Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги ғаниев С. К

Download 3,91 Mb.

Pdf ko'rish

bet	71/169
Sana	14.07.2022
Hajmi	3,91 Mb.
	#793925

1 ... 67 68 69 70 71 72 73 74 ... 169

Bog'liq
Криптографик усул1.docx

TGS
мижозга максад сервердан фой-
даланиш учун мандат такдим этади.
TGS
мижоз ва максад сервери учун
мижоз ва
TGS
га умумий булган сеанс калитида шифрланган сеанс калити-
ни хам яратади. Бу иккала хабар мижозга юборилади. Мижоз хабарни рас-
шифровка килади ва сеанс калитини чикариб олади.
Хизмат сурови.
Энди мижоз узининг хакикийлигини максад серверига исботлаши
мумкин. Максад серверида аутентификациядан муваффакиятли утиш учун
мижоз таркибида узининг исми, тармок, адреси, вакт белгиси булган ва се-
анс калити "мижоз-сервер"да шифрланган аутентификаторни яратади ва
уни TGS хизматидан олиб берилган максад серверининг махфий калитида
шифрланган мандат билан бирга жунатади.
Максад сервери мижоздан маълумотларни олиб, аутентификаторни
узининг махфий калитида расшифровка килади ва ундан "мижоз-сервер"
сеанс калитини чикариб олади. Мандат хам текширилади. Текшириш муо-
лажаси "мижоз-TGS" сессиясида утказиладиган муолажага ухшаш, яъни
тармок, адреслари ва вакт белгисининг мослиги текширилади. Агар барчаси
мое келса, сервер мижознинг хакикийлигига ишонч хреил килади.
Агар илова х,ак,ик,ийликнинг узаро текширилишини талаб этеа, сервер
мижозга таркибида сеанс калитида шифрланган вакт белгиси булган хабар-
ни юборади. Бу серверга тугри махфий калитнинг маълум эканлигини ва у
мандат ва гувохномани расшифровка кила олишини исботлайди. Зарурият
тугилганида мижоз ва сервер кейинги хабарларни умумий калитда шифр-
лашлари мумкин. Чунки бу калит факат уларга маълум, бу калит билан
шифрланган охирги хабар иккинчи тарафдан юборилганига иккала тараф
ишонч хреил килишлари мумкин. Амалда бу барча мураккаб муолажалар

автоматик тарзда бажарилади ва мижозга кандайдир нокулайликлар етка-
зилмайди.
Доменлараро аутентификациялаш хусусиятлари.
Kerberos
дан доменлараро аутентификациялашда хдм фойдаланиш
мумкин. Мижоз бошка домендаги сервердан фойдаланиш максадида калит -
ларни таксимлаш маркази
KDC
га мурожаат килса,
KDC
мижозга суралаёт-
ган сервер жойлашган доменнинг
KDC
ига мурожаат этишга
щита адрес-
лаш мандатини
(referal ticket)
такдим этади (6.4-расм).
1-
домен
2-
домен
KDC 1
KDC2
1
1
1
2
3
У
1
2
4
Мижоз
Сервер
5
6.4-
расм. Kerberos протоколида доменлараро аутентификациялаш схемаси
Расмда куйидаги белгилапглар кабул килинган:
1.
Аутентификациялашга суров.
2.
KDC1
учун
TGT
3.
KDC2
учун
TGT.
4.
Сервердан фойдаланиш мандата.
5.
Маълумотларни аутентификациялаш ва алмашиш.
Кдйта адреслаш мандата иккита домен КБСсининг жуфтли алока ка-
литида шифрланган ТСГдир. Бунда мижозга сервердан фойдаланишга ман-
датни суралаётган сервер жойлашган KDC такдим этади.
Жуда куп доменли тармокда аутентификациялаш учун KerberosflaH
фойдаланиш назарий жихдтдан мумкин булсада, мурожаатлар сонининг до-
менлар сонига мутаносиб равишда ошиши сабабли, суровларни муайян

KDCnapra
бир маънода кайта адресловчи кандайдир марказий домен
куришга тугри келади.
Kerberos
хаефсизлиги.
Kerberos,
криптографик химоялашнинг бошка харкандай дастурий во-
ситаси каби ишончсиз дастурий мухдтда ишлайди. Ушбу мухитнинг хуж-
жатлаштирилмаган имкониятлари ёки нотугри конфигурацияси жиддий ах-
боротнинг чикиб кетишига олиб келиши мумкин. Хатто калитлар фойдала-
нувчи ишлаш сеансида факат оператив хотирада сакланса хам операцион
тизимдаги бузилиш калитларнинг каттик, дискда нусхаланишига олиб кели-
ши мумкин.
Kerberos
дастурий таъминоти урнатилган ишчи станциясидан
купчилик фойдаланувчи режимнинг ишлатилиши ёки ишчи станциялардан
фойдаланишнинг назорати булмаслиги дастур-закладкани киритиш ёки
криптографик дастурий таъминотни модификациялаш имкониятини
тугдиради.
Шу сабабли, Kerberos хавфсизлиги куп жихатдан ушбу протокол
урнатилган ишчи станцияси химоясининг ишончлигига боглик,.
Kerberos
протоколининг узига к,уйидаги к,атор талаблар к,уйилади:
-
Kerberos
хизмати хизмат килишдан воз кечишга йуналтирилган ху-
жумлардан химояланиши шарт;
-
вакт белгиси аутентификация жараёнида к,атнашиши сабабли, ти-
зимдан фойдаланувчиларининг барчаси учун тизимли вактни синхронлаш
зарур;
-
Kerberos
паролни саралаш орк,али хужум к,илишдан химояламайди.
Муаммо шундаки,
KDC
да сакланувчи фойдаланувчи калити унинг пароли-
ни хэш-функция ёрдамида кайта ишлаш натижасидир. Паролнинг
бушлигида уни саралаб топиш мумкин.
- Kerberos
хизмати рухсатсиз фойдаланишининг барча турларидан
ишончли химояланиши шарт;
-
мижоз олган мандатлар, хамда махфий калитлар рухсатсиз фойдала-
нишдан х,имояланиши шарт.

Юкррида келтирилган талабларнинг бажарилмаслиги муваффакиятли
хужумга сабаб булиши мумкин.
Хрзирда Kerberos протоколи аутентификациялашнинг кенг тарк,алган
воситаси хисобланади. Kerberos турли криптографик схемалар, хусусан,
очик, калитли шифрлаш билан биргаликда ишлатилиши мумкин.
Бир томонлама калитли хэш-функциялардан фойдаланишга
асосланган протоколлар.
Бир томонлама хэш-функция ёрдамида шифрлашнинг узига хос хусу-
сияти шундаки, у мохияти буйича бир томонламадир, яъни тескари
узгартириш-кабул килувчи тарафда расшифровка килиш билан бирга олиб
борилмайди. Иккала тараф (жунатувчи ва кабул килувчи) бир томонлама
шифрлаш муолажасидан фойдаланади.
Шифрланаётган маълумот
М
га кулланилган
К
параметр-калитли бир
томонлама хэш-функция
h
k
(.)
натижада байтларнинг белгиланган катта
булмагани сонидан иборат хэш-киймат (дайджест)
"т"
ни беради (6.4-
расм).
Жунатувчи (^
Хабар М
К,
6.4-
расм. Маълумотлар яхлитлигини текширишда бир томонлама
хэш-функциянинг ишлатилиши (I-вариант).
Дайджест "т" кабул килувчига дастлабки хабар
М
билан бирга узати-
лади. Хабарни кабул килувчи, дайджест олинишида кандай бир томонлама
хэш-функция ишлатилганлигини билган х,олда, расшифровка килинган ха-
бар
М
дан фойдаланиб, дайджестни бошк,атдан х,исоблайди. Агар олинган
дайджест билан хисобланган дайджест мое келса, хабар
М
нинг таркиби
хеч кандай узгаришга дучор булмаганини билдиради.
Кабул кдлувчи
дайджест m

Download 3,91 Mb.

Do'stlaringiz bilan baham:

1 ... 67 68 69 70 71 72 73 74 ... 169