Протокол управления криптоключами SKIP

Курсовой проект - Компьютеры, программирование

Другие курсовые по предмету Компьютеры, программирование

Введение

 

Взрывной рост популярности сети Internet и связанных с ней коммерческих проектов послужил толчком для развития нового поколения технологий защиты информации в TCP/IP-сетях. Причем, если вплоть до начала 90-х основной задачей технологий защиты в Internet было сохранение ресурсов преимущественно от хакерских атак, то сегодня актуальной становится задача защиты коммерческой информации. Качественно это должна быть совершенно другая защита. Учитывая важность информации, атакующая сторона может позволить себе большие финансовые затраты на взлом защиты, и, следовательно, существенно более высокий уровень приемов - наблюдение трафика, перехват информации, ее криптоанализ, а также разного рода имитоатаки, диверсии и мошенничество.

1. Проблема защиты информации в Internet

 

Наивные способы защиты, такие как запрос пароля с последующей его передачей в открытом виде по коммуникационному каналу и простые списки доступа (access list) на серверах и маршрутизаторах, становятся уже сегодня малоэффективными. Что же может быть противопоставлено квалифицированной и технически вооруженной атакующей стороне? Только полноценная, криптографически обеспеченная система защиты. На рынке достаточно много предложений средств защиты Internet, однако по ряду параметров ни одно из них не может быть признано адекватным задачам защиты информации именно для Сети. Например, достаточно криптостойкой и замечательной по своей идее формирования "паутины доверия" является распространенная система PGP (Pritty good privacy). Однако, поскольку PGP обеспечивает шифрование файлов, она применима только там, где можно обойтись файловым обменом. Защитить, например, приложения on-line при помощи PGP затруднительно. Кроме того, уровень иерархии управления защиты PGP слишком высок: эту систему можно отнести к прикладному или представительскому уровням модели OSI. Стыковка защиты PGP с другими прикладными системами потребует также определенных усилий, если, конечно, вообще окажется осуществимой. Альтернативу таким "высокоуровневым" системам защиты среди традиционных решений составляют устройства защиты канального и физического уровня - скремблеры и канальные шифраторы. Они "невидимы" с прикладного уровня и, в этом смысле, совместимы со всеми приложениями. Однако такие системы имеют ограниченную совместимость с различным каналообразующим оборудованием и физическими средами передачи данных. Это, как правило, не сетевые устройства, способные распознавать топологию сети и обеспечить связь из конца в конец через многие промежуточные узлы, а "двухточечные" системы, работающие на концах защищаемой линии и, поэтому, вносящие значительную аппаратную избыточность. И, конечно же, на таких устройствах невозможно построить систему защиты в рамках такой сети, как Internet, уже хотя бы потому, что невозможно обеспечить их повсеместное распространение (высокая цена) и всеобщую аппаратную совместимость. Одной из технологий, предлагающей необходимые для применения в масштабах Internet универсальность и общность, является спецификация SKIP (Simple Key management or Internet Protocol - Простой протокол управления криптоключами в интерсети), существующая на сегодняшний день в виде проекта стандарта Internet (draft RFC, Request For Comments). Эта спецификация была разработана компанией Sun в 1994 году и предложена в качестве стандарта Internet.

 

2. Протокол SKIP

 

Почему же SKIP представляется решением, адекватным задачам защиты информации в масштабах такой сети, как Internet?

Прежде всего, потому, что SKIP совместим с IP. Это достигается тем, что заголовок SKIP-пакета является стандартным IP-заголовком, и поэтому защищенный при помощи протокола SKIP пакет будет распространяться и маршрутизоваться стандартными устройствами любой TCP/IP-сети. Отсюда вытекает и аппаратная независимость SKIP. Протокол SKIP имплементируется в IP-стек выше аппаратно-зависимой его части и работает на тех же каналах, на которых работает IP.

В основе SKIP лежит криптография открытых ключей Диффи-Хеллмана и обладает рядом достоинств:

обеспечивает высокую степень защиты информации;

обеспечивает быструю смену ключей;

поддерживает групповые рассылки защищенных сообщений;

допускает модульную замену систем шифрования;

вносит минимальную избыточность.имеет, по сравнению с существующими системами шифрования трафика следующий ряд уникальных особенностей:универсален: он шифрует IP-пакеты, не зная ничего о приложениях, пользователях или процессах, их формирующих; установленный в компьютере непосредственно над пакетным драйвером, он обрабатывает весь трафик, не накладывая никаких ограничений ни на вышележащее программное обеспечение, ни на физические каналы, на которых он используется сеансонезависим: для организации защищенного взаимодействия не требуется дополнительного информационного обмена (за исключением однажды и навсегда запрошенного открытого ключа партнера по связи) независим от системы шифрования (в том смысле, что различные системы шифрования могут подсоединяться к системе, как внешние библиотечные модули); пользователь может выбирать любой из предлагаемых поставщиком или использовать свой алгоритм шифрования информации; могут использоваться различные (в разной степени защищенные) алгоритмы шифрования для закрытия пакетного ключа и собственно данных.

 

3. Технические детали спецификации SKIP

 

Используемая в SKIP система открытых ключей Диффи-Хеллмана представляет собой криптографическую сист?/p>