Zbekiston respublikasi axborot texnologiyalari va kommunikatsiyalarini

 

Mavzu: Kripto protsessorlari  

Reja 

1.  Xavfsiz kriptoprotsessor  

2.  Smart-kartalar  

3.  Xavfsizlik darajasi  

Tayanch atamalar: Kripto protsessorlari, Mikroprotsessor, xotira, registr, 

AMQ(arifmetik mantiqiy  qurilma), BQ(boshqarish qurilmasi), mikrosxema, takt 

chostota,  razryad,  yadro,  slot,  kesh  xotira,  tranzistor,  Celeron  rusumli 

protsessor,  Intel  Pentium  protsessori,  AMD  protsessori,  Xeon  protsessorlari, 

IA-64 arxitekturali protsessorlar. 

Kripto protsessorlarining birinchi paydo bo'lishi harbiy sohada deyarli har 

birida bo'lgani kabi ko'rindi yangi ilmiy taraqqiyot. Ikkinchi Jahon urushi davrida 

ularni  birinchi  marta  qo'llashning  asosiy  maqsadi  har  qanday  tamper  hujum 

uchun  shifr  mashinalari  himoya  qilish  edi.  Sovuq  urush  davrida  zamonaviy 

harbiy  shifr  mashinalari  tamper  chidamli  chiplari  tasniflangan  algoritm  bilan 

ishlatilgan. 

1970-yillarda  IBM  birinchi  tijorat  yakka  tartibdagi  kripto  protsessorini, 

ya'ni  IBM  3848.  6  bu  kriptoprosessor  muvaffaqiyatli  moliyaviy  sektorning 

avtomatlashtirilgan  hikoyachi  ishlatilganNozik  axborotlarni  tarmoqlar  orqali 

uzatish  tarmoq  xavfsizligi  uchun  qiyinchilik  tug'dirmoqda  so'nggi  yillar 

davomida.  Ayniqsa,  onlayn-banking,  smart-kartalar  va  hukumat  onlayn 

tizimlari,  bu  masalaning  ahamiyati  oshdi.  Bu  uchun  juda  muhim  har  qanday 

eavesdropper  yoki  hacker  kirish  imkoniyatiga  ega  bo'lmaydi,  shunday  qilib, 

tizimlari xavfsiz mo'ljallangan bo'lishi uzatilayotgan sezgir axborot. 

Kriptografiya xavfsizlik xizmatlarini isbotlash orqali ushbu muammoni hal 

qilish 

uchun 

echimlar 

taklif 

etadi 

maxfiylik, 

ma'lumotlar 

yaxlitligi, 

autentifikatsiya 

va 

repudiatsiya 

shartlari.1 

kriptografik 

"public 

key 

infrastructure"  (PKI)  deb  nomlangan  tizim  bunday  xavfsizlik  xizmatlarining 

yaxshi  namunasidir.  Bunda  tizim,  nozik  ma'lumotlar  birinchi  serverning  ochiq 

kaliti  yordamida  mahalliy  kompyuterda  shifrlangan  oldin  serverga  yuboriladi. 

Keyin  tarmoq  orqali  shifrlangan  ma'lumotlar  uzatiladi.  Server  decrypts  uning 

xususiy  kaliti  yordamida  bu  ma'lumotlar.  Uzatiladigan  ma'lumotlarni  olish 

imkoniyatiga  ega  bo'lgan  har  qanday  xaker  mumkin  emas  uning  mazmunini 

tushuntirib  bering.  PKI  bizni  tarmoq  orqali  ma'lumotlarni  xavfsiz  uzatish 

imkoniyatiga ega ekanligimizni ta'minlaydi. 

Biroq,  hali  ham  hal  qilinishi  kerak  bo'lgan  boshqa  asosiy  xavfsizlik 

muammolari 

mavjud: 

Shifrlashni 

nato'g'ri 

hisoblash 

foydalanuvchi 

kompyuterida lokal ravishda sodir bo'ladi. Server qanday ishonsa bo'ladi 

Foydalanuvchining  kompyuter,  va  aksincha?    Serverning  diskida  o'nlab 

xususiy  kalitlarni  joylashtirish.  Qanday  qilib  biz  server  ishontirib  aytamanki 

mumkinjismoniy 

himoya 

qilinadimi? 

O'rnatilgan 

kriptosistemalar 

bu 

muammolarni  hal  qilish  salohiyatiga  ega.  Ushbu  qog'oz  ushbu  salohiyatni 

ko'milgan  kriptosistemaning  dizayni  va  funktsiyasini  tushuntirish  orqali 

aniqlashga qaratilgan. 

Birinchidan, ta'rif va terminlar aniqlashtiriladi va evolyutsiyaning qisqacha 

tarixi  bo'ladi  taqdim  etilgan.  Keyin  ko'milgan  tizimlarning  me'moriy  dizayni 

tushuntiriladi.  Bu  yordam  beradi  dizayn  cheklovlari  va  ustuvorliklari  turli  xil 

tizimlarning evolyutsiyasiga olib kelishini ko'rsating. 

Nihoyat,  Smart-karta  dasturlarida  o'rnatilgan  tizimlardan  umumiy 

foydalanish  muhokama  qilinadi  va  ma'lumotlarni  shifrlash  standarti  (DES) 

algoritmi uchun loyihalash modeli beriladi. 

Kripto  protsessorlari  apparat  ichidagi  kriptografik  algoritmlarni  amalga 

oshiradigan  maxsus  protsessorlardir.  Vazifalari  shifrlash  algoritmlarni 

jadallashtirish kabi narsalarni o'z ichiga oladi, kengaytirilgan tamper, va hujum 

aniqlash, 

kengaytirilgan 

ma'lumotlar, 

asosiy 

himoya 

va 

xavfsizlik 

kengaytirilgan xotira kirish. 

 

Kripto  protsessorlari  yangi  emas.  Birinchi  harbiy  ilovalar  ishlatiladigan, 

IBMning  3480  ular  bilan  jihozlangan  edi,  ular  o'rtalarida  1980  yilda  tijorat 

ilovalar  kirdi,  va  ular  ATM  va  bank  ilovalar  operatsiyalarni  ta'minlash  uchun 

ishlatilgan. Oxirgi 10 yoki shunga o'xshash yillarda, ko'lamli-pastga versiyalari 

kabi  aqlli  kartalar,  SIM  kartalari,  uyali  radiolar,  set-top  qutilari,  avtomobillar, 

o'yin pristavkalari, va hokazo iste'mol qurilmalar tashkil ko'rsatib kelmoqda. 

Kripto  protsessor  bir  nechta  afzalliklarni  taqdim  etadi.  Birinchidan,  u  IP 

kuchli himoya taklif mumkin. Ikkinchidan, u oddiy saqlash shifrlash ko'ra asosiy 

ma'lumotlar  yaxshiroq  himoya  taklif  etadi.  Uchinchidan,  bu  zaiflik 

ekspluatatsiya qarshi himoya taklif etadi. Bu standart protsessorlarning yuqori 

qismidagi  dasturiy  qatlamlarda  joylashgan  odatda  xavfsizlik  funktsiyalarini 

apparat qatlamlariga integratsiya qilish orqali amalga oshiriladi. 

Ularni  istalgan  funksiyaga  qarab  SoCs  yoki  FPGAs  ga  integrallash 

mumkin.  Ular,  shuningdek,  standart  protsessor  ishlatiladi  va  apparat  amalga 

oshiriladi  bag'ishlangan  IP  boshqa  kripto  algoritm  bloklari  qaerga  gibrid 

yondashuv yordamida integratsiya mumkin. Va ishonchli platforma moduli ham 

mavjud. Misol uchun, ikki tomonlama shifrlash qurilmasi deb ataladigan kripto 

protsessorining  turi  mavjud.  Bu  rentition  ishlayotgan  dasturlar  va  ma'lumotlar 

va  manzil  joylarni  ham  shifrlash  orqali  ma'lumotlarni  ham  himoya  qilish 

qobiliyatini  taklif  etadi.  Bu  qayta  ishlash  elementlari  o'rtasida  shifrlash  va 

parolini xavfsizlik adyol joylashadi, ma'lumotlarni saqlash, va I/O quyi tizimlari. 

Barcha  ma'lumotlar  protsessorning  xavfsiz  bloklari  ichida  deshifrlanadi  va 

xotirada saqlangunga qadar shifrlanadi yoki I / O operatsiyasiga yuboriladi. Bu 

kalitlari  hardwire  qilish  imkoniga  ega.  Bu  ular  "nol-ized"  bo'lishi  va  tashqi 

dunyo uchun deyarli ko'rinmas bo'lishi mumkin, degan ma'noni anglatadi. 

Bundan  tashqari,  xavfsiz  va  ishonchsiz  i/o  kanallari  mavjud.  Xavfsiz 

kanallar  ish  va  nozik  ma'lumotlar  yo'l-yo'riq  uchun  ishlatiladi  esa  unsecure 

kanallari  muntazam  i/O  operatsiyalari  va  texnik  xizmat  ko'rsatish  uchun 

ishlatiladi. 

Xavfsiz  kriptoprotsessor-bu  kriptografik  operatsiyalarni  amalga  oshirish 

uchun  mo'ljallangan  va  jismoniy  himoya  choralari  bilan  ta'minlangan  kristalli 

yoki  mikroprotsessorli  tizim  bo'lib,  unga  ruxsatsiz  kirishga  qarshi  turish 

imkonini  beradi.  Kriptografik  protsessorlardan  farqli  o'laroq,  buzilib  ketgan 

"ishonchli"  va  shifrlanmagan  ma'lumotlarni  xavfsiz  muhitda  bo'lgani  kabi, 

shifrlanmagan  ma'lumotlarni  chiqarib  tashlash,  xavfsiz  kriptografik  protsessor 

chorshanba  kuni  shifrlanmagan  ma'lumotlarni  yoki  shifrlanmagan  dasturiy 

ko'rsatmalarni ko'rsatmaydi.har doim himoyalangan. 

Xavfsiz  kriptoprotsessorning  maqsadi  quyi  tizimning  xavfsizligini 

"burchak  toshi"  sifatida  harakat  qilishdir,  bu  tizimning  qolgan  qismini  jismoniy 

xavfsizlik choralari bilan himoya qilish zarurligini bartaraf etadi.  

Smart-kartalar,  ehtimol,  xavfsiz  kriptosistemaning  eng  keng  tarqalgan 

namunasidir,  ammo  murakkab  va  ko'p  tomonlama  xavfsiz  kriptoprosessorlar 

bankomatlar,  televidenie  qabul  qiluvchilar,  harbiy  tizimlarda,  yuqori  darajada 

himoyalangan  ko'chma  aloqa  uskunalarida  keng  tarqalgan.  Ba'zi  xavfsiz 

kriptoprotsessorlar  hatto  Linux  kabi  umumiy  maqsadli  operatsion  tizimlarni 

o'zlarining  xavfsiz  tuzilmalarida  bajarishi  mumkin.  Xavfsiz  kriptoprosessor 

shifrlangan  shaklda  dastur  ko'rsatmalariga  kirish  oladi,  ularni  parolini  hal  va 

kod hal ko'rsatmalar saqlanadi shu yonga, ichida ularni amalga oshiradi, va bu 

yonga  boshqa  hech  kimga  kirish  yo'q.  Shifrlangan  dasturiy  ko'rsatmalar  hech 

qachon  oshkor  qilinmasdan,  kripto  protsessor  ma'lumotlar  tizimining 

avtobusiga  qonuniy  kirish  huquqiga  ega  bo'lgan  odamlarning  dasturlariga 

ruxsatsiz  kirishni  oldini  oladi.  Bu  avtobus  shifrlash  sifatida  tanilgan. 

Kriptoprotsessor bilan qayta ishlangan ma'lumotlar ham tez-tez shifrlangan. 

Trusted Platform moduli 

— TPM) - xavfsiz muhitni joriy qilish orqali oddiy 

kompyuterlar uchun ishonchli hisoblash kontseptsiyasini ta'minlaydigan xavfsiz 

kripto  protsessorini  amalga  oshirish.  Ushbu  usul  mualliflik  huquqi  bilan 

himoyalangan  dasturiy  ta'minotni  noqonuniy  nusxalashni  murakkablashtirishi 

kerak,  ammo  mavjud  dasturlar,  odatda,  tashqi  drayvlar  uchun  yuklash  muhiti 

va ishonchli hisob-kitoblarni buzishga chidamli bo'lishga qaratilgan 

Ko'milgan  tizimlar  uchun  xavfsiz  chiplar  aqlli  karta  yoki  ishonchli 

platforma moduli kabi kalitlar va boshqa maxfiy ma'lumotlarni jismoniy himoya 

qilishning  bir xil  darajasini ta'minlashi mumkin,  ammo  u  juda kichik, sodda va 

arzon.  Ular  ko'pincha  autentifikatsiya  qurilmalari  deb  ataladi  va  atrof-muhit, 

aksessuarlar  yoki  sarf-xarajatlarning  haqiqiyligini  tekshirish  uchun  ishlatiladi. 

Ishonchli  platforma  moduli  kabi,  bu  integral  mikrosxemalar  tizimlarga 

joylashtirish uchun mo'ljallangan va ular tez-tez taxta bilan lehimlanadi. 

Uskuna xavfsizlik modullari  bir yoki  bir  nechta kripto  protsessorlarini  o'z 

ichiga  oladi.  Ushbu  qurilmalar  serverlarda  ishlatiladigan  yuqori  xavfli 

kriptoprosessorlar.  Uskuna  xavfsizlik  moduli  bir  kriptoprosessor  chipida  bir 

nechta  jismoniy  himoya  darajalariga  ega  bo'lishi  mumkin.  Kriptografik 

protsessor chipini boshqa protsessor va shifrlangan ma'lumotlar saqlanadigan 

va  qayta  ishlangan  xotira  bilan  birga  apparat  xavfsizligi  moduli  joylashtirilishi 

mumkin.  Uni  olib  tashlash  uchun  har  qanday  urinish  kriptochipdagi  kalitlarni 

nolga keltiradi. Uskuna xavfsizligi modullari kompyuterning bir qismi (masalan, 

ATM)  bo'lishi  mumkin,  u  o'g'irlik,  almashtirish  va  soxtalashtirishni  oldini  olish 

uchun qulflangan kassa ichidagi operatsiyalarni amalga oshiradi. Xususiyatlari 

Soxta narsalarni aniqlash va ochilish belgisi. 

Ichki  signallarni  o'qishni  oldini  olish  uchun  chipdagi  supero'tkazuvchi 

himoya qatlamlari. 

Vaqtinchalik  kechikishlar  bo'yicha  har  qanday  maxfiy  axborotni  oshkor 

qilishni oldini olish uchun nazorat qilinadigan ijro. 

Soxta holatlarda sirlarni avtomatik ravishda yo'q qilish. 

Ishonchli  bootloader-uni  ishga  tushirishdan  oldin  operatsion  tizimning 

haqiqiyligini tekshiradi. 

Ishonchli  operatsion  tizim-ularni  ishga  tushirishdan  oldin  ilovalarning 

haqiqiyligini  tekshiradi.  Modeldagi  imtiyozlarni  taqsimlash  bilan  amalga 

oshiriladigan apparat registrlari. Xavfsizlik darajasi 

Xavfsiz  kriptoprotsessorlar  foydali  bo'lsa-da,  ular  katta  resurslarni 

sarflashga  tayyor  bo'lgan  yaxshi  jihozlangan  va  kuchli  raqiblar  (masalan, 

hukumat razvedka boshqarmasi) uchun hujumga qarshi emas. 

Hujumlardan  biri  IBM  4758[1]  da  amalga  oshirildi.  Kembrij  universiteti 

jamoasi  IBM  4758-dan  maxfiy  ma'lumotlarni  muvaffaqiyatli  olish,  matematika 

va  Hack-and-Slash  uskunalaridan  foydalangan  holda  hisobot  taqdim  etdi. 

Qanday  bo'lmasin,  haqiqiy  tizimlarga  bunday  hujum  qilish  mumkin  emas, 

chunki  hujumchilar  qurilma  API-ga  to'liq  kirishlari  kerak.  Oddiy  (va  tavsiya 

etilgan)  amaliyot-huquqlarni  almashish  uchun  kirishni  boshqarish  tizimidan 

foydalanish va hech kim hujumni amalga oshira olmadi. 

4758-da  ishlatiladigan  zaiflik  4758-da  dasturiy  xatolik  bo'lib,  4758 

arxitekturasi  xatosi  emas,  balki  ularning  hujumi  xavfsizlik  tizimining  eng  zaif 

aloqasi  qanchalik  xavfsiz  ekanligi  haqida  eslatib  turadi:  4758ning  barcha 

o'ylangan tizimi har bir narsani boshqaradigan dasturda xatolik tufayli foydasiz 

edi. 

Aqlli  kartalar  jismoniy  hujumlarga  ko'proq  ochiq  bo'lgani  uchun  sezilarli 

darajada  himoyasiz.  Bundan  tashqari,  apparat  orqa  eshiklari  Smart-kartalar 

yoki boshqa kripto-protsessorlarning xavfsizligiga putur etkazishi mumkin, agar 

ular orqa eshik dizayniga investitsiya qilmasa[2]. 

To'liq  disk  shifrlash  ilovalari  uchun,  ayniqsa  ishonchli  bootloader  holda 

amalga  oshirilganda,  operatsion  tizim  TPM  dan  kalitlarni  tiklaganidan  so'ng, 

qoldiq  ma'lumotni  xotiradan  o'qish  mumkin  bo'lsa,  kripto  protsessori  sovuq 

yuklash hujumidan himoyalana olmaydi. 

Har qanday holatda ham, barcha nozik ma'lumotlar faqat kriptoprosessor 

xotirasida  saqlanadi,  agar,  emas,  balki  tashqi  disklar,  kriptoprosessor  u 

xulosalar  yoki  boshqa  har  qanday  elementlar  bilan  parol  hal  yoki 

shifrlanmagan  ma'lumotlarni  ko'rib  chiqish  mumkin  emas,  shunday  qilib, 

mo'ljallangan,  bunday  ma'lumotlar  faqat  chip  barcha  uy-joy  va  himoya  metall 

qatlamlarini olishdan olinishi mumkin. Bu qurilmaning jismoniy egasi va tegishli 

ko'nikma  va  jihozlarga  ega  bo'lgan  maxsus  texniklarni  talab  qiladi.  Boshqa 

hujum  usullari  turli  operatsiyalarni  bajarish  vaqtini  batafsil  tahlil  qilishni  o'z 

ichiga  oladi.  Vaqt,  maxfiy  qiymatlarga  yoki  oqim  iste'molining  vaqtga 

bog'liqligiga  bog'liq  bo'lishi  mumkin,  bu  qurilmani  "  0  "yoki"  1  "  bitlari  bilan 

ishlaydi.  Yoki  tajovuzkor  haddan  tashqari  haroratni,  juda  yuqori  yoki  past 

chastotani 

qo'llashi 

yoki 

kuchlanishni 

o'zgartirishi 

mumkin. 

Kripto 

protsessorining  ichki  tuzilishi  bunday  hujumlarni  oldini  olish  uchun 

moslashuvchan bo'lishi mumkin. Ba'zi himoyalangan kriptoprotsessorlar ikkita 

protsessor  yadrosini  o'z  ichiga  oladi  va  kerak  bo'lganda  mavjud  bo'lmagan 

kalitlarni ishlab chiqaradi, shuning uchun sxema teskari muhandislik sharoitida 

bo'lsa  ham,  shifrlangan  flesh-xotiradan  yuklab  olingan  yoki  dasturning 

yadrolari orasida uzatiladigan xavfsiz parolini hal qilish uchun zarur bo'lgan har 

qanday kalitlarni olish mumkin emas. 

XULOSA 

Kripto protsessorlari bu biz uchun yangi emas ekan. Boshqa kup sohalar 

kabi      Birinchi  harbiy  ilovalar  ishlatiladigan,  IBMning  3480  ular  bilan 

jihozlangan edi, ular o'rtalarida 1980 yilda tijorat ilovalar kirdi, va ular ATM va 

bank ilovalar operatsiyalarni ta'minlash uchun ishlatilgan. Kripto protsessorlari 

dasturlashtiriladigan  apparat  modullari  bo'lib,  ularga  bag'ishlangan  ko'rsatma 

bilan  kriptografik  funksiyalarni  samarali  amalga  oshirish  20  dan  ortiq  ALUs 

ko'milgan bo'lishi mumkin ularni ish faoliyatini oshirish. Qayta jihozlash apparat 

dizayn  uchun  foydalanish  mumkin.  Shuning  uchun,  kripto  protsessorlari 

moslashuvchanlik  va  savdo-sotiq  jihatidan  samarali  echimlarni  ifodalaydi 

ishlash Oxirgi 10 yoki shunga o'xshash yillarda, ko'lamli-pastga versiyalari kabi 

aqlli  kartalar,  SIM  kartalari,  uyali  radiolar,  set-top  qutilari,  avtomobillar,  o'yin 

pristavkalari,  va  hokazo  iste'mol  qurilmalar  tashkil  ko'rsatib  kelmoqda.  Kripto 

protsessor bir nechta afzalliklarni taqdim etadi. Birinchidan, u IP kuchli himoya 

taklif  mumkin.  Ikkinchidan,  u  oddiy  saqlash  shifrlash  ko'ra  asosiy  ma'lumotlar 

yaxshiroq  himoya  taklif  etadi.  Uchinchidan,  bu  zaiflik  ekspluatatsiya  qarshi 

himoya  taklif  etadi.  Bu  standart  protsessorlarning  yuqori  qismidagi  dasturiy 

qatlamlarda  joylashgan  odatda  xavfsizlik  funktsiyalarini  apparat  qatlamlariga 

integratsiya qilish orqali amalga oshiriladi 

Download 171,43 Kb.

Do'stlaringiz bilan baham: