Файловый архив студентов. Файловый архив студентов.
1269 вузов, 4658 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Тернопольский национальный технический университет им. И. Пулюя
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:

125 Кібербезпека / 5 Курс / 5.2_Методи побудови і аналізу криптосистем / Література / пiдручник

.pdf
Скачиваний:
91
Добавлен:
18.10.2019
Размер:
14.08 Mб
Скачать

4. Криптографическиепротоколы вэлекmРО1lllOй Ko.II.MeplIlIll и8 дQКУЛlеllmоо60роmе 229 всего трафика между сетями, которые они соединяют. Это типичный случай применения туннельного режима.

Преимуществом туннельного режима является полная защита инкапсулируемых IР-дейтаграмм и возможность использования ча­ стных адресов. Однако этот режим приводит к дополнительной вы­ числительной работе узлов сети.

Протокол ESP используется для обеспечения целостности, под­ линности и для шифрования IР-дейтаграмм, а также (факультатив­ но) для защиты от повторной передачи пакегов, Эти сервисы пре­ доставляются без установления соединения, поэтому они должны применяться для каждого пакега в отдельности. Множество требуе­ мых сервисов выбирается при установлении защищенной ассоциа­ цИИ (SA). Вместе с тем существуют и некоторые ограничения:

проверка целостности пакета и аутентификация используются

совместно; защита от повтора может выбираться только в совокупности

с проверкой целостности и аутентификацией; защита от повтора может быть выбрана только получателем па­

кетов.

Шифрование может быть выбрано независимо от других серви­ сов. Если шифрование разрешено, рекомендуется, чтобы проверка целостности и аутентификация также были включены. Если исполь­ зуется одно только шифрование, злоумышленник может искажать пакеты для того, чтобы осуществить атаку криптоаналитика.

Хотя и аутентификация (с проворкой целостности) и шифрова­ ние необязательны, всегда выбирается по меньшей мере одна из этих функций, так как в противном случае использование протокола ESP вообще не имеет смысла.

Протокол ESP идентифицируется номером протокола 50, при­ своенным IANA. Заголовок протокола (IPv4, IРvб или расширение) непосредственно предшествует ЕSР-заголовку, который и содержит

эту величину протокола.

Обработка по методу ESp· применима только к нефрагментиро­ ванным IP-пакетам. Однако IР-пакет с примененным к нему БSР может быть фрагментирован промежуточными маршрутизаторами.

Вэтом случае получатель сначала собирает пакет, а затем применяет

кнему обработку, предусмотренную протоколом БSР. Если IР-па-

230 Запечников С. В. Криптографическиепротоколы и их применение

кет, КОТОрЫЙ предположительно является фрагментированным, по­ ступает для обработки на уровень протокола ESP, он удаляется. Это предотвращает атаку методом перекрытия фрагментов пакетов.

Если выбраны и шифрование и аутентификация с проверкой це­

лостности, то получатель вначале проверяет аутентичность пакета И, только если этот шагзавершился успешно, производит расшифровку заполнения пакета. Этот порядок позволяет сэкономить вычисли­

тельные ресурсы и уменьшить уязвимость системы защиты к атакам, приводящим к отказу в обслуживании.

Формат пакета при применении ESP (рис. 4.6) описан в RFC 2406. Он более сложен, чем при применении АН, так как вклю­ чает не только заголовок, но также и концевик и код аутентифика­ ции пакета. Заполнение пакета инкапсулируется между заголовком

и концевиком, что и дало имя этому методу защиты.

IP-

заголовок

1

:_:i,<~:i~;~.;~:'I~~~~:J:~~!~~:~t~%$~~~~~~~~.6~C~J~(~c~,~:::!~:~;p~~~t:;~

ESP -заголовок

'~::~#~~.~~~~~7r;R~~~~iiJt~~~IF~~;Vf·~.~~~~~Ri~~Ж~f~Jj~·

 

АЗаполнение Шlкета (поле переМtнноil ДШIНЫ)

з

ESP-К{\IЩешш

код пугенти­ фнкпшш ESP

32 бита

Рис. 4.6. Формат заголовка и концевика протокола ESP

в соответствии с RFC 2406:

1 - часть пакета, для которой обеспечена аутентичность; 2 - зашифрованная часть пакета

IР-пакет, «обернутый» заголовком и концевиком протокола ESP,

имеет следующие поля:

4. Криптографическиепротоколы в элеЮПРОll1lOй /(О}.Нfерцuи и в докумеumообороmе 231 «Индекс параметра безопасности» - SPI - Security Parameter In-

dex (32 бита);

«Порядковый номер пакета в последовательности» - Sequence

number (32 бита);

поле заполнения, т. е. данные, полученные от протокола более вы­ сокого уровня - Payload data (обязательное, переменной длины); дополнение предыдущего поля до длины, кратной 256 байт, Padding (от О до 255 байт, установленных в О);

длина предыдущего поля дополнения - Pad lengtl1 (8 бит); «Следующий заголовок» - Next пеасег (8 бит, обязательное); «Код аутентификации сообщения» - Authentication data (пере­ менной длины).

Как и протокол АН, протокол ESP может использоваться в двух

режимах: транспортном и туннельном.

ESP в транспортном режиме. В этом режиме ESР-заголовок следует сразу после IP-заголовка, как показано на рис. 4.7. Если дей­ таграмма уже имеет IPSec-заголовок, то ЕSР-заголовок должен сле­ довать перед первым из них. Концевик' протокола ESP и необяза­ тельный код аутентификации добавляются к заполнению.

 

 

 

 

IP-

Заполнение

Исходная IP-ДСlrrnrрnl\II\lt1

I зпгоЛОВОК

IP-пro,:СТ:I

 

I

 

 

\t}~;t#~i;:;j;~~~

 

 

 

 

 

~;f1i@~~~

1~f~r~kl~!'/

 

IP-

Заполнение lP-пm.:ета

I

заголовок

,:·~nголов.оК, ,

 

::{~~;f~(:1~:L;;-~§:~~~-;

 

 

 

 

 

 

 

 

 

 

..

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Дейтаграмм

 

 

 

-

Зашифровано -

 

..

 

с ESP -загОЛОВКО!>!

 

 

-

Обеспечена аутентичность

-

 

11 концевиком

 

 

 

 

В транспортном режиме

Рис. 4.7. Заголовок протокола ESP в транспортномрежиме

Протокол ESP в транспортном режиме не обеспечивает ни ау­ тентификацию, ни шифрование для IP-заголовка. Это недостаток, так как «ложные» пакеты все же могут быть доставлены для обра­ ботки протоколом ESP. Преимущество транспортного режима - низкие вычислительные затраты. Как и в случае АН, протокол ESP

232

Запечников С. В. Криптографические nротоколы и их прииененив

в транспортном режиме используется хосгами, но не шлюзами.

Шлюзам вообще не требуется поддерживать транспортный режим. ESP в туннельном режиме. Этот режим реализует концепцию туннелирования: конструируется новый IР-пакет с новым IР-заго­ ловком. Затем применяется метод, предусмотренный протоколом ESP, как и в транспортномрежиме, что показано на рис. 4.8. Так КЮ( исходная дейтаграмма становится заполнением для нового ESP- пакета, она полностью защищена, если выбраны одновременно и шифрование и аутентификация. Однако новый lP-заголовок по­

прежнему остается незащищенным.

 

 

 

 

 

 

Неходная IP-деiIПlГРn!\I!Шl

 

 

Запопненпе

Туннепирован­

 

 

 

 

 

 

IP·ППRет~

 

 

 

ная дейтаграмма

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

IP-

Запопнение

 

 

заголовок

IP,nnкcTCl

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Зашифровано

Обеспечена аугентпчность

Рис. 4.8. Заголовок протокола ESP iз туннельном режиме

Туннельный режим используется, когда хотя бы одна оконечная точка защищенной ассоциации (SA) является шлюзом. Так, тун­ нельный режим всегда применяется между двумя МЭ. Шлюзы часто поддерживают и транспортный режим. Это целесообразно, когда шлюз .работает в качестве хоста, т. е. трафик доставляется самому шлюзу. Например, команды протокола SNMP могут быть посланы шлюзу, используятранспортныйрежим.

В туннельномрежимеIP-aдpecaвнешнихзаголовковнеобязательно должныбыть теми же, что и адресавнутреннихзаголовков.Например, два защищенныхшлюза могут образовыватьESР-туннелъдля защиты всего трафикамежду сетями, которыесоединеныдруг с другом. Хос­

тамнеобязательноподцерживатьтуннельныйрежим.

4. Кршrmографuчес/ше nроmОКО,7Ы 8 'JдекmрОllllOй KO.\WepIIUU 1/ в дОК)'Аtеumообороmе 2ЗЗ Преимущества туннельного режима - сплошная защита инкап­ сулированных IP-дейтаграмм и возможность использования частных адресов. Вместе с тем требуются дополнительные вычислительные

затраты на обработку пакетов.

Так как протокол ESP уже предоставляет сервисы защиты, мо­

жет возникнуть вопрос о реальной необходимости протокола АН. Почему аутентификация, предусмотренная в протоколеЕбй, не по­

крывает также и заголовок IР-пакета? Наличие двух различных про­ токолов, предусмотренных архитектурой безопасности IPSec, можно объяснить следующими обстоятельствами:

Протокол ESP требует реализации стойких криптографических алгоритмов вне зависимости от реальной необходимости в них. В некоторых странах существуют ограничения на применение таких алгоритмов, что может вызвать проблемы при использова­ нии такого решения. Однако аутентификация никак не регулиру­ ется, поэтому АН может свободно применяться по всему миру.

Часто необходима только аутентификация. Протокол АН более производителен по сравнению с ESP (если используется одна только аутентификация) из-за упрощенного формата и меньших вычислительных затрат на обработку. В этом случае выбор мо­ жет склониться в пользу протокола АН.

Наличие двух различных протоколов делает возможным более гибкое управление сетью, реализующей архитектуру IPSec, и бо­ лее гибкие опции защиты. Совместно применяя АН и ESP, на­ пример, можно реализовать IР-туннель, который объединяет сильные стороны обоих протоколов.

Можно выделить несколько типичных случаев комбинированно­ го применения протоколов АН и ESP.

1. Обеспечение безопасности соединений между оконечными пользователями (рис. 4.9). Два хоста соединены через Интернет (или интранег-сеть) без каких-либо промежуточных шлюзов, подцержи­ вающих IPSec, между ними. Они могут использовать АН, ES.P или оба протокола либо в туннельном, либо в транспортном режиме:

транспортный режим: только АН, только ESP, АН применяется после ESP (етранслортное соседство»);

туннельный режим: только АН, только ESP.

234 Запечников С. В. Криптографическиепротоколы 11 их npllMe1lelllle

Н2

соединениемежду оконечнывп[ пользователями

IPSec-туннелъ

Рис. 4.9. Обеспечение безопасности соединений между оконечными пользователями

2. Базовая поддержка виртуальных частных сетей. На рис. 4.1О показана простейшая виртуальная частная сеть на основе IPSec. Шлюзы Gl и G2 поддерживают стек протоколов IPSec. Хостам в ин­ транет-сетях не обязательно подцерживать IPSec. В этом случае шлюзам достаточно поддерживать только туннельный режим либо для протокола АН, либо для протокола ESP.

Hl

Н2

СоединениеМежду оконечнымипользовагелямн JPSeC-1)'НН'СЛЪ

Рис. 4.10. Схема простейшей виртуальной частной сети

Иногда желательно иметь такие туннели между шлюзами, кото­ рые комбинируют свойства обоих этих протоколов.

3. Обеспечение безопасности соединений между оконечными пользователями с поддержкой виртуальных частных сетей (рис. 4.11). Этот случай является комбинацией первого и второго случая и с точки зрения IPSec не выдвигает дополнительных требо­

ваний к задействованным в нем вычислительным системам.

2ЗS

Нl

Н},

4. Защищенныйудаленный доступ (рис. 4.12) применяется к уда­ ленным хостам, которые используют Интернст для доступа к ресур­ сам сервера в организации, сеть которой защищена МЭ. Удаленный хост обычно использует канальные соединения с провайдером, за­ щищенные протоколом РРР.

 

 

Н2

~ 0(277

)

}

соединениеI\fС;J:д)'ОК<lнеtШЬПШIПОJIЬзовзтеJIЯl\Ш---- IP S

/

 

eC-"l)'ННСШI

 

Рис. 4.12. Защита удаленного доступа

Третий протокол архитектуры - IPcoтp (IP payload сотреев­ sion) - предназначен для целей предварительного сжатия (компрес­ сии) данных перед шифрованием. Протокол ESP реализует для IP- пакетов сервис шифрования, но, как известно, сжатие шифрованного текста неэффективно, поэтому такая операция должна производить­ ся предварительно, до выполнения операции зашифровки (деком­ прессия - соответственно, после расшифровки). Естественно, прото­ кол IPcomp может использоваться самостоятельно, без шифрования.

Oakley -

236 Запечников С. В. Криптографическиепротоколы11 ш примененив

Наконец, четвертый главный элемент архитектуры безопасности IPSec - рамочная модель /КЕ (Ьиете: Кеу Ехспапге), ранее извест­ ная как ISAKMP/Oakley, - поддерживает автоматизированное уста­ новление защищенных ассоциаций (SA), включая и автоматизиро­ ванную генерацию и обновление криптографических ключей. Спо­ собность выполнять эти функции с минимальной долей ручной работы является ключевым элементом для развертывания архитек­ туры IPSec в масштабах корпоративных информационных систем. Основныекомпонентымодели IKE перечислены ниже.

ISАКМР (Ьиете! яеситу аязосииизп а11(/ key тапагететргоtосоl) - это каркасная модель, которая определяет способы управления защи­ щенными ассоциациями (их согласование, модификацию и удаление) и ключами, а также определяет заполнения пакетов, необходимых для генерации общих секретных ключей и для аутентификации. Сама по себе спецификация ISAKiV1P не определяет никаких протоколов обмена ключами, а каркасная модель может быть применена к механизмам безопасности на сетевом, транспортном или прикладном уровнях, а таюке имеет ценность и сама по себе.

это протокол обмена ключами, который может быть ис­ пользован в рамках каркасной модели ISAKМP дЛЯ того, чтобы об­ мениваться открытыми ключами и обновлять общий секретный ключевой материал для установления защищенных ассоциаций. Спецификация протокола Oakley основана на протоколе обмена ключами Диффи - Хеллмана.

оо: (Попиип о/йиегрппаиоп) - это определение комплекта "про­ токолов, допустимых для использования их в рамках каркасной мо­ дели ISAKMP дЛЯ определеннойсреды, а также множество общих определений, согласованных с ЭТИМИ протоколами и касающихся синтаксиса представления атрибутов SA, содержания заполнения пакетов, пространства имен криптографических иреобразований и т. д. В соединении с IPSec определения' DOr уточняют модель ISAКМPприменительнок использованиюс протоколомIP.

Таким образом, lКE (Intemet Кеу Exchange) - это рамочная мо­ дель, частями которой являются модель ISAКМP и протоколы об­ мена ключами Oakley и SКEМE. Модель lКE, предназначенадля то­ го, чтобы обеспечить управление ключами и защищенными ассо­

циациями для корректного применения протоколов АН и ESP,

4. Криптографические протоколы в 'JлектРОI/IЮЙ КО,М.меРlIllи u вдокумешnообороmе 237 специфицированных в архитектуре IPSec, а также во «вложенной» в нее модели ISAКМP.

Другой широко распространенный в сетях на базе архитектуры TCP/IP метод создания защищенных каналов передачи данных оп­ ределяется спенифнкацией SSL (БеситSockets Еауеп),

SSL - это спецификация, определяющая протокол, который из­ начально был разработан фирмой Netscape Communications Согр. при участии RSA Data Security Inc. Первоначальная цель этой разра­ ботки - обеспечить возможность построения защищенного канала передачи информации между взаимодействующими прикладными программами, который обеспечивал бы конфиденциальность, под­

линность и целостность данных.

SSL является альтернативой стандартному интерфейсу сокетов архитектуры TCP/IP, имеющему встроенные функции защиты. Сле­ довательно, теоретически возможно обеспечить безопасность функ­ ционирования любой ПП в архитектуре TCPIIP без изменения самой ПП. Однако на практике SSL широко реализуется только совместно с протоколом прикладиого уровня НТТР, но известны и попытки реализации протокола SSL ДЛЯ обеспечения безопасности передачи

данных совместно с другими протоколами прикладного уровня.

Спецификация SSL определяет протоколы, размещенные по

двум подуровням.

Нижний подуровень составляет так называемый «протокол запи­

си» SSL Record Protocol (SSL RP) - протокол для передачи дан­ ных с использованием множества предопределенных комбина­

ций шифров и кодов аутентификации сообщений. Рис. 4.13 ил­ люстрирует принцип работы этого протокола в сравнении со

стандартным соединением по протоколу НТТР с использованием сокегов, Этот рисунок показывает, что SSL предоставляет про­ стой интерфейс сокетов, поверх которого могут быть располо­ жены другие ПП. В реальности нынешние реализации имеют ин­ терфейс сокетов, встроенный внутрь ПП, который, следователь­ но, не могут использовать другие ПП.

Верхний подуровень составляет протокол начальной аутентифи­ кации и передачи ключей шифрования, называемый протоколом

рукопожатия - SSL Handshake Protocol (SSL НР).

238

 

 

Запечников С. В. Криптографическиепротоколы 11ихпримененив

 

 

 

 

 

Стандартный протокол Н'IТP

 

 

 

 

г

-----------,

 

' ------------

Сервер. . .~

,

 

 

 

Клиент

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Сеанс соединения

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Протокол SSL

 

 

 

 

 

 

 

Клиент

 

Сервер

Сеанс соединения

Протокол записи SSL

Рис. 4.1З. Схема сеансов связи: стандартного и с применением протокола SSL

Сеанс соединения по протоколу SSL начинается следующим об-

разом:

Клиент, используя браузер, запрашивает документ со специаль­ ным указателем ресурсов, начинающимся с заголовка https:/1 вместо стандартного http://, либо набирая его вручную, либо пу­ тем указания на ссылку в тексте неб-страницы.

Программный код ПП клиента распознает запрос протокола SSL и устанавливает соединение через порт 443 протокола ТСР с ко­ дом протокола SSL на сервере. .

Клиент инициирует фазу рукопожатия протокола SSL, используя протокол SSL RP в качестве протокола-кносигеля». В этот мо­ мент ни шифрование, ни проверка целостности еще не исполь­ зуются для обеспечения безопасности соединения.

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности