28. Стандарт х.509. Структура сертификата.
Х.509 — стандарт инфраструктуры открытых ключей.
В стандарте определены:
Сертификаты открытых ключей;
Протоколы аутентификации.
Стандарт полностью основан на шифровании с открытым ключом + использование цифровых подписей.
В систему сертификации входят 2 компонента:
цифровые сертификаты
уполномоченные сертификации (центры сертификации, издатели сертификатов)
Цифровой сертификат — спец. пакет данных, содержимое кот-го позволяет однозначно идентифицировать участника соединения. Сертификат связывает открытый ключ субъекта с информацией о субъекте.
Структура сертификата:
|
Версия формата сертификата |
Порядковый номер серт. |
Идентификатор алгоритма подписи |
Имя объекта, выдавшего сертификат |
Срок действия серт. |
Имя субъекта, кот выдал сертификат |
(это сука продолжение верхнего)
|
Информация об откр. ключе |
ID СА |
ID субъекта |
Расширения |
Цифровая подпись издателя серт. |
Вер.2 Вер.3 (необяз.)
29. Использование криптографических алгоритмов. Аппаратное и программное шифрование. Защита файлов для хранения.
Аппаратное шифрование.
Большинство средств криптографической защиты данных реализовано в виде специализированных физических устройств. Эти устройства встраиваются в линию связи и осуществляют шифрование всей передаваемой но ней информации.
Преимущества:
скорость выполнения
безопасность
меньшая стоимость и простота установки.
Программное шифрование
Любой криптографический алгоритм может быть реализован в виде соответствующей программы.
Преимущества:
программные средства шифрования легко копируются,
универсальность
обновление
просты в использовании
более высокая стоимость
низкие скорости
возможность модифицировать алгоритм
При шифровании данных для хранения существует проблема сохранения ключей. При шифровании данных для хранения должен быть предусмотрен специальный механизм, который препятствует попаданию ошибок. Необходимо гарантировать полное уничтожение исходного файла после шифрования. Рекомендуется информацию предварительно сжать.
30. Канальное и сквозное шифрование и их связь с эталонной моделью osi.
Шифрование возможно на любом уровне модели OSI.
Канальное шифрование – процесс, при котором данные шифруются на нижних уровнях (физич. и канальный).
Сквозное шифрование – процесс, при котором данные шифруются на верхних уровнях модели OSI.
Канальное шифрование проще всего выполнять на физическом уровне.
Преимущества:
простота операций
прозрачность для приложений и пользователей
достаточно одного набора ключей на одном канале связи, следовательно нет проблем распостранения ключей.
обеспечивается безопасность трафика
шифрование осуществляется в онлайн режиме с высокой скоростью.
Недостатки:
промежуточные узлы расшифровывают весь поток данных, поэтому сообщения уязвимы во всех промежуточных узлах.
пользователь не имеет возможность контролировать безопасность узлов.
зависимость от транспортной инфраструктуры и протоколов нижних уровней.
Сквозное шифрование – использует программную реализацию шифрования.
Преимущества:
высокий уровень безопасности
безопасность контролируется пользователем
шифрование выполняется только один раз
безопасность не зависит от транспортной инфраструктуры
Недостатки:
требуется более сложная схема распространения ключей.
возможен анализ трафика, анализ заголовков так как маршрутная информация не зашифрована.
непрозрачность для приложений и пользователей.
защищенный канал, реализованный на верхних уровнях, защищает обычно только определенную сетевую службу(email).
Существует несколько мест расположения функций шифрования при сквозном шифровании:
шифрование на канальном уровне
шифрование на представительском уровне(более универсальный подход).(SSL/ILS). Не разрешается свой подход для каждой службы, зашита встраивается в приложение.
шифрование на сетевом уровне. Шифруются данные пользователя и заголовок транспортного уровня, а заголовок Ip остается открытым.