Month: Март 2014(Страница 1 из 15)

Протокол управления криптоключами IKE: назначение и принципы использования

Скачать ZIP архив | Скачать RAR архив

IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.

IKE (Internet Key Exchange) — протокол, связывающий все компоненты IPsec в работающее целое. В частности, IKE обеспечивает первоначальную аутентификацию сторон, а также их обмен общими секретными ключами.

IKE создает безопасный канал между двумя узлами, называемый IKE security association (IKE SA). Также, в этой фазе два узла согласуют сессионный ключ по алгоритму Диффи-Хеллман.

Состоит из трех двусторонних обменов между отправителем и получателем:
1 Во время первого обмена согласуются алгоритмы и хэш-функции, которые будут использоваться для защиты IKE соединения, посредством сопоставления IKE SA каждого узла.
2 Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел.
3 По зашифрованному IP-адресу проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для последующего ISAKMP — обмена.

Группа протоколов IKE (Internet Key Exhchande)

Протокол ISAKMP (Internet Security Associations and Key Management Protocol — RFC 2408) позволяет согласовывать алгоритмы и мат.структуры для процедуры обмена ключами Диффи-Хеллмана, а также процессов аутентификции.

Протокол Oakley (RFC 2412, основан на Диффи-Хеллмана) служит для организации непосредственного обмена ключами:
— осуществляют аутентификацию взаимодействующих сторон;
— обеспечивают создание, управление ключевой информации соединения, непосредственный обмен ключами;
— управляют параметрами соединения и защитой от некоторых типов атак, контролируют выполнение всех достигнутых соглашений.

Установление безопасной ассоциации SA (Security Accociations). Для выполнения аутентификации сторон в IKE применяются два основных способа.
Первый способ основан на исполозовании разделяемого секрета.

Второй способ основан на использовании технологии цифровой подписи и цифровых сертификатов стандарта Х.509. Каждая из сторон подписывает свой цифровой сертификат своим закрытым ключом и передает эти данные противолположной стороне. Если подписанный сертификат расшифровавается от крытым ключом отправителя, то это удостоверяет тот факт, что отправитель, предоставивший данные, действительно обладает ответной частью данного открытного ключа — соответствующим закрытым ключом.

Для удостоверения аутентичности стороны должны убедиться в аутентичности самого сертификата, и для этого сертификат должен быть подписан не только его владельцем, но и некоторой третьей стороной, выдавшей сертификат и вызывающей доверие. В архитектуре IPSec эта третья сторона именуется органом сертификации CA (Certification Authority).

После проведения взаимной аутентификации взаимодействующие стороны могут непосрдественно перейти к согласованию параметров защищенного канала. Параметры SA должнф устраивать обе конечные точки защищенного канала. Поэтому при использовании автоматической процедуры установелния SA протоколы IKE работающие по разные стороны канала выбирают параметры в ходе переговорного процесса.

Для автоматического установления ассоциации необходим соответствующий протокол, в качестве которого в стандартах IPSec определен протокол IKE. Он является комбинацией протоколов ISAKMP, Oakley и SKEME.

Базы данных SAD и SPD. IPsec предлагает различные методы защиты трафика. В каждом узле, поддерживающем IPsec испгользуются БД двух типов:
— база данных безопасных ассоциаций SAD
— база данных политики безопасности SPD

Применение структур SA открывает путь к построению множества виртуальных частных сетей, различающихся своими параметрами.

Каждый узел IPsec поддерживает две базы SAD — одну для исходящих ассоциаций, другую для входящих.

SPD задает соответствие между IP-пакетами и установленными для них правилами обработки. При обработке пакетов БД SPD используются совместимо с БД SAD. SPD представляет собой упорядоченный набор правил, каждое из которых включает совокупность селекторов и допустимых политик безопасности. Такая БД формируется и поддерживает на каждом узле, где установлено ПО IPsec.

Провести криптографическое преобразование шифровки сообщения при заданных параметрах с использованием полиалфавитного шифра (Вижинера)

Скачать ZIP архив | Скачать RAR архив

Для шифрования текста устанавливается ключ, некоторое слово или набор букв (символов).
Далее из полной матрицы выбирается подматрица шифрования, включающая первую строку — исходный алфавит и строки матрицы, начальными символами которых являются последовательно символы ключа. В задании — это строки, начинающиеся с символов МОРЕ.

1) Под каждым символом исходного сообщения записываются символы ключа, причем ключ повторяется требуемое число раз
2) Каждый символ исходного сообщения заменяется на символ, расположенный на пересечении столбца, начинающегося с символа исходного сообщения, и строки, начинающиеся с символа ключа, находящегося под символом текста.
В примере цифрами обозначены порядковые номера символов в сообщении.
Криптографическое преобразование сообщение: ЗАЩИТА
будет зашифровано в: УОИОЭО

Провести криптографическое преобразование расшифровки сообщения при заданных параметрах с использованием полиалфавитного шифра (Вижинера)

Скачать ZIP архив | Скачать RAR архив

1 Первая строка: Символы шифровки
2 Под символами шифрованного текста запиываются символы ключа
2 В строке подматрицы шифрования, начинающейся с первого символа ключа, отыскивается первый символ криптограммы; символ первой строки — исходного алфавита, находящийся в соответствующем столбце, будет символом исходного сообщения.

Грубо, символы КЛЮЧА пишутся в столбик, и после первой буквы ключа, пишутся остальные буквы по алфавиту

Внизу под ключем, пишем буквы алфавита, где первая буква А будет находится под 1 столбцом

Например:

М Н О П
О П Р С
Р С Т У
Е Ж З И

А Б В Г

Представление схемы процедуры проверки электронной цифровой подписи (ЭЦП)

Скачать ZIP архив | Скачать RAR архив

1 Столбец (овалы):
Верхний блок: Исходное сообщение М
Нижний блок: Цифровая подпись

2 Столбец (прямоугольник):
Верхний блок: Алгоритм генерации дайджест
Средний блок: Асимметричное шифрование
Нижний блок: Открытый ключ получателя КА (стрелочка к вышележ.блоку)

3 Столбец (овалы):
Верхний блок: Сгенерированный дайджест m
Нижний блок: Расшифрованный дайджест m

4 Столбец (ромб): m = m’ ?
Нет (стрелочка вверх)
Да (стрелочка вниз)

Перевод чисел из одной позиционной системы счисления в другую

Скачать ZIP архив | Скачать RAR архив

11.01 (двоичная). Запишем его в развернутой форме и произведем вычисления:

11.01 = 1 * 2^1 + 1 * 2^0 + 0 * 2^-1 + 1 * 2^-2 = 1*2 + 1*1 + 0*1/2 + 1*1/4 = 3.25 (десятич)

76.3 (восьмерич) = 7*8^1 + 6*8^0 + 3*8^-1 = 7*8+6*1+3*1/8 = 62.375 (десятич)

17D (шестнадцатерич) = 1*16^2 + 7*16^1 + D*16^0 = 1*256 + 7*16 + 13*1 = 381 (десятич)

В двоичную (для целых чисел):
1 Последовательно выполняем деление исходного целого десятичного числа и получаемых целых частных на основание системы (на 2, 8, 16) до тех пор, пока не получится частное, меньшее делителя, т.е. меньше 2:
2 Записать полученное число из 0 и 1 в обратном порядке (справа налево, либо снизу вверх, если деление в столбик)

Алгоритм перевода правильной десятичной дроби в двоичную восьмеричную и шестнадцатеричную системы:
1 последовательно выполнить умножение исходной десятичной дроби и получаемых дробных частей произведений на основание системы (на 2, 8, 16) до тех пор пока не получится нулевая дробная часть или не будет достигнута требуемая точность вычислений (если требуемая точность перевода числа F соатавляет k знаков после запятой, то предельная абсолютная погрешность при этом равняется p -k+1/2)
2 записать полученные целые части произведения в прямой последовательности

Для чисел имеющих как целую так и дробную часть перевод из десятичной системы счисления в другую осуществляется отдельно для целой и дробной частей по вышеприведенным алгоритмам.

Страница 1 из 15

© 2007–2024, konyakov.ru