W-lan
Linux.
Windows
Verschiedenes
Netzwerk
Smart TV.
Lösungen

Geschützte Dateifreigabe über Internetkanäle. Virtuelle geschützte Netzwerke VPN

Protokoll Kerberos.

Authentifizierungsprotokolle:

3. Authentifizierung mit dem offenen Schlüssel

DSA Beschreibung.

p \u003d einfache Anzahl langer L Bits, wobei L den Wert, mehrere 64 im Bereich von 512 bis 1024 annimmt.

f \u003d 160-Bit-einfache Zahl - P-1-Multiplizierer

g \u003d. wobei h eine Zahl ist, die kleiner ist als P-1, für die Mehr als 1.

x \u003d Anzahl kleiner als q

Eine unidirektionale Hash-Funktion wird verwendet: H (M).

Die ersten drei Parameter, p, q, g, geöffnet und können den Netzwerkbenutzern üblich sein. Der geschlossene Taste ist x und offen - y. Um eine Nachricht zu unterschreiben, m:

1. und erzeugt eine Zufallszahl K, weniger als q

2. ein Generieren

Seine Unterschrift dienen den Parametern R und S, er sendet sie an

3. Bei den Prüfungen die Signatur, Berechnen

Wenn v \u003d R, dann ist die Signatur korrekt.

Zusammenfassung

Das IPSec-Normensystem hat progressive Techniken und Erfolge in der Umgebung absorbiert netzwerksicherheit. Das IPSec-System besetzt eine führende Position in den Standards, um ein VPN zu erstellen. Dies wird durch seinen offenen Aufbau gefördert, der in der Lage ist, alle neuen Errungenschaften auf dem Gebiet der Kryptographie einzubringen. Mit IPSec können Sie das Netzwerk vor den meisten Netzwerkangriffen schützen, um andere Pakete "werfen", bevor sie die IP-Ebene auf dem empfangenden Computer erreichen. Nur Pakete von registrierten Partnern in der Interaktion können den geschützten Computer oder das Netzwerk eingeben.

IPSec bietet:

  • authentifizierung - Nachweis des Paketversandes von Ihrem Partner zur Interaktion, dh der Eigentümer des gemeinsam genutzten Geheims;
  • integrität - die Unfähigkeit, die Daten in der Verpackung zu ändern;
  • vertraulichkeit ist die Unfähigkeit, die übertragenen Daten offenzugeben;
  • zuverlässige Schlüsselverwaltung - IKE-Protokoll berechnet ein gemeinsames Geheimnis, das nur dem Empfänger und dem Absender des Pakets bekannt ist.
  • tunneling - Volltopologie-Maskierung lokales Netzwerk Unternehmen

Die Arbeit innerhalb der IPSec-Standards bietet den vollständigen Schutz des Informationsflusss vom Absender an den Empfänger, den Schließverkehr für Beobachter an den Zwischenknoten des Netzwerks. VPN-Lösungen basierend auf dem IPSec-Protokollstapel sorgen für den Bau von virtuellen geschützten Netzwerken, ihre sichere Operation und Integration mit offenen Kommunikationssystemen.

Schutz auf dem angewendeten Niveau

SSL-Protokoll

SSL-Protokoll (Secure Socket-Schicht ist das Niveau der geschützten Sockets), das von Netscape Communications mit der Beteiligung der RSA-Datensicherheit entwickelt wurde, um den sicheren Informationsaustausch in Client / Server-Anwendungen umzusetzen. In der Praxis ist SSL nur mit dem Protokoll des HHTP-Anwendungsstufen weit verbreitet.

Sicherheitsfunktionen des SSL-Protokolls:

  • datenverschlüsselung, um die Offenbarung vertraulicher Daten während der Übertragung zu verhindern;
  • unterzeichnung von Daten, um die Offenbarung vertraulicher Daten während der Übertragung zu verhindern;
  • kunden- und Serverauthentifizierung.

Das SSL-Protokoll verwendet kryptographische Informationsschutzmethoden, um die Sicherheit des Informationsaustauschs sicherzustellen. Dieses Protokoll Machines Investment-Authentifizierung sorgt für Vertraulichkeit und Authentizität übertragener Daten. Der Kernel des SSL-Protokolls ist die Technologie der integrierten Verwendung von symmetrischen und asymmetrischen Kryptosystemen. Die gegenseitige Authentifizierung der Parteien wird mit dem Austausch von digitalen Zertifikaten der Client- und Server- und Server-zertifizierten digitalen Signatur von Sonderzertifizierungszentren ausgeführt. Die Privatsphäre wird sichergestellt, indem die übertragenen Daten mit symmetrischen Sitzungsschlüssel verschlüsselt werden, dass die Parteien beim Einrichten einer Verbindung austauschen. Die Authentizität und Integrität der Informationen wird durch Bildung und Überprüfung einer digitalen Signatur sichergestellt. Als Algorithmen für asymmetrische Verschlüsselung werden der RSA-Algorithmus und der Diffa Hellman-Algorithmus verwendet.

Abbildung 9 Crypt-Proof-Tunnel, die auf der Grundlage des SSL-Protokolls gebildet wurden

Gemäß dem SSL-Protokoll werden kryptotische Tunnel zwischen Endpunkten erstellt virtuelles Netzwerk. Client- und Serverfunktion auf Computern an Endpunkten des Tunnels (Abb. 9)

Das SSL-Dialog-Protokoll verfügt über zwei Hauptphasen für die Bildung und Unterstützung der geschützten Verbindung:

  • festlegung einer SSL-Sitzung;
  • geschützte Wechselwirkung.

Die erste Stufe wird vor dem direkten Schutz des Informationsaustauschs implementiert und wird mit dem ersten Begrüßungsprotokoll (Handshake-Protokoll) durchgeführt, das im SSL-Protokoll enthalten ist. Bei der Einrichtung einer Neuverbindung ist es möglich, neue Sitzungsschlüssel basierend auf dem alten allgemeinen Geheimnis zu bilden.

Bei der Festlegung der SSL-Sitzung werden folgende Aufgaben gelöst:

  • authentifizierung der Parteien;
  • koordinierung kryptografischer Algorithmen und Kompressionsalgorithmen, die mit einem geschützten Informationsaustausch verwendet werden;
  • bildung eines gemeinsamen geheimen Master-Schlüssels;
  • generation basierend auf einem generierten Master-Schlüssel der gemeinsamen geheimen Sitzungen zum Kryptoschutz des Informationsaustauschs.

Abbildung 10 Client-Authentifizierungsprozess von Server

Das SSL-Protokoll bietet zwei Authentifizierungsarten:

  • serverauthentifizierung von einem Client;
  • client-Authentifizierung per Server.

Customer / Server-Software, die SSL unterstützt, kann sich mit den Standardtastatur der offenen Key-Key-Cryptography-Techniken variieren, um sicherzustellen, dass das Server- / Client-Zertifikat und der öffentliche Schlüssel gültig sind und von der Quelle der Zertifikate aus der Liste der vertrauenswürdigen Quellen erteilt wurden. Ein Beispiel des Client-Authentifizierungsprozesses vom Server ist in Abbildung 10 dargestellt.

Anwendungsschema-Protokoll.

Bevor Sie eine Datenübertragungsnachricht senden, besteht die Nachricht die folgenden Schritte:

1. Die Nachricht ist fragmentiert an Blöcke, die zur Verarbeitung geeignet sind;

2. Zollverschraubung (optional);

3. Erzeugter Mac-Schlüssel;

4. Daten werden mit dem Schlüssel verschlüsselt.

1. Benutzt den Schlüssel, die Daten werden entschlüsselt;

2. Der MAC-Schlüssel wird gutgeschrieben.

3. Zeigt an, dass die Dekomprimierung der Daten (wenn Komprimierung verwendet wurde);

4. Die Nachricht wird aus Blöcken gesammelt und der Empfänger liest eine Nachricht.

Authentische Verteilung der Schlüssel

EIN., Klient Zapfen Überprüfungszentrum B., Server.
Erzeugen eines digitalen Signatur-Schlüsselpaares: . Transfer auf UTS. - Symmetrisches Verschlüsselungsschema; - Öffnen Sie das Verschlüsselungsschema; - CPU-Schema; - Alle Funktionen (besser als der OnF) Generierung von Key Encryption Key Keys: . Transfer auf UTS.
K. - Zufälliger Sitzungsschlüssel.

Wenn ein T. K. Akzeptiert als authentischer gemeinsamer geheimer Schlüssel

Arbeitsstufe

EIN. B.

Symmetrisches Verschlüsselungsschema.
. . . usw. . . .

Angriffe auf das SSL-Protokoll

Wie andere Protokolle unterliegt SSL Angriffe, die mit einem nicht vertrauenswürdigen Softwareumfeld verbunden sind, die Einführung von Lesezeichenprogrammen usw.:

  • Ein Antwortangriff. Es ist der Aufzeichnung des Angreifers einer erfolgreichen Kommunikationssitzung zwischen dem Client und dem Server. Später stellt es eine Verbindung zum Server mit den aufgezeichneten Client-Nachrichten her. Mit Hilfe einer eindeutigen Kennung der Nonce-Verbindung schlug SSL diesen Angriff. Codes dieser Kennungen haben eine Länge von 128 Bits, und deshalb muss der Angreifer 2 ^ 64-Kennungen schreiben, damit die Wahrscheinlichkeit des Erratens 50% betrug. Nummer erforderliche Datensätze Und die geringe Wahrscheinlichkeit, diesen Angriff sinnlos zu machen.
  • Angriff des Protokolls von Handshake.Ein Angreifer kann versuchen, den Prozess des Teilens der Handshake zu beeinflussen, sodass die Parteien unterschiedliche Verschlüsselungsalgorithmen wählen. Aufgrund der Tatsache, dass viele Implementierungen die exportierte Verschlüsselung unterstützen, und etwas sogar 0 Verschlüsselung oder MAC-Algorithmus sind diese Angriffe von großem Interesse. Um einen solchen Angriff umzusetzen, muss ein Angreifer eine oder mehrere Botschaftsnachricht des Handshakens ersetzen. In diesem Fall berechnen der Client und der Server die verschiedenen Werte der Hastie-Nachricht des Handshake. Infolgedessen nehmen die Parteien nicht mit der "fertigen" Nachricht an. Ohne Kenntnis des Geheimnisses kann der Angreifer die Meldung "Fertig" nicht korrigieren, sodass der Angriff erkannt werden kann.
  • Offenlegung von Cifers.SSL hängt von mehreren kryptographischen Technologien ab. Die Verschlüsselung mit einem öffentlichen Schlüssel RSA wird verwendet, um die Sitzungsschlüssel und die Kundenn- / Server-Authentifizierung zu senden. Verschiedene kryptografische Algorithmen gelten als Sitzungsverschlüssele. Wenn ein erfolgreicher Angriff auf diese Algorithmen, kann SSL nicht bereits als sicher angesehen werden. Angriffe gegen bestimmte Kommunikationssitzungen können durch Aufzeichnen der Sitzung erfolgen, und dann wird versucht, die Sitzung oder den RSA-Schlüssel abzuholen. Wenn Erfolg, können Sie die übertragenen Informationen lesen.
  • Ein Angreifer in der Mitte. Der MAN-In-the-Middle-Angriff beinhaltet das Vorhandensein von drei Seiten: dem Client, der Server und der Angreifer. Ein Angreifer, der zwischen ihnen ist, kann das Messaging zwischen dem Client und dem Server abfangen. Der Angriff ist nur wirksam, wenn der Diffi Halman-Algorithmus zum Tauschen von Schlüsseln verwendet wird, da die Integrität der empfangenen Informationen und ihre Quelle nicht möglich ist. Im Falle von SSL ist ein solcher Angriff aufgrund der Verwendung des von der Zertifizierungsstelle zertifizierten Zertifikatsservers nicht möglich.

TLS-Protokoll

Der Zweck der Erstellung und der Vorteile

Der Zweck der Erstellung von TLS ist eine Erhöhung des SSL-Schutzes und eine genauere und vollständigere Definition des Protokolls:

  • Zuverlässigerer Mac-Algorithmus
  • Detailliertere Warnungen
  • Klarere Definitionen der Spezifikationen "Graue Bereich"

TLS liefert die folgenden verbesserten Schutzmethoden:

  • Die Schlupfschlüssel zur Identifizierung von Nachrichten - TLs gilt in der Nachrichtenidentifikationscode (HMAC) -Ang-Hashing, die verhindert, dass die Aufnahme beim Übertragen über ein ungeschütztes Netzwerk beispielsweise im Internet übertragen wird. SSL Version 3.0 unterstützt auch die Identifizierung von Nachrichten mit den Tasten, aber der HMAC wird als zuverlässiger als die in SSL-Version 3.0 verwendete MAC-Funktion betrachtet.
  • Verbesserte Pseudo-Random-Funktion (PRF) mit PRF-Erstellen von Tastendaten. In TLS wird die PRF-Funktion mithilfe von HMAC definiert. PRF wendet zwei Hash-Algorithmus an, der seinen Schutz bereitstellt. Wenn einer der Algorithmen gehackt wird, werden die Daten durch den zweiten Algorithmus geschützt.
  • Verbesserte Prüfnachrichten "Finish" - TLS-Protokolle Version 1.0 und SSL-Version 3.0 Senden an beide Endsysteme "Finish" -Meldung, dh die gelieferte Nachricht wurde nicht geändert. In TLS basiert diese Prüfung jedoch auf den Werten des PRF- und HMAC, was ein höheres Schutzniveau gegenüber SSL-Version 3.0 bietet.
  • Konsistente Zertifikatverarbeitung - Im Gegensatz zu SSL-Version 3.0 versucht TLS, die Art des Zertifikats anzugeben, das von verschiedenen TLS-Implementierungen verwendet werden kann.
  • Spezielle Warnmeldungen - TLS bietet genauer und vollständigere Fehlerbehebung, die von einem der endgültigen Systeme erkannt werden. TLS enthält auch Informationen darüber, wann welche Warnmeldungen gesendet werden sollen.

SSH-Protokoll

SSH (Secure Shell Shell-Shell) ist ein Satz von Open-Key-Authentifizierungsprotokollen, wodurch der Benutzer auf der Clientseite auf dem Remote-Server sicher registriert werden kann.

Die Hauptidee des Protokolls ist, dass der Benutzer auf der Clientseite heruntergeladen werden muss remote-Server Öffentlicher Schlüssel und installieren Sie mit seinem heltigen geschützten Kanal mit einem kryptographischen Mandat. Das kryptografische Mandat des Benutzers ist sein Passwort: Es kann mit dem empfangenen offenen Schlüssel und übertragen auf den Server verschlüsselt werden.

Alle Nachrichten werden mithilfe von Ideen verschlüsselt.

SSH-Protokollarchitektur.

SSH wird zwischen zwei unzuverlässigen Computern durchgeführt, die in einem ungeschützten Netzwerk (Client-Server) ausgeführt werden.

Das SSH-Protokollsatz besteht aus drei Komponenten:

  • Das SSH Transport Layer Protocol (SSH Transport Layer Protocol) bietet Serverauthentifizierung. Dies verwendet einen offenen Schlüssel. Die Quellinformationen für dieses Protokoll sowohl vom Server als auch von der Client-Seite sind ein Paar von offenen Tasten - die "Key-Tasten". Das Ergebnisprotokoll ist ein einander authentifizierter geschützter Kanal, der die Geheimhaltung und Integrität der Daten garantiert.
  • SSH-Ben(SSH-Benutzerauthentifizierungsprotokoll). Es wird durch den Kanal der einseitigen Authentifizierung des SSH-Transport-Protokolls durchgeführt. Um die Kundenauthentifizierung auf dem Server durchzuführen, werden verschiedene einseitige Authentifizierungsprotokolle unterstützt. Diese Protokolle können entweder einen offenen Schlüssel oder ein Kennwort anwenden. Sie können beispielsweise basierend auf dem Authentifizierungsprotokoll erstellt werden einfaches Passwort. Das Ergebnis des Protokolls ist ein einander authentifizierter geschützter Kanal zwischen dem Server und dem Benutzer. Die folgenden Methoden werden angewendet:

Öffentlicher Schlüssel. - Der Client wird an die EDS gesendet, der Server überprüft das Trust des Open Key-Clients entsprechend der auf dem Serverserver verfügbaren Schlüssel, und überprüft dann die Authentifizierung des Clients von SC.

passwort. - Der Kunde bestätigt seine Passwort-Authentizität.

hostbassed. - Wird ähnlich wie Publutschlüssel ein Tastenpaar für einen Client-Host verwendet. Wenn Sie die Echtiversität des Hosts bestätigen, vertraut der Server dem Benutzernamen.

  • Das SSH-Kommunikationsprotokoll (SSH-Verbindungsprotokoll) wird von einem einander authentifizierten geschützten Kanal durch vorherige Protokolle ausgeführt. Das Protokoll sorgt dafür, dass der Betrieb des geschützten Kanals gleichzeitig in mehrere geschützte logische Kanäle trennt.

Schlüsselverteilungsprotokoll.

Das Protokoll umfasst 3 Stufen. Die erste Stufe ist "Hello" -Phase, in der der erste Kennung eine Zeichenfolge ist, die ich gesendet, um ein Protokoll zu starten, gefolgt von einer Liste der unterstützten Algorithmen - X.

In der 2. Etappe sind die Parteien auf den geheimen Schlüssel, s vereinbaren. Dies verwendet den diffi-Helmana-Algorithmus. Der Server bestätigt seine Identität, indem Sie Clients einen öffentlichen Schlüssel senden, der von einer digitalen Signatur überprüft wird, und Signature Digest, h. Als SID-ID ist der Wert von H eingestellt.

Bei der Stufe 3 geheime Schlüssel werden die Sitzungskennung und Digest verwendet, um 6 "Aplickicationstasten" zu erstellen, die von berechnet werden .

Zusammenfassung

Die Vorteile des Protokolls beziehen sich auf:

  • die Möglichkeit einer End-to-End-Aktion (Ende bis zu Ende) mit TCP / IP-Stacks, vorhandenen Anwendungs-Programmierschnittstellen;
  • erhöhte Effizienz im Vergleich zu langsamen Kanälen;
  • das Fehlen von Problemen mit der Fragmentierung, der Bestimmung des maximalen Volumens der auf dieser Route übertragenen Blöcke;
  • kombination von Kompression mit Verschlüsselung.

Unter den Bedingungen der steigenden Integrationsprozesse und der Erstellung eines einzelnen Informationsraums in vielen Organisationen bietet das Lanit die Erstellung einer sicheren Telekommunikationsinfrastruktur an, die Remotebüros von Firmen in ein einziges Ganzes verbindet, sowie zur Verfügung hohes Level Sicherheit der Informationströme zwischen ihnen.

Mit der verwendeten Technologie von virtuellen privaten Netzwerken können Sie geografisch verteilte Netzwerke sowohl mit geschützten ausgewählten Kanälen als auch mit virtuellen Kanälen kombinieren, die durch globale öffentliche Netzwerke gelangen. Der serielle und systematische Ansatz für das Bauen von Secure-Netzwerken impliziert nicht nur den Schutz externer Kommunikationskanäle, sondern auch, um interne Netzwerke effektiv zu schützen, indem sie geschlossene interne VPN-Schaltkreise auswählen. Somit der Antrag vPN-Technologie. Ermöglicht es Ihnen, sichere Internetzugang zu organisieren, Serverplattformen zu schützen und das Problem des Netzwerksegments gemäß der Organisationsstruktur zu lösen.

Der Schutz der Information während der Übertragung zwischen virtuellen Subnetzen ist auf Algorithmen asymmetrischen Tasten und elektronischer Signatur implementiert, die Informationen vor Fälschungen schützt. Tatsächlich werden die Daten, die intenzieren werden, an der Ausgabe von demselben Netzwerk codiert und an der Eingabe eines anderen Netzwerks dekodiert, während der Schlüsselverwaltungsalgorithmus ihre sichere Verteilung zwischen den Endgeräten gewährleistet. Alle Datenmanipulationen sind für Anwendungen transparent.

Fernzugriff auf Informationsressourcen. Schutz von Informationen, die über Kommunikationskanäle übertragen werden

Mit einer Firewall-Wechselwirkung zwischen geografisch entfernten Objekten des Unternehmens ist die Aufgabe, die Sicherheit des Informationsaustauschs zwischen Kunden und Servern verschiedener Netzwerkdienste sicherzustellen. Ähnliche Probleme finden in drahtlosen lokalen Netzwerken (drahtloses lokales Netzwerk, WLAN) sowie beim Zugriff auf Remote-Abonnenten an Unternehmensressourcen statt informationssystem. Als wesentliche Bedrohung, nicht autorisierte Verbindung zu Kommunikationskanälen und Abfangen (Hören) von Informationen und Änderung (Ersetzung) von Daten, die über Datenkanäle (E-Mail-Nachrichten, Dateien usw.) übertragen werden, werden berücksichtigt.

Um die Daten zu schützen, die nach den angegebenen Kommunikationskanälen übertragen wurden, ist es erforderlich, die entsprechenden Mittel des kryptographischen Schutzes zu verwenden. Cryptopreforming kann sowohl auf Anwendungsstufe (oder den Pegel zwischen Anwendungsprotokollen und dem TCP / IP-Protokoll) als auch auf dem Netzwerk (IP-Pakettransformation) durchgeführt werden.

In der ersten Ausführungsform sollte die Verschlüsselung von Informationen, die für den Transport durch den Kommunikationskanal durch ein unkontrolliertes Territorium vorgesehen sind, auf dem Senderknoten (Workstation-Client oder Server) durchgeführt werden, und das Dekodieren ist auf dem Empfängerknoten. Diese Option beinhaltet erhebliche Änderungen der Konfiguration jeder interaktiven Partei (Anschluss der kryptographischen Schutzwerkzeuge für Anwendungsprogramme oder den Kommunikationsteil des Betriebssystems), die in der Regel hohe Kosten erfordert und an jedes lokale Netzwerk geeignete Schutzwerkzeuge einstellen Knoten. Die Lösungen dieser Option umfassen SSL-, S-HTTP-, S / MPIME-, PGP / -MIME-Protokolle, die Verschlüsselungs- und digitale E-Mail-Signaturen und -nachrichten mit dem HTTP-Protokoll übertragen werden.

Die zweite Option beinhaltet die Installation von speziellen Kryptokreforming an den Anschluss von lokalen Netzwerken und Remote-Abonnenten auf Kommunikationskanäle (allgemeine Netzwerke), die durch ein unkontrolliertes Territorium passieren. Bei der Lösung dieser Aufgabe ist es erforderlich, den erforderlichen Maß an kryptografischem Datenschutz und die minimal möglichen zusätzlichen Verzögerungen bereitzustellen, wenn diese übertragen werden, da diese bedeutet, den übertragenen Datenverkehr zu tuntern (einen neuen IP-Titel an das tunnelförmige Paket hinzufügen) und verschiedene Verschlüsselung verwenden Algorithmen für die Haltbarkeit. Aufgrund der Tatsache, dass Mittel, die die Kryptokämme auf dem Netzwerkebene anbieten, mit allen Anwendungssubsystemen, die im Unternehmensinformationssystem arbeiten, vollständig kompatibel sind (sind "transparent" für Anwendungen), dann werden sie meistens angewendet. Daher konzentrieren wir uns auf diese Datenschutzwerkzeuge, die über Kommunikationskanäle übertragen werden (einschließlich über gemeinsamer Zugangsnetze wie Internet). Es muss berücksichtigt werden, dass, wenn die Mittel des kryptographischen Informationsschutzes in staatlichen Strukturen angewendet werden sollen, die Frage ihrer Wahl zugunsten der in Russland zertifizierten Produkte gelöst werden sollte.

Andrei Unterbotin. Das Material ist mit der Auflösung des Editoriales angegeben.

Derzeit wird der Betrag der von übertragenen Informationsbetrag (einschließlich Vertraulichkeit) starken offene Kanäle Kommunikation. Bei normalen Telefonkanälen, Wechselwirkung zwischen Banken, Broker-Büros und Austausch von Remote-Organisationen von Organisationen, werden an Wertpapieren gehandelt. Daher wird das Problem des Schutzes der übertragenen Informationen zunehmend relevanter. Trotz der Tatsache, dass die spezifische Implementierung von Informationsschutzsystemen aufgrund der Unterschiede in den Prozessen- und Datenübertragungsalgorithmen signifikant voneinander abweichen kann, sollten sie alle eine Lösung für das versuchte Problem bereitstellen:

    vertraulichkeit von Informationen (Verfügbarkeit von ihm nur an wen es beabsichtigt ist);

    informationsintegrität (seine Richtigkeit und Genauigkeit sowie die Sicherheit seiner vorsätzlichen und unbeabsichtigten Verzerrung);

    die Bereitschaft der Informationen (jederzeit in der Notwendigkeit).

Die Hauptrichtungen der Lösung dieser Aufgaben sind nicht kryptografischer und kryptografischer Schutz. Nichtproptographischer Schutz umfasst organisatorische und technische Maßnahmen zum Schutz von Einrichtungen, um die Ebene gefährlicher Emissionen zu reduzieren und künstliche Interferenzen zu schaffen. Aufgrund der Komplexität und des Volumens dieses Themas gilt der nicht gefrorene Schutz nicht in diesem Artikel.

Kryptographischer Schutz in den meisten Fällen ist effizienter und günstiger. Die Vertraulichkeit der Informationen wird mit der Verschlüsselung der übertragenen Dokumente oder den gesamten Verkehrsverkehr versorgt.

Die erste Option ist in der Implementierung einfacher und kann verwendet werden, um mit praktisch allen E-Mail-Übertragungssystemen zusammenzuarbeiten. Die am häufigsten angewendeten Verschlüsselungsalgorithmen für DES, RSA, GOST 28147-89, "Vesta-2".

Die zweite Option kann nur in speziell entwickelten Systemen eingesetzt werden, und in diesem Fall ist der Hochgeschwindigkeitsalgorithmus erforderlich, da die Verarbeitung von Informationen in Echtzeit erforderlich ist. Diese Option Es kann als sicherer als sicherer als sicherer angesehen werden, da nicht nur die übertragenen Daten verschlüsselt, sondern auch die beigefügten Informationen, die normalerweise Datentypen, die Adresse des Absenders und des Empfängers, die Wege der Passage und vieles mehr enthalten. Dieser Ansatz erfüllt die Aufgabe erheblich, das System der falschen Information einzuführen, sowie eine Vervielfältigung von zuvor abgefangenen echten Informationen.

Die Integrität der Informationen, die über offene Kanäle übertragen werden, wird durch die Verwendung einer speziellen elektronischen Signatur sichergestellt, mit der Sie Urheberschaft und Echtheit von Informationen erstellen können. Die elektronische Signatur wird derzeit weit verbreitet, um die rechtliche Bedeutung zu bestätigen. elektronische Dokumente In solchen Informationsaustauschsystemen, als Bank - eine Bank, eine Bank - eine Banktion, ein Banken-Client, ein Austausch-Broker-Büro usw. von den häufigsten elektronischen Signaturalgorithmen, wie RSA, PGP, kann Elgamal genannt werden.

Die Bereitschaft der Informationen wird in den meisten Fällen in den organisatorischen und technischen Maßnahmen und der Installation von speziellen fehlertoleranten Geräten bereitgestellt. Die Wahl dieses oder dieser kryptographische Transformationsalgorithmus ist in der Regel mit großen Schwierigkeiten verbunden. Wir geben mehrere charakteristische Beispiele an.

Wir setzen den Entwickler des Schutzsystems an, das die Anforderungen von GOST 28147-89 vollständig implementiert hat. Diese Gost wurde veröffentlicht, aber nicht vollständig. Einige spezielle kryptographische Substitutionen wurden nicht veröffentlicht, von denen sein Kryptoskop im Wesentlichen abhängt. In der Richtigkeit der Implementierung von GOST ist es daher möglich, nur sicherzustellen, dass es ein Zertifikat von Fapsi gibt, das die meisten Entwickler keine Entwickler haben.

Der Entwicklerentwickler berichtet, dass ich einen RSA-Algorithmus implementiert habe. Gleichzeitig schweigt er, dass die Implementierung von RSA Data Security Inc lizenziert werden sollte. (US-Patent Nr. 4 405 829). Darüber hinaus ist die Entfernung der USA-Implementierungen von RSA mit einer Schlüssellänge von mehr als 40 Bit verboten (die Kryptopostizium eines solchen Schlüssels wird von Spezialisten um mehrere Tage des üblichen Computers mit dem Pentium-Prozessor geschätzt).

Der Entwickler des Schutzsystems berichtet, dass er darin den PGP-Algorithmus implementiert ist, der in unserem Land dank des freien Verteils bis 1995 von seinen Source-Texten durch die US-BBS häufig verwendet wird. Es gibt zwei Probleme. Die erste elektronische Signatur wird auf der Grundlage des RSA-Algorithmus hergestellt, und sollte aus der Sicht des Urheberrechts auch von RSA Data Secority Inc. lizenziert werden. Die zweiten verteilten Programme sind unempfindlich gegen Störungen in ihrer Arbeit, so dass Sie mit einem speziellen Cryptovirus mit einem speziellen Cryptovirus einen geheimen Schlüssel zum Bilden einer elektronischen Signatur erhalten.

Zusammenfassend möchte ich mit Bedauern beachten, dass in unserem Land praktisch keine regulatorische und methodische Basis gibt, mit denen es angemessen ist, die vorgeschlagenen Informationsschutzsysteme zu vergleichen und die optimalsten Lösungen zu wählen.

Erstellen eines sicheren Datenübertragungskanals zwischen verteilten Informationsressourcen des Unternehmens

A. A. TENENIN, C. T.N.,

iT-Qualitätssicherungsspezialist

"Deutsche Bank Moskau"

Derzeit ist ein großes Unternehmen mit einem Netzwerk von Niederlassungen in einem Land oder einer Welt, für ein erfolgreiches Geschäftsmanagement erforderlich, um einen einzelnen Informationsraum zu erstellen und eine klare Koordination zwischen seinen Niederlassungen sicherzustellen.

Um die in verschiedenen Filialen auftretenden Geschäftsprozesse zu koordinieren, müssen Sie Informationen zwischen ihnen austauschen. Daten, die aus verschiedenen Büros stammen, werden zur weiteren Verarbeitung, Analyse und Lagerung in einem Kopfbüro angesammelt. Die angesammelten Informationen werden dann verwendet, um die Geschäftsaufgaben von allen Niederlassungen des Unternehmens zu lösen.

Die Daten, die den Austausch betreiben, werden durch strikte Anforderungen an ihre Zuverlässigkeit und Integrität erfolgt. Darüber hinaus müssen Daten, die ein kommerzielles Geheimnis darstellen, vertraulich sein. Bei einer vollen Parallelarbeit aller Büros sollte der Informationsaustausch im Online-Modus (Echtzeit) auftreten. Mit anderen Worten, ein permanenter Datenübertragungskanal muss zwischen Zweigen des Unternehmens und der Zentrale installiert sein. Um einen ununterbrochenen Betrieb eines solchen Kanals sicherzustellen, wird eine Anforderung, die Zugänglichkeit für jede Informationsquelle aufrechtzuerhalten, vorgegeben.

Wir fassen die Anforderungen zusammen, die Datenkanäle zwischen den Niederlassungen des Unternehmens für eine hohe Qualitätsumsetzung der permanenten Kommunikationsaufgabe entsprechen sollten:

    datenkanal muss dauerhaft sein,

    die von einem solchen Kanal übertragenen Daten sollten Integrität, Genauigkeit und Vertraulichkeit aufrechterhalten.

    Darüber hinaus impliziert der zuverlässige Betrieb des permanenten Kommunikationskanals, dass juristische Benutzer des Systems jederzeit Zugriff auf Informationsquellen haben.

Zusätzlich zu verteilten Unternehmenssystemen, die in Echtzeit tätig sind, gibt es in der Zeile tätige Systeme. Der Datenaustausch in solchen Systemen ist nicht ständig, jedoch in bestimmten Zeiträumen: einmal täglich, einmal pro Stunde usw. Daten in solchen Systemen sammeln sich in separaten Zweigdatenbanken (Datenbank) sowie zentrale Datenbanken und nur Daten von diesen Die Datenbank gilt als zuverlässig.

Auch wenn der Informationsaustausch nur einmal täglich auftritt, ist es notwendig, einen sicheren Datenkanal aufzubauen, auf den alle die gleichen Anforderungen an Genauigkeit, Integrität und Vertraulichkeit sowie Zugänglichkeit während des Betriebs des Kanals gewährleistet sind.

In Bezug auf das Vertrauen ist es impliziert, einen autorisierten Zugriff, die Authentifizierung der Parteien der Interaktion zu gewährleisten und die Unzulässigkeit des Verlassens der Urheberschaft und der Tatsache der Datenübertragung sicherzustellen.

Weitere strengere Anforderungen werden auf Informations-Transaktion-Sicherheitssysteme in einer verteilten Informationsumgebung auferlegt, dies ist jedoch ein Thema für einen separaten Artikel.

Wie bietet man eine solche Schutzkanaldatenübertragung?

Sie können jeweils mit dem physischen Datenübertragungskanal mit jeweils (oder nur allen Zweigen mit der Mitte) eine Verbindung herstellen und die Unmöglichkeit des Zugriffs auf das physikalische Übertragungsmedium von Informationssignalen sicherstellen. Ja, eine solche Entscheidung kann akzeptabel sein, innerhalb eines geschützten Objekts zu implementieren, aber wir sprechen über verteilte Unternehmenssysteme, in denen der Abstand zwischen Objekte der Interaktion an Tausende von Kilometern gemessen werden kann. Die Kosten für das Implementieren eines ähnlichen Planes sind so hoch, dass niemals kostengünstig ist.

Eine andere Option: Miete verfügbar, bereits verlegte Kommunikationskanäle oder satellitenkanäle In Telekommunikationsbetreibern. Eine ähnliche Lösung ist auch in der Entladung von teuren, außerdem enthalten, datenschutzkanäle erfordern Datenschutzkanäle die Implementierung oder Installation von speziellen Software (Software) in jeder der interagierenden Parteien.

Eine sehr häufige, kostengünstige und effektive Lösung ist die Organisation von geschützten Kommunikationskanälen über das weltweite Internet-Computing.

Es ist jetzt schwierig, sich eine Organisation vorzustellen, die keinen Zugriff auf das Internet hat und nicht das weltweite Netzwerk verwendet, um seine Geschäftsprozesse zu organisieren. Darüber hinaus ist der Informationstechnologiemarkt gesättigt netzwerkausrüstung und in verschiedenen Herstellern mit integrierter Unterstützung unterstützt informationssicherheit. Es gibt Normen, geschützte Netzwerkprotokolle, die die Basis der erstellten Hardware- und Softwareprodukte bilden, die zur Organisation der geschützten Interaktion in einem offenen Informationsnetzwerk verwendet werden.

Im Detail berücksichtigen, wie Sie geschützte Datenkanäle über das Internet erstellen können.

Probleme der sicheren Datenübertragung auf offenen Netzwerken werden in der Volks- und Massenliteratur weit verbreitet:

Das weltweite Internetnetz ist ständig erweitert, Datenübertragungs- und Verarbeitungswerkzeuge entwickeln sich, das Gerät wird perfekt zum Gerät, um die übertragenen Daten und den Zugriff auf vertrauliche Informationen abzufangen. Derzeit wird das Problem, den Schutz von Informationen aus seinem nicht autorisierten Kopieren, Zerstörung oder Modifikation, während der Lagerung, Verarbeitung und Übertragung durch Kommunikationskanäle sicherzustellen, immer relevant.

Schutz der Informationen, wenn er über offene Kommunikationskanäle unter Verwendung der asymmetrischen Verschlüsselung übertragen wird, wird als Probleme und Probleme und Möglichkeiten, sie bei der Verwendung der elektronischen digitalen Signatur zu lösen, betrachtet.

Dieser Artikel diskutiert detailliert die Methoden zur Bereitstellung von Informationssicherheit beim Übertragen geheimer Daten auf offenen Kommunikationskanälen.

Um die von öffentlichen Kommunikationskanälen übertragenen Informationen zu schützen, werden verschiedene Sicherheitstools verwendet: Daten werden verschlüsselt, die Pakete werden mit zusätzlichen Steuerinformationen geliefert, das Datenaustauschprotokoll mit einem erhöhten Sicherheitsgrad wird verwendet.

Bevor Sie eine Entscheidung darüber treffen, wie Sie die übertragenen Daten schützen können, ist es erforderlich, das Spektrum möglicher Schwachstellen, Übertragungsmethoden zum Abfangen, Verzerrung oder Datenzerstörung, Verbindungsmethoden an Kommunikationskanäle eindeutig zu skizzieren. Beantworten Sie Fragen, welche Ziele Angreifer verfolgen und wie sie vorhandene Schwachstellen verwenden können, um ihre Pläne umzusetzen.

Von den zusätzlichen Anforderungen für den implementierten Schutzdatenkanal können Sie zuordnen:

    identifizierung und Authentifizierung von interagierenden Parteien;

    das Verfahren zum Schutz gegen die Substitution einer der Parteien (Verwendung von geöffneten Schlüsselkryptoalgorems);

    Überwachung der Integrität der übertragenen Daten, der Informationsübertragungsstrecke und des Kommunikationskanalschutzniveaus;

    konfigurieren und Überprüfen der Qualität des Kommunikationskanals;

    komprimierung der übertragenen Informationen;

    erkennung und Korrektur von Fehlern beim Übertragen von Daten in Kommunikationskanäle;

    prüfung und Registrierung von Ereignissen;

    automatische Reduzierung der Arbeitskapazität.

Wir erstellen das Violator-Modell und das Objektmodellmodell (Abb. 1).

Algorithmus zum Einrichten einer Verbindung

Verwenden Sie zum Implementieren eines sicheren Datenkanals das Client-Server-Interaktionsmodell.

Es gibt zwei Seiten: Server und Client - arbeitsstationdie eine Verbindung zum Server herstellen möchte, um mit ihm weitere zu arbeiten.

Anfangs gibt es nur zwei Tasten: Öffnen und geschlossene Serverschlüssel ( OCHSE.und Zks), und der öffentliche Schlüssel des Servers ist jedem bekannt und wird beim Zugriff auf den Server an den Client übermittelt. Eine geschlossene Serverschlüssel in der strengsten Geheimhaltung wird auf dem Server gespeichert.

Connection Initializer ist ein Client, es wird über jeden Zugriff auf den Server globales NetzwerkMit dem dieser Server am häufigsten über das Internet arbeitet.

Die Hauptaufgabe bei der Initialisierung der Verbindung besteht darin, einen Datenaustauschkanal zwischen zwei interaktiven Parteien herzustellen, um die Lebensdauer der Fälschung zu verhindern und die Untertastungssituation des Benutzers zu verhindern, wenn die Verbindung mit einem Benutzer installiert ist, ein anderer Systemteilnehmer ist mit einem der verbunden Partys und fängt an, eine Nachricht für juristische Entität zuzuweisen. Benutzer oder Übertragen von Nachrichten von einem anderen Namen des anderen.

Es ist notwendig, die Möglichkeit vorzunehmen, den Angreifer jederzeit anzuschließen und den Vorgang "Handshake" (Handshake) durch bestimmte Zeitintervalle wiederholen, deren Dauer von der zulässigen Zeit minimal eingestellt werden muss.

Basierend auf der Annahme, dass Zksund OCHSE.bereits erstellt und OCHSE.allen bekannt, und Zks- Nur der Server, erhalten wir den folgenden Algorithmus:

1. Der Client sendet eine Anforderung an den Server.

2. Der Server startet die Anwendung, indem Sie den angeforderten Sender eine spezielle Nachricht für eine voreingestellte Clientanwendung übergeben, die den öffentlichen Schlüsselserver näht.

3. Der Client generiert seine Tasten (offen und geschlossen), um mit dem Server zu arbeiten ( Okkund ZKK.).

4. Der Client generiert den Sitzungsschlüssel ( Ks.) (Symmetrische Nachrichtenverschlüsselungsschlüssel).

5. Der Client sendet die folgenden Komponenten an den Server:

    public Client-Schlüssel ( Okk);

    schlüsselsitzung;

    zufällige Nachricht (nennen wir es H.), verschlüsselt von einem offenen Schlüsselserver von Algorithmus RSA..

6. Der Server verarbeitet die empfangene Nachricht und sendet eine Nachricht als Antwort. H.verschlüsselter Sitzungsschlüssel ( symmetrische Verschlüsselung.) + Öffnen Sie den Client-verschlüsselten Schlüssel (asymmetrische Verschlüsselung, zum Beispiel Algorithmus RSA.) + Server, der von einem privaten Schlüssel signiert ist ( RSA, DSA, GOST) (Das heißt, wenn wir nach der Entschlüsselung auf der Kundenseite sind, erhalten wir wieder x, dann bedeutet dies:

    die Nachricht kam vom Server (Signature - Zks);

    der Server akzeptierte unseren Server Okk(und verschlüsselt unser Schlüssel);

    der Server angenommen. Ks.(Um diese Key-Nachricht zu verschlüsseln).

7. Der Client akzeptiert diese Nachricht überprüft die Signatur und entschlüsselt den resultierenden Text. Wenn wir als Ergebnis des Produkts aller umgekehrter Aktion eine Nachricht erhalten, die vollständig mit der an den Server gesendeten Nachricht identisch ist. H.Es wird angenommen, dass der geschützte Datenaustauschkanal richtig eingestellt ist und vollständig für die Arbeit bereit ist und seine Funktionen erfüllt.

8. In der Zukunft beginnen beide Parteien, Nachrichten auszutauschen, die von den geschlossenen Absender geschlossenen Absendern signiert sind, und verschlüsseln Sie den Sitzungsschlüssel.

Das Diagramm des Anschlusssteuersalgorithmus ist in Fig. 4 gezeigt. 2

Algorithmus zur Vorbereitung der Nachricht an den Senden an einen sicheren Kanal

Die Einstellung der Task klingt wie folgt: Der Quell-Text (geöffnet) kommt auf die Eingabe des Algorithmus, auf den Ausgang durch kryptographische Transformationen, wir erhalten eine geschlossene und signierte Datei. Die Hauptaufgabe, die diesem Algorithmus zugewiesen ist, besteht darin, sicherzustellen, eine sichere Textübertragung zu gewährleisten, um den Schutz in einem ungeschützten Kanal sicherzustellen.

Es ist auch notwendig, die Fähigkeit einzuführen, die Angabe von Informationen beim Abfangen der Nachricht durch einen Angreifer zu verhindern. Das Netzwerk ist offen, jeder Benutzer in diesem Netzwerk kann jede über den Datenkanal gesendete Nachricht abfangen. Dank des in diesem Algorithmus, der von einem Angreifer ermittelten Algorithmus festgelegt wurde, sind jedoch die Daten völlig dafür unbrauchbar.

Natürlich ist es notwendig, eine Eröffnungsoption voller Löschung bereitzustellen, aber dann ist es erforderlich, die für die Autopsie ausgegebene Zeit zu berücksichtigen, die berechnet wird in einer berühmten Methodeund verwenden Sie die entsprechenden Schlüssellängen, die die Nicht-Exposition der für die angegebenen Zeit geschlossenen Informationen gewährleisten.

Es gibt auch die Wahrscheinlichkeit, dass am anderen Ende des Kanals (auf der Empfangsseite) ein Angreifer herausstellte, der durch einen gesetzlichen Vertreter ersetzt wurde. Dank dieses Algorithmus wird auch eine Botschaft, die frei in die Hände eines solchen Angreifers fällt, "nicht lesbar", da wir die offenen und geschlossenen Tasten auf die Seite von ihnen sowie den Sitzungsschlüssel ersetzt haben.

Der Algorithmus kann wie folgt implementiert werden (Abb. 3):

    der Quelltext wird mit dem ZIP-Algorithmus komprimiert.

    parallel zu diesem Prozess ist die anfängliche Textsignatur der offene Schlüssel des Empfängers;

    komprimierter Text wird mit einem symmetrischen Sitzungsschlüssel verschlüsselt, dieser Schlüssel hat auch auf der Empfangsseite.

    zum verschlüsselten und komprimierten Text fügt hinzu digitale Unterschrift, die eindeutig den Absender identifizieren;

    die Nachricht ist bereit für den Abflug und kann über den Kommunikationskanal übertragen werden.

Nacbeim Empfang eines sicheren Kanals

Der Algorithmuseingang betritt den verschlüsselten, komprimierten und unterschriebenen Text, den wir auf dem Kommunikationskanal annehmen. Die Aufgabe des Algorithmus besteht darin, die Verwendung der inversen kryptographischen Transformationen des Quell-Open-Textes, der Authentifizierung der Botschaft und seiner Urheberschaft zu empfangen.

Da die Hauptaufgabe des Systems darin besteht, einen sicheren Kanal auf ungeschützte Kommunikationslinien zu erstellen, wird jede Nachricht starke Änderungen unterzogen und mit den zugehörigen Steuerungs- und Steuerinformationen mit sich bringt. Der Prozess der umgekehrten Wiederherstellung des Quelltextes erfordert auch eine ziemlich lange Umwandlungszeit und verwendet moderne kryptografische Algorithmen, die Operationen mit sehr großen Zahlen verwenden.

Wenn Sie einen maximalen Schutz des Durchgangs der Nachricht über einen geschützten Kanal sicherstellen möchten, müssen Sie auf eher langfristige und ressourcenintensive Operationen zurückgreifen. Wir gewinnen in den Sicherheitsgrad, wir verlieren in der Geschwindigkeit der Verarbeitung gesendeten Nachrichten.

Darüber hinaus ist es notwendig, vorübergehende und maschinelle Kosten zu berücksichtigen, um die Zuverlässigkeit der Kommunikation (Inspektion durch die Parteien voneinander) und beim Austausch von Steuerungs- und Verwaltungsinformationen aufrechtzuerhalten.

Algorithmus zur Verarbeitung einer Nachricht beim Empfang eines geschützten Kanals (Abb. 4):

    von der empfangenen verschlüsselten, komprimierten und unterschriebenen Nachricht wird eine digitale Signatur hervorgehoben.

    der Text ohne digitale Signatur wird von der Schlüsselsitzung entschlüsselt.

    der decodierte Text leitet das UNZIP-Verfahren unter Verwendung des ZIP-Algorithmus durch.

    der als Ergebnis der beiden Operationen erhaltenen Text wird verwendet, um die digitale Signatur der Nachricht zu überprüfen.

    bei der Ausgabe des Algorithmus haben wir eine Quell-Offenmeldung und das Ergebnis der Signaturprüfung.

Algorithmus Signature Nachricht.

Berücksichtigen Sie detaillierter den Nachrichten-Signaturalgorithmus. Wir werden von der Annahme fortfahren, dass alle geöffneten und geschlossenen Tasten beider Erweiterung der Parteien bereits erzeugt und geschlossene Schlüssel an ihren unmittelbaren Besitzern gespeichert sind, und die offenen Schlüssel werden aneinander gesendet.

Da der Quelltext unbegrenzt sein kann und jedes Mal eine nicht dauerhafte Größe, und der digitale Signaturalgorithmus erfordert einen Datenblock einer bestimmten konstanten Länge für seinen Betrieb, dann wird der Wert der Hash-Funktion aus diesem Text verwendet, um das umzuwandeln Gesamter Text auf die Anzeige der vorbestimmten Länge. Infolgedessen erhalten wir die Anzeige des Textes dank der Haupteigenschaft der Hashfunktion: Es ist einseitig, aus dem Display ist es unmöglich, den Quelltext wiederherzustellen. Algorithmisch unmöglich, einen solchen Text zu wählen, in dem der Hash-Funktionswert mit dem zuvor gefundenen zusammenfällt. Dies erlaubt keinen Angreifer, die Botschaft frei zu ersetzen, da sie den Wert seiner HASH-Funktion sofort ändern wird, und die akustische Signatur stimmt nicht mit dem Standard zusammen.

Um den Wert der Hashfunktion zu finden, können bekannte Hash-Algorithmen verwendet werden ( SHA, MD4, MD5, GOSTet al.), mit dem Sie einen Datenblock mit fester Länge an der Ausgabe erhalten können. Mit diesem Block funktioniert der digitale Signaturalgorithmus. Algorithmen können als elektronischer digitaler Signaturalgorithmus verwendet werden. DSA, RSA, El Gamalusw.

Wir beschreiben die Signaturalgorithmus-Nachricht (Abb. 5):

    die Eingabe des allgemeinen Algorithmus stammt aus dem Source-Text von beliebiger Länge;

    der Wert der Hash-Funktion für diesen Text wird berechnet;

    EDS.;

    mit den empfangenen Daten wird der Wert berechnet EDS.gesamttext;

    bei der Ausgabe des Algorithmus haben wir eine digitale Signatur der Nachricht, in der das an den Wechselkanal gesendete Datenpaket anschließt.

Algorithmus-Überprüfungssignatur.

Die Eingabe des Algorithmus enthält zwei Komponenten: Der Quelltext der Nachricht und ihre digitale Signatur. Darüber hinaus kann der Quelltext unbegrenzt sein und jedes Mal eine nicht dauerhafte Größe, und die digitale Signatur hat immer eine feste Länge. Dieser Algorithmus findet die Text-Hash-Funktion, berechnet die digitale Signatur und vergleicht sie mit Informationen, die von ihm am Eingang empfangen werden.

Bei der Ausgabe des Algorithmus haben wir das Ergebnis einer digitalen Signaturprüfung, die nur zwei Werte aufweisen kann: "Die Signatur entspricht dem Original, der Text der echten" entweder "Die Signatur des Textes ist falsch, Integrität, Authentizität oder Urheberschaft ist verdächtig."Der Wert am Ausgang dieses Algorithmus kann dann in dem Trägersystem des geschützten Kanals weiter verwendet werden.

Lassen Sie uns den Signaturprüfungsalgorithmus beschreiben (Abb. 6):

    die Eingabe des allgemeinen Algorithmus stammt aus dem Quelltext einer beliebigen Länge und der digitalen Signatur dieses Textes der festen Länge;

    der Wert der Hash-Funktion aus diesem Text wird berechnet;

    die resultierende Anzeige des Textes der festen Länge tritt in den folgenden Block der algorithmischen Verarbeitung ein.

    eine digitale Signatur wird an denselben Block gesendet, der an den Eingang des allgemeinen Algorithmus kam;

    auch bei der Eingabe dieses Blocks (digitale Signatur) tritt in den geheimen (geschlossenen) Taste ein, der zum Finden verwendet wird EDS.;

    die Verwendung von empfangenen Daten berechnet den Wert der elektronischen digitalen Signatur des gesamten Textes;

    wir haben eine digitale Nachrichtensignatur erhalten, indem wir vergleichen EDS.In der Eingabe des allgemeinen Algorithmus eingetragen, können wir Schlussfolgerungen zur Zuverlässigkeit des Textes ziehen.

    bei der Ausgabe des Algorithmus haben wir das Ergebnis einer digitalen Signaturprüfung.

Mögliche Angriffe auf das vorgeschlagene Schema zum Implementieren eines geschützten Kommunikationskanals

Betrachten Sie die häufigsten Beispiele möglicher Angriffe auf einem sicheren Datenkanal.

Erstens ist es notwendig, zu entscheiden, was und an wen vertrauenswürdig sein kann, denn wenn Sie niemandem und nichts vertrauen, ist es nicht sinnvoll, ähnliche Programme zur Unterstützung des Datenaustauschs auf dem globalen Netzwerk zu schreiben.

Wir vertrauen sich auch softwareinstalliert auf der Arbeitsstation.

Wenn Sie verwendet werden, um die Kommunikation mit einem Browser-Server (Internet Explorer oder Netscape Navigator) herzustellen, vertrauen wir diesem Browser und vertrauen darauf, dass die Zertifikate der besuchten Sites überprüft werden.

Nachdem Sie die Signatur auf dem Applet überprüft haben, können Sie vertrauen OCHSE.Das wird in die vom Server geladenen Daten oder Programme genäht (Applets).

Besitzen OCHSE.Zu dem wir vertrauen, können Sie mit dem Server weiterarbeiten.

Wenn das System mit Clientanwendungen aufgebaut ist, müssen Sie der etablierten Client-Software vertrauen. Danach können gemäß der ähnlichen, der obigen Kette dem Server vertrauen, mit dem die Verbindung hergestellt ist.

Mögliche Angriffe.

1. Wenn Sie übertragen werden OCHSE.. Er steht grundsätzlich allen zur Verfügung, daher wird der Angreifer, dass er ihn abfangen wird, nicht schwierig sein wird. Besitzen OCHSE.theoretisch kann berechnet werden Zks. Es ist notwendig, kryptografische Tasten zu verwenden, die für eine bestimmte Zeit ausreichend ist, um die Datenschutzlänge zu erhalten.

2. Nach dem Senden des Servers OCHSE.und bevor Sie den Client als Antwort senden Okkund Ks.. Im Fall, wenn er sie generiert ( Okk, ZKK.und Ks.) Ein schwacher Generator wird verwendet zufällige Zahlen, Können Sie versuchen, alle drei angegebenen Parameter oder eines von ihnen vorherzusagen.

Um diesen Angriff wiederzugeben, müssen zufällige Nummern generiert werden, die eine Reihe von Anforderungen erfüllen. Es ist beispielsweise unmöglich, beispielsweise einen Timer zu verwenden, um Zufallszahlen zu generieren, da ein Angreifer den ersten Botschaft abfangen ( OCHSE.vom Server) kann die Zeit einstellen, um das Paket bis zu Sekunden zu senden. Wenn der Timer jeden Millisekunden zusammenarbeitet, benötigen Sie für die Autopsie eine vollständige Suche von nur 60.000 Werten (60 С _ 1000 ms).

Um zufällige Zahlen zu erzeugen, ist es erforderlich, Parameter für den Angreifer (seinen Computer), beispielsweise eine Prozessnummer oder andere Systemparameter (z. B. die Identifikationsnummer des Deskriptors), zu verwenden.

3. Beim Übertragen des Clients an den Server eines Pakets mit einem Paket Okk, Ks., H., verschlüsselt OCHSE.. Um die abgefangenen Informationen zu öffnen, müssen Sie besitzen Zks. Dieser Angriff wird auf den oben diskutierten Angriff reduziert. Zks). Die an den Server übermittelten geschlossenen Informationen sind für den Angreifer nutzlos.

4. Wenn Sie vom Server an den Client einer Testnachricht übertragen werden H., verschlüsselt Ks.und Okkund signiert Zks. Um die abgefangene Nachricht zu entschlüsseln, müssen Sie erfahren und Okk, ICH. Ks.Wer wird bei der Umsetzung eines der oben genannten Angriffen, nachdem der Feind bekannt ist, bekannt ist Zks.

Die Dekodierung der Testnachricht ist jedoch nicht so schrecklich, viel größere Gefahr ist die Möglichkeit, die übertragene Nachricht zu fälschen, wenn der Angreifer sich für den Server geben kann. Dazu, dies zu tun, muss er wissen ZksUm das Paket richtig zu unterschreiben, und alle Tasten Ks.und OkkWie die Nachricht selbst H.Ein falsches Paket ordnungsgemäß kompilieren.

Bei Verstößen eines dieser Elemente gilt das System als kompromittiert und nicht in unfähig sichere Arbeit. Klient.

Also haben wir die Angriffe in der Umsetzung des Umsetzungsstadiums des "Handshake" -Verfahrens (Handshake) angesehen. Wir beschreiben Angriffe, die im Datenübertragungsprozess in unserem Kanal durchgeführt werden können.

Beim Abfangen von Informationen kann der Angreifer nur offene Text lesen, wenn er bekannt ist Ks.. Der Angreifer kann es vorhersagen oder abholen, indem sie alle möglichen Werte weiterleiten. Auch wenn der Feind die Nachricht kennt (das heißt, er weiß genau, wie der offene Text aussieht, als ob der Code entspricht, der dem von ihm abgefangenen Code entspricht), wird er den Verschlüsselungsschlüssel nicht definitiv installieren, da dieser Text einem Kompressionsalgorithmus unterzogen wurde.

Es ist auch unmöglich, einen Angriff auf der Grundlage des "wahrscheinlichen Wortes Broach" anwenden, wie in jeder Nachricht jedes Wort anders aussehen wird. Aufgrund der Tatsache, dass bei der Archivierung ein Mischen von Informationen vorliegt, nur dass es bei der Berechnung des Werts der Hashfunktion durchgeführt wird, beeinflusst die vorherigen Informationen, wie der folgende Datenblock aussehen wird.

Aus dem beschriebenen folgt, dass der Angreifer auf jeden Fall nur einen Angriff auf der Grundlage der vollen Löschung aller möglichen Schlüsselwerte anwenden kann. Nachhaltigkeit verbessern dieser Typ Angriffe müssen den Wertebereich erweitern Ks.. Bei Verwendung eines Schlüssels von 1024 Bits erhöht sich der Bereich möglicher Werte auf 2 1024.

Um Nachrichten zu schreiben oder zu ersetzen, die über den Kommunikationskanal übertragen wurde, muss ein Angreifer die geschlossenen Tasten beider Parteien an den Austauschaustausch erfahren oder einen von zwei geschlossenen Tasten kennen ( Zk.). In diesem Fall kann er jedoch nur in einer Richtung fälschen können, je nachdem, ob Zk.er Wisst. Er kann als Absender fungieren.

Wenn Sie versuchen, eine der Parteien zu ersetzen, dh, wenn Sie versuchen, sich nach der Festlegung einer Kommunikationssitzung für einen Rechtsaustauschteilnehmer auszugeben, muss er es wissen Ks.und Zk.(In den Fällen wurden früher überprüft). Wenn n. Ks.Noch Zk.togo, anstelle von wem er sich mit dem Kommunikationskanal verbinden möchte, ist ein Angreifer unbekannt, dann wird das System sofort herausfinden, und weitere Arbeiten mit einer Kompromissquelle wird angehalten.

Beim Beginn der Arbeit ist beim Anschließen an den Server ein trivialer Angriff möglich: Ersatz des DNS-Servers. Es ist nicht möglich, dagegen zu schützen. Die Lösung dieses Problems wird den Administratoren von DNS-Servern zugewiesen, die von Internetanbietern verwaltet werden. Das einzige, was sparen kann, ist bereits über dem Verfahren, um das Site-Zertifikat an den Browser zu überprüfen, der bestätigt, dass der Anschluss dem gewünschten Server aufgetreten ist.

Fazit

Der Artikel behandelte Methoden zum Aufbau eines geschützten Datenkanals, um die Interaktion zwischen verteilten Unternehmensrechnungssystemen sicherzustellen.

Ein Protokoll entwickelt, um eine sichere Verbindung herzustellen und aufrechtzuerhalten. Die Algorithmen zur Sicherstellung des Datenschutzes werden vorgeschlagen. Analysiere die möglichen Schwachstellen des entwickelten Interaktionsschemas.

Eine solche geschützte Verbindungstechnologie wird vom SSL-Netzwerkinteraktionsprotokoll organisiert. Darüber hinaus basieren virtuelle private Netze auf den vorgeschlagenen Prinzipien (virtuelle private Netzwerke - VPN).

LITERATUR

1. Medvedovsky I. D., Familyanov P.V., Platonov V. V. ATAK im Internet. - St. Petersburg: Verlag "DMK" 1999. - 336 p.

2. Karva A. Infrastruktur mit tasten öffnen. LAN / Network Solutions Magazine (russische Ausgabe), 8, 1997.

3. Melnikov Yu. N. elektronische digitale Signatur. Schutzfunktionen. Zuversichtlich Nr. 4 (6), 1995, p. 35-47.

4. Terenin A. A., Melnikov Yu. N. Erstellen eines sicheren Kanals im Netzwerk. Seminarmaterialien "Informationssicherheit - südlich von Russland", Taganrog, 28. und 30. Juni 2000.

5. Terenin A. A. Entwicklung von Algorithmen zum Erstellen eines sicheren Kanals in offenes Netzwerk. Automatisierung und moderne Technologien. - Verlag "Maschinenbau", № 6, 2001, p. 5-12.

6. Terenin A. A. Analyse möglicher Angriffe auf dem gesicherten Kanal in einem offenen Netzwerk software. Materialien der XXII-Konferenz der jungen Wissenschaftler Mechaniker und Mathematik-Fakultät der Moskauer State University, M,17.-22. April 2000.

Bei der Arbeit einer Organisation muss häufig vertrauliche Informationen zwischen zwei oder mehr Personen austauschen. Die einfachste Lösung besteht darin, ihn oral oder persönlich in Papier zu übertragen. Wenn jedoch keine solche Möglichkeit besteht, sowie ggf., werden kryptographische Transformationen in der Regel in elektronischer Form verwendet. Trotz der weit verbreiteten Verwendung hat die Cryptographie ihre Nachteile - die Übertragungsfakte ist nicht ausgeblendet, und der Verschlüsselungsalgorithmus kann Informationen vom Eindringling wiederherstellen. Darüber hinaus, aufgrund der Komplexität von kryptographischen Transformationen, Einschränkungen der Datenübertragungsrate, die beim Rundfunk im offenen Kanal mit großen Mengen von Dokumentations- oder Multimedia-Informationen (Video oder Ton) kritisch sein können, beispielsweise im Telekonferenzmodus.

Im Ansicht der Autoren kann eine Alternative zu kryptographischen Transformationen in diesem Fall ein integrierter Ansatz für die Organisation des vertraulichen Informationsaustauschs sein, einschließlich steganographischer Transformationen (impliziert die Verschleierung der Tatsache, vertrauliche Informationen zu unternehmen) und Antrag verschiedene Methoden Authentifizierung und Netzwerklastabgleichung.

Der Zweck dieser Studie ist die Entwicklung einer Methodik für die verborgene Übertragung von Informationen im Videostream und implementiert sie in Form eines Softwarepakets. Die Methodik basiert auf der Priorisierung des Verkehrs von einigen Benutzern relativ zum anderen. Während der Arbeit wurde ein eigener Verkehrsmanagement-Algorithmus erstellt, der in dieser Methodik verwendet wird, um einen sicheren Informationsaustausch zu organisieren.

Mögliche Anwendungsbereiche des Algorithmus - der Netzwerklastausgleich, privilegierter Zugriff auf Ressourcen, der Organisation des verborgenen Messaging-Kanals.

Die folgenden Anforderungen werden der Algorithmus-Software-Implementierung dargestellt:

Transparenz für den Benutzer;

Fehlertoleranz;

- zuverlässige Lagerung von geheimen Schlüssel und Systemdaten eingeschränkter Zugang;

Zweckmäßigkeit der Anwendung, d. H. Gewinne in Geschwindigkeit, Servicequalität oder Sicherheit;

Kompatibel mit verschiedenen Netzwerkgeräten.

Betrachten Sie den Privileg-Label-Algorithmus. Weitere Details. Im üblichen Modus werden Pakete direkt von der Quelle an das Ziel übertragen, um den Server zu umgehen. Dies ist eine ordentliche lokale Organisation der Organisation. Vor dem voraussichtlichen Start eines speziellen Modus startet der Administrator den Dienst auf dem Server. Das Netzwerk wechselt in den Standby-Modus.

Das Paket wird akzeptiert, prüfen, ob ein Beschriftung des Beginns eines speziellen Modus vorliegt, wenn es ist, der Übergang zu sonderregime.Andernfalls wird das Paket an den Adressaten geliefert und der neue wird akzeptiert. Die Paketstruktur ist in Abbildung 1 dargestellt.

Sondermodus. Die Authentifizierungsinformationen des Absenders des Pakets werden geprüft. Ein vitely Server-Betrieb wird in Abbildung 2 als Blockschaltbild dargestellt.

Abbildung 3 zeigt das Versandschema an den Adressaten. Alle Pakete übergeben den Server, an dem das Etikett gelesen wird, entsprechend der Adresse des Empfängers. Mit einer erfolgreichen Authentifizierung wird das Paket an den Empfänger gesendet.

Der Client startet den Service auf seinem Computer. Der Dienst prüft, ob der Server ausgeführt wird. Wenn der Server nicht läuft, wurde im Programmprotokoll ein Datensatz aufgenommen und in den Source-Adressat-Modus wechseln. Wenn der Server ausgeführt wird, wird geprüft, ob ein Hardwaregramm vorhanden ist. Wenn es keinen Hardwaretaste gibt, wird der Fehler aufgezeichnet und kehrt in den Quellquellenmodus zurück. Wenn ein Hardwareschlüssel vorhanden ist, Übergang zu den Quellservermodi und dem Adressserver.

In den Modi erscheinen die Sendungsmeldungen des Servers und des Servers und des Servers wie folgt. Das Paket fügt Informationen zum Benutzer, das Privileg-Label und die versteckten Daten hinzu. Das Paket wird gesendet. Der Empfang von Nachrichten erfolgt wie folgt: Die Nachricht wird im Puffer aufgenommen. Gemäß der Tabelle der steganographischen Transformationen werden Pakete mit verborgenen Informationen hervorgehoben. Vertrauliche Informationen anrufen (Abb. 4).

Geschützte Kanalorganisation Methode

Der geschützte Kanalübertragungskanal löst die Schutznachricht gegen den unbefugten Zugang von Netzwerkknoten, zwischen denen Informationen übertragen werden, und die Information selbst während des Übertragungsvorgangs durch offene Kommunikationskanäle.

Basierend auf dem Privileg-Markalgorithmus wurde eine Methodik zur Organisation eines geschützten Kanalübertragungskanals während der Übertragung mit der Verkehrssteuerung entwickelt.

Betrachten Sie die Schritte, die enthalten sind diese Methode Vertrauliche Informationen für den Benutzer austauschen.

1. Der Authentificator ist dargestellt (elektronischer Schlüssel).

2. Mit erfolgreicher Authentifizierung tritt das Programm in die erforderlichen vertraulichen Informationen ein.

3. Die Videokonferenz beginnt (und während ihres Sendens vertraulicher Informationen).

4. Während der Videokonferenz werden auch Informationen eines anderen Teilnehmers des Datenaustauschs akzeptiert.

5. Die Konferenz ist abgeschlossen.

Um einen geschützten Kanal zu organisieren, muss der Benutzer dies haben installiertes Programm "Privileg-Tag", elektronischer Schlüssel mit Authentifizierungsdaten, Webcam und Netzwerkzugriff für die Organisation der Kommunikation.

Authentifizierung

Bei dieser Methode wird das Authentifizierungsverfahren verwendet, um den Benutzer-Operator zu autorisieren, bevor Sie mit dem Computer-Softwaremodul beginnen und die Authentifizierung der Nachricht mit der Privileg-Label des Clients vom Client an den Systemserver bestätigen.

Daher ist es erforderlich, das einstufige Authentifizierungsschema mit dem Hardwaregasten und über das Datenfeld in der TCP-Paketkopfzeile anzuwenden. Der einfachste und effektivste Weg, um dieses Problem zu lösen, ist die Anwendung der Nachahmung des Berechnungsalgorithmus nach GOST 28147-89, da er einen hohen kryptischen Widerstand ermöglicht, dass Sie die Länge des Authentifizierungsfelds in der Verpackung variieren und effektiv ist Implementiert auf modernen Hardware-Pattern von HDPE. allgemeiner Zweck. Gleichzeitig kann ein und derselbe Schlüssel, der vom Bediener des Bedieners auf dem Bediener aufbewahrt wird, angewendet werden, um beide Aufgaben zu lösen. Wenn Sie einen Benutzer authentifizieren, um sich anzumelden (wenn Sie eine Clientanwendung starten), wird eine auf dem Schlüssel vom Schlüsselträger verschlüsselte Testnachricht an den Server gesendet. Wenn der Server es gelang, es mit dem von dem rechtlichen Benutzer dieses Netzwerkknotens entsprechenden Schlüssel zu entschlüsseln, gilt die Authentifizierung als abgeschlossen und der Server meldet diese Clientanwendung.

Die Authentifizierung von TCP-Paket-übertragenen Paketen wird gemäß einem Standarddiagramm durchgeführt, wenn das Paketinformationsfeld im Simulatory-Berechnungsmodus verschlüsselt ist und dem Authentifizierungsfeld hinzugefügt wird, und der Server überprüft die Richtigkeit der berechneten Imitava mithilfe des Verschlüsselungsschlüssels in seiner Datenbank gespeichert.

Es sei darauf hingewiesen, dass Um die Zuverlässigkeit eines solchen Systems mit hoher Beladung des Netzwerks sicherzustellen, dass die Verschlüsselungsschlüssel für alle Benutzer mindestens einmal im Monat geändert werden müssen, was bei der Verwendung des Systems bei der Arbeit im lokalen Netzwerk von Die Organisation ist einfach und durch organisatorische und administrative Methoden gelöst.

Steganographie

Bei der steganographischen Umwandlung sollte die Zugabe von Behältern in Echtzeit auftreten, außerdem ist es notwendig, die Schlüsselbestellbarkeit bereitzustellen.

Um die Videoverarbeitung und das Einbetten der Stegontainer zu ändern, werden meistens das Verfahren der geringstwertigen Bits verwendet. Diese Methode ist instabil, um die in Stegontainer übertragenen Informationen zu verzerrlich, beispielsweise können Sie alle letzten Bits zurücksetzen, die alle vertraulichen Informationen zerstören. Sie können auch verborgene Informationen mit statistischen Mustern wiederherstellen.

Die Merkmale der Verwendung von Steganographie in den entwickelten Methoden für Videokonferenzen sind folgende:

Stegonteers sind in Echtzeit gebaut;

Offene übertragene Informationen haben große Größe - die Last auf dem Kanal steigt an;

In der Stele-Content ist es notwendig, Authentifizierungs-Tags zu übertragen.

Das Hinzufügen von Containern sollte in einem transparenten Modenmodus weitergeben.

Die Authentifizierung sollte für den Benutzer einfach sein und im automatischen Modus ausgeführt werden.

Die Übertragung von Authentifizierungsmarken sollte ständig durchgeführt werden.

Paketnummerninformationen können auf verschiedene Arten übertragen werden. Das Wesentliche der ersten Übertragungsmethode: Im ersten Paket dreht sich der Offset auf das nächste Paket mit vertraulichen Informationen usw., dh jedes Paket mit einem SteleRenkener zu Beginn des Datenfelds enthält Informationen zum nächsten Paket mit der Stegoxtener. Es ist wichtig, dass der Offset eingestellt ist und nicht die Paketnummer, da die Verschiebungscodierung im Allgemeinen weniger Bits erfordern.

In den Programmeinstellungen ist es erforderlich, festzustellen, wie viele Bits am Anfang des Pakets für das nächste Paket hervorgehoben werden. Wenn der Abstand zwischen den Paketen beispielsweise 100 nicht überschreitet, sollten 7 Bit auf der Offsetcodierung ausgewählt werden. Jede dem Offset zugewiesene Bits ermöglicht es, den Abstand zwischen den Paketen erheblich zu erhöhen und dadurch die statistischen Eigenschaften des Videostroms zu glätten.

Das Mangel an der Methode ist, dass der Angreifer das Abfangen des ersten Pakets die Anzahl der nächsten Verpackung erkennt und somit die gesamte Sequenz schrittweise wiederherstellen kann.

Das zweite Übertragungsverfahren ist ein Tabelleneintrag, der Paketnummern mit vertraulichen Informationen enthält, an Hardwaretasten vor dem Videokonferenz. Alle Verkehrstransformationen treten auf Clientmaschinen auf, wodurch zusätzliche Sicherheit gewährleistet, da die Informationen in der offenen Form nicht über das Netzwerk verschoben werden.

Nachteil diese Methode Die Tatsache, dass die Hardware-WIGNER erhalten wird, ermöglicht es ihm, die übertragenen vertraulichen Informationen wiederherzustellen.

Der dritte Weg, um den Tisch zu übertragen, besteht darin, ihn auf den Materialträger zu übertragen, beispielsweise in Papier. Nachteile dieser Methode: Geben Sie die Tabelle des Clients manuell in das Programm ein und die Möglichkeit, Schlüsselinformationen vom Eindringling abzufangen.

Software-Implementierung.

Betrachten Sie die Arbeit des Programms, das diesen Algorithmus implementiert. Es sei darauf hingewiesen, dass es aus Client- und Serverteilen besteht.

Der Client-Teil beginnt im Hintergrund und bietet ein Mindestfunktions-Set:

An Videokonferenzen teilnehmen;

Senden Sie vertrauliche Informationen an den Empfänger;

Akzeptieren und erkennen Sie vertrauliche Informationen.

Und der Benutzer sollte nicht darüber nachdenken, sich aus dem erforderlichen Videostrom auszuwählen versteckte Informationen - Die Montagedaten von Streupaketen werden vom Client-Teil der Anwendung automatisiert. Dieser Vorgang wird auf dem Client-Computer ausgeführt, sodass die Informationen nicht im Netzwerk im Netzwerk ausgeführt werden, da, wenn Sie ihn auf dem Server wiederherstellen und dann senden, die Site vom Empfänger an den Server möglicherweise gefährlich ist.

Der Serverteil ist für den Administrator konzipiert. Beim ersten Start fügt der Administrator die IP-Adressen des Netzwerks manuell hinzu und fährt anschließend zum Ziel der Etiketten. Gegenüber der privilegierten Adresse legen Sie eine Marke ein. Der Administrator setzt auch die Verdrängungsgröße (die Anzahl der zu Beginn des Pakets zugewiesenen Bits), da Konflikte, wenn Sie ihn mit einem Client-Teil der Anwendung angeben, auftreten können, wenn die Größen der Verschiebungen nicht zusammenfallen.

Somit führt der manuelle Administrator die folgenden Aktionen aus:

Eingabe der IP-Adresse der Benutzer der Videokonferenzen;

Auswahl der Verschiebungsgröße unter der Adresse;

Geben Sie die Benutzerschlüssel ein, um sie zu authentifizieren.

Die für das Programm funktionsfähigen Dienstinformationen, die für das Programm funktionsfähig sind, vertrauliche Informationen und direkte Tasten werden sowohl auf dem Server als auch auf Client-Arbeitsplätzen gespeichert.

Der Server speichert Informationen zu Hardwarebenutzern, über Benutzerkennwörter, über die Größe der Verschiebungen unter der Adresse, IP-Adressen von Benutzern sowie einem Etikett des Starts eines Sondermodus.

Eine Hardwaretaste, ein Kennwort, vertrauliche Informationen, Informationen zu IP-Adressen anderer Teilnehmer an dem Informationsaustausch werden auf dem Kundenarbeitsplatz gespeichert.

Es sei darauf hingewiesen, dass die Schnittstelle dieses Programms keine mehreren dünnen Einstellungen impliziert. Das Programm soll dem Administrator eine einfache Präsentation des Ziels der Etiketten bereitstellen. Alle Transformationen erzeugt es auf der Ebene der Pakete selbst.

Das Programm übernimmt das Vorhandensein von zwei Arten von Benutzern - Client und Administrator.

Der Client mithilfe des Client-Teils der Anwendung und der Authentifator ist im System angemeldet und greifen auf die Videokonferenz auf, während er vertrauliche Informationen überträgt und empfängt. Es hat keinen Zugriff auf die Netzwerkeinstellungen, kennt den Schlüssel, mit dem Sie Schritte auswählen und vertrauliche Informationen in seinen ursprünglichen Zustand sammeln können.

Der Administrator verwaltet die Netzwerkeinstellungen mit dem Server-Teil der Anwendung. Es fügt hinzu und löscht Benutzer, die von IP-Adressen erlaubt sind, hat keinen Zugriff auf vertrauliche Informationen als solche und kennt den Schlüssel nicht, mit dem es möglich ist, Stereanons aus einem Gesamtstrom auszuwählen.

Das Programm muss aufrechterhalten werden os Fenster- und Linux-Familien. Es ist wichtig, dass das System implattiert ist, da das Netzwerk heterogen sein kann, insbesondere für Remote-Benutzer.

Um den Algorithmus "Privilege-Tags" implementieren, müssen Sie TCP-Paket-Header ändern. Zunächst wurde die RFC 793-Spezifikation untersucht (Beschreibung der TCP-Paketstruktur) und die Werkzeuge wurden ausgewählt - die PCAP- und LIBNET-Bibliotheken. Beide Bibliotheken sind plattformübergreifend. Mit ihrer Hilfe können Sie Ihr eigenes Programm erstellen, das TCP-Header-Verarbeitungsfunktionen implementiert.

Als Prototyp wurde ein Programm erstellt, mit dem Sie einen Sockel oder im Serverstatus erstellen können (erwartet den Client-Anschluss) oder im Client-Zustand (versucht, sich mit dem Server herzustellen). Die Ergebnisse früherer Entwicklungen an der Universität wurden bei eingesperrten Themen berücksichtigt.

Das erstellte TCP-Programm bietet eine stabile Verbindung, Pakete werden unabhängig erstellt. Infolgedessen können Sie Ihre eigenen Informationen in der Option TCP-Header hinzufügen. Um das Hauptprogramm zu erstellen, bleibt es, einen Server und einen Client in diesem Prototyp zu bilden, eine Benutzeroberfläche hinzufügen, die Anforderungen an Standards und Regulierungsakte berücksichtigen.

Serveraufgabe - Umleiten von Paketen an Kunden. Sie müssen eine Liste von IP-Adressen angeben, von denen Sie mit dem Server herstellen können. Darüber hinaus muss der Administrator Konferenzen konfigurieren und Kunden angeben, die an ihnen beteiligt sind. Die Serverkonfiguration wird in einer Textdatei eingestellt, und der Server selbst beginnt als Konsolenanwendung.

Abschließend können Sie folgende Schlussfolgerungen ziehen. Der Zweck der Arbeit besteht darin, eine Methodik zur Organisation einer geschützten Kanalübertragung vertraulicher Informationen durch Einbetten der Stegoxontainer in den Videostrom zu entwickeln. Entwickelte einen Algorithmus zur Organisation eines logischen Kanals basierend auf Berechtigungsmarkierungen werden Authentifizierungsmethoden ausgewählt. Anforderungen an die Software-Implementierung. Erstellte Mechanismus der steganographischen Transformationen. Im Allgemeinen ist die Arbeit ein Algorithmus zum Priorisieren des Verkehrs-"Taggery-Tags", einer Liste der erforderlichen Komponenten zur Organisation eines geschützten Kanals, der Methode der Einbettung von Stegoxontainer, einer Beschreibung der Anforderungen an die Software-Implementierung, die erste Version der Software Produkt. Es ist geplant, den Algorithmus weiter zu verbessern, und fügte neue Funktionen und bequemer für die Benutzeroberfläche sowie die Implementierung des gesamten oben genannten oben in Form eines vollwertigen Softwarepakets.

Literatur

1. Litvinenko v.a., Khovedskov s.a. Verteilte Berechnungen im Netzwerk durch die Methode des kollektiven Entscheidungsfindung // IZV. Yufu. Technisch. Wissenschaft: Thema. Vol.: Sicherheit von Telekommunikationssystemen. Taganrog: Publishing House of TTTY Süd AFU, 2008 № 3 (80). S. 110-113.

2. Svetatsov S.V. Methoden zur Reduzierung des Downloads von Audiokonferenzservern // IZV. Spbgeu (leti), 2008. vol. 2. S. 25-30.

3. Schatten v.v. Verwenden von TCP- und UDP-Protokollen für sichere Informationen zu SSL-VPN-Tunneln: dokl. TGUSUR, 2010. S. 225-229.

4. Samuelov k.e. Die Methode zur Lösung des Problems des Trennens der MultiService-Netzwerkressourcen zwischen virtuellen privaten Netzwerken mit Unicast- und Multicast Compounds // Vestn. Rudn. Ser.: Mathematik, Informatik, Physik. № 2 (1). S. 42-53.

5. Antamoshkin a.n., Zolotarev v.v. Der Algorithmus zur Berechnung des projizierten Verkehrs beim Entwerfen von verteilten Verarbeitungssystemen // Vestn. Sibgua, Krasnojarsk, 2006. Nr. 1. S. 5-10.

6. Bondar i.v., Zolotarev v.v., Popov A.M. Verfahren zur Bewertung der Sicherheit des Informationssystems gemäß den Anforderungen der Informationssicherheitsstandards // Informatik- und Managementsysteme. 2010. Vol. 4 (26). S. 3-12.

Drucken
Auch interessant:
Der Laptop ist sehr heiß, nachdem Windows 10 den Prozessor stark erwärmt
Welches Netzteil ist von modernen Spiel-PC-CPU-Stromverbindern erforderlich?
Warum der Computer nicht einschaltet und wie Sie feststellen sollen, was pleite
Wir empfehlen das Lesen:
Warum nicht einen Laptop starten, was soll ich tun?
2021-05-23 11:48:12
Warum nicht einen Laptop starten, was soll ich tun?
HP Laptop nach dem Update lässt sich nicht einschalten
2021-05-23 11:48:12
HP Laptop nach dem Update lässt sich nicht einschalten
Was tun, wenn Windows 8 nicht startet
2021-05-23 11:48:12
Was tun, wenn Windows 8 nicht startet
Fortsetzung des Themas:
Warum das Ladegerät beim Laden des Telefons erhitzt wird
W-lan
Warum das Ladegerät beim Laden des Telefons erhitzt wird

Zu wissen, warum das Telefon erhitzt wird, kann der Benutzer versuchen, seine Temperatur zu reduzieren. Dies wird dazu beitragen, eines der häufigsten Probleme zu lösen - obwohl er damit konfrontiert ist ...

×
Neue Artikel
/
Beliebt
Sollte AHCI für SSD enthalten sein?
2021-05-23 11:48:12
Sollte AHCI für SSD enthalten sein?
Smartphone
Bashes Batterie beim Laden des Telefons
2021-05-23 11:48:12
Bashes Batterie beim Laden des Telefons
Smart TV.
Diagnose und Fehlerbehebung von PCs (beste Programme)
2021-05-23 11:48:12
Diagnose und Fehlerbehebung von PCs (beste Programme)
Computer
Beheizter Stromanschluss in der Asus X59S-Laptop, warum die Laptop-Ladungsbuchse erhitzt wird
2021-05-23 11:48:12
Beheizter Stromanschluss in der Asus X59S-Laptop, warum die Laptop-Ladungsbuchse erhitzt wird
Programme
USB-Anschluss nach der Neuinstallation von Windows
2021-05-23 11:48:12
USB-Anschluss nach der Neuinstallation von Windows
Apfel.
Touchpad auf einem Laptop - Ein- und Aus-Panel funktioniert nicht das Touchpad auf dem MSI-Laptop
2021-05-23 11:48:12
Touchpad auf einem Laptop - Ein- und Aus-Panel funktioniert nicht das Touchpad auf dem MSI-Laptop
Linux.
Alternative Möglichkeit, Ami-BIOS zu ändern, um Prozessoren im LGA771-Konstruktion zu unterstützen, ziehen Sie das BIOS aus der EXE-Dell-Datei aus
Alternative Möglichkeit, Ami-BIOS zu ändern, um Prozessoren im LGA771-Konstruktion zu unterstützen, ziehen Sie das BIOS aus der EXE-Dell-Datei aus
Was ist und warum brauchst du eine virtuelle Realität?
Was ist und warum brauchst du eine virtuelle Realität?
Maxima-Taxi-Treiberterminals
Maxima-Taxi-Treiberterminals
So kalibrieren Sie den Akku auf Android
So kalibrieren Sie den Akku auf Android
Methoden zur Durchführung von Kalibrierung für den Tablet-Akku auf Android-Betriebssystem
Methoden zur Durchführung von Kalibrierung für den Tablet-Akku auf Android-Betriebssystem
Warum die App auf Android-Anwendung nicht installiert ist
Warum die App auf Android-Anwendung nicht installiert ist
© comdemuedu.ru 2021 Standort über Computertechniker