Translated from Russian to Uzbek

Download 266,83 Kb.

bet	1/2
Sana	15.04.2022
Hajmi	266,83 Kb.
	#555055

1 2

Bog'liq
Kriptografik OS ximoya qilish-конвертирован.ru.uz

Translated from Russian to Uzbek - www.onlinedoctranslator.com

3.3. Windows operatsion tizimlarining kriptografik vositalarini tahlil qilish
Ko'pgina zamonaviy kompyuter tizimlari, masalan, operatsion tizimlar (OT), veb-serverlar va ma'lumotlar bazasi ma'lumotlarini xavfsiz saqlash va uzatishni ta'minlash uchun o'rnatilgan kriptografik ma'lumotlarni himoya qilish (CIPF) ga ega. Bunday vositalarga misollar shifrlash fayl tizimining (EFS) fayl va papkalarni shifrlash funksiyalarini yoki Windows oilasi operatsion tizimlarida BitLocker Drive shifrlash vositasini o'z ichiga oladi. Shu bilan birga, foydalanuvchilarning ko'pchiligi kuchli kriptografik algoritmlarni, masalan, AES yoki mahalliy GOST kripto algoritmlarini amalga oshirish tufayli foydalaniladigan himoya vositalarining mutlaqo ishonchli ekanligiga ishonch hosil qiladi. Qoida tariqasida, shifrlash algoritmining kalit uzunligini tanlashga katta e'tibor beriladi, masalan, AES-128 o'rniga kalit uzunligi 256 bit (AES-256) bo'lgan AES algoritmidan foydalanish bo'yicha tavsiyalar beriladi.
Haqiqatan ham, AES, 3DES, mahalliy GOST R 34.12-2015 "Grasshopper" va "Magma" kabi ishlatiladigan zamonaviy kriptografik algoritmlar etarli hisoblash barqarorligiga ega. Katta kalit uzunliklari (128 bitdan) kalit qiymatlarni shafqatsiz qidirish orqali ochishning amaliy imkoniyatini istisno qiladi. Shu bilan birga, ba'zi hollarda shifrlangan ma'lumotlarga muvaffaqiyatli hujumlar hali ham mumkin va birinchi navbatda, xususiyatlar va cheklovlarni tushunmaslik, noto'g'ri konfiguratsiya yoki noto'g'ri foydalanish, ba'zan esa CIPFni amalga oshirishdagi zaifliklar bilan bog'liq.
Axborotni himoya qilishning mashhur kriptografik vositalarining amaliy ishonchliligi masalasini kriminalistika nuqtai nazaridan o'rganish qiziqish uyg'otadi - kompyuter tizimlaridan ma'lumotni (dalillarni) qidirish va chiqarishga qaratilgan kompyuter kriminalistikasi [1].
Ilova xavfsizligi talablari shifrlashning keng qo'llanilishiga olib keladi, bu ko'pincha dastur tomonidan avtomatik ravishda amalga oshiriladi, foydalanuvchi uchun shaffof bo'lib, parametrlarning foydalanuvchi konfiguratsiyasini talab qilmaydi, ba'zan esa ruxsat bermaydi. Misol uchun, mashhur brauzerlar shifrlangan shaklda shaxsiy ma'lumotlar manbai bo'lib xizmat qiluvchi veb-saytlarga, sessiyalarga va cookie-fayllarga kirish uchun foydalanuvchi hisob ma'lumotlarini (login va parollar) saqlaydi. Ma'lumotlarni himoya qilish uchun Windows operatsion tizimidagi Chrome va Edge (IE) brauzerlari DPAPI (Data Protection API) interfeysidan foydalanadi, bu sizga ma'lumotlar va xotirani shifrlash va shifrlash funktsiyalarini amalga oshirish imkonini beradi. Bunday holda, qoida tariqasida, shifrlash kaliti foydalanuvchi paroli asosida yaratiladi,

Windows tizimiga kirish uchun ishlatiladi. DPAPI mexanizmlari mutlaqo ishonchli himoyani ta'minlamaydi, bu sud-tibbiy dasturiy ta'minotdan foydalanish tajribasi bilan tasdiqlangan, masalan, Belcasoft Evidence Center [2].
Yana bir misol - sinxronlashtirilgan ma'lumotlarni saqlash va Android, iOS va Windows 10 operatsion tizimlarida ishlaydigan qurilmalardan ma'lumotlarning zaxira nusxalarini bulutli omborlarda saqlash: mos ravishda Google hisobi, iCloud va Microsoft hisob qaydnomasi. Qurilmadan olingan bulutli ma'lumotlar ba'zi hollarda foydalanuvchi tomonidan hech qanday tarzda boshqarilmaydi va parollar, shifrlangan hajmlarga kirish kalitlari, shuningdek shaxsiy ma'lumotlar (xat yozishmalar, kontaktlar, qo'ng'iroq ma'lumotlari, geolokatsiya ma'lumotlari va boshqalar) bo'lishi mumkin. Bunday ma'lumotlarni ajratib olish boshqa qurilmalar va omborlarga kirish imkonini beradi. Biroq, bulutdan ma'lumotlarni olish tartibi ahamiyatsiz emas, chunki ishlab chiquvchilar shifrlashdan foydalanadilar va ba'zi ma'lumotlar, masalan, zahiradagi parollar, qo'shimcha ravishda apparat kaliti bilan shifrlangan, boshqalarga faqat ishonchli qurilmadan kirishga ruxsat beradi. Shu bilan birga, ushbu vazifani hal qiladigan sud-tibbiy vositalar mavjud, masalan, Elcomsoft Cloud Explorer, Elcomsoft Phone Breaker [3].
Saqlangan ma'lumotlarni shifrlash uchun foydalanuvchi Windows operatsion tizimlarida [4] mavjud bo'lgan va fayl tizimi ob'ektlari (EFS) va drayverlarni (BitLocker, BitLocker Drive Encryption, Bit-Locker To) mahalliy shifrlash uchun mo'ljallangan o'rnatilgan kriptografik ma'lumotlar himoyasidan foydalanishi mumkin. Boring). EFS aslida NTFS fayl tizimining qo'shimchasi bo'lib, u operatsion tizim ishlayotgan vaqtda ham, oflayn rejimda ham ma'lumotlarni himoya qilish imkonini beradi (boshqa OT nusxasidan diskka to'g'ridan-to'g'ri jismoniy kirish bilan). EFS shifrlash foydalanuvchi uchun shaffofdir, ya'ni fayl o'qilganda ma'lumotlar avtomatik ravishda shifrlanadi, yozilganda esa yana shifrlanadi. Faol OSdagi boshqa foydalanuvchilar shifrlangan faylni ocholmaydi va diskka to'g'ridan-to'g'ri kirish bilan ular uning mazmunini o'qiy olmaydi.
EFS qo'llab-quvvatlashi NTFS drayveriga o'rnatilgan. Shifrlangan fayl topilganda, NTFS o'rnatilgan EFS funksiyalarini bajaradi, ularga kirish paytida ma'lumotlarni shifrlaydi va shifrini ochadi (3.7-rasm). NTFS EFS xizmatiga so'rovlarni Mahalliy xavfsizlik ma'muriyati quyi tizimi (LSASS) orqali yuboradi.
EFS simmetrik shifrlashdan foydalanadi, sukut bo'yicha AES-256 ishlatiladi. Keyinchalik simmetrik shifrlash kalitiga assimetrik shifrlash (RSA-2048) qo'llaniladi. RSA bilan birga Windows7 EFS beri
elliptik egri shifrlashdan foydalanishni qo'llab-quvvatlaydi (AQSh davlat idoralari uchun kriptotizimlarga qo'yiladigan talablarni bajarish uchun - Suite B). EFS bilan ishlash uchun CNG (Cryptography Next Generation) API ishlatiladi, shuning uchun CSP tomonidan qo'llab-quvvatlanadigan, operatsion tizim bilan ta'minlangan yoki uchinchi tomon kriptoprovayderi tomonidan qo'llab-quvvatlanadigan har qanday kriptografik algoritmdan foydalanish mumkin. Bu shuni anglatadiki, EFS mahalliy fayl va papkalarni shifrlash uchun mahalliy kriptografik algoritmlardan foydalanishi mumkin (tizimda qo'llab-quvvatlovchi kriptoprovayder va kengaytma o'rnatilganda va tegishli sertifikat mavjud bo'lganda, masalan, CryptoPro CSP va CryptoPro EFS [5, p.72- 79]).

3.7-rasm. EFS arxitekturasi Shifrlash

jarayoni quyidagicha amalga oshiriladi:

EFS xizmati faylni eksklyuziv kirish uchun ochadi.
Fayldagi barcha ma'lumotlar oqimlari tizim papkasida joylashgan vaqtinchalik matn fayliga ko'chiriladi.
Mahalliy xavfsizlik quyi tizimi LSA (Mahalliy xavfsizlik organi) tasodifiy sonni hosil qiladi - fayl mazmunini simmetrik algoritm yordamida shifrlash uchun ishlatiladigan FEK (File Encryption Key) maxfiy fayl shifrlash kaliti.
Xuddi shu maxfiy kalit faylning shifrini ochishda talab qilinadi, shuning uchun kalit xavfsiz tarzda saqlanishi kerak (3.8-rasm). Buning uchun LSA foydalanuvchi sertifikatining ochiq kalitini tanlaydi va sertifikatning ochiq kaliti yordamida FEKni assimetrik algoritm bilan shifrlaydi. Keyin shifrlangan kalit faylning maxsus maydoniga (Data Decryption Field, DDF) yoziladi.

Yashirin kalit FEK
Shifrlangan fayl

Shifrlangan ma'lumotlar

DDF
(FEK kalitining shifrlangan nusxasi)

DRF
(FEK kalitining shifrlangan nusxasi)

Guruch. 3.8. EFS shifrlash maxfiy kalitini saqlash

X.509 formatidagi sertifikat ma'muriy ravishda ochiq kalit manbai sifatida belgilanishi mumkin, keyin u foydalanuvchi sertifikatlari do'koniga, smart-kartaga (USB token) yoki tasodifiy raqamlar generatoriga qo'shiladi. Agar foydalanuvchi ilgari tegishli sertifikat tayinlanmagan bo'lsa va domenda Sertifikatlashtirish markazidan (CA) foydalanmasa, mahalliy mashina o'z-o'zidan imzolangan sertifikat yaratadi. Agar foydalanuvchi keyinchalik EFS-ga ega bo'lsa

sertifikat (masalan, CA dan foydalangan holda), shifrlash hali ham avval yaratilgan o'z-o'zidan imzolangan sertifikatdan foydalanadi. Ushbu sertifikat shaxsiy sertifikatlar ro'yxatida ko'rsatilmagan, shuning uchun uni sertifikat menejeri orqali tizimdan olib tashlash muammoli, ammo boshlashdan oldin xavfsizlik siyosati (domen darajasida) yordamida o'z-o'zidan imzolangan sertifikatlardan foydalanishni o'chirib qo'yishingiz mumkin. EFS shifrlash.

FEK mahalliy yoki guruh xavfsizlik siyosati tomonidan tayinlangan Data Recovery Agent (DRA) sertifikatining ochiq kaliti bilan shifrlangan. Agar siyosat tomonidan bir nechta tiklash agentlari tayinlangan bo'lsa, FEK nusxasi ularning har birining ochiq kaliti yordamida shifrlanadi, shundan so'ng u DRF (Ma'lumotlarni qayta tiklash maydoni) ga yoziladi.

FEK kalitining shifrlangan nusxasidan foydalanish uchun sizga tegishli sertifikatning shaxsiy kaliti kerak bo'ladi. Bu faylga faqat foydalanuvchi (EFS shaxsiy kaliti egasi) yoki tiklash agentlari kirishini ta'minlaydi.

DDF va DRF maydonlari uchun nazorat summasi (xesh-kod) hisoblanadi va EFS ma'lumotlarining sarlavhasiga yoziladi. Shifr hal qilinganda, u saqlangan asosiy elementlarning yaxlitligini tekshirish imkonini beradi.
Shifrlangan ma'lumotlar (DDF va DRF bilan birgalikda) faylga qayta yoziladi.
Vaqtinchalik matn fayli o'chiriladi.

Windows Server 2003 dan boshlab, boshqa foydalanuvchilar bilan mahalliy shifrlangan fayllarni almashish imkoniyati paydo bo'ldi. Bunday holda, FEK kaliti shifrlangan faylga kirishga ruxsat berilgan foydalanuvchilarning sertifikatlarining ochiq kalitlari bilan shifrlanadi; sertifikatlar shifrlash amalga oshiriladigan kompyuterga o'rnatilishi kerak. Shifrlangan faylni foydalanuvchilar bilan baham ko'rish mumkin, lekin guruhlar bilan emas, chunki guruhlarda sertifikatlar bo'lishi mumkin emas. Faylni faqat shifrlagan shaxs yoki tiklash agentlari almashishi mumkin.
Faylga kirish huquqiga ega bo'lgan barcha foydalanuvchilarning yozuvlari - kalit yozuvlari to'plami (kalit yozuvlari) yoki kalit halqasi (kalit halqasi) - DDF blokida saqlanadi. Fayl va asosiy elementlarning EFS ma'lumotlarining formatlari 2-rasmda ko'rsatilgan. 3.9, DDF- va DRF- tugmalarining elementlari bitta formatga ega.
Potensial kalit o'g'irlanishining oldini olish uchun assimetrik shifrlashning shaxsiy kaliti (EFS sertifikati, tiklash agenti) tizimda shifrlangan holda saqlanadi. Shaxsiy kalitni shifrlash tegishli paroldan olingan xesh-kod yordamida amalga oshiriladi
joriy foydalanuvchi. O'z navbatida, parol xeshlari SYSKEY kaliti bilan himoyalangan tizim foydalanuvchisi ma'lumotlar bazasida saqlanadi. Shunday qilib, faylni himoya qilishning kuchi pirovardida foydalanuvchi parolining kuchi bilan belgilanadi.
Xavfsizlikni yaxshilash uchun shaxsiy kalit konteynerlarini smart-karta yoki USB token kabi xavfsiz muhitda saqlash tavsiya etiladi. Sertifikat yaratilgan zahoti uni xavfsiz muhitga o'tkazish mumkin. Sertifikat tizimdan ajratilganda, foydalanuvchi profiliga kirish imkoni bo'lsa ham, shifrlangan ma'lumotlarga kirish imkonsiz bo'lib qoladi.

Download 266,83 Kb.

Do'stlaringiz bilan baham:

1 2