Канальное и сквозное шифрование и их связь с эталонной моделью OSI.

Шифрование возможно на любом уровне модели OSI.

Канальное шифрование – процесс, при котором данные шифруются на нижних уровнях (физич. и канальный).

Сквозное шифрование – процесс, при котором данные шифруются на верхних уровнях модели OSI.

Канальное шифрование проще всего выполнять на физическом уровне.

Преимущества:

- простота операций

- прозрачность для приложений и пользователей

- достаточно одного набора ключей на одном канале связи, следовательно нет проблем распостранения ключей.

- обеспечивается безопасность трафика

- шифрование осуществляется в онлайн режиме с высокой скоростью.

Недостатки:

- промежуточные узлы расшифровывают весь поток данных, поэтому сообщения уязвимы во всех промежуточных узлах.

- пользователь не имеет возможность контролировать безопасность узлов.

- зависимость от транспортной инфраструктуры и протоколов нижних уровней.

Сквозное шифрование – использует программную реализацию шифрования.

Преимущества:

- высокий уровень безопасности

- безопасность контролируется пользователем

- шифрование выполняется только один раз

- безопасность не зависит от транспортной инфраструктуры

Недостатки:

- требуется более сложная схема распространения ключей.

- возможен анализ трафика, анализ заголовков так как маршрутная информация не зашифрована.

- непрозрачность для приложений и пользователей.

- защищенный канал, реализованный на верхних уровнях, защищает обычно только определенную сетевую службу(email).

Существует несколько мест расположения функций шифрования при сквозном шифровании:

шифрование на канальном уровне

шифрование на представительском уровне(более универсальный подход).(SSL/ILS). Не разрешается свой подход для каждой службы, зашита встраивается в приложение.

шифрование на сетевом уровне. Шифруются данные пользователя и заголовок транспортного уровня, а заголовок Ip остается открытым.

 

Общая характеристика, применение и преимущества протокола IPSec.

IPSec выполняет 3 основных функций:

- Аутентификация

- Конфедициальность

- Управление ключами

IPSec разработан IETF. В 1995 опубликована 5 документов RFC, где описанфы основные компоненты протокола IPSec. Поддержка IPSec обязательна в IP v6. IPSec обеспечивает защиту информации в локальных глобальных и корпоративных сетях. Особенность: позволяет защитить весь трафик на уровне IP. Не требует использования дополнительных программных интерфейсов в отличие других протоколов.

Преимущества IPSec:

- Может обеспечиваться защита всего потока данных

- Трафик внутри локальной сети не перегружается лишними операциями

- IPSec незаметен для приложений

- IPSec может быть скрыт от конечного пользователя

- IPSec может обеспечивать защиту индивидуального пользователя

- IPSec играет важную роль в организации маршрутизации при межсетевом воздействии

IPSec поддерживает два основных метода обеспечения безопасности:

- Включение в состав передаваемых пакетов только специального заголовка аутентификации, тогда данные IP пакета передаются в открытом виде. В заголовке аутентификации включается специальная информация, позволяющая проверить целостность данных и выполнить аутентификацию. Аутентификация осуществляется с помощью кодов аутентичности сообщения MAC. Специфика IPSec требует чтобы любая его реализация поддерживала HMAC – MD5 – 96 и HMAC – SHA1 – 96.

- Инкапсуляция содержимого пакета при его использовании добавляется заголовок ESP (Enscapulation Security Payload). Данные IP пакета шифруются с помощью симметричных алгоритмов шифрования. Используемые спецификации требуют чтобы реализация IPSec поддерживала использование алгоритмов DES, тройной DES, RC5, IDEA CAST.

 

Архитектура IPSec.

IPSec выполняет 3 основных функций:
•Аутентификация
•Конфедициальность
•Управление ключами
IPSec разработан IETF. В 1995 опубликована 5 документов RFC, где описанфы основные компоненты протокола IPSec. Поддержка IPSec обязательна в IP v6. IPSec обеспечивает защиту информации в локальных глобальных и корпоративных сетях. Особенность: позволяет защитить весь трафик на уровне IP. Не требует использования дополнительных программных интерфейсов в отличие других протоколов.
Преимущества IPSec:
• Может обеспечиваться защита всего потока данных
• Трафик внутри локальной сети не перегружается лишними операциями
• IPSec незаметен для приложений
• IPSec может быть скрыт от конечного пользователя
• IPSec может обеспечивать защиту индивидуального пользователя
• IPSec играет важную роль в организации маршрутизации при межсетевом воздействии
IPSec поддерживает два основных метода обеспечения безопасности:
• Включение в состав передаваемых пакетов только специального заголовка аутентификации, тогда данные IP пакета передаются в открытом виде. В заголовке аутентификации включается специальная информация, позволяющая проверить целостность данных и выполнить аутентификацию. Аутентификация осуществляется с помощью кодов аутентичности сообщения MAC.
• Инкапсуляция содержимого пакета при его использовании добавляется заголовок ESP (Enscapulation Security Payload). Данные IP пакета шифруются с помощью симметричных алгоритмов шифрования. Используемые спецификации требуют чтобы реализация IPSec поддерживала использование алгоритмов DES, тройной DES, RC5, IDEA CAST.

33. Протокол SSL/TLS.Общая характеристика.

Протокол SSL (Secure Socket Layer)(один из вариантов обмена инфой между сервером и браузером) был разработан американской компанией Netscape Communications Corp как протокол, обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.
Протокол сеансового уровня

Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде "клиент-сервер" интерпретируются следующим образом:

· пользователь и сервер, подключаясь, должны быть взаимно уверены, что они обменивается информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой (обеспечение аутентификации);

· после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;

· и, наконец, при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче (целостность).

Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать или провести проверку подлинности друг друга, согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (асимметричные) криптосистемы, в частности, RSA.

Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4, RC2, DES и др.). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code - MAC), вычисляемых с помощью хэш-функций (в частности, MD5).
Последняя версия предназначена для создания и управления различного рода сертификатами. Так же в его состав входит и библиотека для поддержки SSL различными программами.

TLS-Transport Layer Security приравнивается к SSL v.3