Axborot himoyasi va uning turlari

Shaxsiy kompyuterlar (MC-DOS va Windows larning 3.1-versiyalarigacha) uchun mo’ljallangan dastlabki operatsiya tizim (OT)lari shaxsiy himoya vositalariga ega emas edilar, aynan shu xol qo’shimcha himoya vositalarini yaratish muammosini keltirib chiqardi. Windows NT va Windows 2000 kabi taraqqiy etgan himoya tizimchalariga ega bo’lgan quvvatliroq OTlarning paydo bo’lishi bilan bu muammoning dolzarbligi deyarli kamaygani yo’q. Buning sababi shundaki, tizimlarning ko’pi o’z tasarrufidan tashqarida bo’lgan ma`lumotlarni himoya qilishga qodir emas. Bu, masalan, axborot almashinuvi uchun tarmoqdan foydalanishga tegishli.

Yuqori saviyadagi himoya darajasini ta`minlay oladigan apparat-dasturiy vositalarni beshta asosiy guruhga bo’lish mumkin.

Birinchi guruxga foydalanuvchilarni identifikatsiyalash va autentifikatsiyalash tizimlari kiradi. Bunday tizimlar kompyuter tizimi zahiralariga tasodifiy va noqonuniy foydalanuvchilarning kirishini cheklash uchun qo’llanadi. Foydalanuvchidan uning shaxsini tasdiqlovchi axborotni olish, bu axborotning asliyligini tekshirish va keyin shu foydalanuvchining o’ziga tizim bilan ishlash uchun imkon berish (yoki bermaslik) bu tizimlar ishining umumiy algoritmini tashkil etadi.

Bunday tizimlarni xosil qilishda axborot tanlash muammosi vujudga keladi: bu axborot asosida esa foydalanuvchini identifikatsiyalash va autentifikatsiyalash jarayoni amalga oshiriladi. Bunda axborotning quyidagi turlarini ajratib ko’rsatish mumkin:

1) foydalanuvchi ega bo’lgan maxfiy axborot (parol, shaxsiy identifikator, kalit va h.k.); bu axborotni foydalanuvchi yodda saqlab qolishi lozim yoki bo’lmasa uni saqlashning maxsus vositalari qo’llanishi mumkin;

2) odamning fiziologik parametrlari (barmoq izlari, ko’z rangdor pardasining surati va h.k.) yoki odam xatti-harakatlarining o’ziga xos xususiyatlari )masalan, klaviaturada ishlash xususiyatlar va h.k.).

Axborotning birinchi turiga asoslangan identifikatsiya tizimlarini an`anaviy tizimlar deb hisoblash odat tusiga kirgan. Axborotning ikkinchi turidan foydalanuvchi identifikatsiya tizimlari biometrik tizimlar deb ataladi. Ќozirda biometrik identifikatsiya tizimlari o’z rivojida ilgarilab borayotgani ko’zga tashlanayapti.

Yuqori saviyadagi himoya darajasini ta`minlay oladigan apparat-dasturiy vositalarning ikkinchi guruxini disk ma`lumotlarini shifrlash tizimlari tashkil etadi. Bunday yo’l bilan hal qilinadigan asosiy masala magnit tashuvchilarda joylashgan ma`lumotlarni ruxsatsiz foydalanishlardan himoya qilishdan iborat. Magnit tashuvchilarida joylashgan ma`lumotlarning maxfiyligini ta`minlash uchun, ular simmetrik shifrlash algoritmlaridan foydalangan xolda shifrlanadi. Shifrlash komplekslarining kompyuter tizimida o’z o’rnini ola bilish darajasi ularni tasniflashda asosiy belgi vazifasini bajaradi.

Amaliy dasturlarning diskli jamђaruvchilar bilan ishlashi ikki bosqichda kechadi - «mantiqiy» va «jismoniy».

Mantiqiy bosqichda amaliy dasturning opertsiya tizimi bilan o’zaro munosabati (masalan, ma`lumotlarni qo’ishg’yozishning servis fnuktsiyalarini chaqirib olish) amalga oshiriladi. Bu bosqichda fayl asosiy ob`ekt hisoblanadi.

Jismoniy bosqich operatsiya tizimi va apparaturaning o’zaro munosabati darajasiga mos keladi. ma`lumotlarni jismoniy tashkil etish tuzilmalari bu darajaning ob`ekti bo’lib hisoblanadi.

Natijada ma`lumotlarni shifrlash tizimlari fayllar darajasida (alohida fayllar himoyalanadi) yoki disklar darajasida (butun disklar himoyalanadi) ma`lumotlarning kriptografik o’zgartishlarini amalga oshirishi mumkin. Birinchi turdagi dasturlarga arxiv fayllarining himoyasi uchun kriptografik usullardan foydalanish imkonini beruvchi arj turdagi arxivatorlarni kiritish mumkin. Ikkinchi turdagi tizimlarga misol sifatida ommalashib ketgan Nîrton Utilities dasturiy paket tarkibiga kirgan Diskreet shifrlash dasturi misol bo’la oladi.

Diskdagi ma`lumotlarni shifrlash tizimlarini tasniflovchi boshqa bir belgi bu ularni ishlash usulidir. Ishlash usuliga ko’ra diskdagi ma`lumotlarni shifrlash tizimlari ikki sinfga ajratiladi:

1) «ochiq-oydin» shifrlash tizimlari;

2) shifrlashni amalga oshirish uchun maxsus chaqirib olinadigan tizimlar.

Ochiq-oydin shifrlash (shu onda shifrlash) tizimlarida kriptografik o’zgartirishlar, foydalanuvchiga bilintirmay, real vaqt rejimida amalga oshiriladi. Masalan, foydalanuvchi matniy redaktorda tayyorlangan xujjatni himoya qilinayotgan diskka yozib olayapti, himoya tizimi esa yozib olish jarayonida bu xujjatni shifrlaydi.

Ikkinchi sinfga mansub tizimlar odatda shifrlashni amalga oshirish uchun maxsus chaqirib olinadigan utilitlarning aynan o’zginasidir. Ularga, masalan, parol himoyasining qurilma vositalariga ega bo’lgan arxivatorlar kiradi.

Yuqori saviyadagi himoya darajasini ta`minlovchi vositalarning uchinchi guruxini kompyuter tarmoqlari bo’yicha uzatiladigan ma`lumotlarni shifrlash vositalari tashkil etadi. Shifrlashning ikkita asosiy usuli mavjud bo’lib, bular kanalli shifrlash va chegaraviy (abonent) shifrlash

Kanalli shifrlashda aloqa kanali bo’yicha uzatilayotgan barcha axborot, shu jumladan, xizmatga oid axborot himoya qilinadi. Shifrlashning tegishli jarayoni OSI (Open System Interconnection) ochiq tizimlar o’zaro aloqasi Yetti darajali etalon modelining kanal darajasidagi protokol yordamida amalga oshiriladi. Bu usulda shifrlashning afzalligi shundaki, unda shifrlash jarayonlarining kanal darajasiga kirib borishi apparat vositalaridan foydalanish imkonini beradi, bu esa tizimning ish unumdorligini oshiradi.

Biroq, bu yondashuvning qator jiddiy kamchiliklari ham bor. Bular:

-bu darajada transport protokollarining xizmatga oid ma`lumotlarini ham o’z ichiga olgan barcha informatsiya shifrlanishi kerak bo’ladi; bu esa tarmoq paketlarini marshrutlash mexanizmini qiyinlashtiradi hamda oraliq kommutatsiya qurilmalari (shlyuzlar, retranslyatorlar va h.k.)dagi ma`lumotlarning deshifrlanishini talab qiladi;

-xizmatga oid axborotni shifrlash (bu darajada buni chetlab o’tib bo’lmaydi) shifrlangan ma`lumotlarda statistik qonuniyatlarning paydo bo’lishiga olib kelishi mumkin; bu himoya ishonchliligiga salbiy ta`sir ko’rsatadi va kriptografik algoritmlarning qo’llanishini cheklab qo’yadi.

CHegaraviy (abonent) shifrlash ikkita amaliy ob`ektlar (abonentlar) o’rtasida uzatilayotgan ma`lumotlarning maxfiyligini ta`minlash imkonini beradi. CHegaraviy shifrlash OSI etalon modelining amaliy yoki vakolatli darajadagi protokoli yordamida amalga oshiriladi. Bu xolda faqatgina ma`lumot mazmuni himoyalanib, xizmatga oid barcha axborot ochiq qoladi. Bu usul hizmatga oid axborotni shifrlash muammosini chetlab o’tish imkonini beradi, ammo bu o’rinda boshqa muammolar yuzaga keladi. Xususan, bunda kompyuter tarmog’i aloqa kanallariga murojaat qila oladigan buzg’unchi ma`lumotlarni o’zaro ayirboshlash tuzilmasi (masalan, jo’natuvchi va qabul qiluvchi haqida, ma`lumotlarni uzatish vaqti va shartlari, shuningdek uzatilayotgan ma`lumotlarning hajmi) haqidagi axborotni tahlil etish imkoniga ega bo’ladi.

Himoya vositalarining uchinchi guruxini elektron ma`lumotlarni autentifikatsiya qilish tizimlari tashkil etadi. Aloqa tarmoqlari bo’ylab elektron ma`lumotlarni ayirboshlashda xujjat muallifini va xujjatning o’zini autentifikatsiya qilish, ya`ni muallifning asliyligini aniqlash va olingan xujjatda o’zgartishlarning yo’qligini tekshirish muammosi tug’iladi. Elektron ma`lumotlarning auiyentifikatsiyasi uchun ma`lumotni autentifikatsiyalash kodi (imito qistirma) yoki raqamli elektron imzo qo’llanadi. Ma`lumotni autentifikatsiyalash kodi va raqamli elektron imzoni shakllantirishda shifrlash tizimlarining harxil turlari qo’llanadi.

Ma`lumotni autentifikatsiyalash kodi ma`lumotlarni shifrlashning simmetrik tizimlari yordamida shakllantiriladi. Jumladan, ma`lumotlarni shifrlashning DES simmetrik algoritmi SVS shifri bloklarining ulanganlik rejimida ishlayotganda, maxfiy kalit va IV dastlabki vektor yordamida MAS (Messege Authentication code) ma`lumotining autentifikatsiya kodini shakllantirish imkonini beradi. qabul qilingan ma`lumotning butligi ma`lumotning qabul qiluvchisi tomonidan MAS kodini tekshirish yo’li bilan amalga oshiriladi.

Imitoqistirma ochiq ma`lumotlardan maxfiy kalitdan foydalanib shifrlashni maxsus o’zgartirish vositasida xosil qilinadi hamda aloqa kanali bo’ylab shifrlangan ma`lumotlarning oxirida uzatiladi. Imitoqistirmani tekshirish uchun, maxfiy kalitga ega bo’lgan axborot qabul qiluvchisi qabul qilingan ochiq ma`lumotlar ustida avvalroq jo’natuvchi amalga oshirgan jarayonlarni takrorlaydi.

Raqamli elektron imzo (REI) bu imzolanayotgan matn bilan birgalikda uzatilayotgan autentifikatsiya qilinuvchi qo’shimcha raqamli axborotning nisbatan uncha katta bo’lmagan miqdoridir. REIni ishlatish uchun asimmetrik shifrlash tamoillari qo’llanadi. ERI tizimi jo’natuvchi tomonidan o’zining maxfiy kalitidan foydalangan xolda raqamli imzoni shakllantirish jarayonini hamda qabul qiluvchi tomonidan jo’natuvchining ochiq kalitidan foydalangan xolda imzoni tekirish jarayonini o’z ichiga oladi. Yuqori saviyadagi himoya darajasini ta`minlovchi vositalarning beshinchi guruxini kalitli axborotni boshqarish vositalari tashkil etadi. Kalitli axborot deganda kompyuter tizimi yoki tarmoqlarida qo’llanadigan barcha kriptografik kalitlar majmui tushuniladi. Har qanday kriptografik algoritmning xavfsizligi qo’llanayotgan kriptografik kalitlar bilan belgilanadi. Kalitlarni ishonchsiz boshqarish xollarida buzg’unchi kalit-axborotni qo’lga kiritishi hamda kompyuter tizimi yoki tarmog’idagi barcha axborotga kirish imkonini egallashi mumkin.

Kalit-axborotni boshqarish usullarini tasiflovchi asosiy belgi bu kalitlarni boshqarish funktsiyasining turidir. Kalitlarni boshqarish funktsiyalarining quyidagi asosiy turlari mavjud: kalitlar generatsiyasi va kalitlarni taqsimlash

Simmetrik va asimmetrik kriptotizimlarda kalitlar generatsiyasi usullari turlicha ko’rinishga ega. Simmetrik kriptotizimlar kalitlarini generatsiya qilishda tasodifiy sonlar generatsiyasining apparat va dasturiy vositalari, xususan blokli simmetrik shifrlash algoritmiga ega bo’lgan sxemalar qo’llanadi. Asimmetrik kriptotizimlar uchun kalitlarni generatsiya qilish ancha murakkab masala bo’lib, u muayyan matematik xususiyatlarga ega bo’lgan kalitlarni olish zarurati bilan bog’liq dir.

Kalitlarni saqlash funktsiyasi ularning behatar saqlanishi, hisobining olib borilishi va olib tashlanishini tashkil etishni ko’zda tutadi. Kalitlarni behatar saqlanishi va uzatilishi uchun ularni boshqa kalitlar yordamida shifrlash usuli qo’llanadi. Bunday yondashuv kalitlar tabaqalanishi kontseptsiyasini keltirib chiqaradi. Kalitlar tabaqalariga odatda bosh kalit (kalit-master), kalitlarni shifrlash kaliti va ma`lumotlarni shifrlash kaliti kiradi. Shuni ta`kidlash lozimki, kalit-masterlarni generatsiya qilish va saqlash kriptografik himoyaning eng o’tkir masalalaridan biridir.

Kalitlarni taqsimlash ularni boshqarishdagi eng mas`uliyatli jarayondir. Bu jarayon taqsimlanayotgan kalitlarning berkituvchanligini, shuningdek taqsimlash tezligi va aniqligini kafolatlashi lozim. Kompyuter tarmog’i foydalanuvchilari o’rtasida kalitlarni taqsimlashning ikkita asosiy usuli farqlanadi: