|
VIII bob. OCHIQ KAUTLARNI BOSHQARISH
INFRATUZILMASIPKI
8.1. PKIning ishlash prinsipi
Tarixan axborot xavfsizligini boshqaruvchi har qanday markazning vazifalari doirasiga axborot xavfsizligining turli vositalari tomonidan ishlatiluvchi kalitlami boshqarish kirgan. Bu kalitlarni berish, yangilash, bekor qilish va tarqatish.
Simmetrik kriptografiyadan foydalanilganda kalitlami tarqatish masa-lasi eng murakkab muammoga aylangan, chunki:
N foydalanuvchi uchun himoyalangan N(N-l)/2 kalitni tarqatish lozim edi. N bir necha yuzga teng boMganida bu sermashaqqat vazifaga aylanishi mumkin;
bunday tizimning murakkabligi (kalitlaming ko'pligi va tarqatish kanalining maxfiyligi) xavfsizlik tizimini qurish qoidalarining biri- tizim oddiyligiga to‘g‘ri kelmaydi, natijada zaif joylaming paydo boMishiga olib keladi.
Asimmetrik kriptografiya faqat N maxfiy kalitni tavsiya etib, bu muammoni chetlab o‘tishga imkon yaratadi. Bunda har bir foydalanu-vchida faqat bitta maxfiy kalit va maxsus algoritm bo‘yicha maxfiy ka-litdan olingan ochiq kalit boMadi.
Ochiq kalitdan maxfiy kalitni olib boMmasligi sababli ochiq kalitni himoyalanmagan holda barcha o‘zaro aloqa qatnashchilariga tarqatish mumkin. 0 ‘zining maxfiy kaliti va o‘zaro aloqadagi sherigining ochiq kaliti yordamida har qanday foydalanuvchi har qanday kriptoamallami bajarishi mumkin: boMinuvchi simi hisoblash, axborotning konfidensial-ligi va yaxlitligini himoyalash, elektron raqamli imzoni yaratish.
Shunday qilib, simmetrik kriptografiyaning ikkita asosiy muammosi hal etiladi:
kalitlar sonining ko‘pligi - ular endi atigi Nta;
tarqatishning murakkabligi - ulami ochiq tarqatish mumkin. Ammo bu texnologiyaning bitta kamchiligi - hujum qiluvchi niyati
buzuq odam o'zaro aloqa qatnashchilari o‘rtasida joylashganida man-in-the-middle (o‘rtadagi odam) hujumiga moyilligi.
Ochiq kalitlami boshqarish infratuzilmasi PKI ushbu kamchilikni bartaraf qilishga imkon beradi va man-in-the-middle hujumidan samarali himoyalanishni ta’minlaydi. Ochiq kalitlar infratuzilmasi kor porativ axborot tizimlarining ishonchli ishlashi uchun atalgan ichki va tashqi foydalanuvchilarga ishonchli munosabatlar zanjiri yordamida xavfsiz axborot almashishga imkon beradi. Ochiq kalitlar infratuzilmasi foydalanuvchining shaxsiy maxfiy kalitini uning ochiq kaliti bilan bogMovchi elektron pasportga o‘xshab ishlovchi raqamli sertifikatlarga asoslanadi.
Man-in-the-middle hujumidan himoyalash. Man-in-the-middle hujumi amalga oshirilganida niyati buzuq odam ochiq kanal orqali uzati-luvchi o'zaro aloqaning qonuniy ishtirokchilari kalitlarini sekingina o'zining ochiq kalitiga almashtirib, qonuniy ishtirokchilaming har bin bilan boMinuvchi sir yaratishi va so'ngra ularning barcha axborotlarini ushlab qolishi va rasshifrovka qilishi mumkin.
Hujum qiluvchining harakatini va bu hujumdan himoyalanish usu-lini misol orqali (8.1-rasm) ko‘rib chiqaylik. Faraz qilaylik, foydalanu vchilar 1 va 2 o‘zlariga umumiy boMgan boMinuvchi sirni Diffi-Xellman sxemasi bo'yicha hisoblab, himoyalangan ulanishni o‘rnatishga qaror qildilar. Ammo 1- va 2- foydalanuvchilaming Ki va K2 kalitlari ochiq kanal orqali uzatilayotgan onda niyati buzuq, odam @ bu kalitlami adresatga yetkazmay ushlab qoldi. Niyati buzuq odam o'zining maxfiy va ochiq kalitini yaratib, ochiq K kalitini 1 va 2-foydalanuvchilarga sekingina ularning haqiqiy ochiq Ki va K2 kalitlarining o‘miga jo'natadi. Natijada 1 va 2 - foydalanuvchilar boMinuvchi sirni o‘zaro emas, balki l-@ va 2-@ sxemalari bo‘yicha yaratadilar, chunki ular o'zlarining maxfiy kalitlaridan va niyati buzuq odam @ning ochiq kaliti K@ dan foydalanadilar.
8. l- ra sm . « M a n -in -th e -m id d le » h ty u m in i a m a lg a oshirish .
1-foydalanuvchi 2-foydalanuvchiga shifrlangan axborotni jo‘natgan vaqtida niyati buzuq odam @ uni ushlab qolishi va rasshifrovka qilishi mumkin (unda 1-foydalanuvchi bilan bo‘linuvchi sir Ki@bor). So‘ngra niyati buzuq odam @ axborotni (o‘zgartirilgani bo‘lishi mumkin) o‘zi va 2- foydalanuvchi hisoblagan boMinuvchi sir K@2 dan foydalanib yangidan shifrlaydi. Natijada, 2-foydalanuvchi 1-foydalanuvchi bilan himoyalangan kanalga egaman deb o‘ylab, niyati buzuq odam jo‘natgan axborotni oladi, rasshifrovka qiladi va ishlatadi.
Bu hujumga qarshi samarali vosita - notarius yoki sertifikatsiyalash idorasi CA (Certificate Authority). Ochiq kalitlaming notarial tasdiqlan-gan sertifikatlarini qo‘llash man-in-the-middle hujumini oldini olishga imkon beradi.
1-foydalanuvchi notariusga boradi, notarius 1-foydalanuvchining ochiq kalitini o‘zining maxfiy kalitidan foydalanib, elektron raqamli imzosi bilan imzolaydi. Bunda notarius raqamli imzosi bilan nafaqat 1-foydalanuvchining ochiq kalitini, balki foydalanuvchi xususidagi qator aniq axborotni (F.I.SH., ish joyi va h.) hamda imzoning ta’sir muddatini imzolaydi. Hosil boMgan hujjat (fayl) 1-foydalanuvchi ochiq kalitining sertifikati deb ataladi. Notariusdan o'zining ochiq kaliti uchun sertifikat olishning xuddi shu muolajasini 2-foydalanuvchi ham bajaradi.
va 2-foydalanuvchi imzo chekilgan ochiq kalitlarini almashish-ganidan so‘ng, ular notariusning elektron raqamli imzosini va sertifikat haqiqatan 1- yoki 2- foydalanuvchiga berilganligini tekshiradi. No-
tariusning elektron raqamli imzosini tekshirish foydalanuvchilar no-tariusga tashrif buyurganlarida ehtiyotdan olib quyilgan notariusni ochiq kaliti yordamida sherigidan olgan sertifikatni rasshifrovka qilish orqali bajariladi. Natijada, notarius CA orqali foydalanuvchilar orasida oddiy ishonch zanjiri paydo boMadi (8.2-rasm).
Niyati buzuq odam @ notariusga borib 1-foydalanuvchining serti-fikatini ololmaydi, chunki unga bu sertifikatni olish vaqtida pasportini ko'rsatishiga va u 1- foydalanuvchi ekanligini isbotlashiga to‘g‘ri ke-ladi.
0
K °
CA
1> к 3
1 CA
Do'stlaringiz bilan baham: | 
