Кп тараан рсатсыз ол жеткізуді технологиялары.

аскнемдер аупсіздік жйесіне кіріп алу алдында оларды ыпты оиды. Кп жадайларда олар растырушылар байамаан айын жне арапайым бзу дістерін табады. Компьютерлік ауіпсіздік туралы нгімелегенде рашанда келесі ереже еске салынады: шынжырды беріктігі оны е лсіз тйініні беріктігінен жоары емес. Мысалы, те берікті орау жйесінде оан ол жеткізу паролі мтіндік файлда орталы каталогта саталса немесе монитор экранында жазылса, бл конфиденциалды жйе бола алмайды. Апаратты желіге пайдаланушыны кіру орындары терминалдар деп аталады. Егер де олара бірнеше немесе кез келген адамны олы жететін болса, онда оларды жобалаанда жне пайдалананда бірсыпыра ауіпсіздік шараларын ыпты орындау керек.Физикалы ол жеткізуі бар терминалдарды олдананда келесі талаптарды орындау керек: терминалды оралуы орналасу жеріні оралуына сйкес болуы керек; орналасу орына ол жеткізуді баылау жйесі дрыс жмыс істеуі жне де апарата ол жектізуді жалпы слбасына сйкес болуы керек.Алыстаы терминалдарды олдананда келесі ережелер орындалауы керек: кез келген алыстаы терминал тіркеу атымен паролді срауы керек; аынды уаытта ажетті емес немесе баыланбайтын модемдерді барлыын уаытысында шіру керек; терминалды log-in сранысынан фирма атын, оны реквизиттарын, т.с. алып тастау керек.. Е кп тараан паролдерді тауып алуды техникасы сздік бойынша паролдерді срыптау болып табылан. азіргі кезде апаратты ауіпсіздікті пропагандасыны нтижесінде ол кп олданылмайды.Кейбір кезде бадарламалы амтамасыздандыруды кімі деушіден жаа бадарламалы німді алып, оны ауіпсіздік жйесін тексермейді. Нтижесінде, деу фирмасында келісім бойынша орнатылан пароль жйені негізгі паролі болып алады. деушілерді бадарламалы амтамасыздандыруларыны барлы версияларына келісім бойынша орнататын паролдеріні тізімдерін Интернет желісінен табуа болады. Сондытан, паролді ыпты тадау керек, оны апаратты сыйымдылыы паролдерді толыымен срыптауа ажетті уаыта сйкес болуы керек; жйені жмыса осан алдында келісім бойынша паролдерді згерту керек. Осыларды сіресе желілік бадарламалы амтамасыздандыруа ыпты жасау керек.Паролдерді табуды екі негізгі ммкіншіліктері келесі: оларды орнатылан тасымалдаушысына рсатсыз ол жеткізу жолымен немесе жйені іске асырылуыны ателіктері мен жатталмаан ммкіндіктерін пайдалану болып табылады..Паролдерді алуды келесі дісі тек ана желілік бадарламалы амтамасыздандыруда олданылады.

 

 

35.Электронды пошта жне оны дискредитациялау. Электронды пошта – технология жне оны айта сілтеу бойынша сынылан ызметтері жне компьютерлік желіні лестірілуі бойынша алынан электронды хабарламалар (соны ішінде аламды). Хабарлама жіберуді баса жйелерден айырмашылыы (мысалы, бстте келетін хабарламалар ызметі) болып, кейінге алдырылан жеткізулер ммкіндігі жне дамыан жйемен туелсіз пошталы серверарасындаы арым-атынастар табылады.Электронды поштаны жалпы дамуы кполданушылы жйелердегі олданушыларды локальді ара-атынысыны дамуы арылы жрді. олданушылар mail бадарламасын олдану арылы бір мейнфрейм (лкен компьютер) шегінде бір-біріне хабарлама жібере алады. Келесі адам баса машинадаы олданушыа хабарлама жіберу мкіндігі болды – ол шін машина атыны крсеткіші жне машинадаы олданушы аты олданылады. Мекен-жай(адрес) foo!joe трінде жазылады. Электронды поштаны шінші адамы шінші компьютер арылы хаттарды жіберуді рылуы кезінде шыты. UUCP-адрес олданан жадайда олданушы бірнеше аралытаы машиналардан кейінгі олданушыа дейін зіне бадар осады (мысалы, gate1! Gate2! Foo!joe - арналан хат, gate1! Gate2! машиналары арылы foo машинасына). Мндай адресатты кемшілігі болып, олданушыа машина адресатыны на жолын білуі керектігі табылады.

 

36.ISO/IEC 15408:1999 стандарты. рылымы жне таайындалуы.Соответствующий международный стандарт ISO/IEC 15408-1999 - введен в действие с 1 декабря 1999 года. Таким образом, фактически стандарт ISO/IEC 15408-1999 и версия 2.1 ОК совпадают, а если пренебречь описываемыми ниже нюансами, их названия могут считаться взаимозаменяемыми. Однако, строго говоря, "Критерии оценки безопасностиинформационных технологий " и " Общие критерии оценки безопасности информационных технологий " - разные документы, поскольку выпущены под эгидой разных организаций, руководствующихся разными правилами распространения и обновления.Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.

 

37. Идентификация мен аутентификация.Апаратты жйені р объектісімен оны бір маыналы идентификациялайтын кейбір апарат байланысан. Бл крсетілген объектті анытайтын сан, символдар жолы, алгоритм болуы ммкін. Осы апаратты объектіні идентификаторы деп атайды.орау жйені бір функциясы объектті идентификациялау болып табылады. Объект желіге кіруге ынталанан кезде осы функция біріншіден орындалады. Егер де идентификациялау процедурасы ойдаыдай аяталса осы желіге осы объект зады болып есептеледі. детте жйе пайдаланушыны аты мен идентификациялы нмірін срайды. Келесі адам – аиаттыты тексеру яни объектті аутентификациясы. Аутентификация немесе аиаттыты длелдеу байланыс желі арылы бір бірімен байланысан объектілерді зара аиаттыын олдау болып табылады. Бл процедураны масаты – байланыс зады объектімен орнатыланыны жне апарат ажетті жерге жететініні сенімділігін амтамасыздандыру.Объект идентификацияланып, оны аиаттыы длелденгеннен кейін оны рекеттер аймаы мен оан ол жеткізуге рсат етілген апаратты жйені ресурстарын орнатуа болады. Осындай процедураны укілдікті беру немесе авторизация деп атайды. Идентификация субъектіге (пайдаланушыа, аныталан пайдаланушы атынан рекеттесетін процеске немесе баса жабдыты-программалы компонентке) зін атауа ммкіндік береді (зіні атын хабарлауа). Екінші жа аутентификациялау жолымен субъект дл сол зін атаан субъект болатынын длелдейді. Аутентификация бір жаты (детте клиент зіні аиаттыын серверге длелдейді) немесе екі жаты (зара) болуы ммкін. Бір жаты аутентификацияны мысалы – пайдаланушыны жйеге кіру процедурасы. азіргі кезде аутентификацияны келесідей ш есебі арастырылады: пайдаланушыны аутентификациялау – оралатын апаратта ол жеткізу ажет болан немесе желіге осылысы келген пайдаланушыны аиаттыын длелдеу; мліметтерді аутентификациялау – баылаудан тыс кезде болан уаытта мліметтер массиві згерілмегенін тексеру; хабарды аутентификациялау – байланысты ашы каналы бойынша бір абонент баса абонентке жіберген хабарыны аиаттыын длелдеу.

 

38.Апаратты жйелерді ресурстары.АЖ-і ауіпсіздігіне негізгі ауіп-атерлер. Мекемені жмысын амтамасыздандыру жне ауіп-атерлері бар оиалардан пайда болатын зияндарын минимумдау апаратты ауіпсіздікті масаты болып табылады. ауіпсіздік жйені есептерін анытау алдында апаратты ресурстары тгелденеді: р ресурспен оны ожасы идентификацияланып, жатталынуы керек. Апаратты жйелермен байланысты келесідей ресурстарды атауа болады: а) апаратты ресурстар: мліметтер орлары мен мліметтер файлдары, жйелік жаттар, пайдаланушыларды нсаулары, оулы материалдар, операциялы жне сйемелдеу процедуралары, мекемені тотаусыз жмысын амтамасыздандыру жоспарлары, апатты режімге кшуді процедуралары; б) бадарламалы ресурстар: олданбалы бадарламалы амтамасыздандыру, жйелік бадарламалы амтамасыздандыру, аспапты ралдар мен утилиталар;

в) физикалы ресурстар: компьютерлер жне коммуникациялы жабдытар, байланыс каналдар, магнитты мліметтерді сатаушылар (ленталар жне дискілер), баса техникалы жабдытар (кректену блогы, кондиционерлер), жиаз, имараттар. Апаратты орау кзарасы жаынан компьютерлік жйе функционалды ызметтер жиыны ретінде арастырылады. р ызмет белгілі ауіп-атерлерге арсы тралатын функциялар жиыны болып табылады. серлер масаты жаынан АЖ-ні ауіпсіздігіне негізгі 3 типті ауіп бар: апаратты пиялыын бзу ауіп-атері; апаратты бтіндігін бзу ауіп-атері; жйені жмыс абілеттілігін бзу ауіп-атері (ызмет жасамау).ауіп-атерлерді келесідей трлерін арастыруа болады; а) табии ауіп-атерлер: стихиялы апаттар (тасын, дауыл, жер сілкіну, рт); б) техникалы ауіп-атерлер: авариялар, жабдытарды, компьютерлерді, байланыс ралдарыны жаылуы жне ызмет жасамауы; в) адам факторы: АЖ-і компоненттеріні жобалау жне делінуіні ателері; пайдалануды ателері (пайдаланушыларды, операторларды, ызмет жасау персоналыны); пайдаланушылар мен ызмет жасайтын персоналды абайсыз рекеттері (уестік); бзушыларды дейі рекеттері; технологияларды дамуы (вирустарды жазу технологияларыны жетілденуі, бзу ралдарыны жасалынуы). Бзушыны типтерін келесідей белгілеуге болады: профессонал, уесой, дилетант, мекеме ызметкері. ауіпсіздік моделі келесі талаптарды орындалуын талап етеді: орау жйесіне ойылатын талаптарды анытау; орау ралдары мен оларды сипаттамаларын тадау;тадалынан орау ралдарын, дістерін ендіру; орау жйесін басару мен бтіндікті баылауды орындау.

 

39.Пайдаланушыны аиаттыын тексеру.Пайдаланушыларды аиаттыын длелдеуді ммкін болатын дістері: пайдаланушы тек ана ресми пайдаланушы білетін апаратты (парольді) біледі; пайдаланушыны сипатты индивидуалды ерекшеліктері бар болады (саусатарыны ізі, кз торыны суреті); жабдыты амтамасыздандыруды элементтері (кілттер, магнитті карточкалар, микросхемалар); пайдаланушыны жріс-трысыны сипатты амалдары мен ерекшеліктері (клавиатурадаы жмыс істеу ерекшеліктері, манипулятормен жмыс істеу амалдары); пайдаланушыны дадылары мен білімдері. Осы дістерді кбісі пайдаланушыны бастапы тексеруге, кейбіреулері оны жмыс кезінде аынды тексеруге жарайды. Парольдік аутентификациялау. Парольдік аутентификациялауды негізгі артышылыы арапайымдылы пен йреншіктік болып табылады. Парольдер операциялы жйелер мен баса сервистерге баяыдан бері ендірілген. Дрыс пайдаланан кезде парольдер ауіпсіздікті кптеген мекемелерге жарамды дегейін амтамасыздандыралады. Бірата сипаттарыны жиыны бойынша парольдерді аиаттыты тексеруді е лсіз ралы деуге болады: жиі жадайда парольді мытпас шін, оны арапайым тадайды; кейбір кезде парольдер басынан пия саталмайды, себебі оларда жаттарда крсетілген стандартты мндері болады, жйені орнатанда оларды згерте оймайды; парольді енгізген кезде оны арап алуа болады, кейбір кезде ол шін оптикалы аспаптар олданылуы ммкін; Сонда да келесі шаралар парольдік орауды сенімділігін едуір жоарлатуа ммкіндік береді: техникалы шектеулерді олдану (пароль те ыса болмауы керек, оны рамында ріптер, цифрлар, тыныс белгілері, т.с. болуы керек); паролдерді олдану мерзімін басару, оларды уаытысында алмастыру; пайдаланушыларды оыту; Дстрлі парольдік жйелерді келесідей кемшілігі бар: аутентификация бір жатан орындалады, баса сзбен айтанда, тек ана пайдаланушы жйеге зіні ытарын длелдеуге тырысады. Осындай жадай кзіргі кездегі криптожйелерге жарамайды, себебі алмасу процесіне аскнемні кіріп кету ммкіндігі бар болады. Сондытан оларда зара аутентификациялау немесе мліметтерді бермей аутентификациялау хаттамаларын олдану керек. Пайдаланушыларды аутентификациялауды кейбір процедураларын арастырайы. Пайдаланушыны аиаттыын длелдеуге парольді олдану. Пайдаланушыны аиаттыын пароль кмегімен длелдеуді арапайым дісі пайдаланушы сынан Р_А парольді компьютерлік орталыта саталатын парольді бастапы Р^’_A мнімен салыстыруда негізделген. Кейбір кезде пайдаланушы парольді бастапы ашы трін ашпауы керек. Ол кезде жіберуші парольді ашы тріні орнына парольге олданылатын бір баыттаы функция кмегімен оны бейнесін жібереді, мысалы, осындай функцияны келесідей анытауа болады: мнда P – жіберушіні паролі, ID – жіберушіні идентификаторы, E_P – кілт ретінде P парольді олданып орындалатын шифрлеу процедурасы. (P) мні алдын ала есептеліп, алушыны идентификациялы кестесінде саталады.

 

 

40. Кілттерді ашы тарату Диффи-Хеллман алгоритмі.Ашы кілті бар бірінші криптожйені Диффи мен Хелман растыран. Олар желі абоненттеріні арасында алдын-ала келіспей ашы канал бойынша апаратпен алмасып жасырын кілтті ндіру дісін сынды (1976 ж.). Бір баыттаы функция ретінде олар дискретті дрежесін табу функцияны сынды.Трлендіруді кері айналмайтыны келесіде негізделген: р элементтерден тратын шекті рісте крсеткіш y(x)=a^xmodp функциясын есептеу жеткілікті жеіл, ал осындай рістерде логарифмдерді есептеу (дискретті логарифмдеу) кп ебекті талап ететін операция.Мысалы, екі А жне В пайдаланушы оралан коммуникациялы каналды йымдастырылары келеді. Алгоритм келесідей бейнеленеді:1) екі жата модуль n (n жй сан болуы керек) мен Z_n жиынтыынан тадалынан жй g элемент туралы келіседі. Осы екі бтін n жне g сандары пия саталмауларына да болады. детте, осы мндер жйе пайдаланушыларды барлыына жалпы болып табылады;2) содан кейін А жне В пайдаланушылар бір бірінен туелсіз здеріні жеке жасырын k_A жне k_B кілттерін тадайды (k_A,, k_B – кездейсо те лкен бтін сандар болып табылады жне де А мен В пайдаланушылармен пия саталады);З) содан кейін А пайдаланушы зіні y_A=g^kAmodn ашы кілтін, ал В пайдаланушы зіні y_B=g^kBmodn ашы кілтін есептейді;4) А мен В пайдаланушылары ашы y_А жне y_B кілттеріні есептелген мндерімен оралмаан канал бойынша алмасады. оралмаан байланыс каналымен жіберілетін мліметтерді барлыын аскнем стап алуы ммкін деп есептеледі; 5) содан кейін А мен В пайдаланушылар тмендегі формулаларды олданып, жалпы жасырын кілтті есептейді: А пайдаланушы:K=(y_B)^kA=(g^kB)^kAmodn;B пайдаланушы: K’=(y_A)^kB=(g^kA)^kBmodn; (g^kB)^kA=(g^kA)^kB боландытан K=K’ болады. Симметриялы криптожйеде К кілтті жалпы жасырын кілт ретінде олдануа болады (кілттерді шифрлеу кілт).аскнем n, g, y_A, y_B мндерін стап алып К кілтті анытаысы келеді. Бл есепті шешу шін N, g, y_A бойынша g^kAmodn=y_Aтедеуді анааттандыратындай k_А мнін есептеу керек (себебі осы кезде, k_А-ны есептеп K=(y_B)^KAmodn табуа болады). Біра n, g, y_A бойынша k_А табу – шекті рістегі дискретті логарифмді табу есебі, бл есеп азіргі кезде шешілмейтін есеп болып табылады.n жне g мндерін тадау осы жйені ауіпсіздігіне маызды сер етеді. n модулі те лкен жне жй сан болуы керек, g саны Z_n жиынтыыны жй элементі болуы керек.Нтижесінде р жа келесі байланыс сеансында олданатын шифралмасуды жасырын кілтіне ие боды. А мен В пайдаланушыларды зара байланысу хаттамасын келесі санды мысалда крсетейік:1) А мен В пайдаланушылар: байланыс сеансыны ашы параметрлері ретінде олданылатын екі алдын-ала аныталан жй сандар, мысалы, n = 13, g = 7 туралы келіседі, оларды жалпы ол жету жерде орнатады;2) А пайдаланушы: 1… n-1 диапазонынан кездейсо ретімен жасырын параметр ретінде жй x =5 санын тадайды; 3) В пайдаланушы: 1… n-1 диапазонынан кездейсо ретімен жасырын параметр ретінде жй y =11 санын тадайды;4) А пайдаланушы: g^xmodn=7⁵13=11есептеп, нтижесін ашы канал бойынша В пайдаланушыа жібереді, x пия саталады.5) В пайдаланушы: g^ymodn=7¹¹13=2 есептеп, нтижесін ашы канал бойынша А пайдаланушыа жібереді, y пия саталады;А пайдаланушы: В пайдаланушыдан g^ymodn=2 мнін алып,(g^ymodn)^xmodn=(2⁵mod13)=6 мнді есептейді, жне осы мнді шифрлеу мен шифрды ашуды жасырын кілті ретінде олданады;7) В пайдаланушы: А пайдаланушыдан g^xmodn=11 мнін алып, (g^xmodn)^ymodn=(11¹¹mod13)=6 мнді есептейді, жне осы мнді шифрлеу мен шифрды ашуды жасырын кілті ретінде олданады.Байланысты ашы каналында барлы хабарларды тыдап отыран аскнемге барлы операциялар мен тасымалдау нтижесінде n=13,g=7,( g^xmodn)=7^xmod13=11, ,( g^ymodn)= 7^ymod13=2 белгілі. x, y немесе (g^xmodn)^ymodn алпына келтіру шін аскнем дискретті логарифмдеу есебін шешуі керек.Диффи-Хеллмана алгоритмі кілттерді жіберуге оралмаан байланыс каналын олдануа ммкіндік береді. Біра, осы алгоритмді олдананда А пайдаланушысы ашы кілтті дл В пайдаланушыдан аланыны кепілі болуы керек. Бл мселе ашы кілт туралы хабара электронды ол табаны ою жолымен шешіледі.

 

Желіні орау ралдары.Жергілікті желі мен ауымды желі арасында желілік ауіпсіздікті амтамасыз ету шін,брандмауэр олданылады. Желілер арасында мліметтерді рсатсыз орналыстыруа кедергі жасайтын арнайы компьютер немесе компьютерлік бадарлама брандмауэр деп аталады. Желіаралы экран (firewall, брандмауэр) - немесе трафикті зі арылы ткізетін, немесе кнбрын аныталан ережелерге негізделе отырып оны ошаулайды . Желіаралы экрандарды ртрлі белгілері бойынша топтара блуге болады.Орналасуы бойынша: Дербес брандмауэр (personal firewall) – желідегі рбір жмыс станциясына орнатылатын жне сол немесе баса осымшаны орнатуа тырысатын жаласуды баылайтын бадарлама.Блінген желіаралы экран (distributed firewall) детте ішкі желі мен Интернетті арасында «ажырауа» орнатылады жне ол арылы тетін бкіл трафикті тексереді. Жеткілікті лкен желі бар болан кезде бірнеше желіаралы экрандарды орнатумаынасына ие: рбір блім немесе жмыс топтары шін – компанияны ішкі желісі шабуылдарынан орау ралы есебінде.Жмыс аидасы бойынша:Пакеттік сзгілер (packet filter, screening filter).Таза трдегі пакеттік сзгі – бл негіз бен алушыны порттары жне желілік адрестері туралы алдын ала аныталан деректер негізінде желілік пакеттерді сзгілейтін рылы. Алайда туелсіз бадарламалы-аппаратты кешендер тріндегі осы типтік желіаралы экрандар жеткіліксіз функционалды себебі бойынша брыннан-а кездеспейді. Пакеттік сзгіні, мысала, з ІР-адресіді (IP spoofing) ауыстыра отырып оау айналып туге болады, оан оса пакеттік сзгілер детте маршрутизаторлара жапсыра орнатылады.Прокси-серверлер (proxy, application layer gateway)Прокси-сервер технологиясы ішкі желідегі хостар мен сырты желідегі хостарды з арасында тікелей емес, керісінше ауани «делдал» - жеке сервис арылы жаласуды орнатады, ол клиентпен серверді атынан, ал сервермен - клиентті атынан атынас жасайды. Осылай, желіаралы экран жаласуды блігі ретінде шыады, жне тиісінше жаласан кезде болып жатан барлы оиаларды, оны ішінде ммкін болатын шабуылдарды таба отырып талдауы ммкін.Негізінен олданбалы дегейдегі бірнеше те танымал хаттамалар: HTTP, FTP жне басалары шін прокси-серверлер бар. Сонымен атар SOCKS5 (RFC 1928) меншікті хаттамамалар шін прокси-серверлер руды жалпылемдік стандарттары бар. Одан баса, оларда кбінесе пакетік сзгілеу ммкіндігі болады.Жай-кйді баылауымен желіаралы экрандар (stateful inspection)Осы санаттаы желіаралы экрандар тіп жатан трафикті те жа талдауын жргізеді, атап айтанда наты жаласуа оны тиістілігі контекстінде, оны ішінде жаласуды кіммен, ашан жне алай орнатыланы жне пакетті алар алдында осы жаласу шеберінде андай белсенділігін рбір пакет арайды. Дегенмен, біратар хаттамаларды (мысалы UDP) жаласу орнатылмай-а жмыс жасайтынын ескере отырып, желіаралы экран «ауани» жаласу деп аталатын – аын шеберіндегі пакетермен жмысты жргізеді. Бл жадайда мндай пакеттер бірыай контексте аралады. Бл ретте желіаралы экрандарды осы типі аымдаы жаласу туралы ана емес, сонымен бірге брыны осылыстар туралы да апаратты пайдалана алады. Брандмауэр – бл сізді компьютеріізге аламтор арылы мтылан хакерлерді, вирустарды, рттарды сейілтетін кмекші рал немесе бадарлама. Windows XP жне Windows Vista жйелері блармен амтылан.

 

 

42. RC4.RC4 — потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях.Шифр разработан компанией RSA Security и для его использования требуется лицензия.Алгоритм RC4, как и любой потоковый шифр, строится на основе параметризованного ключом генератора псевдослучайных битов с равномерным распределением. Длина ключа может составлять от 40 до 2048 бит.Основные преимущества шифра — высокая скорость работы и переменный размер ключа. RC4 довольно уязвим, если используются не случайные или связанные ключи, один ключевой поток используется дважды. Эти факторы, а также способ использования могут сделать криптосистему небезопасной.Ядро алгоритма поточных шифров состоит из генератора гаммы, который выдаёт ключевой поток (гамму). Функция генерирует последовательность битов,которая затем объединяется с открытым текстом посредством суммирования по модулю два.Расшифровка заключается в регенерации ключевого потока и сложении с шифрограммой по модулю два. В силу свойств суммирования по модулю два на выходе мы получим исходный незашифрованный текст:RC4 — фактически класс алгоритмов, определяемых размером блока (в дальнейшем S-блока). Параметр n является размером слова для алгоритма и определяет длину S-блока. Обычно, n = 8, но в целях анализа можно уменьшить его. Однако для повышения безопасности необходимо увеличить эту величину. В алгоритме нет противоречий на увеличение размера S-блока . При увеличении n, допустим, до 16 бит , элементов в S-блоке становится 65536 и соответственно время начальной итерации будет увеличено. Однако, скорость шифрования возрастет.Внутреннее состояние RC4 представляется в виде массива размером 2ⁿ и двух счётчиков. Массив известен как S-блок, и далее будет обозначаться как S. Он всегда содержит перестановку 2ⁿ возможных значений слова. Два счётчика обозначены через i и j.

 

43.Электронды цифрлы олтаба тсініктемесі.олтаба мен мр арылы аиаттыты длелдеуді дстрлі дістері электронды жаттарды деген кезде жарамайды. Принципиалды жаа шешім электронды цифрлы олтаба болып табылады.Электронды цифрлы олтабателекоммуникациялы каналдар бойынша тасымалданатын электронды мтіндерді аутентификациялау шін олданылады. Ол кдімгі олтабаа сас жне оны асиеттеріне ие:олтаба ойылан мтін шынында да олтабаны ойан адам жібергенін длелдейді;олтабаны ойан адама олтаба ойылан мтіндегі міндеттемелерінен бас тартуа ммкіндігін бермейді;олтаба ойылан мтінні бтіндігін кепілдейді.Электронды цифрлы олтабамтінмен бірге жіберілетін осымша цифрлы апарат болып табылады. Электронды цифрлы олтабажйесі екі процедурадан трады: 1) олтабаны ою процедурасы; 2) олтабаны тексеру процедурасы.р олтабада келесідей апарат болады: олтаба ойылан мерзімі, осы олтаба кілтіні жмысыны аяталу мерзімі, файла олтабаны ойан адам туралы апарат (аты-жні, ызметі, жмыс орныны аты), олтабаны ойан адамны идентификаторы (ашы кілтіні аты), цифрлы олтабаны зі.Электронды олтаба технологиясында электронды пошта желісіні р абонентінде екі кілт бар деп есептеледі: ­жасырын жне ашы кілттер. А абонентіні жасырын кілті тек ана цифрлы олтабаны жасауа олданылады, ал ашы кілт баса абоненттермен А-дан алынан хабарды аиаттыын тексеруге олданылады. Электронды цифрлы олтаба алгоритмдерінде жиі жадайда бір баытты функцияларды пайдалануда негізделген ртрлі математикалы принциптер олданылады. Электронды цифрлы олтаба механизмін тікелей олдананда оны тек ана шектелген зындыы бар хабарлара оюа болады. Сондытан цифрлы олтаба жатты зіне емес, оны хэштеу деп аталатын криптографиялы процедуралар кмегімен алынан кейбір кішкене лшемді цифрлы бейнесіне ойылады. Хэштеу алгоритмі келесі шартты анааттандыруы керек: екі хабарды цифрлы бейнелері (хабарды хэш-функциясыны мні) бірдей болмауы керек.

 

44.Internet желісі арылы алыстаы шабуылдардан орау дістері мен ралдары.Желіаралы экран дегеніміз иелерді ресурстарын орнатып оларды сырты желіден орайтын компьютерде орнатылан зара байланысан программалар жиыны. оралатын ресурстара ол жеткізу ережелері келесі принциптерді біреуіне негізделуі керек:

- аны трде рсат етілмегенні барлыына рсат беру;

- аны трде рсат етілмегенні барлыына рсат бермеу.

Желіаралы экрандарды компоненттеріні кбісін келесі ш категорияларды біреуіне атыстыруа болады: фильтрлеу маршрутизаторлар, желілік дегейдегі шлюздар, олданбалы дегейдегі шлюздар. Бл категорияларды наты желіаралы экрандарды базалы компоненттері ретінде арастыруа болады. Internet-ке модемдік шыуы бар компьютерлерге аскнемдерді шабуыл жасауды лкен ммкіншілігі бар, жне де олардан бастап баса компьютерлерге шабуылдар орнатуларына болады. Желіалары экрандауды жйелерін олдану ауіптерді бірсыпырасынан оралуа ммкіндік бергенімен, оларды бірсыпыра кемшіліктері бар, сонымен бірге, олар арсы тралмайтын ауіптер де бар.Желіаралы экрандар мен модемдерді олдануды ртрлі слбалары компьютерлерді аныталан ауіптерден орауа негізделген. Internet желісінен ртрлі ауіптерге табысты арсы тру шін модемдік байланыстарды орнын тиімді басатын желіаралы экрандарды негізгі типтеріні йлестіруін олдану керек.

 

45. Кілттерді басару. Криптожйе андай крделі жне сенімді боланымен, ол кілттерді олдануа негізделген. Белгілі апаратты жйеге жарамды криптографиялы жйені тадаудан баса таы бір мселе - кілттерді басару саясаты болып табылады.Апаратты жйеде жмыс істейтін барлы кілттер жиынтыы кілттік апарат деп аталады. Егер де кілттік апаратты жеткілікті сенімді басару амтамасыздандырылмаан болса, онда оны біліп алып, аскнем апарата шексіз ол жеткізуді орната алады. Келесідей негізгі: кілттерді генерациялау, кілттерді жинастыру, кілттерді тарату функцияларын іске асыруды орындайтын апаратты процесс кілттерді басару болып табылады. Кілттерді генерациялау. Апаратты жйені анаатты криптоберіктігін амтамсыздандыру шін жеіл есте саталатын кездейсо емес кілттерді олдануа болмайды. детте кездейсо кілттерді генерациялауа арнайы жабдыты жне программалы дістері олданылады. Жиі жадайда жалан кездейсо сандар датчиктері олданылады. Оларды генерациялану кездейсоты дрежесі жеткілікті жоары болуы керек. Кілтті немі згеріп труын кілттерді модификациялау процедурасын орындап орнатуа болады. Кілтті модификациялау – бір баыты функция кмегімен жаа кілтті оны алдындаы мнінен генерациялау. Апаратты алмасуа атысатындар осы функцияны кмегімен кілтті трлендіру нтижесін алып, кілтті жаа мнін жасау шін осы нтижені белгілі биттарын олданады. Біра та жаа кілтті ауіпсіздігі брыны кілтті ауіпсіздігімен бірдей екенін есте сатау керек. Егер де аскнем брыны кілтті ала алса, ол модификациялау процедурасын жасай алуы ммкін. Кілттерді жинастыру. Кілттерді саталуын, есепке алуын жне жоюын йымдастыру кілттерді жинастыру деп аталады. Жасырын кілттер оуа немесе кшірмелеуге ммкіндігі бар тасымалдаушылара ешашанда ашы трде жазылмауы керек. Крделі апаратты жйеде бір пайдаланушы кілттік апаратты лкен клемімен жмыс істеуі ммкін, сондытан кейбір кезде кілттік апаратты миниорын йымдастыру ажет болады. олданылатын кілттер туралы р апарат шифрленген трде саталуы керек. Кілттерді тарату. Кілттерді басару процесінде бл е жауапты адам. Соы кезде кбінесе ашы кілті бар асимметриялы криптожйелер олданылады, оларда кілттерді тарату мселесі жо. Кілттерді таратуа келесідей талаптар ойылады: таратуды длдігі мен оперативтілігі; таратылатын кілттерді пиялыы.Кілттерді тарату кілттермен тікелей алмасу жолымен немесе кілттерді тарату орталыын румен орындалуы ммкін.Кілттермен тікелей алмасуды орындау шін екі дісті олдануа болады: симметриялы криптожйені жасырын кілтін шифрлеп, тасымалдау шін ашы кілті бар криптожйені олдану; кілттерді ашы таратуды Диффи—Хеллман жйесін олдану.

 

46. Желіаралы экрандарды негізгі компоненттеріЖеліаралы экрандарды компоненттеріні кбісін келесі ш категорияларды біреуіне атыстыруа болады: фильтрлеу маршрутизаторлар, желілік дегейдегі шлюздар, олданбалы дегейдегі шлюздар. Бл категорияларды наты желіаралы экрандарды базалы компоненттері ретінде арастыруа болады. Аталан категорияларды тек ана біреуінен тратын желіаралы экрандарды саны аз. Сонда да, бл категориялар желіаралы экрандарды бір-бірінен айыратын маызды ммкіншіліктерін крсетеді. Фильтрулеу маршрутизаторлар кірудегі жне шыудаы пакеттерді тіркеу масатымен конфигурацияланан серверде жмыс жасайтын программа немесе маршрутизаторболып табылады. Пакеттерді TCP- жне IP-бас жолдарында орнатылан апарат негізінде оларды фильтрлеуі орындалады. Фильтрлеу маршрутизатор детте IP-пакеттерді фильтрлеуін пакет бас жолыны рістеріні келесідей топтар негізінде орындайды: жіберушіні IP-адресі (пакетті жіберген жйені адресі); алушыны IP-адресі (пакетті абылдайтын жйені адресі); жіберушіні порты (жіберуші жйедегі осылу порты); абылдаушы порты (абылдаушы жйедегі осылу порты). Фильтрлеу маршрутизаторларды кемшіліктері: ішкі желі Internet желісінен крінеді (маршрутизацияланады);пакеттерді фильтрлеу ережелеріні бейнеленуі крделі жне TCP, UDP технологияларын жасы білуді талап етеді; пакеттерді фильтрациясын орындайтын желіаралы экранны жмыс абілеті бзылан кезде одан кейін орналасан компьютерлерді барлыына ол жету рсатсыз немесе оралмаан болып алады;IP-адрес кмегімен ткізілетін аутентификацияны IP-адресті орын басып алдауа болады; пайдаланушылар дегейіндегі аутентификация жо.Артышылытары: тмен баа; фильтрлеу ережелерін анытаанны иілгіштігі, пакеттер ткен кезде кідіру уаыты кішкене.Желілік дегейдегі шлюздер. Оларды кей-кезде желілік адрестерді аудару жйелер немесе OSI моделіні сеансты денгейіндегі шлюздер деп атайды. Осындай шлюзда клиент пен сырты хост-компьютерді тікелей зара байланысу болмайды.Желілік дегейдегі шлюз сенімді клиентті белгілі ызметтерге сранысын абылдап, сранан сеансты рсат етілгенін тексергеннен кейін сырты хост-компьютермен байланысты орнатады. Содан кейін шлюз екі баыттаы да пакеттерді оларды мазмнына арамай фильтрлемей кшірмелейді.Жалпы айтанда желілік дегейдегі шлюздерді кбісі зіндік нім болып табылмайды, олар олданбалы дегейдегі шлюздермен бірге амсыздандырылады.олданбалы дегейдегі шлюздер. олданбалы дегейдегі шлюздер клиентпен сырты хост-компьютерді арасындаы тікелей зара байланысуын болызбайды. Шлюз барлы кірудегі жне шыудаы пакеттерді олданбалы дегейде фильтрлейді. олданбалылармен байланысан сарапшы-серверлер шлюздер арылы белгілі серверлермен генарцияланатын апаратты айта баыттайды. ауіпсіздікті жоарылау дегейіне жне иілгіштікке жету шін олданбалы дегейдегі шлюздер мен фильтрлеу маршрутизаторларды бір желіаралы экранда бірлестіруге болады.

 

47.Дстрлі шифрлеу дістері. Кейбір дстрлі шифрлеу дістерін арастырайы. Орын ауыстыру шифрлеуді маынасы – бір блок шектерінде аныталан ереже бойынша шифрленетін мтінні символдарыны орны ауыстырылады. Символдарыны орыны ауыстырылатын блок зындыы жеткілікті болса жне орын ауыстыруды крделі айталанбайтын реті болса, арапайым практикалы олданулара шифрды жеткілікті беріктігіне жетуге болады. Блар е арапайым жне ежелгі шифрлер, оларды ішінде келесілерді атап кетуге болады: «скитала» орын ауыстыру шифры (цилиндрлік формасы бар стерженьге (скиталаа) спираль бойынша пергаментті орап, стержень бойынша мтінді жазады. Пергаментті стерженнен аланда ріптер тртіпсіздік ретімен орналасады. Шифрды ашу шін шифрлеу ережесі мен кілт ретінде олданатын белгілі диаметрі бар стерженді білу керек; шифрлеу кестелері; олар хабардаы ріптерді орын ауыстыру ережелерін анытайды; кілт ретінде мнда кесте лшемі, орын ауыстыруды белгілейтін сз немесе фраза, кесте рылымыны ерекшеліктері олданылады; кілт бойынша жеке орын ауыстыру: кестені тік жолдары кілттік сз, кесте жолыны зындыындай фраза немесе сандар жиыны бойынша орын ауыстырылады; ос орын ауыстыру: осымша жасырындыты амтамасыздандыру шін орын ауыстыру бойынша шифрленген мтінді айта шифрлеуге болады; ос орын ауыстыру кілті ретінде бастапы кестені жолдары мен баандарыны нмірлері олданылады; сызыты емес за бойынша кестелік орын ауыстыру: хабар NxM лшемі бар кестеге жаты жол бойынша тізбектеліп жазылады, ал оу шиыршы немесе баса ирек жолмен орындалады; сиырлы квадраттарды яни тік жолдары, жаты жолдары жне диагоналдары бойынша сандар осындысы те болатын квадраттарды олдану. Мтін кестеге клеткаларды нмірлері бойынша жазылады. Осындай квадраттарды сиырлы асиеттері бар деп есептелетін еді. Квадрат лшемі скен сайын сиырлы квадраттарды саны тез седі. Жй орын басу шифрлері:жалыз алфавиттік орын басу. Мтінні р рпі алфавитті баса рпімен келесі ереже бойынша орын басады: орын басатын ріп бастапы ріптен К ріпке ыысу жолымен аныталады (Цезарь шифры); кілттік сзі бар Цезарь жйесі: алфавитте символдарды ыысуын анытау шін кілттік сз олданылады. Крделі орын басу шифрлер. Бл олданатын алфавиттерді тізбектеп жне циклдык згертіп отыратын кпалфавиттік орын басулар. Бастапы тілді табии статистикасын жасыруды амтамасыздандыру кпалфавитті орын басуды олдануды эффектісі болып табылады. Белгілі кпалфавитті жйелерді бірі – Вижинер шифрлеу жйесі. Оны алгоритміні маынасы келесіде. Бастапы алфавитті ріптерін циклдык ыыстыру жолымен, мысалы, 26 алфавиттерді жиыны (аылшын алфавитті ріптеріні саны бойынша) растырылады. Барлы алфавиттер жиыны Вижинер кестесін растырады. Шифрлеген кезде хабарды сйкес рпін алмастыруа олданатын белгілі ыысан алфавитті жиынын кілттік сзді ріптері анытайды. Ашы мтін мен кілттік сзді сйкес ріптерлеріні нмірлерін 26 модулі бойынша осу шифрлеу процесін бейнелейді. Алфавитті р A-Z рібі шін 0-25 цифрларды біреуі сйкестіріледі.Кілттік сзі k аныталан ріптерді d санымен беріледі жне айталанып шифрленетін m_i хабар астында жазылады. Келешекте i-ші баанда m_i хабарды рпі оны астында тран k_i кілттік сзді ріпімен 26 модулі бойынша келесі трдегідей осылады: g_i = m_i mod 26, мндаы g_i – алынан криптограмманы ріптері. Криптограмманы ашу одан кілттік сзді 26 модулі бойынша алумен орындалады.

 

48. RC4 шифрлеу алгоритмі.RC4 — потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях.Шифр разработан компанией RSA Security и для его использования требуется лицензия.Алгоритм RC4, как и любой потоковый шифр, строится на основе параметризованного ключом генератора псевдослучайных битов с равномерным распределением. Длина ключа может составлять от 40 до 2048 бит.Основные преимущества шифра — высокая скорость работы и переменный размер ключа. RC4 довольно уязвим, если используются не случайные или связанные ключи, один ключевой поток используется дважды. Эти факторы, а также способ использования могут сделать криптосистему небезопасной.Ядро алгоритма поточных шифров состоит из генератора гаммы, который выдаёт ключевой поток (гамму). Функция генерирует последовательность битов,которая затем объединяется с открытым текстом посредством суммирования по модулю два.Расшифровка заключается в регенерации ключевого потока и сложении с шифрограммой по модулю два. В силу свойств суммирования по модулю два на выходе мы получим исходный незашифрованный текст:RC4 — фактически класс алгоритмов, определяемых размером блока (в дальнейшем S-блока). Параметр n является размером слова для алгоритма и определяет длину S-блока. Обычно, n = 8, но в целях анализа можно уменьшить его. Однако для повышения безопасности необходимо увеличить эту величину. В алгоритме нет противоречий на увеличение размера S-блока . При увеличении n, допустим, до 16 бит , элементов в S-блоке становится 65536 и соответственно время начальной итерации будет увеличено. Однако, скорость шифрования возрастет.Внутреннее состояние RC4 представляется в виде массива размером 2ⁿ и двух счётчиков. Массив известен как S-блок, и далее будет обозначаться как S. Он всегда содержит перестановку 2ⁿ возможных значений слова. Два счётчика обозначены через i и j.