Промышленные программные средства Kerberos, PGP

Система «Керберос» является системой аутентификации пользователей, разработана в 80-х годах в Массачусетском технологическом институте. Основное ее назначение - контроль доступа пользователей в вычислительной сети. Система эффективно функционирует в распределенных системах с небольшим числом централизованно управляемых рабочих станций. Предполагается, что имеется хорошо защищенная система управления обменом ключами шифрования, рабочие станции не защищены, а серверы имеют слабую защиту. B «Керберосе» применяется многократное шифрование при передачи служебной информации в сети. Так, в некоторых зашифрованных сообщениях, отдельные слова сообщения тоже зашифрованы. Пароли никогда не передаются по сети незашифрованными. При обмене служебной информацией применяются зашифрованное данные, действующие ограниченное время - аутентикаторы (authenticator), содержащие имя пользователя, его сетевой адрес и отметку времени.

В системе «Керберос» используется алгоритм шифрования RSA. Система

«Керберос» может работать на различных платформах, в том числе MS-DOS, Macintosh, SunOS, HP-UX, NextStep, и AIX-системы RS/6000 фирмы IBM. Совместно с ней могут применяться также жетоны SecurID фирмы Security Dynamics.

Система «Керберос» обладает рядом недостатков. Во-первых, она не позволяет выполнять проверку полномочий прикладных задач и отдельных транзакций. Во-вторых, необходим предварительный обмен ключами шифрования между всеми участниками обмена. В-третьих, в процессе работы элементы системы обмениваются служебной информацией, что требует высокой пропускной способности каналов обмена данными.

Система «Керберос» имеет структуру приложений типа клиент-сервер. Она состоит из двух основных частей: клиентской части (клиента) и серверной части (сервера). «Керберос-сервер» состоит из трех серверов: идентификационного сервера, сервера выдачи разрешения и сервера выполнения административных функций. Вся область защиты от несанкционированного доступа может состоять из нескольких зон, в каждой из которых должен быть свой сервер.

Упрощенно работу системы защиты «Керберос» можно представить следующим образом. Пользователь вводит свой идентификационный код (имя), который шифруется клиентом и направляется к идентификационному серверу как запрос на выдачу «разрешения на получение разрешения». Другими словами, формируется запрос на регистрацию к системе защиты.

Идентификационный сервер отыскивает в своей базе данных разрешенных пользователей соответствующий пароль, с его помощью шифрует ответное сообщение, которое отсылает клиенту. Получив «разрешение на разрешение», клиент расшифровывает его, определяет из него значение пароля пользователя и запрашивает пароль у пользователя. Если введенный и полученный пароли совпадают, клиент формирует шифрованный запрос серверу выдачи разрешения на получение доступа к требуемым ресурсам сети.

После ряда манипуляций (расшифровывания и ряда проверок) и полной уверенности, что подключающийся пользователь тот, за кого себя выдает, сервер выдачи разрешения отсылает пользователю зашифрованное разрешение на доступ к ресурсам сети.

Получив и расшифровав разрешение, клиент связывается с помощью зашифрованного сообщения с целевым сервером, ресурсы которого требуются пользователю, и только после этого пользователь получает доступ к ресурсу. Для обеспечения еще более высокого уровня защиты клиент может потребовать идентификации целевого сервера, а не безусловной связи с ним. В этом случае устраняется возможность перехвата информации, дающей право на доступ к ресурсам сети.

PGP (Pretty Good Privacy) (www.pgp) - это криптографическая программа с высокой степенью надежности, которая позволяет пользователям обмениваться информацией в электронном виде при полной конфиденциальности. В PGP применяется принцип использования двух взаимосвязанных ключей: открытого и секретного.

Главное преимущество этой программы состоит в том, что для обмена зашифрованными сообщениями пользователям нет необходимости передавать друг другу ключи, так как PGP построена на обмене открытыми (публичными) ключами, например, через Интернет.

Когда пользователь шифрует сообщение с помощью PGP, то программа сначала сжимает текст, что сокращает время на отправку сообщения через модем и увеличивает надежность шифрования. Как только данные будут зашифрованы, сессионный ключ кодируется с помощью открытого ключа получателя сообщения, который отправляется к получателю вместе с зашифрованным текстом.

Расшифровка происходит в обратной последовательности. Программа PGP получателя сообщения использует секретный ключ получателя для извлечения временного сессионного ключа, с помощью которого она затем дешифрует закодированный текст.

Ключ - это число, которое используется криптографическим алгоритмом для шифрования текста. Как правило, ключами являются огромные числа, поскольку, чем больше ключ, тем его сложнее взломать. Размер ключа измеряется в битах, число, представленное 1024 битами - очень большое (2 в 1024 степени).

Ключи хранятся на жестком диске вашего компьютера в зашифрованном состоянии в виде двух файлов: одного для открытых ключей, другого - для закрытых. Эти файлы называются «кольцами» (keyrings). При работе с программой PGP вы, как правило, будете вносить открытые ключи ваших корреспондентов в открытые «кольца». Ваши секретные ключи хранятся в закрытом «кольце». Потеряв его, вы не сможете расшифровать никакую информацию, закодированную с помощью ключей, находившихся в этом «кольце».

Кроме ключей, можно использовать цифровую подпись, которая позволяет получателю сообщения удостовериться в личности отправителя, а также в целостности или верности полученного сообщения.