IX
боб. ОЧИК, КАЛИТЛАРНИ БО11ЩАРИШ ИНФРАТУЗИЛМАСИ PKI
9.1. РК1нинг ишлаш принципи
Тарихан ахборот хавфсизлигини бошкарувчи хар кандай марказнинг
вазифалари доирасига ахборот хавфсизлигининг турли воситалари томони-
дан ишлатилувчи калитларни бошкариш кирган. Бу-калитларни бериш, ян-
гилаш, бекор килиш ва таркатиш.
Симметрик криптографиядан фойдаланилганда калитларни таркатиш
масаласи энг мураккаб муаммога айланган, чунки:
-
N фойдаланувчи учуй химояланган N(N-l)/2 калитни таркатиш ло-
зим эди. N бир неча юзга тенг булганида бу сермашаккат вазифага айлани-
ши мумкин;
-
бундай тизимнинг мураккаблиги (калитларнинг куплиги ва таркатиш
каналининг махфийлиги) хавфсизлик тизимини куриш кридаларининг бири-
тизим оддийлигига тугри келмайди, натижада заиф жойларнинг пайдо
булишига олиб келади.
Асимметрик криптография факат N махфий калитни тавсия этиб, бу
муаммони четлаб утишга имкон яратади. Бунда хар бир фойдаланувчида
факат битта махфий калит ва махсус алгоритм буйича махфий калитдан
олинган очик, калит булади.
Очик, калитдан мах,фий калитни олиб булмаслиги сабабли очик, ка-
литни химояланмаган х,олда барча узаро алок,а катнашчиларига тарк,атиш
мумкин. Узининг мах,фий калиги ва узаро алокадаги шеригининг очик, ка-
лиги ёрдамида х,ар кандай фойдаланувчи х,ар к,андай криптоамалларни ба-
жариши мумкин: булинувчи сирни хисоблаш, ахборотнинг конфиденциал-
лиги ва яхлитлигини х,имоялаш, электрон рак,амли имзони яратиш.
Шундай к,илиб, симметрик криптографиянинг иккита асосий муаммо-
си х,ал этилади:
-
калитлар сонининг куплиги - улар энди атиги NTa;
-
таркатишнинг мураккаблиги - уларни очик, таркатиш мумкин.
A
MMO
бу технологиянинг битта камчилиги - хужум килувчи нияти
бузук, одам узаро алока катнашчилари уртасида жойлашганида man-in-the-
middle
(уртадаги одам) хужумига мойиллиги.
Очик, калитларни бошкариш инфратузилмаси PKI ушбу камчиликни
бартараф килишта имкон беради ва man-in-the-middle хужумидан самарали
химояланишни таъминлайди. Очик, калитлар инфратузилмаси корпоратив
ахборот тизимларининг ишончли ишлаши учуй аталган ва ички ва ташки
фойдаланувчиларга ишончли муносабатлар занжири ёрдамида хавфсиз ах-
борот алмашишга имкон беради. Очик, калитлар инфратузилмаси фойдала-
нувчининг шахсий махфий калитини унинг очик, калити билан богловчи
электрон паспортга ухшаб ишловчи ракамли сертификатларга асосланади.
Man-in-the-middle
хужумидан химоялаш.
Man-in-the-middle
хужуми
амалга оширилганида нияти бузук, одам очик, канал оркали узатилувчи
узаро алоканинг крнуний иштирокчилари калитларини секингина узининг
очик, калитига алмаштириб, крнуний иштирокчиларнинг хар бири билан
булинувчи сир яратиши ва сунгра уларнинг барча ахборотларини ушлаб
крлиши ва расшифровка килиши мумкин.
Хужум к,илувчининг х,аракатини ва бу хужумдан х,имояланиш усулини
мисол оркали (9.1-раем) куриб чик,айлик. Фараз килайлик, фойдаланувчи-
лар 1 ва 2 узларига умумий булган булинувчи сирни Диффи-Хеллман схе-
маси буйича х,исоблаб, химояланган уланишни урнатишга к,арор к,илдилар.
Аммо 1- ва 2- фойдаланувчиларнинг Kj ва К
2
калитлари узатилаётган онда
нияти бузук,, одам @ адресатга етказмай ушлаб к,олди. Нияти бузук, одам
узининг махфий ва очик, калитини яратиб, очик, К калитини 1 ва 2-
фойдаланувчиларга секингина уларнинг хакикий очик, Kj ва К
2
калитлари-
нинг урнига жунатади. Натижада 1 ва 2 - фойдаланувчилар булинувчи сир-
ни узаро эмас, балки 1-@ ва 2-@ схемалари буйича яратадилар, чунки улар
узларининг махфий калитларидан ва нияти бузук, одам @нинг очик, калити
К@ дан фойдаланадилар.
9.1-
расм. "Man-in-the-middle " атакасини амалга ошириш.
1-
фойдаланувчи 2-фойдаланувчига шифрланган ахборотни жунатган
вактида нияти бузук, одам @ уни ушлаб крлиши ва расшифровка килиши
мумкин (унда 1-фойдаланувчи билан булинувчи сир К
1@
бор). Сунгра нияти
бузук, одам @ ахборотни (узгартирилгани булиши мумкин) узи ва 2-нчи
фойдаланувчи хисоблаган булинувчи сир К
@2
дан фойдаланиб янгидан
шифрлайди. Натижада 2-фойдаланувчи 1-фойдаланувчи билан химояланган
каналга эгаман деб уйлаб, нияти бузук, одам жунатган ахборотни олади,
расшифровка килади ва ишлатади.
Бу хужумга карши самарали восита нотариус ёки сертификациялаш
идораси С A (Certificate Authority). Очик, калитларнинг нотариал
тасдикданган сертификатларини куллаш man-in-the-middle хужумини олди-
ни олишга имкон беради.
1-
фойдаланувчи нотариусга боради, нотариус 1-фойдаланувчининг
очик, калитини узининг махфий калитидан фойдаланиб, электрон ракамли
имзоси билан имзолайди. Бунда нотариус ракамли имзоси билан нафакат 1-
фойдаланувчининг очик, калитини, балки фойдаланувчи хусусидаги к,атор
аник, ахборотни (Ф.И.Ш., иш жойи ва х,.) х,амда имзонинг таъсир муддати-
ни имзолайди. Хрсил булган хужжат (файл) 1-фойдаланувчи
очщ калити-
нинг сертификаты
деб аталади. Нотариусдан узининг очик, калити учун
сертификат олишнинг худци шу муолажасини 2-фойдаланувчи хам бажара-
ди.
1 ва 2-фойдаланувчи имзо чекилган очик, калитларини алмашишгани-
дан сунг, улар нотариуснинг электрон ракамли имзосини ва сертификат
хакикатан 1- ёки 2- фойдаланувчига берилганлигини текширади. Нотариус-
нинг электрон ракамли имзосини текшириш фойдаланувчилар нотариусга
ташриф буюрганларида эхтиётдан олиб куйилган нотариусни очик, калити
ёрдамида шеригидан олган сертификатни расшифровка килиш оркали ба-
жарилади. Натижада нотариус СА орк,али фойдаланувчилар орасида оддий
ишонч занжири пайдо булади (9.2-расм).
Нияти бузук, одам @ нотариусга бориб 1-фойдаланувчининг сертифи-
катини ололмайди, чунки унга бу сертификатни олиш вактида паспортини
курсатишига ва у 1- фойдаланувчи эканлигини исботлашига тугри келади.
9.2-
расм. Нотариус СА орцали фойдаланувчилар орасидаги оддий ишонч занжири
Do'stlaringiz bilan baham: |