Лекции по "Информационной безопасности"

Рис.6. Формат сертификата X.509 v3.

Каждый сертификат состоит  из трех основных полей: текста сертификата, алгоритма подписи и самой подписи. В тексте сертификата указывается номер версии, серийный номер, имена эмитента и субъекта, общий ключ для субъекта, срок действия (дата и время начала и окончания действия сертификата). Иногда в этом тексте содержится дополнительная опционная информация, которую помещают в уникальные поля, связывающие пользователей или общие ключи с дополнительными атрибутами. Алгоритм подписи — это алгоритм, который использует СА для подписи сертификата. Подпись создается пропусканием текста сертификата через одностороннюю хэш-функцию. Величина, получаемая на выходе хэш-функции, зашифровывается частным ключом СА. Результат этого шифрования и является цифровой подписью (рис.7).

 

 

Рис.7. Создание цифровой подписи для сертификата X.509 v3.

При выдаче сертификата подразумевается, что он будет действовать в течение всего указанного срока. Однако могут возникнуть обстоятельства, требующие досрочного прекращения действия сертификата. Эти обстоятельства могут быть связаны с изменением имени, изменением ассоциации между субъектом и СА (если, например, сотрудник уходит из организации), а также с раскрытием или угрозой раскрытия соответствующего частного ключа. В этих случаях СА должен отозвать сертификат.

CRL представляет собой список отозванных сертификатов с указанием времени. Он подписывается СА и свободно распространяется через общедоступный репозиторий. В списке CRL каждый отозванный сертификат опознается по своему серийному номеру. Когда у какой-то системы возникает необходимость в использовании сертификата (например, для проверки цифровой подписи удаленного пользователя), эта система не только проверяет подпись сертификата и срок действия, но и просматривает последний из доступных списков CRL, проверяя, не отозван ли этот сертификат. Значение термина «последний из доступных» зависит от местной политики в области безопасности, но обычно здесь имеется в виду самый последний список CRL. СА составляет новые списки CRL на регулярной основе с определенной периодичностью (например, каждый час, каждый день или каждую неделю). Отозванные сертификаты немедленно вносятся в список CRL. Записи об отозванных сертификатах удаляются из списка в момент истечения официального срока действия сертификатов.

На рисунке 8 показан пример связи между системами и единым СА при помощи цифровых сертификатов.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рис.8. Передача цифрового  сертификата.

Оба маршрутизатора и  СА имеют свои пары общих/частных  ключей. Вначале СА должен передать обоим маршрутизаторам по защищенным каналам сертификат Х.509 v3. Кроме того, оба маршрутизатора должны получить по защищенным каналам копию общего ключа СА. После этого, если маршрутизатор 1 имеет трафик для отправки маршрутизатору 2 и хочет передать этот трафик аутентичным и конфиденциальным способом, он должен предпринять следующие шаги:

1. Маршрутизатор 1 направляет запрос в СА для получения общего ключа маршрутизатора 2.
2. СА отправляет ему сертификат маршрутизатора 2, подписанный своим частным ключом.
3. Маршрутизатор 1 проверяет подпись общим ключом СА и убеждается в аутентичности общего ключа маршрутизатора 2.
4. Маршрутизатор 2 направляет запрос в СА для получения общего ключа маршрутизатора 1.
5. СА отправляет ему сертификат маршрутизатора 1, подписанный своим частным ключом.
6. Маршрутизатор 2 проверяет подпись общим ключом СА и убеждается в аутентичности общего ключа маршрутизатора 1.

Теперь, когда оба маршрутизатора обменялись своими общими ключами, они  могут пользоваться средствами шифрования и с помощью общих ключей отправлять друг другу аутентичные конфиденциальные данные. Для получения общего секретного ключа обычно используется метод Диффи-Хеллмана, поскольку общий секретный ключ, как правило, применяется для шифрования больших объемов данных.

 

Технологии удаленного доступа к виртуальным частным сетям

 

Виртуальные частные  сети с удаленным доступом (Virtual Private Dialup Networks — VPDN) позволяют крупным компаниям расширять свои частные сети, используя линии удаленной связи. Новые технологии снимают проблему высокой стоимости междугородней или международной связи и проблему низкой защищенности общих телефонных линий и каналов Интернет, через которые удаленный пользователь получает доступ к корпоративной сети. Новые технологии предоставляют удаленным офисам и пользователям безопасный доступ к инфраструктуре предприятия через местное подключение к сети Интернет. В настоящее время для этого используются три протокола: протокол эстафетной передачи на втором уровне (Layer 2 Forwarding — L2F), сквозной туннельный протокол (Point-to-Point Tunneling Protocol — РРТР) и туннельный протокол второго уровня (Layer 2 Tunneling Protocol — L2TP).

 

L2F

Протокол эстафетной передачи на втором уровне (Layer 2 Forwarding — L2F) был разработан компанией Cisco Systems. Он обеспечивает туннелирование протоколов канального уровня (то есть фреймов High-Level Data Link Control [HDLC], async HDLC или Serial Line Internet Protocol [SLIP]) с использованием протоколов более высокого уровня, например, IP. С помощью таких туннелей можно разделить местоположение сервера удаленного доступа, к которому подключается пользователь, используя местные коммутируемые линии связи, и точки, где происходит непосредственная обработка протокола удаленного доступа (SLIP, PPP), и пользователь получает доступ в сеть. Эти туннели дают возможность использовать приложения, требующие удаленного доступа с частными адресами IP, IPX и AppleTalk через протокол SLIP/PPP по существующей инфраструктуре Интернет. Поддержка таких многопротокольных приложений виртуального удаленного доступа очень выгодна конечным пользователям и независимым поставщикам услуг, поскольку позволяет разделить на всех расходы на средства доступа и базовую инфраструктуру и дает возможность осуществлять доступ через местные линии связи. Кроме того, такой подход защищает инвестиции, сделанные в существующие приложения, работающие не по протоколу IP, предоставляя защищенный доступ к ним и в то же время поддерживая инфраструктуру доступа к Интернет.

 

РРТР

Сквозной туннельный протокол Point-to-Point Tunneling Protocol (РРТР) создан корпорацией Microsoft. Он никак не меняет протокол РРР, но предоставляет для него новое транспортное средство. В рамках этого протокола определяется архитектура клиент/сервер, предназначенная для разделения функций, которые существуют в текущих NAS, и для поддержки виртуальных частных сетей (VPN). Сервер сети РРТР (PNS) должен работать под управлением операционной системы общего назначения, а клиент, который называется концентратором доступа к РРТР (РАС), работает на платформе удаленного доступа. РРТР определяет протокол управления вызовами, который позволяет серверу управлять удаленным коммутируемым доступом через телефонные сети общего пользования (PSTN) или цифровые каналы ISDN или инициализировать исходящие коммутируемые соединения. РРТР использует механизм общей маршрутной инкапсуляции (GRE) для передачи пакетов РРР, обеспечивая при этом контроль потоков и сетевых заторов. Безопасность данных в РРТР может обеспечиваться при помощи протокола IPSec.

L2TP

Протоколы L2F и РРТР имеют сходную функциональность. Компании Cisco и Microsoft согласились вместе (в рамках IETF) разработать единый стандартный протокол, который получил название туннельного протокола второго уровня (Layer 2 Tunneling Protocol — L2TP).