|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Распределение ключейРаспределение ключей – самый ответственный процесс в управлении ключами. К нему предъявляются следующие требования: - оперативность и точность распределения; - скрытность распределяемых ключей. Распределение ключей между пользователями компьютерной сети реализуется двумя способами: - использованием одного или нескольких центров распределения ключей; - прямым обменом сеансовыми ключами между пользователями сети. Недостаток первого подхода состоит в том, что центру распределения ключей известно, кому и какие ключи распределены, и это позволяет читать все сообщения, передаваемые по сети. Возможные злоупотребления существенно влияют на защиту. При втором подходе проблема состоит в том, чтобы надежно удостоверить подлинность субъектов сети. 9.3.1 Протокол централизованной аутентификации и распределения ключей для симметричных криптосистем В качестве примера протокола централизованной аутентификации и распределения ключей (не единственного) можно назвать протокол Kerberos (по-русски – Цербер). Первоначально протокол Kerberos был разработан в Массачусетском Технологическом Институте (США) для проекта Athena. Протокол Kerberos спроектирован для работы в сетях TCP/IP и предполагает участие в аутентификации и распределении ключей третьей доверенной стороны. Kerberos обеспечивает надежную аутентификацию в сети, разрешая законному пользователю доступ к различным машинам в сети. Протокол Kerberos основывается на симметричной криптографии (реализован алгоритм DES, хотя возможно применение и других симметричных криптоалгоритмов). Kerberos разделяет отдельный секретный ключ с каждым субъектом сети, и знание такого секретного ключа равносильно доказательству подлинности субъекта сети. Более подробно этот протокол рассмотрим позже. 9.3.2 Прямой обмен ключами между пользователями При использовании для информационного обмена криптосистемы с симметричным секретным ключом два пользователя, желающие обменяться криптографически защищенной информацией, должны обладать общим секретным ключом. Пользователи должны обменяться общим ключом по каналу связи безопасным образом. Если пользователи меняют ключ достаточно часто, то доставка ключа превращается в серьезную проблему. Для решения этой проблемы можно применить два способа: - использование криптосистемы с открытым ключом для шифрования и передачи секретного ключа симметричной криптосистемы; - использование системы открытого распределения ключей Диффи–Хеллмана. Первый способ был подробно изложен в разделе 6.4 (комбинированный метод шифрования). Второй способ основан на применении системы открытого распределения ключей. Эта система позволяет пользователям обмениваться ключами по незащищенным каналам связи. Интересно отметить, что система открытого распределения ключей базируется на тех же принципах, что и система шифрования с открытыми ключами. Реализацию второго способа рассмотрим на примере алгоритма открытого распределения ключей Диффи–Хеллмана. Алгоритм Диффи–Хеллмана был первым алгоритмом с открытыми ключами (предложен в 1976 г.). Его безопасность обусловлена трудностью вычисления дискретных логарифмов в конечном поле, в отличие от легкости дискретного возведения в степень в том же конечном поле. Предположим, что два пользователя А и В хотят организовать защищенный коммуникационный канал. 1. Обе стороны заранее уславливаются о модуле N (N должен быть простым числом) и примитивном элементе g Î ZN, (1 £ g £ N –1), который образует все ненулевые элементы множества ZN, т.е. {g, g2,..., gN–1 =1} = ZN – {0}. Эти два целых числа N и g могут не храниться в секрете. Как правило, эти значения являются общими для всех пользователей системы. 2. Затем пользователи А и В независимо друг от друга выбирают собственные секретные ключи kА и kВ (kА и kВ – случайные большие целые числа, которые хранятся пользователями А и В в секрете). 3. Далее пользователь А вычисляет открытый ключ yA = (mod N), а пользователь В – открытый ключ yВ = (mod N). 4. Затем стороны А и В обмениваются вычисленными значениями открытых ключей yA и yВ по незащищенному каналу. Считаем, что все данные, передаваемые по незащищенному каналу связи, могут быть перехвачены злоумышленником. 5. Далее пользователи А и В вычисляют общий секретный ключ, используя следующие сравнения: пользователь А: К = = (mod N); пользователь В: К´ = = (mod N). При этом К = К´, так как = (mod N). Схема реализации алгоритма Диффи–Хеллмана показана на рисунке 9.1. Ключ К может использоваться в качестве общего секретного ключа (ключа шифрования ключей) в симметричной криптосистеме.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.003 сек.) |