148
protokollari amalda faol ishlatiladi. Shu bilan bir qatorda ta’kidlash lozimki, nullik
bilim bilan isbotlash xususiyatiga ega bo‘lgan autentifikatsiyaga qiziqish amaliy
xarakterga nisbatan ko‘proq nazariy xarakterga ega. Balkim, yaqin kelajakda
ulardan axborot almashinuvini himoyalashda faol foydalanishlari mumkin.
Autentifikatsiya protokollariga bo‘ladigan asosiy xujumlar quyidagilar:
-
maskarad (impersonation). Foydalanuvchi o‘zini boshqa shaxs deb
ko‘rsatishga urinib, u shaxs tarafidan xarakatlarning imkoniyatlariga va
imtiyozlariga ega bo‘lishni mo‘ljallaydi;
-
autentifikatsiya almashinuvi
tarafini almashtirib qo‘yish (interleaving
attack). Niyati buzuq odam ushbu xujum mobaynida ikki taraf orasidagi
autenfikasion
almashinish
jarayonida
trafikni
modifikasiyalash
niyatida
qatnashadi. Almashtirib qo‘yishning quyidagi xili mavjud:
ikkita foydalanuvchi
o‘rtasidagi autentifikatsiya muvaffaqiyatli o‘tib, ulanish o‘rnatilganidan so‘ng
buzg‘unchi foydalanuvchilardan birini chiqarib tashlab, uning nomidan ishni
davom ettiradi;
-
takroriy uzatish (replay attack). Foydalanuvchilarning biri tomonidan
autentifikatsiya ma’lumotlari takroran uzatiladi;
-
uzatishni qaytarish (reflection attak). Oldingi xujum variantlaridan
biri bo‘lib, xujum mobaynida niyati buzuq protokolning
ushbu sessiya doirasida
ushlab qolingan axborotni orqaga qaytaradi.
-
majburiy kechikish (forsed delay). Niyati buzuq qandaydir ma’lumotni
ushlab qolib, biror vaqtdan so‘ng uzatadi.
-
matn tanlashli xujum ( chosen text attack). Niyati buzuq
autentifikatsiya trafigini ushlab qolib, uzoq muddatli kriptografik kalitlar
xususidagi axborotni olishga urinadi.
Yuqorida keltirilgan xujumlarni bartaraf qilish uchun autentifikatsiya
protokollarini qurishda quyidagi usullardan foydalaniladi:
-
“so‘rov–javob”,
vaqt belgilari, tasodifiy sonlar, indentifikatorlar,
raqamli imzolar kabi mexanizmlardan foydalanish;
-
autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi
149
keyingi xarakatlariga bog‘lash. Bunday yondashishga misol tariqasida
autentifikatsiya jarayonida foydalanuvchilarning keyingi o‘zaro aloqalarida
ishlatiluvchi maxfiy seans kalitlarini almashishni ko‘rsatish mumkin;
-
aloqaning o‘rnatilgan seansi doirasida autentifikatsiya muolajasini
vaqti-vaqti bilan bajarib turish va h.
“So‘rov-javob”
mexanizmi
quyidagicha. Agar
foydalanuvchi
A
foydalanuvchi
V dan oladigan xabari yolG‘on emasligiga
ishonch xosil qilishni
istasa, u foydalanuvchi
V uchun yuboradigan xabarga oldindan bilib bo‘lmaydigan
element –
X so‘rovini (masalan, qandaydir tasodifiy sonni) qo‘shadi.
Foydalanuvchi V javob berishda bu amal ustida ma’lum amalni (masalan,
qandaydir
f(X) funksiyani hisoblash) bajarishi lozim. Buni oldindan bajarib
bo‘lmaydi, chunki so‘rovda qanday tasodifiy son
X kelishi foydalanuvchi
V ga
ma’lum emas. Foydalanuvchi
V harakati natijasini olgan foydalanuvchi
A
foydalanuvchi
V ning xaqiqiy ekanligiga ishonch xosil qilishi mumkin.
Ushbu
usulning kamchiligi - so‘rov va javob o‘rtasidagi qonuniyatni aniqlash mumkinligi.
Vaqtni belgilash mexanizmi har bir xabar uchun vaqtni qaydlashni ko‘zda
tutadi. Bunda tarmoqning har bir foydalanuvchisi kelgan xabarning qanchalik
eskirganini aniqlashi va uni qabul qilmaslik qaroriga kelishi mumkin, chunki u
yolG‘on bo‘lishi mumkin. Vaqtni belgilashdan foydalanishda seansning xaqiqiy
ekanligini tasdiqlash uchun
kechikishning joiz vaqt oralig‘i muammosi paydo
bo‘ladi. Chunki, “vaqt tamg‘asi”li xabar, umuman, bir laxzada uzatilishi mumkin
emas. Undan tashqari, qabul qiluvchi va jo‘natuvchining soatlari mutlaqo
sinxronlangan bo‘lishi mumkin emas.
Autentifikatsiya protokollarini taqqoslashda va tanlashda quyidagi
xarakteristikalarni hisobga olish zarur:
-
o‘zaro
autentifikatsiyaning
mavjudligi.
Ushbu
xususiyat
autentifikasion almashinuv taraflari o‘rtasida ikkiyoqlama autentifikatsiyaning
zarurligini aks ettiradi;
-
hisoblash samaradorligi. Protokolni bajarishda zarur bo‘lgan
amallar
soni;
150
-
kommunikasion samaradorlik. Ushbu xususiyat autentifikatsiyani
bajarish uchun zarur bo‘lgan xabar soni va uzunligini aks ettiradi;
-
uchinchi tarafning mavjudligi. Uchinchi tarafga misol tariqasida
simmetrik kalitlarni taqsimlovchi ishonchli serverni yoki ochiq kalitlarni
taqsimlash uchun sertifikatlar daraxtini amalga oshiruvchi serverni ko‘rsatish
mumkin;
-
xavfsizlik kafolati asosi. Misol sifatida nullik
bilim bilan isbotlash
xususiyatiga ega bo‘lgan protokollarni ko‘rsatish mumkin;
-
sirni saqlash. Jiddiy kalitli axborotni saqlash usuli ko‘zda tutiladi.