На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Шифрование в компьютерной сети

Поскольку высок уровень компьютерных преступлений, связанных с несанкцио­нированным доступом к информации в сетях различного масштаба, существует необ­ходимость создавать определенные механизмы защиты сетей. Практика показала, что единственно надежным механизмом защиты информации в сетевых каналах связи яв­ляется ее шифрование, а значит, использование криптографического преобразования конфиденциальных данных. При этом обеспечение защиты информации указанным
методом не должно нарушать работу сети в реальном масштабе времени, что возмож­но при выполнении шифрования со скоростью до 1 Гбит/с и выше.
Рассмотрим особенности шифрования в компьютерных сетях более подробно.
Виды шифрования в сетевых каналах связи
Одной из отличительных характеристик любой компьютерной сети является ее деление на так называемые уровни, каждый из которых отвечает за соблюдение опре­деленных условий и выполнение функций, необходимых для общения между компью­терами, связанными в сеть. Это деление на уровни имеет фундаментальное значение для создания стандартных компьютерных сетей. Поэтому в 1984 году несколько международных организаций и комитетов объединили свои усилия и выработали при­мерную модель компьютерной сети, известную под названием (Open Systems Interconnection — Модель открытых сетевых соединений).
Согласно модели OSI, коммуникационные функции разнесены по уровням. Функ­ции каждого уровня не зависят от функций ниже- и вышележащих уровней. Каждый уровень может непосредственно общаться только с двумя соседними. Модель OSI определяет 7 уровней: верхние 3 служат для связи с конечным пользователем, а 4 нижних ориентированы на выполнение коммуникационных функций в реальном мас­штабе времени (шифрование данных для передачи по каналам связи компьютерной сети может осуществляться на любом уровне модели OSI. На практике это обычно делается либо на самых нижних, либо на самых верхних уровнях. Если данные шифруются на нижних уровнях, шифрование называется канальным, а если на верхних, то такое шифрование называется сквозным. Оба этих подхода к шифрованию данных имеют свои пре­имущества и недостатки. Возможна комбинация указанных видов шифрования (канальном шифровании шифруются абсолютно все данные, проходящие по каждому каналу связи, включая открытый текст сообщения, а также информацию о его маршрутизации и об используемом коммуникационном протоколе. Однако в этом
случае любой интеллектуальный сетевой узел (например, коммутатор) будет вынуж­ден расшифровывать входящий поток данных, чтобы соответствующим образом его обработать, снова зашифровать и передать на другой узел сети.
Тем неменее, канальное шифрование представляет собой очень эффективное сред­ство защиты информации в компьютерных сетях. Поскольку шифрованию подлежат все данные, передаваемые от одного узла сети к другому, у нет ника-
кой дополнительной информации о том, кто служит источником этих данных, кому они предназначены, какова их структура и т. д. А если еще позаботиться и о том, что­бы, пока канал простаивает, передавать по нему случайную битовую последователь­ность, сторонний наблюдатель не сможет даже сказать, где начинается и где заканчи­вается текст передаваемого сообщения.
Не слишком сложной является и работа с ключами. Одинаковыми ключами следу­ет снабдить только два соседних узла сети связи, которые затем могут менять исполь­зуемые ключи независимо от других пар узлов.
Самый большой недостаток канального шифрования заключается в том, что данные приходится шифровать при передаче по каждому физическому каналу компьютерной сети. Отправка информации в незашифрованном виде по какому-то из каналов ставит
под угрозу обеспечение безопасности всей сети. В результате стоимость реализации
канального шифрования в больших сетях может оказаться чрезмерно высокой.
Кроме того, при использовании канально­го шшйршшиш допшшипешшо пшаггр^ется защищать каждый узел компьютерной сети, по которому передаются данные. Если або­ненты сети полностью доверяют ' друг другу, и каждый ее узел находится там, где он защи­щен от злоумышленников, на этот недоста­ток канального шифрования можно не обра­щать внимания. Однако на практике такое положение встречается чрезвычайно редко. Ведь в каждой фирме есть конфиденциальные данные, ознакомиться с которыми мо­гут только сотрудники одного отдела, а за его пределами доступ к этим данным необ­ходимо ограничивать до минимума.
При сквозном шифровании криптографический алгоритм реализуется на одном из верхних уровней модели OSI. Шифрованию подлежит только содержательная часть сообщения. По мере шифрования добавляется служебная информация, необходимая для маршрутизации сообщения, и результат переправляется на более низкие уровни для отправки адресату.
Передаваемое сообщение теперь не требуется постоянно шифровать и расшифро­вывать при его прохождении через каждый промежуточный узел сети. Оно остается зашифрованным на всем пути от отправителя к получателю.
Основная проблема, с которой сталкиваются пользователи сетей, где применяется сквозное шифрование, связана с тем, что служебная информация, используемая для маршрутизации сообщений, передается по сети в незашифрованном виде. Опытный
криптоаналитик может извлечь для себя массу полезной информации, зная, кто с кем, как долго и в какие часы общается через компьютерную сеть. Для этого ему даже не потребуется быть в курсе предмета общения.
Сквозное шифрование по сравнению с канальным характеризуется более сложной
работой с ключами, так как каждая пара пользователей компьютерной сети должна
быть снабжена одинаковыми ключами, прежде чем они смогут связаться друг с дру­гом. А поскольку криптографический алгоритм реализуется на верхних уровнях мо­дели OSI, приходится также сталкиваться со многими существенными различиями в коммуникационных протоколах и интерфейсах в зависимости от типов сетей и объе­диняемых в сеть компьютеров. Все это затрудняет практическое применение сквозно­го шифрования.
Комбинация канального и сквозного шифрования данных в компьютерной сети
обходится значительно дороже, чем каждое из них. Однако именно такой подход по­зволяет наилучшим образом защитить данные, передаваемые по сети. Шифрование в каждом канале связи не позволяет противнику анализировать служебную информа­цию, используемую для маршрутизации, а при сквозном шифровании уменьшается вероятность доступа к незашифрованным данным в узлах сети.
При комбинированном шифровании работа с ключами ведется следующим обра­зом: сетевые администраторы отвечают за ключи, используемые при канальном шиф­ровании, а о ключах, применяемых при сквозном шифровании, заботятся сами пользо­ватели.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика