Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
В случае постоянных групп применение SKIP-протокола может быть сведено к описанному выше примеру с той только разницей, что группа будет иметь фиксированный Kg и обновление данного ключа может происходить лишь при его компрометации. Поэтому для данного случая не требуется наличие эффективных процедур обновления общего для группы ключа.
Рекомендации по распределению открытых ключей, используемых в SKIP-протоколе
SKIP использует открытые ключи, и в основе его создания - идея Диффи-Хэлмана, для которой уже продемонстрирована потенциальная уязвимость, приводящая к получению нарушителем доступа к конфиденциальной информации. При этом злоумышленнику нужно только иметь доступ к каналам передачи информации и знать спецификации используемых протоколов.
280 Компьютерная безопасность и практическое применение криптографии
Криптографический комплекс «Шифратор IP-потоков»
Этот комплекс выполнен в виде отдельного устройства, реализующего шифрование исходящего и входящего трафика локальной сети. KK (или криптомаршрутизатор) «Шифратор IP-потоков» (МО ПНИЭИ) построен на реализации SKIP-протокола. Зарубежные аналоги этого устройства, сконструированные на сходных принципах, широко используются для защиты Internet-трафика. Среди подобных средств следует отметить SWAN (в 1996 году данное устройство обеспечивало защиту 5% трафика в Internet), в качестве протокольной части которого реализованы рекомендации IPSec.
Защитой от данной атаки может служить сертификация открытых ключей. Поэтому значительная часть стандарта на SKIP посвящена организации служб сертификации, причем если для корпоративной сети может использоваться один центр сертификации, то для применения SKIP в глобальных сетях передачи данных необходимо создание иерархических структур подобных центров. В проекте стандарта на SKIP в качестве процедур сертификации и форматов представления сертификатов взяты рекомендации Х.509.
Средства, применяемые для защиты информации при построении VPN
Данный раздел рассказывает о применении и основных принципах построения средств защиты VPN на примере четырех криптографических продуктов, которые, по мнению автора, являются наиболее типичными представителями этого семейства, а именно:
• «Шифратор IP-потоков» (далее - «Шип») и ФПСУ-IP, предназначенные для шифрования 1Р-трафика;
• программное средство «Игла-П», обеспечивающее защиту пользовательских соединений;
• продукты «Застава».
•Результаты тестирования «Шифратора IP-потоков», ФПСУ-IP и «Заставы», предоставленные коллективом авторов, в числе которых И. Гвоздев, В. Зайчиков, Н. Мошак, М. Пеленицин, С. Селезнев, Д. Шепелявый, - см. в приложении «Сравнительные характеристики отечественных средств построения VPN».
Защита информации при межсетевом взаимодействии
281
KK «Шип» предназначен:
• для обеспечения конфиденциальности и целостности информации, передаваемой в сетях общего пользования, построенных на основе протоколов IP, Х.25, Frame Relay;
• для создания защищенных подсетей передачи конфиденциальной информации;
• для объединения локальных сетей, включая сети Novell (IPX), в единую защищенную сеть;
• для закрытия доступа к ресурсам сети и отдельным компьютерам из сети общего доступа;
• для организации единого центра управления защищенной подсетью.
KK «Шип» представляет собой распределенную систему шифраторов, средств управления шифраторами, средств хранения, распространения и передачи ключевой информации, а также средств оперативного мониторинга и регистрации происходящих событий.
Комплекс обеспечивает:
• закрытие данных на основе использования функций шифрования;
• контроль целостности передаваемой информации;
• аутентификацию абонентов (узлов сети);
• защиту доступа к локальной сети и сокрытие IP-адресов подсети;
• создание защищенных подсетей в сетях общего пользования;
• передачу контрольной информации в центр управления безопасностью защищенной IP-сети;
• поддержку протоколов маршрутизации RIP И, OSPF, BGP в виртуальной сети и локальных сетях;
• фильтрацию IP-, ICMP-, SKIP-пакетов и TCP-соединений на этапе маршрутизации и при приеме/передаче в канал связи;
• поддержку и преобразование различных сетевых протоколов;
• защиту от НСД ресурсов самого шифратора.
•При разработке KK «Шип» были учтены международные рекомендации по защите протокола IP. Формат IP-пакетов, содержащих зашифрованную информацию, соответствует IPSEC (RFC 1825,1826,18271995 года) и предложениям SKIP-07 (фирма SUN Microsystems) с односторонней аутентификацией абонентов.
В состав KK «Шип» входят:
• шифратор IP-потоков - аппаратно-программный комплекс «Шип» (АПК «Шип»);
282 Компьютерная безопасность и практическое применение криптографии
• центр управления ключевой системой (ЦУКС) «Шип». АПК «Шип» и ЦУКС «Шип» обеспечивают:
• защиту (шифрование и проверку целостности с использованием имитовставки) данных, передаваемых между узлами сети, согласно ГОСТ 28147-89;
• одностороннюю аутентификацию узлов защищенной сети на основе имитовставки согласно ГОСТ 28147-89;
