Безпека в InternetОдна з основних причин усп ху в ддаленихатак на розпод лен обчислювальн мереж поляга у використанн мережнихпротокол в обм ну, як не можуть над йно дентиф кувати в ддален об кти,захистити з днання та дан , що передаються по ньому. Тому ц лком природньо, щов процес функц онування Internet були створен р зн захищен мережн протоколи, що використовують криптограф ю як з закритим, так з в дкритимключем. Класична криптограф я з симетричними криптоалгоритмами передбача наявн сть у передавально
та приймаючо стор н симетричних однакових ключ вдля шифрування та дешифрування пов домлень. Ц ключ заздалег дь мають бутирозпод лен м ж ск нченною к льк стю абонент в, що в криптограф назива тьсястандартною проблемою статичного розпод лу ключ в. Очевидно, що застосуваннякласично криптограф з симетричними ключами можливим лише на обмежен ймножин об кт в. У мереж Internet для вс х користувач в вир шити проблемустатичного розпод лу ключ в не можливим.
Однак, одним з перших захищенихпротокол в обм ну в Internet був протокол Kerberos, заснований саме на статичному розпод л ключ в для ск нченно к лькост абонент в. Для того, щоб дати можлив стьзахиститися ус й множин користувач в мереж Internet, а не обмежен й п дмножин , необх дновикористовувати ключ , що динам чно виробляються в процес створенняв ртуального з днання, застосовуючикриптограф ю з в дкритим ключем.
Розглянемо основн на сьогодн шн й деньп дходи протоколи, що забезпечують захист з днання.SKIP-технолог ю Secure Key InternetProtocol - Internet-протокол з захищеним ключем назива ться стандарт нкапсуляц IP-пакет в, що дозволя в снуючому стандарт IPv4 на мережномур вн забезпечити захист з днання даних, що передаються по ньому. Цедосяга ться наступним чином SKIP-пакет це звичайний
IP-пакет, його поледаних представля собою SKIP-заголовок формату, визначеного специф кац ю криптограму зашифрован дан . Така структура SKIP-пакета дозволя безперешкодно направляти його будь-якому хосту в Internet м жмережна адресац яв дбува ться по звичайному IP-заголовку в SKIP-пакет . К нцевий отримувачSKIP-пакета за заздалег дь визначеним розробниками алгоритмом розшифрову криптограму форму звичайний TCP- або UDP-пакет, який переда в дпов дномузвичайному модулю
TCP або UDP ядра операц йно системи. В принцип н що незаважа розробнику формувати за заданою схемою св й ориг нальний заголовок,в дм нний в д SKIP-заголовка.S-HTTP Secure HTTP - захищений HTTP цезхищений HTTP-протокол, розроблений компан ю Enterprise IntegrationTechnologies EIT спец ально для Web. Протокол S-HTTP дозволя забезпечитинад йний криптозахист т льки
HTTP-документ в Web-сервера функц ону наприкладному р вн модел OSI. Така особлив сть протокола робить його абсолютноспец ал зованим засобом захисту з днання, отже, його застосування для захистувс х нших прикладних протокол в FTP, TELNET, SMTP та н. неможливим. Кр мтого, н один з снуючих на сьогодн шн й день основних Web-браузер в н Netscape Navigator, н Microsoft Explorer не п дтримують цей протокол.
SSL Secure Socket Layer - захищен скрит гн зда розробка компан Netscape ун версальний протокол захистуз днання, що функц ону на сеансовому р вн OSI. В н використову криптограф юз в дкритим ключем на сьогодн шн й день диним ун версальним засобом, щодозволя динам чно захистити будь-яке з днання з застосуванням будь-якогоприкладного протокола DNS, FTP, TELNET, SMTP та н Це пов язано з тим, щоSSL, на в дм ну в д
S-HTTP, функц ону на пром жному сеансовому р вн OSI м жтранспортним TCP, UDP прикладним FTP, TELNET . При цьому процес створенняв ртуального SSL-з днання в дбува ться за схемою Д фф та Гелмана, якадозволя виробити криптост йкий сеансовий ключ, що використову ться в подальшомуабонентами SSL-з днання для шифрування пов домлень, як передаються.Протокол SSL вже практично оформився вякост оф ц йного стандарта захисту для
HTTP-з днань, тобто для захистуWeb-сервер в. Його п дтримують Netscape Navigator та Microsoft Explorer.Звичайно для встановлення SSL-з днання з Web-сервером, необх дною наявн стьще й Web-сервера, що п дтриму SSL наприклад, SSL-Apache .Алгоритм роботи SSL побудований на принцип публ чних ключ в.
Цей принцип базу ться на використанн пари асиметричнихключ в публ чному приватному для кодування декодування нформац .Публ чний ключ розда ться вс м бажаючим. з його допомогою шифруютьсянеобх дн дан , як можна дешифрувати т льки з допомогою приватного ключа.Припустимо, що дв особи сп лкуються черезInternet в дпов дно не бачать один одного, тобто не мають можливост взнатихто його абонентом. х мена Ал са Боб. Нехай Ал с необх дно д знатися,чи д йсно вона сп лку ться з
Бобом. У цьому випадку д алог може виглядатинаступним чином Ал са в дправля Бобу випадковепов домлення.Боб шифру його з допомогою свогоприватного ключа в дправля його Ал с .Ал са дешифру це пов домлення з допомогою публ чного ключаБоба . пор внявши це пов домлення з посланим, може переконатися, що йогод йсно послав Боб.Але на справд з боку Боба дея шифруватипов домлення в д
Ал си з допомогою свого приватного ключа не дуже вдалою. Це аналог чним до п лпису документа, про який Боб мало що зна . З тако позиц Боб ма сам придумати пов домлення послати його Ал с у двох екземплярах. Упершому пов домлення переда ться в дкритим текстом, а друге пов домлення зашифрованим з допомогою приватного ключа Боба. Таке пов домлення назива тьсяmessage digest, а спос б шифрування
з допомогою свого приватного ключа цифровим п дписом digital signature . Тепер законом рно повста запитання, якимчином поширювати сво публ чн ключ . Для цього була придумана спец альна форма сертиф кат certificate . Сертиф кат склада ться з наступних частин м ялюдини орган зац , що випуска сертиф кат. Длякого було випущено даний сертиф кат суб кт сертиф ката .
Публ чний ключ суб кта. Деяк часов параметри терм н д сертиф катата н. .Сертиф кат п дпису ться приватним ключемособи або орган зац , яка випуска сертиф кати. Орган зац , як зд йснюютьпод бн операц називаються Certificate authority CA . Якщо встандартному Web-кл нт Web-browser , який п дтриму SSL, зайти в розд лsecurity, то там можна побачити список в домих орган
зац й, як п дписують сертиф кати.Тепер обидв особи можуть використовуватисиметричний шифрувальний алгоритм де в якост секретного ключа виступа пов домлення Ал си безбоязно обм нюватися шифрованими пов домленнями. А дляконтролю над пересиланням пов домлень в д випадково навмисно зм ни використову ться спец альний алгоритм Message Authentification Code MAC .Тод достов рн сть пов домлень зроста в дек лька раз. внести зм ни в процесобм ну практично неможливо.Найб льш поширеним пакетом програм дляп дтримки
SSL SSLeay. Остання верс я SSLeay v.0.8.0 п дтриму SSLv3. Цяверс я доступною у вих дних текстах без особливих проблем встановлю тьсяп д UNIX. Цей пакет призначений для створення управл ння р зного роду сертиф катами. Також до його складу входить б бл отека для п дтримки SSL р зними програмами. Ця б бл отека необх дною,наприклад, для модуля
SSL в поширеному HTTP сервер - Apache.Очевидно, що широке застосування захищенихпротокол в обм ну, особливо SSL,поставить над йний бар р на шляху можливих в ддалених атак серйозноускладнить життя кракер в усього св ту. Однак весь траг зм сьогодн шньо ситуац з забезпеченням безпеки в Internet поляга в тому, що поки н один з снуючих криптопротокол в не оформився в якост диного стандарту захистуз днання, який би п дтримувався ус ма виробниками мережних
ОС. Протокол SSLп дходить на цю роль найкращим чином, але його не п дтримують вс мережн ОС.Тому були створен спец альн прикладн SSL-сум сн сервери DNS, FTP, TELNET,WWW та н Якщо не домовитися про прийняття диного стандарту на захищенийпротокол сеансового р вня, тод неох дно буде приймати багато стандарт в назахист кожно окремо прикладно служби.П дводячи п дсумки, можна сказати, що SSL просто необх дним у сфер комерц йного нтернету, особливо там,
де необх днозабезпечити конф денц йн сть даних.