АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Алгоритм создания открытого и секретного ключей

Читайте также:
  1. CASE-технология создания информационных систем
  2. XII. ЭЛЕМЕНТЫ ТЕОРИИ АЛГОРИТМОВ
  3. Алгоритм
  4. Алгоритм 65 «Кровотечение в послеродовом периоде»
  5. Алгоритм 72 «Ожоги и травмы глаза, века, конъюнктивы»
  6. Алгоритм MD4
  7. Алгоритм RC6
  8. Алгоритм RSA
  9. Алгоритм Брезенхема для окружности
  10. Алгоритм Брезенхема.
  11. Алгоритм взятия мазка из носа и зева.
  12. Алгоритм вибіркового методу

RSA-ключи генерируются следующим образом:

Выбираются два различных случайных простых числа p и q заданного размера (например, 1024 бита каждое).

Вычисляется их произведение n = pq, которое называется модулем.

Вычисляется значение функции Эйлера от числа n: φ(n) = (p − 1)(q − 1).

Выбирается целое число e (1 < e < φ(n)), взаимно простое со значением функции φ(n). Обычно в качестве e берут простые числа, содержащие небольшое количество единичных битов в двоичной записи, например, простые числа Ферма 17, 257 или 65537.

Примечание Целые числа называются взаимно простыми, если они не имеют никаких общих делителей, кроме ±1. Примеры: 14 и 25 взаимно просты, а 15 и 25 не взаимно просты (у них имеется общий делитель 5).

Число e называется открытой экспонентой (англ. public exponent)

Время, необходимое для шифрования с использованием быстрого возведения в степень, пропорционально числу единичных бит в e.

Слишком малые значения e, например 3, потенциально могут ослабить безопасность схемы RSA.

Вычисляется число d, мультипликативно обратное к числу e по модулю φ(n), то есть число, удовлетворяющее условию:

или: d∙e = 1 + kφ(n), где k — некоторое целое число. d∙e – kφ(n) = 1

Примечание: Можно вычислять и так (e∙d) mod ((p-1)∙(q-1)) = 1.

В приведенных выше уравнениях "mod" означает остаток. Например, 12 mod 10 = 2. Два - это остаток от деления 12 на 10.

Значит d будет, например 7. (Может быть и другим, например 27).

Число d называется секретной экспонентой.

Обычно, оно вычисляется при помощи расширенного алгоритма Евклида.

Пара e, n публикуется в качестве открытого ключа RSA (англ. RSA public key).

Пара d, n играет роль секретного ключа RSA (англ. RSA private key) и держится в секрете.

Шифрование и расшифрование. Схема RSA

Предположим, сторона хочет послать стороне сообщение .

Сообщением являются целые числа лежащие от до , т.е .

Алгоритм: Взять открытый ключ стороны Взять открытый текст Передать шифрованное сообщение: Алгоритм: Принять зашифрованное сообщение Применить свой секретный ключ для расшифровки сообщения:

 

2. Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигури­рованные таким образом, чтобы фильтровать входящее и исходя­щие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP - и IP - заголовках пакетов.

Фильтрующие маршрутизаторы обычно может фильтровать IP -пакет на основе группы следующих полей заголовка пакета:

• IP - адрес отправителя (адрес системы, которая послала пакет);

• IP -адрес получателя (адрес системы которая принимает пакет);

• Порт отправителя (порт соединения в системе отправителя);

• Порт получателя (порт соединения в системе получателя);

Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт идентифицируется 16 – битовым числом.

В настоящее время не все фильтрующие маршрутизаторы фильтруют пакеты по TCP / UDP – порт отправителя, однако многие производители маршрутизаторов начали обеспечивать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем исполь­зуют эту информацию как дополнительный критерий фильтрации.

Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост-компьютерами или портами. Например, можно блокировать соеди­нения, идущие от конкретных адресов тех хост-компьютеров и се­тей. которые считаются враждебными или ненадежными.

Добавление фильтрации по портам TCP и UDP к фильтра­ции по IP-адресам обеспечивает большую гибкость. Известно, что такие серверы, как демон TELNET, обычно связаны с конкретными портами (например, порт 23 протокола TELNET). Если межсетевой экран может блокировать соединения TCP или UDP с определен­ными портами или от них, то можно реализовать политику безо­пасности, при которой некоторые виды соединений устанавлива­ются только с конкретными хост-компьютерами.

Например, внутренняя сеть может блокировать все вход­ные соединения со всеми хост-компьютерами за исключением не­скольких систем. Для этих систем могут быть разрешены только определенные сервисы (SMTP для одной системы и TELNET или FTP -для другой). При фильтрации по портам TCP и UDP эта по­литика может быть реализована фильтрующим маршрутизатором или хост-компьютером с возможностью фильтрации пакетов.

Правила фильтрации пакетов формулируются сложно, и обычно нет средств для тестирования их корректности, кроме медленного ручного тестирования. У некоторых фильтрующих маршрутизаторов нет средств протоколирования, поэтому, если правила фильтрации пакетов все-таки позволят опасным пакетам пройти через маршрутизатор, такие пакеты не смогут быть выяв­лены до обнаружения последствий проникновения. Даже если администратору сети удастся создать эффек­тивные правила фильтрации, их возможности остаются ограничен­ными. Например, администратор задает правило, в соответствии с которым маршрутизатор будет отбраковывать все пакеты с неиз­вестным адресом отправителя. Однако хакер может использовать в качестве адреса отправителя в своем "вредоносном" пакете ре­альный адрес доверенного (авторизированного) клиента. В этом случае фильтрующий маршрутизатор не сумеет отличить под­дельный пакет от настоящего и пропустит его. Практика показыва­ет, что подобный вид нападения, называемый подменой адреса, довольно широко распространен в сети Internet и часто оказывается эффективным.

Межсетевой экран с фильтрацией пакетов, работающий только на сетевом уровне эталонной модели взаимодействия от­крытых систем OSI - ISO, обычно проверяет информацию, содер­жащуюся только в IP-заголовках пакетов. Поэтому обмануть его несложно: хакер создает заголовок, который удовлетворяет раз­решающим правилам фильтрации. Кроме заголовка пакета, ника­кая другая содержащаяся в нем информация межсетевыми экра­нами данной категории не проверяется.

К положительным качествам фильтрующих маршрутизаторов следует отнести:

• сравнительно невысокую стоимость;

• гибкость в определении правил фильтрации;

• небольшую задержку при прохождении пакетов.

Недостатками фильтрующих маршрутизаторов являются:

• внутренняя сеть видна (маршрутизируется) из сети Internet;

• правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;

• при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся пол­ностью незащищенными либо недоступными;

• аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);

• отсутствует аутентификация на пользовательском уровне.

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.011 сек.)