Kriptografijos pagrindai

Kriptografijos pagrindai
Kriptografija – informacijos transliavimas į koduotą formą, naudojat kodavimo raktą. Kriptografija dažniausiai naudojama informacijos privatumui apsaugoti. Šifruotoje kriptos sistemoje pradinė informacija galima sužinoti tik naudojant atkodavimo raktą. Egzistuoja 3 kriptografijos metodai:
1. simetrinis (bendrojo rakto).
2. asimetrinio (viešojo rato)
3. „elektroninis vokas“ (alternatyva 1 ir 2)
Kodavimo sistemą sudaro 3 pagrindiniai elementai:
1. duomenys, kurie turi būti užkoduoti arba iškoduoti
2. kodavimo ir iškodavimo algoritmai
3. raktai ir sertifikatai
Duomenų šifravimo raktas yra tam tikras simbolių rinkinys, kuris padeda šifruojančiam algoritmui unikaliai užkoduoti duomenis. Nors šifravimo algoritmas gali būti visiem žinomas ir prieinamas, įsilaužėlis neturėdamas tinkamo rakto prranešimo atkoduoti negalės.
Simetrinio rakto kripto sistema
Juose tiek informacijai užkoduoti tiek atkoduoti naudojamas tas pats raktas
Simetrinio rakto kriptografijos sistemos veikimo mechanizmas
Siuntėjas Kęstas siunčia pranešimą, kurį jis užkoduoja panaudodamas jam ir pranešimo gavėjui Vytui žinomą kodavimo algoritmą. Šio algoritmo ypatybė, kad kodavimui ir iškodavimui naudojamas tas pats raktas. Tarpinis piktų kėslų turintis asmuo Jonas nežinodamas rakto nesugebės iškoduoti pranešimo net jeigu jam yra žinomas kodavimo algoritmas. Simetrinio rakto kodavimo metodas yra naudojamas įvairiuose sistemose ir sudaro technologinį pagrindą duomenų apsaugos standartams. Tačiau šiio metodo pritaikymas yra gana ribotas. Tokia kodavimo schema reikalauja abiejų pusių išankstinio susitarimo dėl rakto. Todėl simetrinio rakto kriptos sistemos yra vertingos tik tada kai abi pusės viena kita pasitiki.
Asimetrinio rakto kriptos sistema
Ji buvo sukurta rakto perdavimo problemai spręsti. Ši

ios sistemos pagrindu sukurta dauguma Interneto protokolų pagrindų (SSL; S-HTTP; PGP). Šioje sistemoje kiekvienas komunikacijų dalyvis turi du raktus: slaptą (asmeninį), viešą (publick). Tarp asmeninio ir viešo yra tiesioginis ryšys, iš asmeninio lengva sugeneruoti viešąjį. Iš viešojo galima sugeneruoti asmeninį, tačiau tai yra labai sudėtinga. Priklausomai nuo kodavimo algoritmo asmeninis ir viešasis raktai gali būti glaudžiai susiję. Pvz.: slaptumo sistemoje, tai kas yra užkoduota viešu raktu gali būti iškoduota asmeniniu raktu. Tuo tarpu autentifikavimo sistemose yra atvirkščiai. Abiejų operacijų saugumą užtikrina, tai, kad vien viešo rakto pilnam ciklui neužtenka. Kažkas turi žinoti asmeninį raktą.
Kriptos sistemos veikimo ciklas:
Siuntėjas Kęstas pasinaudoja Vyto viešuoju raktu užkoduodamas pranešimą Vytui. Vytas žinodamas asmeninį raktą iškoduoja Kęsto siųstą pranešimą. Jonas pasinaudodamas proga gali pagauti pranešimą, tačiau neegali iškoduoti pranešimo, nes jam reikia Vyto rakto, kuris tinkle niekad nesiunčiamas. Vienintelė Jono viltis yra apskaičiuoti asmeninį raktą iš viešojo rakto. Šis procesas vadinamas kodavimu.
Be kodavimo srities viešojo rakto kriptos sistemos yra taikomos ir autentifikavimui. Autentifikavimo tikslas yra įtikinti gavėją, kad pranešimas yra autentiškas. Tokį šifravimą galima suprasti kaip tam tikrą antspaudą. Jeigu dokumentas elektroninis naudojamas skaitmeninis parašas. Autentifikavimas vyksta analogiškai kodavimui tik Kęstas užkoduodamas pranešimą naudoja slaptąjį raktą. Jonas niekaip negali užkoduoti pranešimo, kad tai tikrai Kęstas, nes ji
is nežino slapto rakto.
Pagrindinis tokios sistemos trūkumas kodavimo procesas trunka žymiai ilgiau negu simetrinio rakto sistemose. Bendraujant Internetu reikia ir slaptumo, ir autentiškumo užtikrinimo, todėl kiekvienas komunikacijos dalyvis turi po dvi raktų poras. Viena pora skirta šifravimui, kita pasirašymui. Pranešimas yra pirma pasirašomas paskui koduojamas, bendrauti gali tik šiuos raktus turintys žmonės.
„Elektroninio voko“ kriptos sistema
Tokia sistema pašalina simetrinės ir asimetrinės kriptografijos trūkumus ir naudojasi jų privalumais: asimetrinės – viešojo rakto sistemos patogumas; simetrinės – bendrojo rakto sistemos greitis (simetrinis ~1000 kartų greitesnis nei asimetrinis);
Pirmiausia siuntėjas suspaudžia pranešimą, kaip sumažinant siunčiamos informacijos kiekį ir padidinant kriptografijos trukumą (suspaustai informacijai padidėja visų galimų raktų parinkimų trukmė). Tada numeruojamas seanso (vienkartinis) raktas iš atsitiktinių palės judesių ar klavišų paspaudimo. Naudojantis seanso raktu gautai ir saugiai simetriniu būdu užkoduojama informacija. Pats seanso raktas užkoduojamas gavėjo viešuoju raktu ir pridedamas prie koduoto teksto.
Iškoduojant gavėjas su savo privačiu raktu suranda prie koduoto pranešimo pridėtą seanso raktą. Iškodavus seanso raktą, juo atkoduojamas koduotas tekstas, kurį belieka išarchyvuoti.
Kriptografijos protokolai ir algoritmai. Algoritmai būna simetriniai bei asimetriniai.
Simetriniai algoritmai
DES – 40 bitų algoritmas. 45% šifravimų JAV atliekami naudojantis juo. Šis algoritmas realizuotas 16 ciklų Fiestel šifravimui.
3DES – tai DES modifikacija, 56 bitų algoritmas. Jame DES algoritmas užšifruojamas 3 skirtingais raktais. Naudojami 2 skirtingi raktai, o 1 ir 3 šifravimui atliekami tą patį raktą.
IDEA –
tarptautinis duomenų kodavimo algoritmas. Jis yra 128 bitų. Šis algoritmas naudojamas PGP sistemoje ir naudojamas 64 bitų interaktyvus blokinis šifratorius su 8 ciklais ir 3 nepriklausomais 16 bitų žodžio aritmetinėmis operacijomis.
Silpnoji pusė – atrasta didelė silpnų raktų klasė, kurie gali būti lengvai nustatyti, tačiau šis algoritmas vis vien lieka saugiu (251 yra nesaugūs, o 2128-251 yra saugūs).
Skipjack – 80 bitų algoritmas, sukurtas JAV vyriausybės užsakymu ir naudojamas clipper 8 capstone mikroschemose. Veikimas pagrįstas 80 bitų raktu, kuris šifruoja 60 bitų blokus 32 ciklais, tačiau šis algoritmas yra užkoduotas ir neatlikta išsami kripto analizė.
RC2 – kintamo kodo ilgio algoritmas, kuris viešai neatskleistas ir naudojamas SIMIME standartą. Įvairių ilgių raktu šifruojami 65 bitų blokai. Šis algoritmas nėra saugus, nes egzistuoja priemonės, kuriomis gana greitai galima surasti šifravimo kodą.
RC4 – kintamo kodo ilgio, naudojamas Aple computer, Oracle. Lotus notes sistemose, realizuotos nuosekliu šifravimu.
RC5 – 56 bitų algoritmas, pirmą kartą iššifruotas 1997m. Spalio mėn. Veikimas pagrįstas įvairių ilgių raktu. 9iki 2048 bitų0. šifruojant 32,64 ir 128 bitų blokai. Ciklų skaičius nuo 0 iki 255. atliekami trijų etapų veiksmai: 1) rakto išplėtimas; 2) užšifravimas; 3) iššifravimas.
Blowfish – kintamo kodo ilgis, skirtas dideliems ir greitaeigiams mikroprocesoriams. Veikimas – įvairių ilgių (iki 448 bitų) raktu šifruojami 64 bitų blokai. Algoritmas realizuotas Feistel šifratoriumi.
Sofer – 64 ir 128 bitų algoritmas. Sukurtas Singapūro vyriausybės, kuri norėjo panaudoti 128 bitų raktą. 64 ir 128 bitų ilgio raktas šifruojami 64 bitų blokai, gali veikti iki 10 ciklų. Minimaliai yra 6
ciklai. Atliekami 1 baito operacija ir užšifravimo procesas skiriasi nuo iššifravimo.
Seal – kintamo kodo algoritmas, sąlyginai naujas, todėl dar neatliktas nuodugni kripto analizė. Realizuotas nuoseklus šifratorius 32 bitų mašinoms. Atitinka penkias 1 baito operacijas.
Asimetriniai algoritmai
Diffte–Hellman – tai pirmasis viešojo rakto algoritmas. Kintamojo kodo ilgio. Sistemoje sugeneruoti vieši ir bendri skaičiai p ir g, kur p – pirminis, g (generatorius) – sveikas skaičius, mažesnis už p.
RSA – kintamo kodo ilgio. Populiariausias viešojo rakto algoritmas. RAS šifravimo raktai veikia abejomis kryptimis. Galima užšifruoti žinutę privačiuoju raktu, o iššifruoti – viešuoju siuntėjo raktu ir atvirkščiai. Kokiu būdu šis algoritmas tapo pagrindu skaitmeniniam parašui.
Elipsinės kreivės – kintamojo kodo ilgio elipsinis užšifravimas su trumpesniais šifro raktais. Jį sudaro elementai x ir y, kurie turi tenkinti sąlygą: y2=|x3+ax+b| p kur p – nedidelis pirminis skaičius.
SSL protokolas
Populiarus Interneto protokolas, kuris užtikrina duomenų perdavimą šifruotu pavidalu. Tarp web serverio ir su juo dirbančio kliento. Šį protokolą sukūrė NetScape comunikation korporacija savo naršyklei. Dabar šis protokolas naudojamas bemaž visuose internetinės programinės įrangos produktuose. Iki to laiko, kai kompiuteriai bus pakankamai greiti, kad aptarnautų SET protokolą SSL programinė įranga sudaro pigų, paprastą ir plačiai taikomą elektroninių atsiskaitymų sistemą. Šis protokolas naudojamas labai plačiai.
Veikimo principas:
Pirmiausia klientas prisijungia prie serverio ir siunčia jam palaikomų kodavimų algoritmų sąrašą. Serveris atsako su algoritmo pavadinimu, savo viešu raktu bei bendru raktu. Klientas gali patikrinti ar viešas raktas priklauso tam serveriui. Tada klientas generuoja atsitiktinį seanso raktą. Ir siunčia jį serveriui užkuodavęs su serverio viešuoju raktu. Serveris iškoduoja seanso raktą su savo slaptu raktu ir naudoja jį duomenų kodavimui seanso metu. Klientas gali patikrinti serverį siųsdamas jam atsitiktinę eilutę koduotą seanso raktu.serveris tada patvirtina gavimą. Šis metodas naudojamas kliento-serverio autentifikavimui bei e-komercijoje.
SSH kodavimo programa
Ši programa skirta saugiai jungtis prie nutolusio kompiuterio per tinklą. Vykdyti jame komandas, kopijuoti failus iš vieno kompiuterio į kitą. SSH atlieka griežtą autentifikavimą bei užtikrina saugų ryšį tarp kompiuterių naudojantis nesaugiomis linijomis. Galima perdavinėti suspaustus duomenis. Duomenų kodavimui naudojami šie algoritmai: DES; 3DES; IDEA; RC4; Blowfish. Raktų apsikeitimui naudojamas RSA metodas. Programa plačiai paplitusi UNIX tipo mašinose.
PCT protokolas
Sukurtas privatumui tarp dviejų bendraujančių pusių užtikrinti (klientas-serveris). Kliento ir serverio autentifikacijai. Šį protokolą sukūrė kompanijos Microsoft ir VISA siekdamos pakeisti SSL protokolą. Veikimo principas yra analogiškas SSL protokolui. Be duomenų kodavimo ir autentifikacijos šis protokolas dar tikrina pranešimų integruotumą. Tam veiksmui naudojamas MAC algoritmas. Šiame protokole duomenų kodavimui naudojami šie algoritmai: DES; 3DES; RC2; RC4. raktų apsikeitimui naudojami šie metodai: Diffte-Hellman, RSA, Fortezz.
SKIP programa
Sukurtas Sun Microsystems. Skirtas bendravimui koduotais pranešimais bei autentifikavimui. Jis turi savo mechanizmą raktų apsikeitimui ir sertifikatų valdymui. Praktikoje šis kodavimo protokolas gali būti naudojamas VPN sistemose arba koduotam kliento-serverio bendravimui.
PGP protokolas
Sistema užtikrinanti duomenų konfidencialumą. Pradžioje ši sistema buvo naudojama tik informacijos kodavimui ir e-parašo formavimui e-pašto programose. Šiuo metu PGP taikoma daug plačiau. Galima koduoti failus esančius lokaliame tinkle. Taip pat tikrinti svarbių failų esančių serveryje integruotumą. PGP sistema naudoja RSA ir IDEA algoritmus, todėl galima pasirinkti tiek simetrinę tiek asimetrinę kriptos sistemą. Šioje sistemoje pirmą kartą buvo panaudotas e-voko principas.
SET protokolas
Tai šiuolaikinis naujausias protokolas. Tai vienintelis šiuo metu naudojamas standartizuotas protokolas taikomas eksperimentine tvarka. Pagrindinė funkcija: kredito kortelių transakcijų aptarnavimui per Internetą. Šis protokolas yra vystomas kelių kompanijų pastangomis (VISA, MasterCARD, IBM, Microsoft). Sudėtinga trišalė atsiskaitymų kontrolės sistema įtraukia pardavėją/pirkėją, banką ir sertifikavimo centrą, kuris visus likusius dalyvius aprūpina sertifikatais. Iš technologijų, kurios naudojamos e-komercijai ši technologija pretenduoja į didžiausią populiarumą, nes taikoma plačiausiam vartotojų ratui visame pasaulyje. Trūkumas: šiai kodavimo sistemai yra taikomi aukšti reikalavimai techninei įrangai. Lėtas veikimas ko kas sulaiko šį protokolą nuo viešo taikymo.
Nelegalaus įsiveržimo galimybės ir prevencijos priemonės.
Pažeidėjai:
Viena iš svarbiausių kompiuterio tinklo apsaugos problemų yra tyčiniai arba kraštiniu atveju nepageidaujami bandymai įsiveržti į kompiuterių tinklą. Juos atlieka tam tikri vartotojai arba programinė įranga. Tokio tipo pažeidimas iš vartotojo pusės gali būti traktuojamas kaip nesankcionuotas priėjimas prie kompiuterio. Arba tai gali būti legalus vartotojo bandymas gauti privilegiją atlikti operaciją, kuri viršija jam suteiktas teises. Iš programinės įrangos pažeidimais gali būti laikomi viruso „kirmino“ arba „Trojos arklio“ atliekami veiksmai. Viena iš labiausiai paplitusių saugumo grėsmių yra pažeidėjai, antroji (mažiau paplitusi) virusai. Pažeidėjais paprastai vadinami: hakeriai arba įsilaužėliai. Andersonas knygoje apie „Kompiuterinis tinklų saugumas“ pažeidėjus suskirstė į 3 grupes:
1) imitatorius (misfeasor), tai žmogus neturintis teisės naudotis tam tikru kompiuteriu, tačiau įveikęs priėjimo valdymo mechanizmo ir besinaudojantis tam tikro legalaus vartotojo priėjimo teisėmis.
2) Teisių pažeidėjas (masquerade), tai legalus vartotojas bandantis gauti priėjimą prie tokių duomenų, programų arba resursų prie kurių prieiti jis neturi teisės. Tai gali būti vartotojas, kuris turi tam tikras priėjimo teises, tačiau naudoja jas blogiems tikslams.
3) Slaptas vartotojas (chandestine user), tai žmogus įvaldęs sistemos valdymo tieses ir naudojantis jas audito priemonių apėjimui ir priėjimo prie sistemos valdymui. Tokio žmogaus tikslas sudaryti kliūtis registruojant sisteminius įvykius.
Imitatoriais dažniausiai būna išoriniai vartotojai, teisių pažeidėjais – vidiniai vartotojai, o slaptieji gali būti tik išoriniai tiek vidiniai.
Pagal pavojingumo lygį yra išskiriamos nežymios ir gana rimtos pažeidėjų atakos. Prie nežymių, pagal pavojų, atakų gali būti priskirti bandymai tų vartotojų, kurie bando gauti priėjimą prie atitinkamos tinklo dalies tiesiog iš asmeninio smalsumo. Prie rimtų pavojų priskiriami veiksmai žmonių bandančių nuskaityti slaptus duomenis, įvykdyti nesankcionuotus duomenų pakeitimus, arba vykdyti veiksmus, kurie gali pažeisti visą sistemą.
Įsiveržimo metodika
Pažeidėjų tikslas gauti priėjimą prie sistemos arba praplėsti teises, kurios duotos sistemos teisiniu pagrindu. Tam tikslui pažeidėjui reikia gauti informaciją, kuri turi būti apsaugota. Daugeliu atveju ši informacija yra vartotojų slaptažodžiai. Žinodamas, kurio nors kito vartotojo slaptažodį pažeidėjas gali įeiti į sistemą kito vartotojo vardu ir gauti visas privilegijas, kurias turi tas vartotojas. Paprastai sistemoje yra failas, kuris susieja slaptažodžius su legalių vartotojų vardais. Jeigu tas failas yra neapsaugotas, tada nesunkiai galima gauti priėjimą prie to failo ir sužinoti jame saugomus slaptažodžius. Slaptažodžių failas gali būti apsaugotas dviem būdais:
1) vienpusis šifravimas; sistema saugo vartotojo slaptažodį tik užšifruotam pavidale. Kai vartotojas įveda savo slaptažodį sistema užšifruoja įvestą slaptažodį ir sulygina rezultatą su tuo, kuris saugomas slaptažodžių faile. Praktikoje sistema paprastai vykdo vienpusį paprastai negrįžtamą vertimą, kurio metu slaptažodis naudojamas šifravimo funkcijos rakto generavimui. Po to gaunamas fiksuoto ilgio rezultatas.
2) Priėjimo valdymas. Priėjimas prie slaptažodžių failo leidžiamas vienam vartotojui arba labai mažam vartotojų skaičiui.
Jeigu naudojamos abi arba bent viena iš šių priemonių potencialiam pažeidėjui prireiks tam tikrų pastangų, kad sužinotų slaptažodžius. Specialios literatūros analizės pagrindu ir bendraujant su slaptažodžio nulaužėjais buvo suformuoti 8 slaptažodžių gavimo metodai:
1. patikrinimas slaptažodžių pagal nutylėjimą (default) arba standartiškai naudojami įrašai gaunami kartu su sistema. Daugelis administratorių nesivargina pakeisti slaptažodžių pagal nutylėjimą.
2. patikrinimas visų trumpų slaptažodžių (1-3) simbolių.
3. žodžių iš sisteminio žodyno patikrinimas arba iš sąrašo labiausiai tikėtinų slaptažodžių. Pastaruosius sąrašus paprastai galima rasti įsilaužėlių paskelbtose elektroninėse lentose.
4. informacijos apie vartotojus rinkimas. Įskaitant pilnus vardus, sutuoktinių ir vaikų vardus, paveikslų ir fotografijų darbo vietose pavadinimus ir net gi mėgstamų knygų pavadinimus.
5. patikrinant kaip slaptažodžius telefoninius numerius, socialinio draudimo numerius, kabinetų numerius.
6. patikrinti kaip slaptažodžius visus galimu tam tikro regiono automobilio numerius.
7. „Trojos arklio“ panaudojimo priėjimo apribojimams apeiti.
8. prisijungimo prie ryšio linijos tarp vartotojo ir svarbiausia mazgo (serverio).
Pirmieji 6 metodai yra traktuojami kaip slaptažodžių parinkimas. Jeigu pažeidėjui tenka spėlioti slaptažodį, tai iš vienos pusės yra gana varginantis darbas iš kitos pusės sistema gali lengvai aptikti pažeidėją.
Pvz.: sistema gali atmesti bet kokius bandymus užsiregistruoti atitinkamu vardu po trijų nesėkmingų bandymų. Tai privers pažeidėją nutraukti ryšį su mazgu ir bandyti prisijungti iš naujo. Iš tiesų pažeidėjai retai naudoja tokius primityvius metodus. Jeigu pažeidėjas gali prieiti prie užšifruoto slapta žodžių failo kaip neprivilegijuotas vartotojas, tai jis greičiausiai bandys nukopijuoti tą failą ir neskubėdamas dešifruos jį duotai sistemai žinomą šifravimo mechanizmo pagrindu. Tokių veiksmų pasekoje pažeidėjas gaus slaptažodį duodantį daug aukštesnį privilegijų lygį. Slaptažodžių parinkimas pasirodo kaip efektyvus metodas ir tokiu būdų būna pavojingas tik tais atvejais, kai jis vykdomas automatiniu režimu. Efektyvus parinkimas būna kai nėra slaptažodžių parinkimo fakto išaiškinimo grėsmės. 7 metodas yra pagrįstas „Trojos arklio“ panaudojimu. Jo aptikimas sistemoje yra pakankamai sunki užduotis. 8 atakos tipas yra prisijungimas prie ryšio linijos. Jis yra priskiriamas prie sistemos fizinės apsaugos užtikrinimo srities. Tokios atakos atveju galimas apsiginimo metodas yra ryšio kanalo šifravimas.
Slaptažodžių apsauga
Pirmoji apsaugos nuo pažeidėjų linija yra slaptažodžių sistema. Praktiškai visos daug vartotojų turinčios sistemos reikalauja, kad vartotojas įeidamas į sistemą nurodytų ne tik savo identifikaciją (vartotojo vardas), bet ir slaptažodį. Slaptažodis vykdo vartotojo įeinančio į sistemą autentifikaciją. Savo ruožtu vartotojo identifikaciją užtikrina apsaugą 3 kryptimis.
1. pagal vartotojo identifikaciją nustatoma ar išviso vartotojas gaus priėjimą prie sistemos. Daugelyje sistemų priėjimas leidžiamas tik tiems kas jau turi atitinkamą identifikacinį įrašą sistemoje.
2. pagal vartotojo identifikaciją yra nustatomas privilegijų rinkinys, kurį turi duotasis vartotojas. Kai kurie vartotojai gali turėti super vartotojo statusą, kuris leidžia skaityti failus ir vykdyti veiksmus, kuriems operacinėje sistemoje numatyta ypatinga apsauga.kai kuriuose sistemose numatyta speciali identifikacija svečių įėjimui į sistemą arba anoniminių vartotojų įėjimui į sistemą. Vartotojai registruojami su tokia identifikacija būna labiau apriboti įėjimo teisėmis negu įprasti daliniai vartotojai.
3. vartotojų identifikacija vaidina svarbų vaidmenį naudojant taip vadinamą savarankiškąją priėjimo kontrolę.
Pvz.: vartotojas nurodydamas kitų vartotojų identifikaciją sąrašą gali leisti skaityti failus, kurių savininkas yra jis pats.
Priėjimo valdymas
Vienas iš metodų sumažinti atakas parenkant slaptažodžius galimybę yra uždrausti priėjimą prie slaptažodžių failo. Jeigu dalis failo, kurioje yra užšifruoti slaptažodžiai yra prieinama tik privilegijuotiems vartotojams, tai pažeidėjas negalės perskaityti failo be privilegijuoto vartotojo slaptažodžio. Praktikoje yra žinomi tam tikri šios strategijos trūkumai. Daugelis sistemų, tame tarpe ir didžioji dalis UNIX sistemų, yra jautrios įsilaužimams. Kokiu nors būdu gavęs priėjimą prie sistemos pažeidėjas gali bandyti gauti slaptažodžių, kad kiekvieną kartą prisijungtų prie sistemos kaip skirtingas vartotojas, taip sumažindamas įsilaužimo aptikimo riziką.
Skaitmeninis parašas ir jo technologijos
Skaitmeninis parašas yra informacijos, kurią gali sukurti parašo autorius, o patikrinti parašo tinkamumą visi suinteresuoti asmenys. Skaitmeninio parašo schemą galima įsivaizduoti kaip viešojo rakto kriptos sistemą. Sistemos paskelbto dešifravimo rakto ir slepiamas šifravimui skirtas raktas. Skaitmenis parašas yra slaptu raktu užšifruotas tekstas. Visi gali dešifruoti atsiųstą parašą, tačiau patys jokio teksto negali užšifruoti nežinodami šifravimo rakto. Skaitmeninis parašas sukurtas šiuolaikinės skaitmeninės technologijos pagrindu. Naudojant skaitmeninį parašą informacija yra patikimai saugoma, tačiau Lietuvoje yra nedaug projektų, kuriuose naudojamas skaitmeninis parašas.
Skaitmeninio parašo įsigaliojimo problemos: plačiau įsigalėti skaitmeniniam parašui trukdo kelios problemos susijusios su šiuolaikinėmis technologijomis.
1. yra susijusi su įstatymų leidybą. Iš juridinės pusės skaitmeninis parašas Lietuvoje negali būti naudojamas kaip įprasto parašo atitikmuo. Nenustatytos atitinkamos teisinės procedūros leidžiančios identifikuoti skaitmeninį parašą. Nenustatyta kaip elgtis pasirašant tarptautinius kontraktus. Nors iš technologinės pusės naudotis skaitmeniniu parašu būtų saugiau ir patogiau, tačiau Lietuvoje tam dar iki galo neparengti įstatymai. Lietuvos įstatymų leidėjai turėtų glaudžiai bendradarbiauti su ES, kad Lietuvoje skaitmeninio parašo įstatymai nesikirstų su kitų Europos šalių tos srities įstatymais. Lietuvos skaitmeninio parašo įstatymas kol kas netaikomas praktiškai. Išsivysčiusiose šalyse taikant šiuolaikinės technologijas ir skaitmeninį parašą pavyko pasiekti didelio progreso ekonomikos srityje.
2. Lietuvoje reikia įkurti vieną ar kelis sertifikavimo centrus, kurių pagrindinė funkcija išduoti sertifikatus. Ateityje elektroniniai asmens liudijimai bus naudojami kaip įprastas piliečio pasas. Todėl sertifikavimo centras, kuris kontroliuotų elektroninių liudijimų išdavimą turi būti įkurtas valstybinių institucijų. Informacinių technologijų bendrovė 5 kontinentai turi sertifikavimo centrų įkūrimo patirties keliose Lietuvos organizacijose. Tačiau šie centrai dėl organizacinių priežasčių neveikia visos valstybės mastu.
3. šiuolaikinių technologijų neišmanymas.
Didžiausia problema yra informacijos trūkumas.
Skaitmeninio parašo saugojimas
Šiuolaikinės technologinės priemonės gali garantuoti pakankamai aukštą informacijos saugojimo lygį. Šiuo metu pačią geriausią reputaciją turi atvirų raktų ir skaitmeninio parašo programinė įranga (PKI). Skaitmeniniam parašui saugoti reikia patikimo įrenginio, kurį būtų lengva nešiotis su savimi. Netolimoje ateityje turėtų atsirasti nedideli įrenginiai, kuriuose bus saugomi raktai. Įprastos magnetinės banko kortelės turėtų pakeisti mikroprocesorinės kortelės dar vadinamos intelektualiomis. VISA ir MasterCard kompanijų korteles mikroprocesorinėmis turi būti pakeistos iki 2005m.
„Visa Camea“ paskelbė konkursą pagal kurį atrinko 11 pasaulio bendrovių padėsiančių keisti magnetines korteles mikroprocesorinėmis. Lietuvoje prie šio projekto prisideda UAB „5 kontinentai bankinės technologijos“. Pradėti naudoti naujo tipo korteles vienintelis būdas užkirsti kelia informacijos vagystei, kurios metu informacija paverčiama pinigais nelegaliu būdu. Saugoti informaciją specialiomis priemonėmis yra gana sudėtinga, nes tam reikia įsiminti daugybę slaptažodžių. Ši problema paskatino sukurti patogius, kompaktiškus įrenginius skirtus saugoti asmeniniams slaptažodžiams ir raktams. Vieni iš tokių įrenginių yra pavadinti „eToken“ sukurti kompanijos „Aladin“. Tai nėra visai naujas įrenginys. Jis sudarytas iš tokio aties mikroprocesoriaus kaip ir šiuolaikinės banko kortelės ir atlieka tas pačias funkcijas. Tačiau jis yra naudojamas prisijungiant prie kompiuterio per USB jungtį. Tai yra nauja priemonė patikimai sauganti informaciją ir gali būti naudojama asmens identifikacijai.
Skaitmeninio parašo atsiradimas
Skaitmeninį parašą sudaro raktų pora (uždaras ir atviras). Tai tam tikro formato skaitmenų derinys sudarytas pagal nustatytą algoritmą. Atviras raktas gali būti pranešamas suinteresuotiems asmenims be jokio konfidencialumo. Uždaras raktas turi būti saugomas slaptai. Raktai gali būti įvairiausi, tačiau turi atitikti kai kurias matematines taisykles. Skaitmeninio parašo raktų porą kiekvienas turi susikurti asmeniškai naudodamasis tam skirta programa. Po to kai yra sukurtas skaitmeninis parašas gali būti naudojamas, tačiau reikalingas patvirtinimas. Be oficialaus patvirtinimo neturi juridinės galios. Patvirtinimui asmeniniai duomenys (vardas, pavardė) kartu su atviru raktu turi būti perduoti oficialioms institucijoms. Duomenys ir raktų skaitmeniniu parašu pasirašo autoritetingas asmuo, ir jie atgal perduodami savininkui. Nuo šios akimirkos savininkas turi skaitmeninį sertifikatą t.y savo atvirą raktą, savo duomenis, kuriuos pasirašė oficiali įstaiga. Sertifikatas jau turi juridinę galią nes autoritetingo asmens parašas negali būti padirbtas. Sertifikatas yra dokumentas turintis skaitmeninę išraišką suteikto sertifikavimo centro ir patvirtintą jo vadovo. Sertifikatas susieja atvirą raktą su vartotoju t.y su kompiuteriu arba tarnyba turinčia atitinkamą uždarą raktą. Didelę reikšmę turi organizacija išduodanti sertifikatus vadinama sertifikavimo centru arba pasitikėjimo centru. Kiekvienoje šalyje, kur naudojamas skaitmeninis parašas yra bent viena tokia organizacija. Australijoje ir Airijoje sertifikavimo funkcijas atlieka mokesčių inspekcija, Italijoje – kelių policija, Čekijoje – centrinis paštas. Iš techninės pusės centras atliekas šias funkcijas:
1. išduoda sertifikatą;
2. sutikrinti duomenis prieš išduodant sertifikatą
3. saugoti sertifikatus suteikiant priėjimą prie jų visiems norintiems.
4. tvarkyti sertifikatus periodiškai atnaujinant senus, įtraukiant naujus.
Norint skaitmeninį parašą taikyti visoje valkstybėje reikia sudėtingos programinės įrangos. Viena tinkamiausių yra „Baltimore“ kompanijos sukurta „Uni Cert“ sistema. Ji šiuo metu taikoma Anglijoje, Austrijoje, Italijoje, Airijoje ir kitų šalių valstybinėse komercinėse organizacijose.
Lietuvoje skaitmeninio parašo sistema veikiančia „Uni Cert“ technologijos pagrindu „UAB 5 kontinentai“ įdiegti Lietuvos banke. Mokesčių inspekcijoje naudojant „Baltimore“ programinę įrangą skaitmeninis parašas buvo išmėgintas mokesčių deklaracijai pasirašyti.
Skaitmeninio parašo pritaikymas
1. priemonė leidžianti keisti dokumentais e-paštu
2. leidžia sudaryti sutartis per Internetą.
3. kurti atsiskaitymo per Internetą sistema.
Skaitmeninis parašas ir jo technologijos labiausiais taikomos teisės ir valstybinėse srityse.
Sertifikato teigiamos galimybės
Įsigijus sertifikatą galima naudotis skaitmeninio parašo sistemos privalumais:
1. užtikrinti siunčiamų e-paštu duomenų vientisumą
2. nerodyti gavėjui savo autorystę
3. saugiai gauti e-paštu užšifruotus duomenis, kuriuos užšifruoti gali bet kuris asmuo pasiėmęs viešai paskelbtą kito asmens sertifikatą. Iššifruoti šiuos duomenis gali tik gavėjęs, kuris disponuoja privačiu sertifikavimo raktu.
4. galima naudotis saugiu SSL ryšiu, kuris leidžia turėti šifruojamą Interneto naršyklės seansą ir identifikuota web sritimi.
Pasiėmus viešai paskelbtą kito asmens sertifikatą galima:
1. patikrinti skaitmeniniu parašu parašyto atsiųsto e-laiško vientisumą. (Ar duomenys siuntimo metu nebuvo pakeisti).
2. galima siųsti e-paštu užšifruotus duomenis, kuriuos iššifruoti galės tik tas asmuo, kuriam skirta informacija.(sertifikato savininkas)
Skaitmeninio parašo naudojimas
Skaitmeninio parašo pagalba galima įrodyti duomenų autentiškumą ir vientisumą. Skaitmeninio parašo sistemą sudaro du metodai:
1. dokumento pasirašymo nesuklastojimo būdu metodas
2. įsitikinimo, kad dokumentą pasirašė žinomas asmuo metodas.
Skaitmeninis parašas yra duomenų seka sudaryta naudojant privatųjį raktą. Viešasis raktas naudojamas norint įsitikinti, kad duomenys buvo užkoduoti naudojant atitinkamu privačiu raktu. Skaitmeninio parašo duomenų sekoje taip pat gali būti vardai arba pavadinimai naudojami siuntėjui identifikuoti. Papildomai gali būti pridėta laiko žymė nurodanti kokiu laiku buvo parašytas pranešimas ar dokumentas.
Firewall priemonės ir jų komponentės.
Tai komponentų arba sistemų rinkinys, kuris patalpinamas tarp dviejų tinklų, ir atlieka 3 pagrindines funkcijas:
1. visi duomenų srautai iš vidaus į išorę ir atvirkščiai turi eiti tik per jį.
2. tik autorizuotas duomenų srautas, kaip nustatyta vietinio saugumo taisyklėmis, gali eiti per Firewall priemonių rinkinį.
3. pati sistema tampa garantuotai atspari nuo įsilaužimo.
Firewall priemonių rinkinys yra mechanizmas skirtas apsaugoti patikimą tinklą nuo nepatikimo. Firewall priemonės gali pastebimai sumažinti vidinio įsilaužimo grėsmę.
Firewall priemonių tipai:
1. vartai (gateways), tai mechanizmas, kuris atlieka retransliacijos darbą, kad kompensuotų filtro poveikį. Tinklas turintis vartus dažnai laikomas demilitarizuota zona (DMZ). Kartais tokioje zonoje vartai pavaduojami vidinių vartų. Du tinklai turi daugiau atvirų komunikacijų per vidinius vartus, negu išoriniai tinklai su vidinėmis mašinomis.
2. pridengiantis maršrutizatorius. (Screening rauter). Tai yra pati paprasčiausia visų firewall kompotentė. Jis gali būti komercinis maršrutizatorius arba parengtas mašinos pagrindu. Maršrutizatorius su kokio nors tipo paketų filtravimo galimybe. Tipiniai pridengiantys maršrutizatoriais turi galimybę blokuoti duomenų srautą tarp tinklų arba tam tikrų mašinų, IP adresų arba portų lygyje.
3. įtvirtinta mašina (Bastin host) yra firewall priemonių komponentė gali būt kaip atskiras kompiuteris identifikuojamas firewall priemonių administratoriaus kaip kritinis stipraus tinklo saugumo taškas.
4. dvigubi vartai (Dual homed gateway). Kai kurios firewall priemonės yra įgyvendinamos be pridedančių maršrutizatorių. Patalpinant sistemą ir lokaliame tinkle ir intertene. Mašinos vietiniame tinkle gali komunikuoti su vartais, bet tiesioginis ryšys tarp tinklų yra blokuojamas.
5. pridengiantis potinklis (Screener subnet). Kai kuriuose firewall priemonių konfigūracijose yra sukuriamos izoliuotas tinklas patalpinamas tarp Interneto ir vietinio tinklo. Paprastai toks tinklas yra izoliuojamas naudojant pridengiančius maršrutizatorius. Jie gali būti įgyvendinti su skirtingais filtravimo lygiais. Bendrai pridengiantis potinklis yra taip sukonfiguruojamas, kad Internetas ir lokalus tinklas turėtų priėjimą prie mašinų pridengiančiame potinklyje, bet duomenų srautas pridengiančiame potinklyje yra blokuojamas.
6. programiniai vartai (Aplication level geteways). Dar vadinami pavaduojančiais vartais („Proxy“). Dauguma tokio tipo programinės įrangos dirba įsirašyti ir siųsti režimu. Pašto programos priima įėjimą, ištiria jį ir persiunčia. Programiniai vartai yra specifiniai persiuntėjai arba reflektoriai, o ne protokolų lygyje. Bendrai šie persiuntimo servisai kai būna paleisti kartu su firewall priemonėmis yra svarbūs viso tinklo saugumui.
7. hibridiniai vartai. Jie yra visai kita specifinė kategorija/
8. pvz.: kompiuteris prijungtas prie Interneto, bet pridėjimas tik per nuosekliąsias linijas. Nuoseklios linijos prie ethernet tinklo būna prijungtos tik galutinio serverio taške. Tokie vartai gali pasinaudoti kelių protokolų galimybėmis. Maršrutizatoriai gali palaikyti ir stebėti visas TCP/IP komunikacijas arba kaip nors tyrinėti duomenų srautus. Su tikslu nustatyti ir apsaugoti nuo atakos.
IP paketu filtravimas
Visos firewall priemonės atlieka IP paketų filtravimą. Dažniausiai tai atliekama paketus filtruojančio (pridengiančio) maršrutizatoriaus pagalba. Paketai filtruojami kai jie eina per maršrutizatoriaus mechanizmus. Mechanizmai yra pagrįsti taisyklių visuma. Maršrutizatoriaus taisyklės nustatomos remiantis firewall priemonių politika. Paketus filtruojantis maršrutizatorius paprastai gali filtruoti IP paketus, pagrįstus keliais ar visais sekančiais kriterijais:
siuntėjo IP adresas
gavėjo IP adresas
TCP/UDP siuntėjo portas
TCP/UDP gavėjo portas
Ne visi paketus filtruojantys maršrutizatoriai gali filtruoti siuntėjo TCP/UDP portus. Kai kurie maršrutizatoriai gali ištirti, kokiu iš maršrutizatoriaus tinklo interfeisu paketas pateko, ir tada naudoti tai tolesniam filtravimo kriterijui. Kai kurios UNIX mašinos aprūpintos paketų filtravimo galimybe.
Filtravimas gali būti naudojamas blokuoti komunikacijoms iš ar i tam tikras mašinas ar tinklus, taip kaip blokuoti komunikacijoms tam tikriems portams. Lokalus tinklas gali norėti blokuoti komunikacijas iš tam tikru adresu, kaip iš mašinu ar tinklu, kurie jo manymu yra nepatikimi. Alternatyviai, lokalus tinklas gali blokuoti visas komunikacijas iš lokalaus tinklo išores (išimtis gali buti SMTP elektroniniam paštui gauti).
Duomenų apsaugą reglamentuojantys ES teisės aktai
Siekiant pašalinti laisvo duomenų perdavimo kliūtis nepakenkiant duomenų saugumui, buvo išleista 95/46/EC direktyva (Duomenų apsaugos direktyva), harmonizuojanti nacionalinius teisės aktus šioje srityje. Ją įgyvendinus visi Europos Sąjungos piliečiai turi lygiavertę apsaugą ES ribose. Penkiolika ES šalių-narių turėjo suderinti nacionalinę bazę su Direktyvos nuostatomis iki 1998 spalio 24 dienos.
Direktyva yra ES teises aktų dalis, skirta visoms šalims-narėms. Priėmus šį teises aktą Europos Sąjungos lygmenyje, kiekviena šalis-narė turi užtikrinti, kad jos nuostatos bus efektyviai pritaikytos jų teisės sistemai. Direktyva numato galutinį rezultatą; pritaikymų forma ir metodai yra kiekvienos šalies narės sprendimo prerogatyva. Iš principo, direktyvos įgyvendinamos per nacionalinius veiksmus (nacionalinę teises aktų bazę). Galimas ir toks atvejis, kai šaliai-narei neįdiegus Direktyvos nuostatų, kai kurios šių nuostatų turi tiesioginį efektą. Tai reiškia, kad Direktyva suteikia tiesiogines teises asmenims tuo atveju, jei asmenys gali pasikliauti direktyva nelaukdami, kol į nacionalinę teisinę bazę bus įtrauktos direktyvos nuostatos. Dar daugiau, jei asmenys mano, kad jie patyrę nuostolių dėl to, kad vietos institucijos nesugebėjo teisingai įdiegti direktyvos nuostatų, jie gali kreiptis dėl žalos atlyginimo. Šie nuostoliai gali būti išieškoti tik per vietinius teismus.
Duomenų apsaugos direktyva taikoma “kiekvienai operacijai ar operacijų rinkiniui, atliekamam su asmens duomenimis, vadinamam “duomenų tvarkymu”. Šios operacijos apima duomenų rinkimą, laikymą, atskleidimą ir pan. Direktyva taikoma duomenims, tvarkomiems automatiniu būdu (pvz., kompiuterinė klientė duomenų bazė) ir duomenims, kurie naudojami ar ketinami naudoti kaip dalis neautomatizuotų laikmenų kaupimo sistemų, iš kurių duomenys gali būti gaunami pagal tam tikrą kriterijų (pvz.; tradicinės popierinės bylos, kortelių failai su užsakymais abėcėlės tvarka pagal kliento vardą/pavardę).
Duomenų apsaugos direktyva netaikoma tais atvejais, kai duomenys tvarkomi grynai asmeniniais tikslais ar namų ūkio reikmėms (pvz., asmeninis kompiuterinis dienoraštis ar failai su draugų ar šeimos narių duomenimis). Ji taip pat netaikoma valstybės saugumo, gynybos ir operatyvines veiklos sritims, kadangi šių sričių reglamentavimas yra ne ES, o šalių-narių prerogatyva. Nacionalinė įstatyminė bazė paprastai užtikrina individų saugumą šiose srityse.
Be to, yra dar viena direktyva 97/66/EC, reglamentuojanti privatumo apsaugą telekomunikacijų srityje. Direktyva numato, kad šalys-narės privalo užtikrinti komunikacijų konfidencialumą nacionalinėmis teisinėmis priemonėmis. Tai reiškia, kad bet koks atitinkamų institucijų nesankcionuotas klausymasis, įrašinėjimas, saugojimas ar kitoks komunikacijų priežiūros perėmimas yra neteisėtas. Tuo atveju, kai siūloma skambinančiojo identifikavimo paslauga, jos naudotojams turi būti suteikiama galimybė atsisakyti šios paslaugos arba neatskleisti savo tapatybės skambinant. Ir atvirkščiai, paslaugos naudotojai turi turėti galimybę atmesti atsisakiusiųjų atskleisti tapatybę skambučius. Papildomai direktyva numato, kad tais atvejais, kai egzistuoja spausdintos ar elektroninės telekomunikacijų direktorijos, asmenys turi teisę būti neįtraukti į sąrašus be jokio papildomo mokesčio.

Leave a Comment