В беспроводных сетях, где переносящие кадры радиоволны могут распространяться намного дальше, чем это необходимо, вопрос безопасности стоит особенно остро. Был такой интересный эксперимент. Автор в течение полутора лет ездил по Сан-Франциско с лэптопом и сетевой картой 802.11 и искал беспроводные сети, «видимые» за пределами офисных зданий.

Для успешного развертывания протокола IPsec необходимы масштабируемые и автоматизированные схемы управления ключом и установления SA-соединения. Для этого было определено несколько протоколов.
□ Протокол IKE (Internet Key Exchange — обмен ключей по Интернету), описанный в RFC 2409, является протоколом управления ключами для IPsec по умолчанию.

Протокол ESP обеспечивает конфиденциальность на сетевом уровне, а также аутентификацию хоста-отправителя и целостность данных. Работа протокола также начинается с установки SA-соединения с хостом-получателем. Затем хост-отправитель может посылать хосту-получателю безопасные дейтаграммы. Как видно на рис.34, безопасная дейтаграмма создается из оригинальной IP-дейтаграммы добавлением к ее полю данных заголовка и концевика.

Протокол АН обеспечивает аутентификацию хоста-источника и целостность данных, но не конфиденциальность. Когда один хост-источник хочет отправить одну или несколько дейтаграмм определенному получателю, он сначала устанавливает с получателем безопасное соединение (SA-соединение). Установив SA-соединение, источник может посылать хосту-получателю безопасные дейтаграммы. Каждая безопасная дейтаграмма содержит АН-заголовок, включаемый между исходными данными IP-дейтаграммы (например, TCP- или UDP-сегментом) и IP-заголовком, как показано на рис.33. Таким образом, поле АН расширяет оригинальное поле данных, после чего расширенное поле данных помещается в стандартную IP-дейтаграмму. При этом в поле протокола IP-заголовка помещается значение 51.

Безопасность на сетевом уровне обеспечивает протокол IPsec (IP security — безопасный протокол IP), по сути представляющий собой набор протоколов. Протокол IPsec довольно сложен, различные его аспекты описывают более десятка документов RFC. В этом разделе мы обсудим протокол IPsec в весьма специфическом контексте, а именно исходя из предположения, что его поддерживают все хосты Интернета. Хотя реальная ситуация уже много лет иная, данный контекст упростит наше обсуждение и поможет понять ключевые особенности протокола IPsec. Основные документы, описывающие протокол IPsec, — это RFC 2401, в котором описывается общая архитектура протокола IPsec, и RFC 2411, содержащий обзор составляющих IPsec протоколов и перечень документов, их описывающих.

Благодаря своей простоте протокол SSL получил широкое распространение в браузерах, серверах и коммерческих Интернет-продуктах. Эти серверы и браузеры обеспечивают популярную платформу для использования кредитных карт в Интернет-коммерции. Тем не менее следует помнить, что протокол SSL разрабатывался не для Интернет-коммерции, а в целях обеспечения безопасной надежной связи между клиентом и сервером. Поэтому протоколу SSL присущи некоторые органические недостатки, из-за которых он не может считаться полноценным протоколом для Интернет-коммерции.

Пользователь, например Боб, путешествует в браузере по Всемирной паутине и щелкает мышью на ссылке, приводящей его на безопасную страницу поддерживающего протокол SSL сервера Алисы. Протокольная часть URL-адреса этой web-страницы представляет собой слово «https» вместо обычного «http».

В предыдущем разделе мы говорили о том, как могут использоваться на прикладном уровне обсуждавшиеся в начале этой главы механизмы обеспечения безопасности (на примере электронной почты), такие как шифрование, аутентификация, распределение ключей, целостность данных и цифровые подписи. В этом разделе мы продолжим изучение механизмов обеспечения безопасности на транспортном уровне на примере Интернет-коммерции, поскольку финансовые и коммерческие транзакции являются важной движущей силой развития системы безопасности в Интернете.

Созданная Филом Циммерманном в 1991 году система PGP(Pretty Good Privacy — достаточно хорошая степень конфиденциальности) представляет собой схему шифрования электронной почты, ставшую фактическим стандартом. На web-сайт, посвященный PGP (http://www.pgpi.org), ежемесячно поступает более миллиона запросов от пользователей из 166 стран мира. Здесь можно бесплатно получить различные версии PGP для разных платформ, а также прочитать много интересного. Особенно интересно эссе самого автора . Система PGP также распространяется и на коммерческой основе в виде подключаемых модулей для различных почтовых агентов, включая Exchange и Outlook корпорации Microsoft, а также Eudora компании Qualcomm.

Теперь попробуем объединить в одной системе службы обеспечения конфиденциальности, аутентификации отправителя и целостности сообщения.

Итак, мы спроектировали безопасную систему электронной почты, обеспечивающую конфиденциальность. Спроектируем теперь другую систему, обеспечивающую аутентификацию отправителя и целостность сообщения. Предположим на время, что Алисе и Бобу более не требуется конфиденциальность (они готовы поделиться своими чувствами со всеми!), и их интересуют только аутентификация отправителя и целостность сообщения.

Чтобы решить проблему неэффективности, будем использовать ключ сеанса (см. раздел «Передача ключей и сертификация»). В частности, Алиса, во-первых, случайным образом выбирает симметричный ключ сеанса Ks, во-вторых, зашифровывает этим ключом сеанса Ks свое сообщение т, в-третьих, зашифровывает ключ сеанса Ks открытым ключом Боба Кв+, в-четвертых, формирует из всех зашифрованных данных один пакет и, в-пятых, посылает этот пакет по адресу электронной почты Боба.

Итак, начнем с решения первоочередного требования к безопасной системе электронной почты, а именно обеспечения конфиденциальности. Наиболее простой способ обеспечения конфиденциальности состоит в шифровании Алисой сообщений при помощи алгоритма с симметричными ключами (например, DES или AES). Получив письмо, Боб должен сначала расшифровать его.

Чтобы разговор был предметным, в наших рассуждениях мы продолжим опираться на любовную интрижку между Алисой и Бобом, завязавшуюся в разделе «Понятие сетевой безопасности». Пусть Алиса хочет послать Бобу письмо по электронной почте, а ревнивая жена Боба, скажем, Труди (имя «Trudy» напоминает слово «intruder» — злоумышленник), жаждет вмешаться.
Прежде чем перейти к проектированию безопасной электронной почты для Алисы и Боба, мы должны сначала определить, какие функции безопасности необходимы им в первую очередь.

Возможно, вы удивитесь, почему безопасность в Интернете обеспечивается сразу на нескольких уровнях. Разве недостаточно обеспечить безопасность на сетевом уровне? На этот вопрос есть два ответа. Во-первых, хотя безопасность на сетевом уровне может обеспечить «общую защиту» за счет шифрования всех данных в дейтаграммах (то есть всех сегментов транспортного уровня) и аутентификации всех IP-адресов отправителей, она не может обеспечить безопасность на пользовательском уровне. Например, коммерческий сайт не может полагаться на безопасность на IP-уровне при аутентификации клиента, приобретающего товары на этом сайте.

Теперь мы поговорим о том, как эти механизмы используются в целях обеспечения безопасности в Интернете. Интересно отметить, что безопасность можно обеспечить на любом из четырех верхних уровней стека Интернет-протоколов . Когда безопасность требуется для определенного протокола прикладного уровня, тогда использующее этот протокол приложение может прибегнуть к помощи одной или нескольких служб безопасности, таких как службы конфиденциальности, аутентификации или целостности данных. Когда безопасность требуется для протокола транспортного уровня, тогда все приложения, использующие этот протокол, могут задействовать службы безопасности этого транспортного протокола. Когда безопасность требуется на сетевом уровне, тогда все сегменты транспортного уровня (а следовательно, и данные прикладного уровня) могут использовать службы безопасности сетевого уровня. Когда безопасность требуется на канальном уровне (в конкретном канале), тогда данные во всех кадрах, пересылаемых по каналу, обслуживаются службами безопасности этого канала.

Создателем системы PGP является Филип Р. Циммерманн. За это он на три года стал мишенью криминального расследования. В 1991 году его обвинили в нарушении ограничений на экспорт криптографического программного обеспечения, так как система PGP распространялась бесплатно (она была выпущена как условно бесплатная и размещена в Интернете, где стала доступной иностранным гражданам).

Предположим, Алиса и Боб установили соединение, а злоумышленник перехватывает все пакеты, которыми они обмениваются. В этом случае злоумышленник может воспользоваться данной ситуацией для обмана Алисы и Боба. Например, злоумышленник может сначала предпринять атаку отказа в обслуживании на Алису, чтобы вывести ее из игры, а затем от ее имени продолжить диалог с Бобом.

В случае атаки распределенного отказа в обслуживании (Distributed Denial of Service, DDoS) злоумышленник сначала получает доступ к множеству хостов Интернета (например, путем анализа пакетов), затем, как показано на рис.26, устанавливает и запускает на каждом узурпированном им хосте подчиненную программу, ожидающую команды от управляющей программы. Когда количество взломанных хостов достигает определенного уровня, управляющая программа связывается с подчиненными программами, давая им команду начать атаку на выбранный хост. В результате атакуемый хост попадает под шквал пакетов, обработать которые он не в состоянии.

Атаки отказа в обслуживании (Denial of Service, DoS) составляют целый класс угроз безопасности. Как можно догадаться по названию, атаки отказа в обслуживании переводят сеть, хост или другой фрагмент сетевой инфраструктуры в состояние, в котором он не может использоваться легитимными пользователями. Как правило, атака отказа в обслуживании настолько повышает нагрузку на атакуемую инфраструктуру, что инфраструктура просто не успевает выполнять задачи, для которых она предназначена.

Любое соединенное с Интернетом устройство обязательно посылает в сеть IP-дейтаграммы. В этих дейтаграммах содержится IP-адрес отправителя, а также данные более высоких уровней. Пользователь, обладающий полным контролем над программным обеспечением этого устройства (в частности, над операционной системой), может модифицировать протоколы устройства так, чтобы в поле адреса отправителя дейтаграммы оказался нужный IP-адрес. Такой метод называется подделкой IP-адресов, или IP-спуфингом.

Для обнаружения анализаторов пакетов достаточно обнаружить сетевые интерфейсы, работающие в неупорядоченном режиме. На предприятии сетевые администраторы могут установить на всех компьютерах предприятия специальное программное обеспечение, предупреждающее о переходе сетевого интерфейса в неупорядоченный режим.

Анализатор пакетов представляет собой программу, работающую на присоединенном к сети устройстве и пассивно получающую все информационные кадры канального уровня, проходящие через сетевой адаптер устройства. В широковещательной среде, такой как локальная сеть Ethernet, это означает, что анализатор пакетов получает все пакеты, отправляемые всеми хостами локальной сети, а также все пакеты, получаемые этими хостами. Роль анализатора пакетов может исполнять любой хост с Ethernet-картой, так как в неупорядоченном режиме сетевой Ethernet-адаптер будет получать все проходящие по сети кадры.

В «реальном мире» атаке часто предшествует сбор информации. Гангстеры из фильмов изучают место будущего ограбления, солдаты производят разведку. Цель этих действий ясна — чем больше известно о цели перед атакой, тем выше вероятность успеха. Это справедливо и для компьютерного мира. Прежде чем атаковать сеть, злоумышленникам необходимо узнать, какие IP-адреса у машин этой сети, какие операционные системы на них установлены, какие услуги они предоставляют. С этой информацией их атаки становятся более конкретными и с меньшей вероятностью выявляются системой безопасности.

Во внутренних сетях часто работают сразу несколько прикладных шлюзов, например для протоколов Telnet, HTTP, FTP и для электронной почты. Действительно, почтовый сервер организации и web-кэш являются прикладными шлюзами.

Фильтр маршрутизатора сконфигурирован так, чтобы блокировать все Telnet-соединения, кроме тех, которые поступают из прикладного шлюза, что определяется по IP-адресу прикладного шлюза. Подобная настройка фильтра заставляет все исходящие Telnet-соединения проходить через прикладной шлюз. Рассмотрим теперь внутреннего пользователя, желающего установить Telnet-соединение с внешним миром. Этот пользователь должен сначала установить Telnet-соединение с прикладным шлюзом. Работающее на шлюзе приложение, прослушивающее все входящие Telnet-соединения, запрашивает у пользователя его идентификатор и пароль. Когда пользователь предоставляет эту информацию, прикладной шлюз проверяет, имеет ли данный пользователь разрешение на установку Telnet-соединения с внешним миром.

В приведенном выше примере мы видели, что фильтрация пакетов позволяет организации грубо разделять потоки данных на основании содержимого заголовков протоколов IP и TCP/UDP, включая IP-адреса, номера портов и биты подтверждения.

В табл. 5 показаны примеры обработки дейтаграмм брандмауэром Алисы. При этом в первом случае (предпоследняя колонка таблицы) правила применяются в последовательности R2, Rl, R3, то есть в первую очередь проверяются наиболее конкретные адреса (подсеть злоумышленника), затем более широкое множество адресов (сеть университета Боба) и, наконец, все прочие адреса. В этом случае мы получаем желаемый результат. Например, дейтаграммы Р1 и Р2 блокируются при первой же проверке (правило R2) независимо от того, направляются они в специальную подсеть или в остальную часть корпоративной сети. Дейтаграммы же, отправляемые из университетской сети, но не злоумышленником (дейтаграммы РЗ и Р4), пропускаются в специальную подсеть (дейтаграмма РЗ), но не пропускаются в остальную часть корпоративной сети (дейтаграмма Р4).

Чтобы проиллюстрировать некоторые проблемы, рассмотрим простой пример из . Процедура фильтрации пакетов последовательно применяет правила фильтрации к исследуемой дейтаграмме.

Политика фильтрации также может основываться на комбинации IP-адреса и номера порта. Например, фильтрующий маршрутизатор может блокировать все дейтаграммы протокола Telnet (с номером порта 23), кроме тех, чьи IP-адреса отправителей или получателей содержатся в специальном списке. Такая политика позволяет устанавливать Telnet-соединения с хостами (и от хостов), адреса которых содержатся в списке разрешенных адресов. К сожалению, этот метод не защищает от злоумышленников, подделывающих IP-адреса в своих дейтаграммах. Подобные атаки мы рассмотрим в следующем разделе.

У организации, как правило, есть шлюзовый маршрутизатор, соединяющий внутреннюю сеть организации с Интернет-провайдером (и, соответственно, с Интернетом). Весь трафик, поступающий во внутреннюю сеть и покидающий ее, проходит через этот маршрутизатор, и именно на этом маршрутизаторе осуществляется фильтрация пакетов. Пакетные фильтры исследуют заголовки дейтаграмм и пропускают или отбрасывают дейтаграммы в соответствии с правилами фильтрации, заданными администратором. Решения, как правило, основываются на:

На рисунке схематично изображен брандмауэр, располагающийся на границе между сетью и остальным Интернетом. Хотя крупные организации могут располагать брандмауэры в несколько уровней (так называемые распределенные брандмауэры ), при использовании одного брандмауэра проще управлять входными и выходными потоками, проводя политику безопасного доступа к ресурсам.

Интернет — не слишком безопасное место. Злоумышленники могут стать источником самых разнообразных неприятностей. С точки зрения администратора сети мир делится на два лагеря: «хорошие парни» (работающие в организации, занимающейся администрированием сети, и имеющие практически ничем не ограниченный доступ к сетевым ресурсам) и «плохие парни» (все остальные, чей доступ к сетевым ресурсам нужно тщательно регламентировать).

Сертификат, выпущенный корпорацией Thawte Consulting to Netfarmers Enterprises, Inc., в окне браузера Netscape показан на рис.22.

Посмотрим теперь, как сертификаты могут использоваться для борьбы с шутниками, заказывающими пиццу тем, кто ее не любит, а также с другими злоумышленниками. Когда Алисе приходит заказ от Боба, она получает его сертификат, который может размещаться на web-странице Боба, на сертификационном сервере или прилагаться к заказу, посылаемому по электронной почте.

Привязка открытого ключа к определенным сетевым объектам, как правило, осуществляется уже упоминавшимся сертификационным центром (СА), работа которого заключается в подтверждении подлинности и выдаче сертификатов.

Все это прекрасно до тех пор, пока не появляется злоумышленник. Как показано на рис.20, злоумышленник решает подшутить. Он посылает Алисе сообщение, в котором объявляет себя Бобом, указывает домашний адрес Боба и заказывает пиццу. Злоумышленник также прилагает к заказу цифровую подпись, выполненную, естественно, при помощи собственного личного ключа. Затем злоумышленник продолжает маскарад, посылая Алисе собственный открытый ключ, утверждая, что он принадлежит Бобу. В данном примере Алиса расшифровывает цифровую подпись открытым ключом злоумышленника (полагая, что это ключ Боба), и приходит к выводу, что сообщение действительно создано Бобом. Вероятно Боб будет очень удивлен, когда ему доставят пиццу!

ПРИНЦИПЫ И ПРАКТИКА
1. Алиса связывается с сервером аутентификации, указывая, что она хочет воспользоваться службой Боба. Все данные, которыми обменивается Алиса и сервер аутентификации, шифруются при помощи секретного ключа, общего для Аписы и сервера аутентификации. В системе Kerberos Алиса сначала сообщает свое имя ипароль локальному хосту. Затем локальный хост Алисы и сервер аутентификацииопределяют одноразовый секретный ключ сеанса для шифрования данных, которыми будут обмениваться Алиса и сервер аутентификации.

Kerberos представляет собой разработанную в Массачусетском технологическом институте службу аутентификации, в которой используются методы шифрования с симметричными ключами и центр распределения ключей. Хотя концептуально система Kerberos не отличается от описываемого в разделе «Передача ключей и сертификация» центра распределения ключей, терминология здесь несколько иная.

Одна из основных особенностей криптографии с открытым ключом заключается в том, что два участника сеанса связи могут обмениваться секретными сообщениями без обмена секретными ключами. Например, когда Алиса хочет послать Бобу секретное сообщение, она просто зашифровывает его открытым ключом Боба и посылает это сообщение Бобу. Ей не нужно знать личный ключ Боба, а Бобу не нужно знать ее личный ключ.

Далее будет показано, что Алиса просто переправляет эту зашифрованную пару значений Бобу, который может их расшифровать.

Предположим, Алиса и Боб являются пользователями центра распределения ключей. Им известны только их собственные ключи KA_KDC и KB_KDC. Алиса начинает процесс (рис.19).


Боб и Алиса общаются с помощью симметричного ключа сеанса R1
Рис.19. Согласование одноразового ключа сеанса с помощью центра распределения ключей

Предположим, что Боб и Алиса хотят обменяться по сети данными, используя шифрование с симметричными ключами. Пусть они никогда не встречались друг с другом и, таким образом, не могли заранее договориться об общем ключе. Как им согласовать общий ключ, учитывая, что они могут общаться только по сети?

В разделе «Принципы криптографии» упоминалось о недостатке схемы шифрования с симметричными ключами — двум общающимся сторонам нужно заранее договариваться об общем секретном ключе. В схеме шифрования с открытым ключом необходимость в такой предварительной договоренности отпадает. Однако, как отмечалось в том же разделе, схема шифрования с открытым ключом обладает собственными недостатками, в частности существует проблема получения настоящего открытого ключа. Обе эти проблемы — выбор общего ключа для шифрования с симметричными ключами и безопасное получение открытого ключа при шифровании с открытым ключом — могут быть решены при помощи доверенных посредников.

Сегодня получил широкое распространение алгоритм вычисления дайджеста сообщения MD5 (RFC 1321), разработанный Роном Ривестом. Он позволяет вычислять 128-разрядный дайджест сообщения при помощи четырехэтапного процесса. Сначала к сообщению добавляется единица и нули для дополнения длины сообщения до определенного норматива. Затем к сообщению добавляется 64-разрядное представление исходной длины сообщения. Потом инициализируется аккумулятор, и, наконец, сообщение обрабатывается блоками в цикле. Действительно ли алгоритм MD5 удовлетворяет приведенным требованиям, неизвестно. Автор алгоритма утверждает, что, предположительно, сложность получения двух сообщений с одинаковым дайджестом оценивается значением 2е4 операций, а сложность получения сообщения с тем же дайджестом, что и у исходного сообщения, составляет около 2128 операций. Это утверждение никем не оспорено. Описание алгоритма MD5 (включая его реализацию на языке С) см. в RFC 1321.

Убедимся в том, что простая контрольная сумма, вроде той, что применяется в Интернет-протоколах, плохо подходит для вычисления дайджеста сообщения. Вместо того чтобы выполнять арифметические действия в дополнительном коде (как в Интернет-протоколах), мы будем вычислять контрольную сумму, обращаясь с каждым символом как с байтом и суммируя все байты блоками по четыре байта. Пусть Боб задолжал Алисе 100 долларов и 99 центов и отправляет ей долговую расписку в виде текстовой строки: «IOU100.99BOB». В формате ASCII (в шест-надцатеричной нотации) эти символы выглядят следующим образом: 49, 4F, 55, 31,30,30, 2Е, 39, 39, 42,4F, 42.

На рис.16 показана схема создания цифровой подписи. Боб пропускает оригинальное длинное сообщение через хэш-функцию, создавая дайджест сообщения.

Нам необходимо, чтобы подпись дайджеста сообщения могла заменить подпись всего сообщения. То есть требуется, чтобы подпись дайджеста сообщения было также невозможно подделать, как и цифровую подпись самого сообщения. Соответственно, алгоритм вычисления дайджеста должен удовлетворять следующему требованию: должно быть практически невозможно (из-за объема вычислений) найти два сообщения х и г/, таких что Н(х) = Н(у).

Дайджест сообщения во многом напоминает контрольную сумму. Алгоритм дайджеста вычисляет по сообщению т некий блок данных фиксированной длины, представляющий собой как бы «отпечаток пальца» сообщения Н(т). Дайджест сообщения защищает данные от изменения, так как дайджест измененного сообщения H(т) не будет совпадать с дайджестом оригинального сообщения Н(т).

Мы обсудили вопросы использования технологии шифрования с открытым ключом для создания цифровой подписи.

Затем Алиса заявляет, что только Боб мог подписать этот документ по следующим причинам.

Предположим, Боб хочет снабдить цифровой подписью документ т. Этим документом может быть файл или сообщение, которое Боб собирается послать.

Вспомните, сколько раз вы ставили свою подпись на различных1 документах в течение последней недели. Вы подписываете чеки, квитанции о получении кредитных карт, письма и прочие документы.

В сценарии, показанном на рис.13, Алиса и Боб общаются друг с другом, но, используя ту же самую дыру в системе защиты, злоумышленник прозрачно вклинивается между Алисой и Бобом. В частности, если Боб пересылает Алисе данные, зашифрованные ключом, полученным от злоумышленника, злоумышленник может прочитать содержимое сообщений и переправить их дальше Алисе, зашифровав открытым ключом Алисы.

Так ли безопасен протокол ар 5.0, как протокол ар 4.0? В обоих протоколах используются нон-сы. Поскольку в протоколе ар 5.0 выполняется шифрование с открытым ключом, Боб должен получить открытый ключ Алисы. В результате возможен интересный сценарий, показанный на рис.12, в котором злоумышленник может выдать себя за Алису.

В основе успешной работы протокола аутентификации ар 4.0 лежат ноне и шифрование с симметричным ключом. Естественный вопрос заключается в том, можем ли мы для решения проблемы аутентификации использовать нонсы и шифрование с открытым ключом (вместо шифрования с симметричным ключом).

Число, используемое протоколом всего один раз, называют поясом. Наш протокол ар 4.0 использует ноне следующим образом.

Вспомним, что при шифровании по алгоритму RSA сообщение (представляемое в виде целого числа) т сначала возводится в степень е при помощи арифметики по модулю n.

Недостаток протокола аутентификации ар 3.1 заключается в том, что пароль не меняется. Один из методов решения проблемы состоит в том, чтобы каждый раз использовать новый пароль. Алиса и Боб могут договориться о последовательности отправки паролей (или алгоритме генерации паролей) и применять каждый пароль из последовательности всего один раз. Эта идея реализована в системе S/KEY (RFC 1760), в которой для генерации последовательности паролей применяется метод Лампорта.

Следует заметить, что возведение в степень, применяемое в алгоритме RS А, требует массу процессорного времени. Для сравнения, алгоритм DES работает в 100 раз быстрее в программном исполнении и от 1000 до 10 000 раз быстрее в аппаратной реализации.

Таким образом, очевидно, пересылаемый пароль необходимо зашифровывать. Тем самым мы не позволим злоумышленнику узнать пароль. Если предположить, что Алиса и Боб пользуются общим симметричным ключом КА_В, тогда Алиса может зашифровать пароль и послать его Бобу. Затем Боб расшифрует пароль и, при условии, что пароль верный, убедится, что этот пакет действительно послан Алисой. Боб уверен в том, что это Алиса, так как она не только знает пароль, но также знает общий секретный ключ, необходимый для шифрования пароля. Назовем этот протокол ар 3.1.

Классический подход к аутентификации состоит в использовании паролей. У нас есть PIN-коды, позволяющие подтвердить нашу личность торговым автоматам, и пароли для входа в операционные системы. Пароль хранится в тайне от всех, и знают его только два участника процесса аутентификации — тот, кто подтверждает свою личность, и тот, кто ее проверяет. Такая же схема аутентификации используется в протоколах FTP и TELNET.

Операции шифрования и дешифрирования выполняются следующим образом.

Алгоритм RSA подразумевает два тесно связанных этапа.
1. Выбор открытого и личного ключей.
2. Шифрование и дешифрирование.
Чтобы получить открытый и личный ключи, Боб должен выполнить следующие действия.

В том случае, если у Алисы есть известный сетевой адрес, используемый ею при связи (например, IP-адрес), Боб может попытаться аутентифицировать Алису по ее IP-адресу. Однако это может остановить только очень наивного злоумышленника, но не защитит от целеустремленного студента, читающего эту книгу, а также от многих других!

Алисе известен открытый ключ Боба и алгоритм шифрования. Таким образом, злоумышленник может предпринять атаку с произвольно выбираемым открытым текстом. То есть злоумышленник может попытаться закодировать открытым ключом предполагаемые варианты сообщений или фрагментов сообщений и сравнить результат с перехваченной шифровкой.

Возможно, самым простым протоколом аутентификации, который мы можем себе представить, является такой протокол, при котором Алиса просто посылает Бобу сообщение о том, что она Алиса (рис.7).

Концепция шифрования с открытым ключом очень проста. Пусть Алиса хочет связаться с Бобом. Как показано на рис.6, вместо того чтобы использовать один общий ключ (как это делается в системах с симметричными ключами), у Боба (получатель сообщений Алисы) есть два ключа — открытый ключ, доступный всем и каждому (в том числе злоумышленнику), и личный ключ, известный только Бобу.

В течение более 2000 лет (со времен Цезаря до 70-х годов XX века) для шифрованной связи требовалось, чтобы две общающиеся стороны хранили общий секрет — для шифрования и дешифрирования использовался один и тот же ключ. Таким образом, обе стороны должны были как-то договориться об общем ключе, но для этого им опять же нужна была безопасная связь! Поэтому обеим сторонам необходимо было сначала лично встретиться и договориться о ключе (например, два центуриона могли встретиться в римских банях), и лишь после этого они получали возможность общаться при помощи шифрованных посланий.

Аутентификацией называют процесс подтверждения чьей-либо личности. Люди могут убедиться в личности друг друга различными способами: мы распознаем лица при встрече, а голоса по телефону, сотрудники различных государственных служб могут проверить личность гражданина, сравнив его лицо с фотографией в паспорте.
В этом разделе мы поговорим об аутентификации в сети, ограничившись только аутентификацией при интерактивной связи двух сторон. Мы увидим, что эта проблема несколько отличается от проблемы подтверждения того факта, что сообщение, полученное от некоторого отправителя в прошлом, действительно им отправлено.

Полученные в результате этих вычислений 32 бита образуют правые 32 бита 64-разрядного результата (рис.5). При дешифрировании используются обратные операции этого алгоритма.

Перейдем теперь к обсуждению современного шифра DES , представляющего собой стандарт шифрования с симметричным ключом, опубликованный в 1997 году и обновленный в 1993 году национальным бюро стандартов США для шифрования коммерческой и несекретной государственной документации.

Пятьсот лет назад метод моноалфавитного шифрования был усовершенствован, в результате появился так называемый полиалфавитный шифр. Идея этого метода заключается в использовании нескольких моноалфавитных шифров, причем выбор шифра определяется позицией кодируемого символа в открытом сообщении. Таким образом, один и тот же символ открытого текста может кодироваться по-разному.

Однако статистический анализ позволяет значительно упростить задачу взлома подобного кода. Так, например, известно, что в английском тексте чаще всего встречаются символы «е» и «t» (13 и 9 % соответственно). Также известны значения частот появления двухбуквен-ных и трехбуквенных сочетаний (например, «in», «it», «the»,«ion», «ing» и т. д.), в результате взломать такой шифр оказывается не так уж и сложно. Если же злоумышленник обладает некоторой информацией о сообщении, задача взлома шифра становится еще проще. Например, если злоумышленником является жена Боба, подозревающая Боба в том, что у него интрижка с Алисой, то она может предположить, что в тексте должны встречаться имена Алисы и Боба. В этом случае, перехватив приведенное выше зашифрованное сообщение, она может отгадать семь из 26 символов ключа, в результате для продолжения взлома путем полного перебора всех вариантов понадобится в 109 раз меньше времени.

Все криптографические алгоритмы заменяют один текст другим: открытый текст — зашифрованным. Прежде чем обсудить современные криптографические системы, рассмотрим очень старый простой алгоритм с симметричными ключами, приписываемый Юлию Цезарю и известный как шифр Цезаря.
Чтобы зашифровать шифром Цезаря английский текст, нужно каждую букву открытого текста заменить буквой, располагающейся в алфавите на k символов дальше (при этом весь алфавит рассматривается как цикл, то есть за буквой «z» следует буква «а»). Например, если k = 3, тогда буква «а» в открытом тексте будет заменена в зашифрованном тексте буквой «d»; буква «Ь» станет буквой «е» и т. д. В данном шифре ключом служит параметр к. Например, открытое сообщение «bob, i love you. alice» превратится в «ere, 1 oryx brx. dolfh». Хотя зашифрованный текст выглядит как полная тарабарщина, чтобы взломать такой шифр, не понадобится много времени, если известно, что использовался шифр Цезаря, так как у этого алгоритма шифрования может быть только 25 значений ключа.

Принципы криптографии. Продолжение
Предположим, что Алиса хочет переслать Бобу сообщение. Сообщение Алисы в его исходном виде (например, «Боб, я люблю тебя. Алиса») называется открытым текстом. Алиса зашифровывает это сообщение при помощи алгоритма шифрования, в результате зашифрованное сообщение выглядит непонятно для злоумышленника. Интересно отметить, что во многих современных криптографических системах, включая те, что используются в Интернете, сам алгоритм шифрования известен, то есть опубликован (например, в RFC 1321, RFC 2437 и RFC 2420), стандартизован и доступен всем и каждому, даже потенциальному злоумышленнику! Очевидно, если метод шифрования данных известен всем, должна быть какая-то секрет ная информация, не позволяющая злоумышленнику расшифровать пересылаемые данные. Такой информацией является ключ.

Хотя криптография имеет долгую историю, например, известно, что простейшие шифры применял Юлий Цезарь (ниже мы рассмотрим так называемый шифр Цезаря), современные криптографические методы, включая многие из тех, что используются в сегодняшнем Интернете, основаны на достижениях последних 30 лет.

Первый стандарт шифрования данных (Data Encryption Standard, DES), принятый правительством США в 1977 году, представлял собой 56-разрядный алгоритм, все еще широко применяемый в финансовой отрасли и других отраслях промышленности для защиты информации. Компания RSA финансировала несколько состязаний по взлому шифра DES, чтобы подчеркнуть необходимость в более мощных алгоритмах шифрования, чем текущий 56-разрядный стандарт, широко используемый для засекречивания как государственной (США), так и международной коммерции. Каждое задание заключалось в требовании расшифровать сообщение, зашифрованное 56-разрядным шифром DES за указанный интервал времени. Взломщик шифра, принимая вызов, должен был перебрать все возможные секретные ключи. Приз за успешную попытку взлома составлял 10 000 долларов.

Конфиденциальность, аутентификация и целостность сообщения уже довольно давно считаются ключевыми компонентами безопасной связи. В последние годы доступность и управление доступом стали также считаться компонентами безопасной связи, что, безо всякого сомнения, обусловливается соображениями усиления защиты сетевой инфраструктуры от возможных атак злоумышленников. Наиболее верный способ гарантировать, что злоумышленники не смогут причинить вреда, — это предотвратить попадание их пакетов в сеть. Брандмауэр представляет собой устройство, располагаемое между внутренними и внешними сетями и защищающее их друг от друга. Это устройство управляет доступом пакетов в сеть и отправкой пакетов из сети. Брандмауэры быстро стали обязательным сетевым компонентом, начиная от небольших домашних сетей и заканчивая сетями самых больших корпораций. Мы поговорим о том, как брандмауэры обеспечивают управление доступом, в разделе «Управление доступом с помощью брандмауэров».

Вынужденная необходимость в сетевой безопасности стала очевидной в последние годы благодаря многочисленным атакам типа отказа в обслуживании, в результате которых сеть, хост или другой фрагмент сетевой инфраструктуры становился недоступным легитимным пользователям.

Даже если отправитель и получатель способны удостовериться в подлинности друг друга, они также хотят быть уверенными, что их сообщения не изменяются (случайно или злонамеренно) при пересылке.

Как отправитель, так и получатель должны быть способны подтвердить личность собеседника — убедиться, что они общаются именно с тем человеком, за которого он себя выдает. При общении лицом к лицу эта проблема легко решается визуально. Когда же собеседники не могут «видеть» друг друга,аутентификация представляет собой значительно более сложную проблему.

Только отправитель и предполагаемый получатель должны быть способны понимать содержимое передаваемых сообщений. Поскольку злоумышленники могут перехватить сообщение, сообщение должно быть каким-
то образом зашифровано (его данные должны быть скрыты), так чтобы перехвативший сообщение злоумышленник не смог его расшифровать (понять). Вероятно, именно этот аспект конфиденциальности имеется в виду, когда говорится
о «безопасной связи». Однако обратите внимание, что такое определение является ограниченным не только в смысле безопасности связи (дополнительные аспекты безопасной связи мы перечислим ниже), но и в смысле конфиденциально
сти. Например, Алиса может также хотеть, чтобы сам факт того, что она общается с Бобом (или частота общения, или время ее выхода на связь), оставался тайной.

Позвольте вам представить Алису и Боба, двух молодых людей, жаждущих связи, но связи «безопасной». Поскольку мы говорим о сетях, Алиса и Боб могут быть двумя маршрутизаторами, которые хотят обменяться таблицами маршрутизации, клиентом и сервером, устанавливающими транспортное соединение, двумя приложениями электронной почты, пытающимися передать друг другу электронные письма. Все эти ситуации мы рассмотрим в этой главе. Вымышленные имена Алисы и Боба очень популярны в мире сетевой безопасности, возможно, потому что использовать эти имена веселее, чем просто буквы «А» и «Б». Рискованная любовная интрижка, военные коммуникации, деловые транзакции — везде нужна безопасная связь.