamikalıq - (bir mártelik) parol - bir ret isletilingeninen keyin basqa ulıwma isletilmeytuǵın parol. Ámelde ádetde turaqlı parolǵa yamasa tayansh iboroga tiykarlanıwshı úzliksiz ózgerip turıwshı baha isletiledi. “Soraw -juwap” sisteması - táreplerdiń biri kem ushraytuǵın hám aldınan bilip bolmaytuǵın “soraw” mánisin ekinshi tárepke jıberiw arqalı autentifikaciyanı baslap beredi, ekinshi tárep bolsa soraw hám sır járdeminde esaplanǵan juwaptı jiberedi. Eki tárepke bir sır málim bolǵanı sebepli, birinshi tárep ekinshi tárep juwabın tuwrılıǵın tekseriwi múmkin. Sertifikatlar hám cifrlı imzalar - eger autentifikaciya ushın sertifikatlar isletilse, bul sertifikatlarda cifrlı imzanıń isletiliwi talap etiledi. Sertifikatlar paydalanıwshı shólkeminiń juwapker Shaxsı, sertifikatlar serveri yamasa sırtqı isenimli shólkem tárepinen beriledi. Internet sheńberinde ashıq gilt sertifikatların tarqatıw ushın ashıq giltlerdi basqarıwshı qatar kommerciya infrastrukturaları PKI (Public Key Infrastrusture) payda boldı. Paydalanıwshılar túrli dáreje sertifikatlardı alıwları múmkin. Autentifikaciya processlerin támiyinleniwshi qawipsizlik dárejesi boyınsha da gruppalaw múmkin. Bul jantasıwǵa qaray autentifikaciya processleri tómendegi túrlerge bólinedi:- parollar hám cifrlı sertifikatlardan paydalanıwshı autentifikaciya; - kriptografik usıllar hám qurallar tiykarındaǵı qatiy autentifikaciya; autentifikaciya processleri (protokolları); - paydalanıwshılardı biometrik autentifikaciyası. Qawipsizlik kózqarasınan Joqarıda keltirilgenlerdiń hár biri ayrıqsha máselelerdi tarqatıp alıwǵa múmkinshilik beredi. Usınıń sebepinen autentifikaciya processleri hám protokolları ámelde aktiv isletiledi. Usınıń menen bir qatarda atap ótiw kerek, nullik bilim menen tastıyıqlaw ózgeshelikine iye bolǵan autentifikaciyaǵa qızıǵıwshılıq ámeliy xarakterge salıstırǵanda kóbirek teoriyalıq xarakterge iye. Bálkim, jaqın keleshekte olardan informaciya almasıwın qorǵawda aktiv paydalanıwı múmkin. Autentifikaciya protokollarına bolatuǵın tiykarǵı hújimler tómendegiler:- maskarad (impersonation). Paydalanıwshı ózin basqa Shaxs dep kórsetiwge urınıp, ol Shaxs tárepinen háreketlerdiń múmkinshiliklerine hám jeńilliklerine ıyelewdi mólsherlengen.- autentifikaсiya almasıwı tárepin almastırıp qoyıw (interleaving attack).
Niyeti buzıq adam bul hújim dawamında eki tárep arasındaǵı autenfikacion almasıw processinde trafikti modifikaciyalaw niyetinde qatnasadı. Almastırıp qoyıwdıń tómendegi xili ámeldegi: eki paydalanıwshı ortasındaǵı autentifikatsiya tabıslı ótip, jalǵanıw ornatılǵanınan keyin buzıwǵa qaratılǵan paydalanıwshılardan birin shıǵarıp tastap, onıń atınan jumıstı dawam ettiredi; - qayta uzatıw (replay attack). Paydalanıwshılardıń biri tárepinen autentifikatsiya maǵlıwmatları tákiraran uzatıladı ; - uzatıwdı qaytarıw (reflection attak). Aldınǵı hújim variantlarınan biri bolıp, hújim dawamında niyeti buzıq adam protokoldıń bul sessiya sheńberinde ustap qalınǵan informaciyanı keyin basıp qaytaradı.- májburiy keshigiw (forsed delay). Niyeti buzıq adam qanday da maǵlıwmattı ustap qalıp, qandayda bir waqıttan keyin uzatadı.- tekst tańlawlı hújim (chosen text attack). Niyeti buzıq adam autentifikatsiya trafigini ustap qalıp, uzaq múddetli kriptografik giltler jónindegi informaciyanı alıwǵa urınadı. Joqarıda keltirilgen hújimlerdi jónge salıw qılıw ushın autentifikatsiya protokolların qurıwda tómendegi usıllardan paydalanıladı :- “soraw -juwap”, waqıt belgileri, tosınarlı sanlar, indentifikatorlar, cifrlı imzalar sıyaqlı mexanizmlerden paydalanıw; - autentifikaciya nátiyjesin paydalanıwshılardıń sistema sheńberindegi keyingi háreketlerine bólew. Bunday mısal jantasıwǵa jol menende autentifikatsiya processinde paydalanıwshılardıń keyinge óz-ara baylanıslarında isletiluvchi jasırın seans giltlerin almaslawdı kórsetiw múmkin; - baylanıstıń ornatılǵan seansı sheńberinde autentifikatsiya emlewin waqıtı -waqıtı menen atqarıp turıw hám t.b. “Soraw -juwap” mexanizmi tómendegishe. Eger paydalanıwshı A paydalanıwshı V dean alatuǵın xabarı jalǵan emesligine isenim payda qılıwdı qálese, ol paydalanıwshı V ushın jiberetuǵın xabarǵa aldınan bilip bolmaytuǵın element - X sorawın (mısalı, qanday da tosınarlı sannı ) qosadı. Paydalanıwshı V juwap beriwde bul ámel ústinde málim ámeldi (mısalı, qanday da f (X) funkciyanı esaplaw) orınlawı kerek. Bunı aldınan atqarıp bolmaydı, sebebi sorawda qanday tosınarlı san X keliwi paydalanıwshı V ga málim emes. Paydalanıwshı V háreketi nátiyjesin alǵan paydalanıwshı A paydalanıwshı V nıń haqıyqıy ekenligine isenim payda etiwi múmkin. Bul usıldıń kemshiligi - soraw hám juwap ortasındaǵı nizamlıqtı anıqlaw múmkinligi. Parollar tiykarında autentifikatsiyalaw. Autentifikaciyanıń keń tarqalǵan sxemalarınan biri ápiwayı autentifikaciyalaw bolıp, ol dástúriy kóp parollardı isletiwine tiykarlanǵan. Tarmaqtaǵı paydalanıwshın ápiwayı autentifikatsiyalash emlewin tómendegishe oyda sawlelendiriw múmkin. Tarmaqtan paydalanıwǵa urınǵan paydalanıwshı kompyuter klaviaturasında óziniń identifikatorı hám parolın teredi. Bul maǵlıwmatlar autentifikaciya serverine ishleniw ushın túsedi. Autentifikaciya serverinde saqlanıp atırǵan paydalanıwshı identifikatorı ańlatadı; boyınsha maǵlıwmatlar bazasınan uyqas jazıw tabıladı, odan paroldı tawıp paydalanıwshı kirgizgen parol menen salıstırıwlanadı. Eger olar uyqas kelse, autentifikatsiya tabıslı ótken esaplanadı hám paydalanıwshı legal (nızamlı) hám avtorizaciya sisteması arqalı anıqlanǵan huqıqlardı hám tarmaq resurslarınan paydalanıwǵa ruxsattı aladı. Paroldan paydalanǵan halda ápiwayı autentifikaciyalaw sxeması 6.1-súwretde keltirilgen
Anıq, paydalanıwshınıń parolın shifrlamasdan uzatıw arqalı autentifikaciyalaw variantı qáwipsizliktiń hátte minimal dárejesine kepillik bermeydi. Paroldı qorǵaw ushın onı qorǵalmaǵan kanal arqalı uzatıwdan aldın shifrlaw zárúr. Onıń ushın sxemaǵa shifrlaw Ek hám rasshifrovka qılıw Dk quralları kiritilgen. Bul qurallar bóliniwshi jasırın gilt K arqalı basqarıladı. Paydalanıwshınıń haqıyqıylıǵın tekseriw paydalanıwshı jibergen parol PA menen autentifikaciya serverinde saqlanıwshı dáslepki baha P' A nı salıstırıwǵa tiykarlanǵan. Eger PA hám P'A bahalar uyqas kelse, parol PA haqıyqıy, paydalanıwshı A bolsa nızamlı esaplanadı. Ápiwayı autentifikaciyanı shólkemlestiriw sxemaları tekǵana parollardı uzatıw, bálki olardı saqlaw hám tekseriw túrleri menen ajralıp turadı. Eń keń tarqalǵan usıl - paydalanıwshılar parolın sistemalı fayllarda, ashıq halda saqlaw usılı bolıp tabıladı. Bunda fayllarǵa oqıw hám jazıwdan qorǵaw atributları ornatıladı (mısalı, operacion sistemadan paydalanıwdı qadaǵalawlaw dizimindegi uqsas jeńilliklerdi xarakteristikalaw járdeminde). Sistema paydalanıwshı kirgizgen paroldı parollar faylında saqlanıp atırǵan jazıw menen salıstıradı. Bul usılda shifrlaw yamasa bir tárepleme funksiyalar sıyaqlı kriptografik mexanizmler isletilmeydi. Bul usıldıń kemshiligi - niyeti buzıq adamnıń sistemada administrator jeńilliklerinen, usınıń menen birge sistema fayllarınan, atap aytqanda parol fayllarınan paydalanıw múmkinshiligi bolıp tabıladı. Kóp márteli parollarǵa tiykarlanǵan ápiwayı autentifikaciyalaw sistemasınıń sabırlıǵı tómen, sebebi olarda autentifikaciyalawshı informaciya mánisli sózlerdiń salıstırǵanda úlken bolmaǵan kompleksinen jıynanadı. Kóp retli parollardıń tásir múddeti shólkemdiń qawipsizligi siyasatında belgileniwi hám bunday parollardı úzliksiz túrde almastırıp turıw kerek. Parollardı sonday tańlaw kerek, olar sózlikte bolmaydıin hám olardı tabıw qıyın bolsın. Bir márteli parollarǵa tiykarlanǵan autentifikaciyalawda paydalanıwǵa hár bir soraw ushın túrli parollar isletiledi. Bir retli dinamikalıq parol tek sistemadan bir ret paydalanıwǵa jaramlı. Eger, hátte kimdir onı ustap qalsa da parol payda bermeydi. Ádetde bir retli parollarǵa tiykarlanǵan autentfikaciyalaw sisteması aralıqtaǵı paydalanıwshılardı tekseriwde qollanıladı. Bir retli parollardı generaciyalaw apparat yamasa programmalıq usıl oqali ámelge asırılıwı múmkin. Bir márteli parollar tiykarındaǵı paydalanıwdıń apparat quralları sırtdan tólew plastik kartochkalarına uqsas mikroprocessor ornatılǵan miniatyur apparatlar kóriniste ámelge asıradı. Ádetde giltler dep atalıwshı bunday kartalar klaviaturaǵa hám úlken bolmaǵan displey aynasına iye. Paydalanıwshılardı autentifikaciyalaw ushın bir márteli parollardı qóllawdıń tómendegi usılları málim: 1. Birden-bir waqıt sistemasına tiykarlanǵan waqıt belgileri mexanizminen paydalanıw. 2. Legal paydalanıwshı hám tekseriwshi ushın ulıwma bolǵan tosınarlı parollar diziminen hám olardıń isenimli sinxronlaw mexanizminen paydalanıw. 3. Paydalanıwshı hám tekseriwi ushın ulıwma bolǵan birdey dáslepki bahalı psevdotosınarlı sanlar generatorınan paydalanıw. Birinshi usıldı ámelge asırıw mısalı retinde SecurID autentikaciyalaw texnologiyasın kórsetiw múmkin. Bul texnologiya Security Dynamics kompaniyası tárepinen islep shıǵılǵan bolıp, qatar kompaniyalardıń, atap aytqanda Cisco Systems kompaniyasınıń serverlerinde ámelge asırılǵan. Waqıt sinxronizaciyasınan paydalanıp autentifikaciyalaw sxeması tosınarlı sanlardı waqtıniń málim aralıǵindan keyin generaciyalaw algoritmına tiykarlanǵan. Autentifikaciya sxeması tómendegi eki parametrden paydalanadı : • hár bir paydalanıwshına atalǵan hám autentifikaciya serverinde hám de paydalanıwshınıń apparat giltinde saqlanıwshı kem ushraytuǵın 64-bitli sandan ibarat jasırın gilt; • ámeldegi waqıt mánisi. Aralıqtaǵı paydalanıwshı tarmaqtan paydalanıwǵa urınganida odan jeke identifikaciya nomeri PINni kirgiziw usınıs etiledi. PIN tórtew onlı nomerden hám apparat gilti displeyinde kóriniwshi tosınarlı sannıń altı nomerinen ibarat. Server paydalanıwshı tárepinen kiritilgen PIN-koddan paydalanıp maǵlıwmatlar bazasındaǵı paydalanıwshınıń jasırın gilti hám ámeldegi waqıt mánisi tiykarında tosınarlı sandı generaciyalaw algoritmın atqaradı. Keyininen server generaciyalanǵan san menen paydalanıwshı kirgizgen sandı salıstırıwdı. Eger bul sanlar uyqas kelse, server paydalanıwshına sistemadan paydalanıwǵa ruxsat beredi. Autentifikaciyanıń bul sxeması menen bir mashqala baylanıslı. Apparat gilt generaciyalanǵan tosınarlı san úlken bolmaǵan waqıt aralıǵı dawamında haqıyqıy parol esaplanadı. Usınıń sebepinen, ulıwma, qısqa múddetli jaǵday júz bolıwı múmkin, xaker PIN-kodtı ustap qalıwı jáne onı tarmaqtan paydalanıwǵa isletiwi múmkin. Bul waqıt sinxronizaciyasına tiykarlanǵan autentifikaciya sxemasınıń eń hálsiz jeri esaplanadı.
|
| |
