Дәріс Симметриялық кілттері бар жүйелерді іске асырудың ерекшеліктері
жүктеу/скачать 10,42 Kb.
|
Дәріс 9
- Бұл бет үшін навигация:
- Транзакцияның дұрыстығы .
- Пайдаланунушының аутентификациясы.
- Минимизация артықшылықтары (привилегий) .
- Жауапкершілікті бөлісу .
- Болған оқиғалардың аудиті .
- Объективті басқару.
- Цифрлық қолтаңбалар .
Дәріс 9. Симметриялық кілттері бар жүйелерді іске асырудың ерекшеліктеріБастапқыға біртұтастылықты қамтымассыз ету негізгі принциптерінде Кларк пен Вилсонның жинақтамаларын қарастырамыз: Транзакцияның дұрыстығы. Принциптің талабы қолданушы деректерінің туынды модификациясы болмауын қамтамасыз етеді. Деректер тек мына тәсілмен модифицирлену керек, олардың біртұтастығы сақталғанын қамтамасыз етуі керек. Пайдаланунушының аутентификациясы. Пайдаланушының сәйкес келетін іс-әрекетрін орындау үшін деректердің өзгеруі тек қана аутентификаттау орындалу мүмкін. Деректердің өзгертілуі тек қолданушылардың әрекетіне сәйкес келетіндей орындалып, аутентифицирлегенде іске асады. Минимизация артықшылықтары (привилегий). Процестер тақырыптарға бөлінуі керек және АС тақырыбына қатысты, олардың орындалуына минимальды жеткілікті болады. Жауапкершілікті бөлісу. Критикалық немесе қаратылмайтын операцияларды орындау үшін бірнеше тәуелсіз қолданушылар қатысуы керек. Жауапкершілікті бөлісу практикасында тек организациялық тәсіл немесе тек құпияны бөлісу криптографикалық сұлбасы қолданылуы мүмкін. Болған оқиғалардың аудиті. Берілген принцип қолданушылардың есеп беру механизмін құруды талап етеді, ақпараттар біртұтастығының бұзылу моментін анықтауға мүмкіндік береді. Объективті басқару. Деректерді оперативті ерекшелеуді шындықтау қажет, біртұтастылықты басқаруда өте маңызды болып табылады. Ақпараттың біртұтастылығын бұзу қаупінен жүйелік қорғанудың құрылымына келесі криптографилық примитивтерін қолданылады: - Цифрлық қолтаңбалар. - Криптографиялық хэш-функциялар.
Цифрлық қолтаңбалар. Цифрлық қолтаңбалар нақты құжаттылық механизмін анықтайтынын және цифрлық құжаттардың біртұтастығын көрсетеді. Көп жағдайда ол аналогты қолжазбалы қолтаңбалар болады, жеке жағдайда оған тәжірибелік аналогты талаптар қойылады: 1) Цифрлық қолтаңба басқа біреу емес, өз еркімен тек заңды автордың өзі ғана құжатқа қол қойғанын дәлелдеу қажет. 2) Цифрлық қолтаңба құжаттан бөліп алмау және басқа құжаттарға қол қоймау үшін айнымас құжат бөлігін көрсетеді. 3) Цифрлық қолтаңба қол қойылған құжаттардың өзгерпеуін қамтымассыз ету қажет (автордың өзінеде қатысты!). 4) Құжатқа қол қою фактісі заңды түрде дәлелденуі қажет. Қол қойылған құжатқа авторлықтан бас тарту мүмкін болмау қажет. Осы жағдайда цифрлық қолтаңбаның пайдалану реті келесідей болады: 1) Қол қоюшының құпия кілтімен құжат қайта шифрланса, қайта шифрланғанның көшірмесі цифрлық қолтаңба ретінде құжаттың түпнұсқамен бірге таратылады. 2) Қабылдаушы, қол қоюшының жалпыға белгілі ашық кілтін қолдана отырып, қолтаңбаны қайта шифрлап, оның түпнұсқасымен салыстыра отырып, қол таңба дұрыс екеніне көз жеткізеді. Көз жеткізу қиын емес, цифрлық қолтаңбаның қолдануы толықтай жоғарыда барлық келтірілген талаптарды қанағаттандырады, бірақ сол уақытта принципиалды жетіспеушілігі бар: жіберілетін хабар көлемі ең аз дегенде екі есе өседі. Осы жетіспеушіліктен хэш-функциясын қолдану арқылы құтылуға мүмкін береді. Критографиялық хэш-функциялар y=f(x)түріндегі функциялар криптографиялық хэш-функция деп аталады, егер де ол келесі қасиеттерді қанағаттандырса: 1) Хэш-функцияның кірісіне кез келген ұзындықтың деректері тізбектей келу мүмкін, қорытындысы (шешімі) солай болып (хэш немесе дайджест деп аталатын) белгіленген ұзындық ие болады. 2) у шамасы берілген Х шамасымен полиномиалды уақыт аралығында есептелінеді, ал Х шамасын берілген у шамасымен барлық жағдайда есептеу мүмкін емес. 3) Идентикалық хэш функциясын беретін екі кіріс хэш-функциялар мәнін есептеу арқылы табу мүмкін емес. 4) Хэш функциясын есептеу кезінде тізбектей кірісті ақпараттың барлығы қолданылады. 5) Функцияның сипаттамасы ашық және жалпыға. Нақты құжаттылықты тексеру кодтары Криптографиялық хэш функциялар қосынды бақылауы ретінде жиі қаралады: мысалы, кейбір файлдарға, публикалық кіру ftp-серверінде орналасқан, оның хэші келтірілуі мүмкін, кейбір алгоритмдерді қолданғанын санағанда (көбінесе осындай жағдайда md5 алгоритмі пайдаланылады). Бұл жағдайда қолданушы, керекті файлды көшіріп алып, оның нақты екеніне көз жеткізе алады. Бірақ бұл жағдайда қастандық жасаушы фалды ауыстырып және хэшті әкелуі мүмкін, жаңа файлға сәйкес келетін, ол оған ұқсас манипуляцияны шығарады, қарапайым хэш-функцияны қолданып, мүмкін емес. Осындай жағдайдан қорғанысты нақты құжаттарды тексеру кодымен қамтамасыз етіледі. Нақты құжаттарды тексеру код немесе МАС-коды, криптографикалық хэш-файлды көрсетеді, жасырын кілтін білу үшін қолданады. Кілтті қолдану қорғаныстағы объектінің ауыстырылмауына кепілдік береді, жоғары келтірілгенге аналогты: қастандық жасаушы жасырын кілтті білмегендіктен, хэш функциясын жаңа файлға есептей алмайды. Нақты құжаттарды тексеру коды ретінде симметриялы криптографикалық жүйесінің модификациясы жиі қолданылады. жүктеу/скачать 10,42 Kb. Достарыңызбен бөлісу:
|