На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Протоколы аутентификации в компьютерных сетях
Протоколы аутентификации пользователей

Существует два основных вида протоколов аутентификации в компьютерных се­тях:
О аутентификация пользователя; □ аутентификация данных.
Аутентификация пользователя представляет собой процесс подтверждения его подлинности с помощью предъявляемого им аутентификатора.
Аутентификатор, в свою очередь, — это средство аутентификации, характеризую­щее отличительный признак пользователя. В качестве аутентификатора в компьютер­ных сетях обычно используются пароль и биометрические данные пользователя (от­печатки пальцев, рисунок сетчатки глаза, тембр).
Пароль представляет собой кодовое слово в буквенной, цифровой или буквенно-цифровой форме, которое вводится в компьютер перед началом диалога.
В современных компьютерных сетях каждый пользователь снабжается паролем и идентификатором с целью подтверждения подлинности пользователя для допуска его к работе в сети. В связи с этим разрабатываются протоколы аутентификации пользо­вателей. Наиболее простые из них формируются с использованием простых паролей или изменяющихся паролей из созданного списка паролей.
Суть протокола аутентификации пользователя с простым паролем заключается в следующем (В начале сеанса работы пользователь передает в компьютер­ную сеть свой идентификатор и регистрируется. После этого сеть запрашивает его пароль. Он отправляет пароль в компьютерную сеть, где и происходит регистрация пароля. Если идентификатор в компьютерной сети зарегистрирован, а пароль верен, то пользователь допускается к работе в сети.
Данный протокол аутентификации пользователя является наиболее простым и слабо защищенным от злоумышленника. Идентификаторы пользователей не представляют большого секрета среди своих сотрудников, а пароль может узнать другой пользова­тель, имеющий больше прав доступа.
Протокол аутентификации пользователя на основе списка паролей более защищен от злоумышленника, так как применяется список паролей, изменяющихся в соответ­ствии с порядковым номером вхождения в компьютерную сеть. При этом пользова­тель и сеть обладают списком паролей. Суть работы данного протокола заключается в следующем (При первом вхождении в компьютерную сеть пользователь передает ей свой идентификатор. Сеть запрашивает первый пароль из списка паролей. Последний в соответствии со списком паролей выбирает первый пароль и отправляет его в компьютерную сеть, после чего, если пароль правильный, получает разрешение на допуск к работе. В случае повторного запроса на допуск к работе из списка паролей
выбирается второй пароль и т. д.
Среди недостатков данного протокола следует отметить необходимость запоми­нать длинный список паролей, а также неопределенность выбора пароля при сбоях в линиях связи.
Аутентификация данных — это процесс подтверждения подлинности данных, предъявленных в электронной форме. Данные могут существовать в виде сообщений,
файлов, аутентификаторов пользователей и т. д. В настоящее время аутентификация
данных в компьютерных сетях основана на использовании электронно-цифровой под­писи (ЭЦП). Рассмотрим более подробно принципы использования ЭЦП в компью­терных сетях.
Необходимость использования электронной цифровой подписи
В      же состоит определение подлинности информации? Прежде
всего в установке того факта, что полученная информация была передана подписав­шим ее отправителем, и что она при этом не искажена.
Сегодня нетрудно констатировать, что электронные технологии идут вперед с го­ловокружительной скоростью. Словосочетание «электронная цифровая подпись» ста­ло уже привычным. А еще сравнительно недавно пользователи с большим недоверием относились к электронным документам, считая, что подделать их проще, чем доку­менты на бумажном носителе.
Собственноручная подпись под документом с давних пор используется людьми в качестве доказательства, что человек, подписавший данный документ, ознакомился с ним и согласен с его содержанием. Почему же подпись заслужила такое доверие? Основные причины этого заключаются в следующем:
подлинность подписи можно проверить (ее присутствие в документе позволяет
убедиться, действительно ли он был подписан человеком, который обладает
правом ставить эту подпись); G подпись нельзя подделать (подлинная подпись является доказательством того, что именно тот человек, которому она принадлежит, поставил эту подпись под
документом);
О подпись, которая уже стоит под одним документом, не может быть использова­на еще раз для подписания второго документа (подпись — неотъемлемая часть документа и ее нельзя перенести в другой документ); подписанный документ не подлежит никаким изменениям; от подписи невозможно отречься (тот, кто поставил подпись, не может впослед­ствии заявить, что он не подписывал этот документ).
На самом деле, ни одно из перечисленных свойств подписи полностью, на все не выполняется. В нашем современном криминальном обществе подписи подделыва­ют и копируют, от них отрекаются, а в уже подписанные документы вносят произволь­ные изменения. Однако люди вынуждены мириться с недостатками, присущими под­писи, поскольку мошеннические трюки с подписями проделывать не просто и шансы быть пойманными у мошенников достаточно велики.
Проблему электронной подписи можно было бы решить путем создания сложных считывающих устройств, разлагающих подпись на бумаге на элементы, переводящих эти элементы в цифровой код и на приемном конце производить проверки подлинности, сверяя полученный цифровой код с хранящимся образцом. Такие техни­ческие средства уже используются, но, в основном, для защиты от несанкционирован­


ного доступа, где пользователь ставит свою подпись и в его присутствии происходит сверка. Совсем иначе обстоят дела, если документ послан по почте. При этом возни­кает трудная проблема: подписанный документ можно перехватить и изменить или полностью заменить, и к поддельному документу «приклеить» подпись, «отрезанную» от подлинного.
Попытка использовать подпись в компьютерных файлах сопряжена с еще больши­ми трудностями по тем причинам, что:
любой файл можно скопировать вместе с имеющейся в нем подписью; □ после подписания в файл можно внести любые изменения, которые в принципе
не поддаются обнаружению.
Эти недостатки устраняются при использовании электронной цифровой подписи,
позволяющей заменить при безбумажном электронном документообороте традици­онные печать и подпись. Она не имеет ничего общего с последовательностью симво­лов, соответствующих печати или подписи, приписанной к документу. При построе­нии цифровой подписи вместо обычной связи между печатью или рукописной подписью и листом бумаги выступает сложная зависимость между документом, секретным и общедоступным (открытым) ключами, а также цифровой подписью. Невозможность подделки электронной цифровой подписи обусловлена очень большим объемом мате­матических вычислений.
Эта подпись может иметь вполне читаемый, «буквенный» вид, но чаще она пред­ставлена в виде последовательности произвольных символов. Цифровая подпись мо­жет храниться вместе с документом, например, стоять в его начале или конце, либо в отдельном файле. Естественно, что в последнем случае при проверке подписи необхо­димо располагать как самим документом, так и файлом, содержащим подпись.
Чего мы хотим от электронной цифровой подписи и чем она лучше обычной? Элек­тронная цифровая подпись — это средство, позволяющее на основе использования криптографических методов определить авторство и подлинность документа. этом электронная цифровая подпись имеет следующие преимущества:
возможность идентификации принадлежности подписи на основе объективных показателей;
О высокая защищенность от подделки;
жесткая связь с подписываемым документом.
Если первые два условия еще можно как-то реализовать для традиционной подпи­си, то третье выполняется только в случае применения электронной цифровой подпи­си. Ведь она представляет собой специальный зашифрованный код, присоединяемый к электронному сообщению. Это еще и один из самых перспективных способов аутен­тификации и установления доверительных связей на рынке электронной коммерции. Но до сих пор не существует единого мнения о том, какой способ шифрования наилуч­ший и как организовать сети, где используются цифровые подписи. Но и в случае при­менения цифровой подписи существуют «подводные камни», угрожающие электрон­ным документам.
Рассмотрим возможные угрозы (виды злоумышленных действий), которые нано­сят существенный ущерб развитию электронного документооборота. Они подрывают
доверие к компьютерной технологии визирования документов. При обмене электрон­ными документами отказ от авторства или от факта получения документа;
□ модификациядокумента; подмена документа;
□ активный перехват; подмена имени повторная рассылка доку­ментов.
В случае отказа от авторства пользователь А заявляет, что не посылал документ пользователю В, хотя на самом деле послал. При модификации документа пользова­тель А сам изменяет полученный документ и утверждает, что имен­но таким получил его от пользова­теля В. Когда пользователь В фор­мирует документ и заявляет, что получил его от пользователя А, имеет место подмена документа. Если злоумышленник подключил­ся к сети, он активно перехватыва­ет информацию и вносит в нее из­менения. В ситуации, когда пользователь С посылает документ не от своего имени, а от имени пользователя А, имеет место под­мена имени или так называемый «маскарад». При повторной рас­сылке документов пользователь С повторяет посылку документа, ко­торый пользователь А ранее по­слал пользователю В. Для этого, чтобы исключить возможность по­добных злоумышленных действий,
и придумали электронную цифро­вую подпись.
При выборе алгоритма и техно­логии аутентификации необходимо предусмотреть надежную защиту от всех перечисленных видов зло­умышленных действий. Однако в рамках классической (одноключе-
вой) криптографии защититься от
угроз всех этих видов трудно, по-


скольку имеется принципиальная возможность злоумышленных действий одной из сторон, владеющих секретным ключом.
Никто не может помешать пользователю, например, создать любой документ, за­шифровать его с помощью имеющегося ключа, общего для двух пользователей, а по­том заявить, что он получил этот документ от него.
Значительно эффективнее работают схемы, основанные на использовании двухклю-чевой криптографии. В этом случае каждый передающий пользователь имеет свой сек­ретный ключ, а у всех других пользователей есть несекретные открытые ключи пере­дающих абонентов. Эти открытые ключи можно трактовать как набор проверочных соотношений, позволяющих судить об истинности подписи передающего пользовате­ля, но не позволяющих восстановить секретный ключ подписи. Передающий пользо­ватель несет единоличную ответственность за свой секретный ключ. Никто, кроме него, не в состоянии сформировать корректную подпись. Секретный ключ передающего пользователя можно рассматривать как его личную печать, и ее владелец должен вся­чески ограничивать доступ к ней.
Таким образом, электронная цифровая подпись представляет собой некое доста­точно длинное число, полученное в результате преобразования электронного образа защищаемого документа с использованием секретного (личного) ключа отправителя. Любой может проверить стоящую под документом электронную цифровую подпись при помощи соответствующих преобразований с использованием опять-таки элект­ронного образа документа, открытого (публичного) ключа отправителя и собственно значения ЭЦП. Открытый и секретный ключи однозначно связаны между собой, одна­ко невозможно вычислить секретный ключ по открытому. Точнее, если формулиро­вать совсем строго, то пока не найдено алгоритмов, позволяющих сделать такие вы­числения за приемлемое время с учетом современного уровня развития техники и используемой длины ключей.
Криптостойкость цифровой подписи должна обеспечивать трудность ее подделки любым человеком, не имеющим доступа к секретному ключу. Причем трудоемкость подделки должна быть велика как для совершенно постороннего пользователя, так и для участника данной сети и не зависеть от числа подписанных документов, перехва­ченных злоумышленником. Кроме того, на нее не должно влиять то, что у злоумыш­ленника есть возможность готовить документы «на подпись» отправителю. Причем должна обеспечиваться соответствующая защита от несанкционированного доступа к хранящемуся секретному «образцу подписи».

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика