logo search
Беспроводные_и_Спутниковые_Сети_1

3.4. Угрозы криптозащиты

В беспроводных сетях применяются криптографические средства для обеспечения целостности и конфиденциальности информации. Однако оплошности приводят к нарушению коммуникаций и использованию информации злоумышленниками. WEP - это криптографический механизм, созданный для обеспечения безопасности сетей стандарта 802.11. Этот механизм разработан с единственным статическим ключом, который применяется всеми пользователями. Исследование WEP-шифрования выявило уязвимые места, из-за которых атакующий может полностью восстановить ключ после захвата минимального сетевого трафика. В Internet есть средства, которые позволяют злоумышленнику восстановить ключ в течение нескольких часов. Поэтому на WEP, как на средство аутентификации и конфиденциальности в беспроводной сети, полностью полагаться нельзя. Все беспроводные коммуникационные сети подвержены атакам прослушивания в период контакта (установки соединения, сессии связи и прекращения соединения). Сама природа беспроводного соединения не позволяет его контролировать, и потому оно требует защиты. Управление ключом вызывает дополнительные проблемы при роуминге и при пользовании открытой средой.

Анонимность атак. Беспроводной доступ обеспечивает полную анонимность атаки. Без соответствующего оборудования в сети, позволяющего определять местоположение, атакующий может легко сохранять анонимность и прятаться где угодно на территории действия беспроводной сети. В таком случае злоумышленника трудно поймать и еще сложнее передать дело в суд. В недалеком будущем прогнозируется ухудшение распознаваемости атак в Internet из-за широкого распространения анонимных входов через небезопасные точки доступа. Уже существует много сайтов, где публикуются списки таких точек, которые можно использовать с целью вторжения. Важно отметить, что многие мошенники изучают сети не для атак на их внутренние ресурсы, а для получения бесплатного анонимного доступа в Internet, прикрываясь которым, они атакуют другие сети. Если операторы связи не принимают мер предосторожности против таких нападений, они должны нести ответственность за вред, причиняемый другим сетям при использовании их доступа к Internet.

Физическая защита. Устройства беспроводного доступа к сети должны быть маленькими и переносимыми (КПК, ноутбуки), как и точки доступа. Кража таких устройств во многом приводит к тому, что злоумышленник может попасть в сеть, не предпринимая сложных атак, т. к. основные механизмы аутентификации в стандарте 802.11 рассчитаны на регистрацию именно физического аппаратного устройства, а не учетной записи пользователя. Так что потеря одного сетевого интерфейса и несвоевременное извещение администратора может привести к тому, что злоумышленник получит доступ к сети без особых хлопот.

3.5. Основы криптографии

Аутентификация - определение источника информации, то есть конечного пользователя или устройства (центрального компьютера, сервера, коммутатора, маршрутизатора и т. д.).

Целостность данных - обеспечение неизменности данных в ходе их передачи. Конфиденциальность данных - обеспечение просмотра данных в приемлемом формате только для лиц, имеющих право на доступ.

Шифрование - метод изменения информации таким образом, что прочитать ее не может никто, кроме адресата, который должен ее расшифровать.

Расшифровка - метод восстановления измененной информации и приведения ее в читаемый вид. Ключ - цифровой код, используемый для шифрования и расшифровки информации, а также для ее подписи. Общий ключ - цифровой код, используемый для шифрования/расшифровки информации и проверки цифровых подписей. Этот ключ может быть широко распространен и используется с соответствующим частным ключом. Частный ключ - цифровой код, используемый для шифрования/расшифровки информации и проверки цифровых подписей. Владелец этого ключа должен держать его в секрете. Частный ключ используется с соответствующим общим ключом. Секретный ключ - цифровой код, совместно используемый двумя сторонами для шифрования и расшифровки данных. Хэш-функция - математический аппарат, результатом которого является последовательность битов (цифровой код). Имея этот результат, невозможно восстановить исходные данные, использовавшиеся для расчета. Хэш - последовательность битов, полученная в результате расчета хэш-функции. Результат обработки сообщения (Message digest) - величина, выдаваемая хэш-функцией (то же, что и «хэш»). Шифр - любой метод шифрования данных. Цифровая подпись - последовательность битов, прилагаемая к сообщению (зашифрованный хэш), которая обеспечивает аутентификацию и целостность данных. AAA (Authentication, Authorization, Accounting) - архитектура аутентификации, авторизации и учета. VPN (Virtual Private Networks) - виртуальные частные сети. IDS (Intrusion Detection System) - системы обнаружения вторжений.

Криптография. Криптографией называется наука о составлении и расшифровке закодированных сообщений. Криптография является важным элементом для механизмов аутентификации, целостности и конфиденциальности.

Аутентификация служит средством подтверждения личности отправителя или получателя информации. Целостность означает, что данные не были изменены, а конфиденциальность обеспечивает ситуацию, при которой данные не может понять никто, кроме их отправителя и получателя. Обычно криптографические механизмы существуют в виде алгоритма (математической функции) и секретной величины (ключа). Аутентификация, целостность данных и конфиденциальность данных поддерживаются тремя типами криптографических функций: симметричным шифрованием, асимметричным шифрованием и хэш-функциями.

Симметричное шифрование. Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных. Для того чтобы обеспечить конфиденциальность данных, абоненты должны совместно выбрать единый математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того, им нужно выбрать общий ключ (секретный ключ), который будет использоваться с принятым ими алгоритмом шифрования/расшифровки. Пример симметричного шифрования показан на рис. 3.5.

Рис. 3.5. Симметричное шифрование

Сегодня широко используются такие алгоритмы секретных ключей, как Data Encryption Standard (DES), 3DES (или "тройной DES") и International Data Encryption Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Если объем сообщения превышает 64 бита, то необходимо разбить его на блоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такое объединение, как правило, осуществляется одним из четырех методов:

  1. электронной кодовой книгой (Electronic Code Book - ECB);

  2. цепочкой зашифрованных блоков (Cipher Block Changing - CBC);

  3. x-битовой зашифрованной обратной связью (Cipher FeedBack - CFB-x);

  4. выходной обратной связью (Output FeedBack - OFB).

Шифрование с помощью секретного ключа чаще всего используется для поддержки конфиденциальности данных и очень эффективно реализуется с помощью неизменяемых «вшитых» программ (firmware). Этот метод можно использовать для аутентификации и поддержания целостности данных, но метод цифровой подписи является более эффективным. С методом секретных ключей связаны следующие проблемы: необходимо часто менять секретные ключи, поскольку всегда существует риск их случайного раскрытия; трудно обеспечить безопасную генерацию и распространение секретных ключей.

Асимметричное шифрование. Асимметричное шифрование часто называют шифрованием с помощью общего ключа, при котором используются разные, но взаимно дополняющие друг друга ключи и алгоритмы шифрования и расшифровки. Для того чтобы установить связь с использованием шифрования через общий ключ, обеим сторонам нужно получить два ключа: общий и частный (рис. 3.6). Для шифрования и расшифровки данных стороны будут пользоваться разными ключами.

Рис. 3.6. Асимметричное шифрование

Вот некоторые наиболее типичные цели использования алгоритмов общих ключей: обеспечение конфиденциальности данных; аутентификация отправителя; получение общих ключей для совместного использования.

Механизмы генерирования пар общих/частных ключей являются достаточно сложными, но в результате получаются пары очень больших случайных чисел, одно из которых становится общим ключом, а другое - частным. Генерация таких чисел требует больших процессорных мощностей, поскольку эти числа, а также их произведения, должны отвечать строгим математическим критериям. Однако этот процесс абсолютно необходим для обеспечения уникальности каждой пары общих/частных ключей. Алгоритмы шифрования с помощью общих ключей редко используются для поддержки конфиденциальности данных из-за ограничений производительности. Вместо этого их часто используют в приложениях, где аутентификация проводится с помощью цифровой подписи и управления ключами. Из наиболее известных алгоритмов общих ключей можно назвать RSA (Rivest-Shamir-Adleman) и ElGamal (Эль-Гамал).

Безопасная хэш-функция. Безопасной хэш-функцией называется та функция, которую легко рассчитать, но обратное восстановление практически невозможно, так как требует непропорционально больших усилий. Входящее сообщение пропускается через математическую функцию (хэш-функцию), и в результате на выходе мы получаем некую последовательность битов (рис. 3.7). Эта последовательность называется «хэш». Хэш-функция принимает сообщение любой длины и выдает на выходе «хэш» фиксированной длины.

Рис. 3.7. Вычисление хэш-функции

Обычные хэш-функции включают: алгоритм Message Digest 4 (MD4); алгоритм Message Digest 5 (MD5); алгоритм безопасного «хэша» (Secure Hash Algorithm - SHA).