Канальное и сквозное шифрование и их связь с эталонной моделью OSI.
Шифрование возможно на любом уровне модели OSI.
Канальное шифрование – процесс, при котором данные шифруются на нижних уровнях (физич. и канальный).
Сквозное шифрование – процесс, при котором данные шифруются на верхних уровнях модели OSI.
Канальное шифрование проще всего выполнять на физическом уровне.
Преимущества:
- простота операций
- прозрачность для приложений и пользователей
- достаточно одного набора ключей на одном канале связи, следовательно нет проблем распостранения ключей.
- обеспечивается безопасность трафика
- шифрование осуществляется в онлайн режиме с высокой скоростью.
Недостатки:
- промежуточные узлы расшифровывают весь поток данных, поэтому сообщения уязвимы во всех промежуточных узлах.
- пользователь не имеет возможность контролировать безопасность узлов.
- зависимость от транспортной инфраструктуры и протоколов нижних уровней.
Сквозное шифрование – использует программную реализацию шифрования.
Преимущества:
- высокий уровень безопасности
- безопасность контролируется пользователем
- шифрование выполняется только один раз
- безопасность не зависит от транспортной инфраструктуры
Недостатки:
- требуется более сложная схема распространения ключей.
- возможен анализ трафика, анализ заголовков так как маршрутная информация не зашифрована.
- непрозрачность для приложений и пользователей.
- защищенный канал, реализованный на верхних уровнях, защищает обычно только определенную сетевую службу(email).
Существует несколько мест расположения функций шифрования при сквозном шифровании:
шифрование на канальном уровне
шифрование на представительском уровне(более универсальный подход).(SSL/ILS). Не разрешается свой подход для каждой службы, зашита встраивается в приложение.
шифрование на сетевом уровне. Шифруются данные пользователя и заголовок транспортного уровня, а заголовок Ip остается открытым.
Общая характеристика, применение и преимущества протокола IPSec.
IPSec выполняет 3 основных функций:
- Аутентификация
- Конфедициальность
- Управление ключами
IPSec разработан IETF. В 1995 опубликована 5 документов RFC, где описанфы основные компоненты протокола IPSec. Поддержка IPSec обязательна в IP v6. IPSec обеспечивает защиту информации в локальных глобальных и корпоративных сетях. Особенность: позволяет защитить весь трафик на уровне IP. Не требует использования дополнительных программных интерфейсов в отличие других протоколов.
Преимущества IPSec:
- Может обеспечиваться защита всего потока данных
- Трафик внутри локальной сети не перегружается лишними операциями
- IPSec незаметен для приложений
- IPSec может быть скрыт от конечного пользователя
- IPSec может обеспечивать защиту индивидуального пользователя
- IPSec играет важную роль в организации маршрутизации при межсетевом воздействии
IPSec поддерживает два основных метода обеспечения безопасности:
- Включение в состав передаваемых пакетов только специального заголовка аутентификации, тогда данные IP пакета передаются в открытом виде. В заголовке аутентификации включается специальная информация, позволяющая проверить целостность данных и выполнить аутентификацию. Аутентификация осуществляется с помощью кодов аутентичности сообщения MAC. Специфика IPSec требует чтобы любая его реализация поддерживала HMAC – MD5 – 96 и HMAC – SHA1 – 96.
- Инкапсуляция содержимого пакета при его использовании добавляется заголовок ESP (Enscapulation Security Payload). Данные IP пакета шифруются с помощью симметричных алгоритмов шифрования. Используемые спецификации требуют чтобы реализация IPSec поддерживала использование алгоритмов DES, тройной DES, RC5, IDEA CAST.
Архитектура IPSec.
IPSec выполняет 3 основных функций:
•Аутентификация
•Конфедициальность
•Управление ключами
IPSec разработан IETF. В 1995 опубликована 5 документов RFC, где описанфы основные компоненты протокола IPSec. Поддержка IPSec обязательна в IP v6. IPSec обеспечивает защиту информации в локальных глобальных и корпоративных сетях. Особенность: позволяет защитить весь трафик на уровне IP. Не требует использования дополнительных программных интерфейсов в отличие других протоколов.
Преимущества IPSec:
• Может обеспечиваться защита всего потока данных
• Трафик внутри локальной сети не перегружается лишними операциями
• IPSec незаметен для приложений
• IPSec может быть скрыт от конечного пользователя
• IPSec может обеспечивать защиту индивидуального пользователя
• IPSec играет важную роль в организации маршрутизации при межсетевом воздействии
IPSec поддерживает два основных метода обеспечения безопасности:
• Включение в состав передаваемых пакетов только специального заголовка аутентификации, тогда данные IP пакета передаются в открытом виде. В заголовке аутентификации включается специальная информация, позволяющая проверить целостность данных и выполнить аутентификацию. Аутентификация осуществляется с помощью кодов аутентичности сообщения MAC.
• Инкапсуляция содержимого пакета при его использовании добавляется заголовок ESP (Enscapulation Security Payload). Данные IP пакета шифруются с помощью симметричных алгоритмов шифрования. Используемые спецификации требуют чтобы реализация IPSec поддерживала использование алгоритмов DES, тройной DES, RC5, IDEA CAST.
33. Протокол SSL/TLS.Общая характеристика.
Протокол SSL (Secure Socket Layer)(один из вариантов обмена инфой между сервером и браузером) был разработан американской компанией Netscape Communications Corp как протокол, обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.
Протокол сеансового уровня
Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде "клиент-сервер" интерпретируются следующим образом:
· пользователь и сервер, подключаясь, должны быть взаимно уверены, что они обменивается информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой (обеспечение аутентификации);
· после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;
· и, наконец, при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче (целостность).
Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать или провести проверку подлинности друг друга, согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (асимметричные) криптосистемы, в частности, RSA.
Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4, RC2, DES и др.). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code - MAC), вычисляемых с помощью хэш-функций (в частности, MD5).
Последняя версия предназначена для создания и управления различного рода сертификатами. Так же в его состав входит и библиотека для поддержки SSL различными программами.
TLS-Transport Layer Security приравнивается к SSL v.3