ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопасность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

6 минут чтени€

ѕочитайте предыдущую статью про безопасность передачи данных.

Ќекоторые из самых ранних криптографических систем включали обертывание бумагой цилиндра определенного размера. ÷илиндр должен был каким-то образом переноситьс€ между двум€ участниками зашифрованной св€зи, чтобы противник не захватил его. ¬ более поздние годы блоки ключей физически переносились между двум€ конечными точками зашифрованной системы. Ќекоторые из них были организованы таким образом, чтобы определенна€ страница использовалась в течение определенного периода времени, а затем вырывалась и уничтожалась, заменена новой страницей на следующий день. ƒругие были разработаны таким образом, чтобы кажда€ страница в блокноте использовалась дл€ шифровани€ одного сообщени€, после чего страница вырывалась и замен€лась одноразовым блокнотом.

 онцепци€ одноразового блокнота была перенесена в современный мир с системами аутентификации, которые позвол€ют пользователю создавать код, который используетс€ один раз, а затем отбрасываетс€, чтобы быть замененным новым кодом в следующий раз, когда пользователь попытаетс€ аутентифицироватьс€. Ћюба€ система, использующа€ код, который используетс€ один раз, по-прежнему называетс€ одноразовым блокнотом (one-time pad).

¬ современном мире есть другие способы обмена криптографическим материалом, будь то использование общего секретного ключа или получение закрытого ключа.

¬о многих случа€х в криптографии легче объ€снить, как что-то работает, на тривиальных примерах. ¬ следующих по€снени€х ‘аина и ƒима будут двум€ пользовател€ми, которые пытаютс€ обмениватьс€ защищенной информацией, причем ‘аина €вл€етс€ инициатором и отправителем, а ƒима - получателем.


ќбмен публичными ключами

‘аина хотела бы отправить сообщение ƒиме таким образом, чтобы его мог прочитать только ƒима. ƒл€ этого ей нужен открытый ключ ƒимы (помните, что у нее не должно быть доступа к закрытому ключу ƒимы). √де она может получить эту информацию? ќна могла:

  • —просить об этом у ƒимы напр€мую. Ёто может показатьс€ простым, но в реальной жизни это может быть очень сложно.  ак, например, она может быть уверена, что действительно общаетс€ с ƒимой?
  • Ќайти открытый ключ ƒимы в открытой базе данных ключей (на сервере ключей). ќп€ть же, это кажетс€ простым, но как она узнает, что нашла нужный ключ или кто-то не разместил ложный ключ дл€ ƒимы на этом конкретном сервере?

Ёти две проблемы можно решить с помощью какой-то системы репутации. Ќапример, в случае открытого ключа ƒима может попросить нескольких своих друзей, которые хорошо его знают, подписать его открытый ключ, использу€ свои закрытые ключи. »х подпись на его открытом ключе, по сути, гласит: "я знаю ƒмитри€, и € знаю, что это его открытый ключ". ‘аина может изучить этот список друзей, чтобы определить, кому из них она может довер€ть. ќсновыва€сь на этом исследовании, ‘аина может определить, что она либо верит, что этот конкретный ключ €вл€етс€ ключом ƒимы, либо нет.

¬ этой ситуации ‘аина сама решает, сколько и какого рода доказательств она примет. ƒолжна ли она, например, признать, что ключ, который у нее есть, на самом деле принадлежит ƒиме, потому что:

  • ќна напр€мую знает одного из друзей ƒимы и верит, что этот третий человек скажет ей правду.
  • ќна знает кого-то, кто знает одного из друзей ƒимы, и довер€ет своему другу, чтобы он рассказал ей правду о друге ƒимы, и, следовательно, довер€ет другу ƒимы рассказать правду о ƒиме и его ключе.
  • ќна знает нескольких человек, которые знают нескольких друзей ƒимы, и принимает решение довер€ть этому ключу ƒимы, основыва€сь на свидетельствах нескольких человек.

“ака€ система называетс€ паутиной довери€. ќбща€ иде€ заключаетс€ в том, что доверие имеет разные уровни транзитивности.  онцепци€ транзитивного довери€ несколько противоречива, но иде€, лежаща€ в основе сети довери€, заключаетс€ в том, что, если вы получаете достаточно доказательств, вы можете создать доверие в паре человек/ключ. ѕримером такого рода паутины довери€ €вл€етс€ система Pretty Good Privacy, где люди встречаютс€ на конференци€х, чтобы перекрестно подписывать ключи друг друга, создава€ паутину транзитивных доверительных отношений, на которые можно положитьс€, когда их общение переходит в сферу только электронных.

ƒругой вариант - владелец сервера ключей может каким-то образом провести расследование в отношении ƒмитри€ и определить, действительно ли он тот, кем он себ€ выдает, и действительно ли это его ключ. —амый €ркий пример такого решени€ в "реальном мире" - это нотариус. ≈сли вы подписываете документ перед нотариусом, он провер€ет наличие какой-либо формы удостоверени€ личности (подтверждающей, кто вы), а затем наблюдает, как вы физически подписываете документ (провер€€ ваш ключ).

Ётот вид проверки называетс€ центральным источником довери€ (или аналогичным - хот€ в нем почти всегда есть слово "централизованный") или инфраструктурой открытого ключа (Public Key Infrastructure -PKI). –ешение зависит от довери€ ‘аины процессу и честности централизованного хранилища ключей.


ќбмен закрытыми ключами

”читыва€, что криптографи€ с симметричным ключом обрабатываетс€ намного быстрее, чем криптографи€ с открытым ключом, в идеале вы хотели бы зашифровать любые давно существующие или большие потоки с использованием симметричного общего секретного ключа. Ќо, если не считать физического обмена ключами, как можно обмениватьс€ одним закрытым ключом между двум€ устройствами, подключенными по сети? –исунок 1 демонстрирует это.

»спользование открытых ключей дл€ обмена или вычислени€ закрытого сеансового ключа

Ќа рисунке выше:

  1. ѕредположим, ј начинает процесс. A зашифрует одноразовый номер, случайное число, которое используетс€ один раз в процессе, а затем выбрасываетс€ (по сути, одноразовый номер представл€ет собой форму одноразового блокнота), использу€ открытый ключ B. ѕоскольку одноразовый номер был зашифрован с помощью открытого ключа B, теоретически только B может расшифровать одноразовый номер, поскольку только B должен знать закрытый ключ B.
  2. B, после расшифровки одноразового номера, теперь отправит новый одноразовый номер в A. ќн может включать исходный одноразовый номер A или исходный одноразовый номер A плюс некотора€ друга€ информаци€. ƒело в том, что A должен точно знать, что исходное сообщение, включа€ одноразовый номер A, было получено B, а не какой-либо другой системой, действующей как B. Ёто обеспечиваетс€ B, включа€ некоторую часть информации, котора€ была зашифрована с использованием его открытого ключа, поскольку B - единственна€ система, котора€ могла его расшифровать.
  3. A и B, использу€ одноразовые номера и другую информацию, обмениваемую до этого момента, вычисл€ют закрытый ключ, который затем используетс€ дл€ шифровани€ / расшифровки информации, передаваемой между двум€ системами.

ќписанные здесь шаги несколько наивны. ≈сть лучшие и более безопасные системы, такие как протокол Internet Key Exchange (IKE).