Қазақстан республикасы ғылым және жоғары білім министрлігі

Лекция №9. Цифрлық қолтаңбалар. Симметриялық кілт қолтаңбалары. Ашық кілт қолтаңбалары

жүктеу/скачать 2.12 Mb. бет 32/39 Дата 12.11.2022 өлшемі 2.12 Mb. #464656 түрі Білім беру бағдарламасы

Бұл бет үшін навигация:

• Лекция №10. Дүниежүзілік желідегі ақпараттық қауіпсіздік. Ықтимал қауіптер. Ресурстарды қауіпсіз атау. SSL - қауіпсіз сокеттердің протоколы. Портативті бағдарламалардың қауіпсіздігі.

Лекция №9. Цифрлық қолтаңбалар. Симметриялық кілт қолтаңбалары. Ашық кілт қолтаңбалары. Жасырындыны талап ететін адамдардың көбісі дипломаттар мен әскери адамдар болады. Олардың жұмысында күтпегендіктің элементтері қажетті, ал осындай күтпегендік әр кезде жасырынды талап етеді. Шамамен 19 ғасырдың ортасында жасырын хаттың техникасын жетілдіру үшін гылыми тәсілдері мен ойлау әдістері қолданылды. Бірақта бәрібір 20 ғасырға дейін жасырын коммуникацияларға қолданылатын әдістер қағаз бен қалам көмегімен жасалатын процедуралар болатын еді. Кейбір дәстүрлі шифрлеу әдістерін қарастырайық. Орын ауыстыру шифрлеудің мағынасы – бір блок шектерінде анықталған ереже бойынша шифрленетін мәтіннің символдарының орны ауыстырылады. Символдарының орыны ауыстырылатын блок ұзындығы жеткілікті болса және орын ауыстырудың күрделі қайталанбайтын реті болса, қарапайым практикалық қолдануларға шифрдың жеткілікті беріктігіне жетуге болады. Бұлар ең қарапайым және ежелгі шифрлер, олардың ішінде келесілерді атап кетуге болады: - «скитала» орын ауыстыру шифры (цилиндрлік формасы бар стерженьге (скиталаға) спираль бойынша пергаментті орап, стержень бойынша мәтінді жазады. Пергаментті стерженнен алғанда әріптер тәртіпсіздік ретімен орналасады. Шифрды ашу үшін шифрлеу ережесі мен кілт ретінде қолданатын белгілі диаметрі бар стерженді білу керек; - шифрлеу кестелері; олар хабардағы әріптердің орын ауыстыру ережелерін анықтайды; кілт ретінде мұнда кесте өлшемі, орын ауыстыруды белгілейтін сөз немесе фраза, кесте құрылымының ерекшеліктері қолданылады; - кілт бойынша жеке орын ауыстыру: кестенің тік жолдары кілттік сөз, кесте жолының ұзындығындай фраза немесе сандар жиыны бойынша орын ауыстырылады; Шеннон пікірі бойынша практикалық шифрлерде екі жалпы принципі: шашырату мен араластыруды қолдану керек. Ашық мәтіннің статистикалық қасиеттерін жасыру үшін қолданатын ашық мәтіннің бір белгісінің шифрмәтіннің көп белгілеріне әсерін тарату шашырату болып табылады. Араластыру – ашық мәтін мен шифрленген мәтін арасындағы өзара байланыстың статистикалық қасиеттерін табуды күрделеу үшін қолданылатын шифрлеу түрлендірулері. Бірақ шифрды ашуын қиындатуымен бірге кілт белгілі болғанда пайдаланушыға шифрлеу және шифрды ашу процестерін жеңіл орындалуын шифр қамтамасыздандыруы керек.  Шашырату мен араластырудың эффектілеріне жету үшін ең көп тараған әдіс - құрамды шифрды яғни бірнеше қарапайым шифрлердің тізбегінен құрастырылған шифрды қолдану болып табылады. Мәліметтерді шифрлеу және шифрін ашу кезде бастапқы шифрлер белгілі ретпен қолданылады. Құрамды шифрлерде қарапайым шифрлер ретінде әдетте қарапайым орын алмастыру мен орын басу қолданылады. Ақпарат блогының өлшеміне қарай криптоалгоритмдер келесі түрлерге бөлінеді: а) ағынды шифрлер. Ағынды шифрлерде кодалану бірлігі бір бит болып табылады. Кодалау нәтижесі алдында келген кірудегі ағыннан тәуелді емес. Сұлба ақпарат ағындарын жіберу жүйелерде қолданылады, яғни ақпаратты жіберу процесі уақыттың кез келген моментінде басталуы немесе аяқталуы және кездейсоқ үзілуі мүмкін болған жағдайларда. Ең көп тараған ағынды шифрлердің мысалы скремблерлер болып табылады. б) блоктык шифрлер. Осындай шифрлерде кодалану бірлігі бірнеше байттардан тұратын блок болып табылады. Кодалау нәтижесі тек қана осы блоктың бастапқы байттарынан тәуелді. Ақпаратты пакеттік тасымалдағанда және файлдарды кодалағанда осы сұлба қолданылады. Блоктық шифрлер ақпараттың блогың (4-­тен 32 байтқа дейін) тұтас бірлік ретінде шифрлейді. Сондықтан толық іріктеумен жасалған шабуылдарға түрлендірудің беріктігі көпесе өседі және де әртүрлі математикалық, алгоритмдік түрлендірулерді қолдануға мүмкіндік береді.  Скремблерлер. Ақпараттың үздіксіз ағындарын биттар бойынша шифрлеуге мүмкіндік беретін алгоритмдердің программалық немесе аппараттық іске асырулары скремблер деп аталады. Әр қадамда берілген алгоритм бойынша өзгеретін биттар жиыны скремблерді құрастырады. Скремблердің әр қадамы орындалғаннан кейін оның шығысында шифрлеу бит – 0 немесе 1 пайда болады, ол ақпараттық ағынның ағынды битіне XOR операциясымен қосындыланады. Лекция №10. Дүниежүзілік желідегі ақпараттық қауіпсіздік. Ықтимал қауіптер. Ресурстарды қауіпсіз атау. SSL - қауіпсіз сокеттердің протоколы. Портативті бағдарламалардың қауіпсіздігі. Web-қосымшалар қорғанысының өмірлік циклы. Қазіргі таңдағы web-қосымшаларының көпшілігі web-қосымшалар қауіпсіздігі нормалары мен принциптерінің пайда болуынан бұрын жобаланып, әзірленген және қолданысқа енген. Әдетте, қауіпсіздікті қамтамасыз ету, қорғаныс шараларын жасау түсінігі қандай да бір инциденттің орны алуынан кейін қолға алынады. Web-қосымшалары менеджменті орындалуы міндетті болатын ағымдағы талаптарды қанағаттандыру аясынды ғана қауіпсіздік мәселелерін қарастырады. Web-қосымшалар жобасын әзірлеу барысында әзірленіп жатқан қосымшаға қандай қауіптердің төнуі мүмкіндігін алдын-ала бағдарлап ескеру керек және осыған орай тәуекелділік деңгейін минимумға жеткізу шараларын қарастырулары қажет. Эксплойттардың жұмыс принциптерін зерттеп, оны тестілеу, кемшіліктерін жою тәсілдері қарастырылуы керек. Web-қосымшалар қорғанысының принциптері дәстүрлі ақпаратты қорғау мен оның қауіпсіздігі шараларынан өзгешелігін, өзіндік ерекшеліктерін ескере отырып, қосымша қауіпсіздігінің өмірлік циклын 3 қадам мен 7 аймаққа бөліп қарастырады(сурет 1). Сурет1. Web-қосымшалар қорғанысының өмірлік циклы Қауіпсіз әзірлеу: Web-қосымшаны құру, әзірлеу процесі барысында қауіпсіздік элементтерін ескеру. Қосымшалар әзірлеудің өмірлік циклын модификациялау (Software Development Lifecycle) қауіпсіздік талаптарын кірістіруді қажет етеді және Secure SDLC деп аталады. Ол Web-қосымшаны құру, әзірлеу процесі барысында қарапайым тексерулер жүргізіп, туындауы мүмкін мәселелерді алдын-ала айқындайды. Статикалық талдау: Бастапқы кодты қауіпсіздік қателіктеріне сканерлеу құралы.Бұл құралдар “white box” деп аталады. Динамикалық талдау: Қолданысқа жіберу алдында Web-қосымшаны танымал, мүмкін шабуыл түрлеріне төтеп беруін, осалдықтарын зерттеу құралы. Бұл құралдар “black box” деп аталады. Кодтың статикалық талдамын әдетте қосымшаны әзірлеушілер жүргізеді, бұл өз кезегінде жұмысты жылдамдатады және арзанға түседі. Сонымен статикалық талдау программалық кодта жіберілген қателерді табу мақсатында жүргізіледі де, қосымшаның қолданылуы барысында ғана айқын болатын осалдықтарды анықтай алмайды. Осы кемшіліктерді болдырмас үшін динамикалық және гибридті талдаулар қолданылады. Динамикалық талдау статикалық талдауда байқалмайтын қосымшаны қолдану барысында айқын болатын осалдықтарды табады. Динамикалық талдаудың зиянды, қауіпті ақпаратты жіберу тәсілі де бар, онда қосымшаның реакциясын бақылап, нәтижесіне талдау жасайды. Әдетте тестілеу құралдарында зерттелетін қосымша туралы бастапқы еш ақпарат болмауы мүмкін, сондықтан да олар оны «қара жәшік» ретінде зерттейді. Бірақ көп жағдайда “white box” тәсілі қолданылады, мұнда қосымша ерекшеліктеріне орай авторизацияланған пайданаушыларға таныс әлсіз тұстар мен осалдықтарды іздеу мақсатындағы тестілеу жүргізіледі. Негізінен “black box” тәсілі дұрыс деп саналады, себебі ол сыртқы тексеруші немесе хакер ролінде тексеру жүргізеді. “White box” және “black box” әдістері мен тестілеу жүргізгеннен кейін арнайы мамандар шынайы кемшіліктер мен жалған ақаулар сараптамасын жасайды, қажетті өңдеу, жетілдіру жұмыстарын жүргізеді. Негізінен динамикалық талдаушы қандай кемшіліктердің қай жерде жіберілгенін анықтап, хабарлап отырады. Тестілеу барысында жазбаларды, көрсеткіштерді, сұраныстар мен айнымалылыр кезектерін қадағалайды. Статикалық пен динамикалық талдаулар бір-бірін толықтырушы талдаулар олып саналады. Сонымен, Web-қосымша қауіпсіздігінің дұрыс құрылымды программасы Web-қосымшаның сауатты жобалануы мен құрылуынан бастау алып қауіптерді модельдеумен, қауіпсіз дизайнмен, функционалды талаптардың қауіпсіз орындалуымен, статикалық және динамикалық талдаулар жасалумен, ұауіпсіз кодтау әдістерін қолданумен, үздіксіз жетілдірілген тестілеумен жалғастырылады. Қауіпсіз таралу (қолдану, ендіру). Бұл кезеңде Web-қосымша әзірлеу кезеңінің аяғында болып, оны танымал осалдықтар мен шабуылдарға тестілеуге болатын уақыт туындайды. Осы кезде қосымшаны осалдыққа тексеру, бағалау, рұқсатсық ену мүмкіндіктеріне тестілеу, конфигурациялық талдау, жүйе аралық үйлесімдікке тесеру де жүргізілуі крек. осалдықты бағалау: есептік жазбамен де, жазбасыз да Web-қосымшаны қашықтықтан сканерлеу. Web-қосымшаның осалдығын бағалау қосымшанығ өзін тексеруге назар аударады, ал осалдықтың стандартты бағалануында негізгі зерттеу көзі хост-платформалар болып табылады. Енуге тестілеу: рұқсатсыз енуге тестілеуді Web-қосымшаны бұзып кіруге талпыныс деп айтуға болады, ол өз кезегінде қосымшаның әлсіз тұстарын, осалдығын анықтауға және олардың төндіретін қауіптерін, тәуекелдіктерін айқындауға мүмкіндік береді. Енуге тестілеу қосымша кемшіліктерін анықтап, оларды жіктеуге, олардың маңыздылығын, реттілігін анықтауға мүмкіндік береді. Қауіпсіз қолдану. Бұл бөлімде Web-қосымшаның қауіпсіздігін қамтамасыз ету негізінен WAF-қа (Web Application Firewall) жүктеледі, ол пайдаланушылардың рұқсатсыз әрекеттерінен, Web-қосымша компоненттерімен байланысуға ұмтылатын құралдар мен сұраныстарды сканерлейтін құрылғылардан қорғайды. WAF- бұл Web-қосымша трафигін қадағалайтын, танымал қауіптерді бұғаттайтын және олар туралы хабарлама жіберіп отыратын желілік құрылғы. Қосымшалар мен деректер базасы белсенділігінің мониторингі: Берілген ережелердің бұзылуына негізделген қауіпсіздік ескертулерін аудит және генерациялау үшін Әртүрлі әдістермен қосымшалар мен деректер базасы белсенділігін қадағалау құралы. жүктеу/скачать 2.12 Mb. Достарыңызбен бөлісу: