Skaitmeninis parašas

Skaitmeninis parašas
1. Kas yra skaitmeninis parašas

Skaitmeninis parašas yra toks elektroninis parašas, kuris yra sugeneruojamas iš elektroninio pranešimo, pritaikius skaitmeninės santraukos funkciją ir asimetrinio šifravimo sistemą taip, kad bet koks asmuo iš pradinio, nepakeisto elektroninio pranešimo ir pasirašiusiojo viešojo šifravimo rakto gali tiksliai nustatyti:
a) ar generavimas įvykdytas naudojant pasirašiusiojo privatųjį šifravimo raktą, atitinkantį pasirašiusiojo viešąjį raktą;
b) ar pradinis elektroninis pranešimas nebuvo pakeistas po skaitmeninio parašo generacijos.

2. Skaitmeninio parašo naudojimas

Skaitmeninių parašų pagalba galima įrodyti duomenų autentiškumą (tikrumą) ir vientisumą (integralumą). Skaitmeninio paarašo sistemą sudaro du metodai: dokumento pasirašymo nesuklastojamu būdu metodas, įsitikinimo, kad dokumentą pasirašė žinomas asmuo, metodas.
Skaitmeninis parašas yra duomenų seka, sudaryta naudojant privatųjį raktą. Viešasis raktas naudojamas įsitikinant, kad parašas yra sugeneruotas šifruojant atitinkamu privačiu raktu. Skaitmeninis parašas yra taip generuojamas, kad būtų neįmanoma sudaryti teisingą skaitmeninį parašą nežinant privataus rakto. Duomenys yra autentiški, kai bet kuris asmuo gali įsitikinti tų duomenų siuntėjo tapatybe.
Skaitmeninio parašo duomenų sekoje taip pat gali būti vardai ar pavadinimai, naudojami siuntėjui identifikuoti. Paapildomai dar gali būti laiko žyma, nurodanti kokiu laiku buvo pasirašytas pranešimas ar dokumentas.
3. Skaitmeninio parašo naudojimas elektroninio pašto programose
3.1. TheBAT

Ši programa skirta daugiau Windows9x sistemai, kompiuteriams, kuriais naudojasi keli vartotojai. Ten kiekvienai pašto dėžutei galima uždėti slaptažodį. Kadangi visi vartotojai na

audojasi tais pačiais resursais, ten nėra realizuota galimybė perskaityti viešu raktu užšifruoto laiško, nes sertifikatai saugomi su Windows slaptažodžiu, kuris šiuo atveju yra bendras visiems vartotojams. Tačiau yra galimybė pasirašyti laišką, kas atrodo visiškai neracionalu, nes jokiomis kitomis el.parašo galimybėmis naudotis negalima.
Gavus užšifruota laišką, rodomas tuščias langas ir attachment, failas su užšifruotu laiško tekstu.
Gavus pasirašyta laišką, jokiu pranešimų neišduodama ir jokiu papildomu veiksmų neatliekama.

3.2. MS Outlook Express 5

Ši programa paima iš Internet Explorer 5 įdiegtus sertifikatus. Turi patogius įrankius laiško pasirašymui, užšifravimui.
Jei gaunamas pasirašytas laiškas, išduodamas pranešimas apie tai, su smulkiom instrukcijomis, ką reikia daryti : kaip patikrinti sertifikatą, kaip nurodyti,kad juo nepasitikėti, peržiūrėti siuntėjo duomenis ir pan. ir tik tada leidžiama perskaityti laišką. Galima nurodyti, kad to pranešimo daugiau nerodytų. Siuntėjas įtraukiamas į adresų knygutę, o sertifikatas į sertifikatų sąrašą.
Analogiškai ir su užšifruotu laišku. Išduodamas pranešimas. Atrašant(Reply), įtraukiamas ankstesnio laiško turinys, tačiau neužšifruotas ir nepasirašytas.
Jei laišką nurodoma šifruoti, o neturima adresato sertifikato, siunčiant tai pasakoma ir klausiama, ar laišką siųsti, ar paieškoti sertifikato.

Pavojai iš World Wide Web`o

“Internetas” ne tik prijungia mūsų kompiuterius prie pasaulinių informacijos lobynų. Jis sujungia mus vienus su kitais, sujungia “geriečius” su “blogiečiais”, ir neteisus yra tas, kuris mano, jog naršyti po WWW platybes nėra pavojinga.
Absoliuti dauguma “įsilaužimų” į kompiuterius iš

š pasaulinio tinklo lieka nepastebėti. Pasak JAV federalinio tyrimų biuro (FBI), šiuo metu užregistruojami tik maždaug penki procentai nelegalaus landžiojimo po svetimus kompiuterius atvejų. Niekieno netrukdomi hakeriai patenka į bankų duomenų apdorojimo sistemas ir naudojasi kitų indėlininkų santaupomis, elektroninio pramoninio špionažo profesionalai ir šiaip mėgėjai per “Internetą” vagia slaptus naujausios produkcijos planus.
Dauguma tokių elektroninių vagysčių šiuo metu įvykdoma, naudojantis specialiai tam sukurtomis “ActiveX” bei “Java” programomis, kurias drauge su kita informacija iš WWW puslapių parsisiunčia nieko blogo nenutuokiantys internautai. Koncerno “Sun” sukurta, šiuo matu plačiai paplitusi ir vis populiarėjanti universali programavimo kalba “Java” bei kompanijos “Microsoft” propaguojama “ActiveX” technologija skirtos visų pirma interaktyvių WWW puslapių kūrimui, animacijai bei kitiems vizualiniams efektams. Bet ne tik. Sumanūs hakeriai nesunkiai suranda būdų panaudoti “Javą” ir “ActiveX” saviems tikslams.
Šios dvi “Interneto” technologijos saugumo požiūriu yra visiškai skirtingos.

“Javą” kūrę koncerno “Sun Microsystems” (dažniausiai vadinamo tiesiog “Sun”) programuotojai iš pat pradžių galvojo apie programų darbą “Internete” ir apie informacijos apsaugą. Iš WWW puslapio parsiųsta “Java” programėlė (Java applet) startuoja ir dirba griežtai apribotoje srityje – “virtualioje mašinoje”. Ji gali kreiptis tik į tam tikslui skirtą kompiuterio disko sritį, neturi teisės paleidinėti kokių nors kitų programų, gali “bendrauti” (siųsti ir priimti duomenis) tik su tuo “Interneto” serveriu, iš ku

urio ji pati buvo parsiųsta ir t.t. Visos su “Java” kalba susijusios saugumo “skylės” atsiranda tik dėl nepakankamo šių saugumo principų paisymo ar tiesiog dėl programavimo klaidų. Vistik tenka pažymėti, jog su “Java” susijusios saugumo “skylės” įvairiose programose atrandamos kone kas antrą savaitę.

Didėjant informacijos ir duomenų perdavimo srautams, įvairaus plauko nusikaltėliams atsiranda vis daugiau galimybių užvaldyti informaciją, pakenkti kokios nors įmonės veiklai ar netgi įsibrauti į sąskaitas. Todėl firmoms, bankams ir netgi privatiems asmenims iškyla būtinybė apsaugoti savo informaciją, duomenų bazes nuo nesankcionuoto prisijungimo ar kitokio įsilaužimo.
Norėdama supažindinti Lietuvos firmas, bankus, valdžios institucijas su naujausiomis apsaugos technologijomis, UAB „Penki kontinentai“ 2002 m. gegužės 16 dieną Elektroninėje miesto informacijos tarnyboje, Vilniuje surengė tarptautinę informacinių technologijų apsaugos konferenciją.
Konferencijos dalyviams buvo pristatytos pačios naujausios informacinių sistemų, kompiuterių tinklų ir duomenų bazių apsaugos technologijos – skaitmeninis parašas, elektroninio rakto galimybės, techninės ir programinės įrangos apsauga, kompiuterių tinklų apsaugos sistemos bei antivirusinės programos.
Su šiomis technologijomis dalyvius supažindino svečiai iš žymiausių pasaulyje apsaugos techologijų gamintojų: „Baltimore“ (Airija), „Kaspersky lab.“ (Rusija) bei „ZyXEL“ (Taivanis). Apie firmos „Aladdin“ (Izraelis) gaminamus el. raktus „eToken“ pasakojo UAB „Penkių kontinentų“ bankinės technologijos atstovai.
Konferencijoje dalyvavo Vyriausybės, ministerijų, universitetų, „Lietuvos banko“, komercinių bankų atstovai, telekomunikacijos sektoriaus (ISP, GSM) tiekėjai.
Komentuodamas apsaugos technologijų galimybes, UA

AB „Penkių kontinentų“ bankinės technologijos projektų vadovas Vladas Lapinskas sakė: „Visų pirma, reikia pripažinti, kad nėra tobulų sistemų informacijai saugoti. Niekas negali 100 procentų garantuoti, kad Jūsų informacija visiškai saugi. Informacijos saugumą galima palyginti su pinigų saugumu banke. Niekas negali garantuoti, kad Jūsų pinigai, netgi laikomi pačiame patikimiausiame Šveicarijos banke, nedings. Vis dėlto tikimybė, kad pinigai šiame banke bus saugūs – labai didelė.“
Kaip atoveiksmis nusikaltimams, pasaulyje atsiranda naujos informacinių sistemų apsaugos technologijos, kurios padeda žmonėms apsaugoti savo techniką ir duomenis. Šiuolaikinės technologinės priemonės gali garantuoti pakankamai aukštą informacijos saugumo lygį.
Apie naujausias informacinų technologijų apsaugos sistemas pasakojo UAB „Penki kontinentai“ produktų vadybininkas Konstantinas Tarasenko: „Naujas būdas vartotojų identifikacijai, kuriam neturi įtakos jokie slapukai, yra firmos „Aladdin“ elektroniniai raktai „eToken“. Tai nedidelio dydžio įtaisas – el.raktas (prikabintas prie durų raktų panašus į raktų pakabuką), jungiamas prie kompiuterio per USB (Universal Serial Bus) jungtį. Šiame rakte saugoma vartotojo informacija, reikalinga identifikacijai. Kiekvienas raktas turi unikalų serijinį numerį (ID). Įtaisą tereikia prijungti prie kompiuterio ir jis leis prieiti prie duomenų be jokio slaptažodžio.
Be to, jis garantuoja ir didesnę apsaugą: slaptažodį galima sužinoti, nukopijuoti, atspėti, o naudojantis raktu prie sistemos gali prieiti tik tas, kuris jį turi. Duomenų mainai tarp „eToken“ ir kompiuterio yra šifruojami. Šifravimo kodas visada yra rakto mikroschemoje, todėl jo negalima perimti netgi fiziškai atidarius raktą.“
Populiariausias šiuo metu informacijos šifravimo būdas – taikyti DES algoritmą. Jis bendrai naudojamas bankų ir interneto versle. Tačiau naudojantis šiuolaikiniais superkompiuteriais ir valstybinių JAV laboratorijų sistemomis, DES galima palaužti per kelias valandas.
Bet, nepaisant to, minėtasis šifravimo būdas laikomas pakankama apsauga, nes tikrai niekas nenaudos superkompiuterio tam, kad prieitų prie Jūsų banko sąskaitos ar informacijos internete. Nors, ateityje ir įprasti asmeniniai kompiuteriai gali būti taip ištobulinti, kad prilygs galingiausiems šiuolaikiniams superkompiuteriams. Taigi DES technologija bus tobula apsaugos priemonė neilgai. Dauguma bankų jau dabar pradėjo naudoti 3-DES (trigubos DES) technologiją. Ši technologija rekomenduotina bankams kaip gerokai saugesnė.
Apie kitą apsaugos būdą – PKI (angl. Public Key Infrastructure – Atvirų raktų infrastruktūra) – UAB „Penkių kontinentų“ bankinės technologijos projektų vadovas Vladas Lapinskas: „Naudojant atvirą ir uždarą raktus, atvėrė naujų informacijos apsaugos perspektyvų. Jeigu DES kodui atspėti naudojantis galinga technika gali prireikti keleto valandų, tai atspėti ilgą PKI raktą prireiktų trilijono metų. Šiuo metu atvirų raktų ir skaitmeninio parašo programinė įranga PKI turi pačią geriausią reputaciją.
Ar galima kaip nors apeiti apsaugą? Deja, taip. Silpniausia apsaugos vieta – pats žmogus. Jei jis akylai nesaugos šifravimui ir parašui naudojamų raktų, jo informacija bus prieinama net ir be superkompiuterio. Kokia nauda iš seifo, jei jo duryse paliktas raktas? Ar iš buto rakto, paslėpto po kilimėliu? Lygiai taip pat juokinga būtų užsirašyti priėjimo prie savo asmeninio kompiuterio slaptažodį ir prisilipinti jį prie monitoriaus. Skaitmeniniam parašui saugoti reikia patikimo įrenginio, kurį būtų ir lengva nešiotis su savimi.“
Skaitmeninis parašas
Naudodamiesi skaitmeniniu parašu, verslininkai ir valdžios atstovai per atstumą gali pasirašyti svarbius dokumentus. Tam ypač svarbus skaitmeninio parašo technologijos patikimumas. Skaitmeniniam parašui gali būti naudojama intelektinė kortelė ir jos nuskaitymo įrenginys. Skaitmeniniam parašui taip pat gali būti panaudotas ir „eToken Pro“, be to, naudojant pastarąjį, nereikia brangių intelektinių kortelių nuskaitymo ar kitų papildomų įrenginių, mat raktas jungiamas tiesiogiai prie kompiuterio.
Skaitmeninio parašo saugumą garantuoja el. raktui naudojama airių firmos „Baltimore“ programinė įranga. „UniCERT“ – viena iš „Baltimore“ apsaugos sistemų jau yra įdiegta viename didžiausių Lietuvos bankų.
Norint apsaugoti savo informaciją, ypač svarbu naudotis saugiu tinklu. Apie tinklo įrangą ir antivirusines programas – Konstantinas Tarasenko: „Patikima tinklo įranga pasaulyje garsėja Taivanio firma „ZyXEL“. Nuo 1989 metų ji pradėjo gaminti ir platinti visame pasaulyje modemus. Vėliau jos gaminamų produktų sąrašas gerokai išsiplėtė. Dabar ji siūlo modemus, maršrutizatorius, koncentratorius, suderintuvus, skirtus įvairiais būdais prisijungti prie interneto, taip pat plačiajuosčio ryšio DSL įrangą.
Pastruoju metu „ZyXEL“ ypač akcentuoja tinklo saugumą. Nauja „ZyWALL“ maršrutizatorių serija ne tik garantuoja patikimą ryšį, bet ir saugo nuo kompiuterinių įsiveržimų į tinklą, filtruoja nepageidaujamą informacijos turinį, pvz., kad vaikams nebūtų prieinama pornografinė ir smurto informacija, kad darbuotojai darbo metu nepiktnaudžiautų interneto pokalbiais ir kt.
„ZyWALL“ serijos produktai filtruoja duomenis, seka įrangos veiklą, aptikę nesklandumus ar pavojaus signalus siunčia pranešimus. „ZyWALL“ turi programų rinkinį, leidžiantį konfigūruoti tinklą, vesti interneto vartotojų veiksmų apskaitą.
Tačiau „ZyXEL“ diegia vis naujas tinklo technologijas. Naujausias jų produktas – VPN (virtualaus kabelio tinklo) technologija, kuri naudojama užtikrinti itin dideliam tinklo saugumui ir sparčiam kokybiškam ryšiui.
„ZyWALL“ serijos įrenginiai suteikia pageidaujamą VPN tunelių skaičių, todėl tinka ir namų vartotojams, ir mažoms, vidutinėms ar netgi didelėms įmonėms. Jie koduoja duomenis – taip suteikiamas saugus ir paprastas duomenų perdavimas per internetą ir sutaupomi pinigai brangiai išskirtinių linijų nuomai. „ZyXEL“ bemaž visose pasaulio šalyse turi platintojų. Lietuvoje jos įrangą platina UAB „Penki kontinentai“. Ši bendrovė „ZyXEL“ partneriu tapo nuo 1994 metų.“
Dar vienas interneto keliamas pavojus – virusai. Kompanijos ir pavieniai asmenys sugaišta marias laiko, išleidžia krūvas pinigų, kol „išgydo“ savo kompiuterius nuo šių kenkėjų. Dažnai virusų sugadintą programinę įrangą apskritai tenka įdiegti iš naujo. Todėl, norėdami apsaugoti savo kompiuterius nuo virusų, vartotojai diegia antivirusines programas.
Viena iš žinomiausių pasaulyje šių programų kūrėjų – Rusijos firma „Kaspersky Lab.“ Jos sukurtame „Kaspersky Antivirus“ naudojami visi šiuolaikiniai apsaugos būdai: antivirusiniai skaneriai, monitoriai, sistemos „elgesio“ blokavimas ir kiti. Programa veikia su visomis operacinėmis sistemomis ir kontroliuoja visus įmanomus virusų prasiskverbimo būdus.

Saugumas, be abejonės, prioritetinė kryptis, kai kalbama apie duomenų aprūpinimą ne privačiuose kompiuteriniuose tinkluose – ypatingai Internete. Šis dėmesys saugumui yra suprantamas ir reikšmingas. Neautorizuotas priėjimas prie duomenų gali pridaryti labai svarbių ir didelių finansinių nuostolių, praradimas vertingos informacijos apie klientų įrašus ar slaptų dokumentų.
Duomenų centrai turėjo ryškią fizinę apsaugą, įvairios programos reikalavo griežtos autentifikacijos, tačiau tinklų saugumui buvo skirta labai mažai dėmesio. Faktas yra tas, kad tn3270(E) pramoninis standartas, naudojamas šiuolaikiniuose TCP/IP tinkluose, formaliai neužtikrina “nuo pradžios iki galo” (end-to-end) duomenų užkodavimo. Panašiai ir Microsoft kompanijos “SNA Server”, vienas iš populiariausių SNA vartų (gateway) realizuojant PC/darbo vietų priėjimo prie mazgų (host) per lokalius/globalius tinklus neturįs jokios funkcijos, kad užtikrintų duomenų saugumą “nuo pradžios iki galo” (end-to-end). Praeityje tinklų saugumas nebuvo svarbus. Atitinkamai buvo skiriama tam mažai lėšų, kadangi IBM mazgai, taip vadinami SNA tinklai, buvo tik maži privatūs tinklai.
Privatūs tinklai, suprantama, buvo saugūs nuo smalsių akių, ypač jei buvo sujungta nuomojamomis linijomis (“leased lines”). SNA privatūs tinklai, net kai buvo prijungti prie plačiai komutuojamų tinklų, kaip Frame Relay ar X.25 buvo laikomi, kaip pakankamai saugūs tinklai, nes šį servisą tiekė gerą vardą turinčios kompanijos kaip AT&T, MCI, Sprint. Tačiau praėjus šiek tiek laiko vis daugiau ir daugiau kompiuterių buvo prijungiami prie lokalių ir globalių tinklų, kurie tarpusavį “šnekėjosi” priimtais, standartais – dažniausiai TCP/IP. Tada ir išryškėjo pirmosios saugumo spragos. Staiga duomenų srautas tarp didelių serverių (mainframes ar AS/400s) tapo nesaugus ir nekonfidencialus, netgi jei tai buvo bankomatų PIN kodai ir kreditinių kortelių numeriai, komercinės transakcijos, B2B e-biznio sandėriai. Duomenys keliavo per nesaugius tinklus “aiškiu tekstu”. Nesąžiningi veikėjai galėjo lengvai perimti svarbią informaciją, naudodami jau gatavas ir nesunkiai gaunamas programas vadinamas “network sniffers”. Augantis populiarumas interneto kaip strateginė priemonė bendram prisijungimui prie pagrindinių galingų serverių (Mainframes), naudojant vartotojo identifikavimo vardą ir slaptažodį prie esamų servisų tapo pavojingas, kadangi bet kas galėjo perimti šią informaciją. Vis labiau ir labiau imta rūpintis saugumu. Dabar tam skiriama daug lėšų. Tačiau ši problema vis dar egzistuoja.
Saugus susijungimas
Saugios transakcios internetu įmanomos. Dabar darbo dienomis įvyksta bilijonus dolerių vertos finansinės transakcijos per internetą saugiai. Saugų duomenų perdavimą užtikrina patikima sistema, vadinama “Secure sockets layer” (SSL). Šis mechanizmas buvo sukurtas kompanijos Netscape communications 1996 metais. SSL technologiją palaiko beveik visos dabartinės naršyklės (Internet explorer, netscape navigator) taip pat ir WWW serveriai (Apache, Internet Information server).
SSL technologija
SSL yra pernešamasis sluoksnis (“transport layer”, layer 4). Tai aprūpina autentifikavimą, vientisumą ir duomenų saugumą procesui, veikiančiam virš TCP sluoksnio (Layer 3). SSL technologija palaiko skaitmeninį sertifikatą – tai skaitmeniniai įgaliojamieji raštai, išduoti patikimos kompanijos, kaip VeriSign. Skaitmeniniai sertifikatai yra laikomi daugelio specialistų, kaip saugus identifikavimo būdas. Klientas susijungęs saugiu būdu su serveriu gali drąsiai siųsti slaptažodį ar kitokią svarbią informaciją, būdamas ramus, kad informacija nepateks į netinkamas rankas. Šiuo metu SSL technologija yra nepakeičiama, norint persiųsti duomenis ir užtikrinti jų saugumą.

Kriptografija

Įvadas
Pirmasis duomenų šifravimą panaudojo Julijus Cezaris. Norėdamas nusiųsti žinutę savo generolams ir nepasitikėdamas savo pasiuntiniais, jis savo žinutėje pakeitė visas A raides į D, visas B į E ir t.t. Ir kiekvienas, kuris žinojo šį užkodavimo būdą galėjo perskaityti žinutę.
Šifravimas ir dešifravimas
Tekstas, kurį galima skaityti nepanaudojus jokių specialių priemonių vadinamas paprastu tekstu. Metodas naudojatis paprastą tekstą ir paverčiantis jį į gausybę nieko bendro tarp savęs neturinčių simbolių vadinamas šifravimu. O toks tekstas – užšifruotu tekstu. Pati šifravimo schema atrodytu maždaug taip
|——–| ——–> |/////| ———-> |———|
paprastas šifravimas užšifruotas dešifravimas paprastas
tekstas tekstas tekstas
Kas yra kriptografija?
Kriptografija, tai mokslas naudojantis matematiką užšifruoti ir dešifruoti duomenims. Kriptografija leidžia saugoti ypač slaptą informaciją ir siųsti ją nesaugiais tinklais(kaip Internet), taigi jos negali perskaityti niekas kitas, kaip tik gavėjas.
Kriptografijos saugumui tikrinti yra naudojama kriptoanalizė. Paprasta kriptoanalizė, tai loginės kombinacijos, matematinių įrankių panaudojimas, kantrybė, pasiryžimas ir žinoma – sėkmė. Kripto analitikai dar kitaip vadinami atakuojančiaisiais.
Kodėl reikia naudoti kriptografija?
Yra nusistovėjusi nuomonė, kad žmogus šifruoja duomenis, todėl, kad daro kažką nelegalaus. Dauguma pasakys, kad jie neturi ką slėpti. Tačiau šiame informacijos amžiuje kiekviena gauta informacijos delelytė gali būti panaudota prieš jus. Tai ypač aktualu konkurentams. Kam naudoti pinigus ir resursus, jei galima visą reikiamą informaciją gauti iš savo priešininkų. Šifravimas taip pat labai svarbi elektroninės komercijos dalis. Norint įgyti klientų pasitikėjimą turi būti užtikrintas jų duomenų saugumas.
Algoritmai
Šiame skyriuje bus aptarti patys geriausi/stipriausi laiko patikrinti šifravimo algoritmai(PGP, DES, RSA).
1) PGP
Stipri kriptografija
“Šiame pasaulyje yra dviejų tipų kriptografijos: Viena, kuri apsaugos jūsų duomenis nuo jūsų vaikų Kita, kuri apsaugos jūsų duomenis nuo didžiųjų vyriausybių.”
PGP(Pretty Good Privacy) vienas populiariausių ir stipriausių šifravimo algoritmų. Kriptografijos stiprumas priklauso nuo to kiek laiko ir resursų bus sunaudota norint iššifruoti tekstą. Stipri kriptografija yra užšifruotas tekstas, kurį labai sunku iššifruoti be specialaus dešifravimo įrankio. Kiek sunku? Tarkim pasitelkus visą šių dienų kompiuterių arsenalą, net jeigu bilijonas kompiuterių padarytų bilijoną patikrinimų per sekundą vis tiek nebūtų galima iššifruoti teksto iki visatos pabaigos. Žinoma niekas neįrodė, kad šiandiena užšifruoti duomenys atsilaikys prieš rytojaus kompiuterių jėgą.
Kaip tai vekia?
Šifravimo algoritmas, tai matematinė funkcija naudojama šifravimo ir dešifravimo procese. Algoritmo veikimui reikalingas slaptažodis. Slaptažodis gali buti žodis, numeris, frazė, įvairūs simboliai. Tas pats tekstas užšifruotas skirtingais slaptažodžiais skirsis vienas nuo kito.
Taigi viso užšifruoto teksto saugumas priklausys nuo pasirinkto algoritmo ir slaptažodžio slaptumo.
Ankščiau, jei viena pusė norėjo nusiųsti įslaptintus duomenis kitai, turėjo pirma duomenis užšifruoti su raktu ir poto surasti būdą, kaip saugiai tą raktą nugabenti kitai pusei. Šia saugumo problemą išsprendė viešojo rakto kriptografija. Ji paremta tuo, kad yra sudaromi du raktai – viešas(naudojamas duomenims užšifruoti) ir privatus(naudojamas duomenims dešifruoti). Taigi jūs savo viešą raktą duodate kam tik panorėje, o privatų laikote saugiai padėtą(pvz.: diske, CD-ROM ir t.t.). Žmonės pasinaudoję Jūsų viešuoju raktu užšifruos duomenis, kuriuos dešifruoti galėsite tik Jūs patys(pasinaudodami savo privačiu raktu).
PGP naudoja viešojo rakto kriptografiją. Prieš šifruodama duomenis PGP programa suspaudžia(suarchivuoja) tekstą. Tai duoda nemažą pliusą saugumui: dauguma kriptoanalizių panaudoja iškarpų sutapimą duomenų dešifravimui. Archivuojant tekstą jis šiek tiek iškraipomas, taip sumažinant galimybę sėkmingai panaudoti tokią ataką.
Rakto stiprumas dar priklauso nuo jo dydžio. Dydis matuojamas bitais. Pvz.: 1028 bitų dydžio raktas skaitomas labai dideliu. Viešojo rakto kriptografijoje kuo didesnis raktas, tuo saugesni duomenys.
Viešasis ir privatus raktai yra matematiškai susije. Nustatyti privatų raktą turint tik viešąjį yra begalo sunku, tačiau, tai įmanoma skyrus pakankamai laiko ir skaičiavimo resursų. Todėl svarbu parinkti teisingą dydį jūsų raktui. Taip pat reikia numatyti kas norės perskaityti Jūsų duomenis, ar labai jie tam pasiryžę, kiek laiko jie turi ir maždaug kokius resursus jie gali panaudoti.
Raktai yra užšifruoti ir saugomi dvejuose failuose jūsų diske. Šie failai vadinami viešas žiedas raktams(angl. “public keyring”) ir privatus žiedas raktams(angl. “private keyring”). Į viešą žiedą raktams galima dėti įvairių įmonių/žmonių viešuosius raktus. O į privatų žiedą – tik Jūsų privačius raktus. Jei prarasite savo privatų žiedą, nebegalėsite dešifruoti Jums skirtų duomenų.
Skaitmeninis parašas
Vienas didžiausių viešojo rakto kriptografijos privalumų yra galimybė sukurti savo skaitmeninį parašą. Tai užtikrina duomenų tikrumą ir patikimumą. Skaitmenis parašas turi tokią pat galią, kaip ir ranka rašytas. Ranka rašytą parašą galima lengvai suklastoti, tuo tarpu skaitmeninį padirbti praktiškai neįmanoma.
Skaitmeninis parašas naudoja maišymo (anlg. “hash”) funkciją. Ši funkcija sugeneruoja fiksuoto dydžio įrašą(pvz. 160 bitų) iš duotų duomenų, šis įrašo dydis nepriklauso nuo duomenų dydžio(kad ir 100MB). Funkcija atsakinga už duomenų tikrumo/patikimumo užtikrinimą. Nors vienam bitui pakitus iš tų 100MB bus išvedami visiškai kitokie duomenys.
Kol bus naudojama saugi maišymo funkcija, nėra jokios galimybės parašą suklastoti, nes patys menkiausi pakitimai sužlugdys autentiškumo procesą.
Skaitmeniniai sertifikatai
Vienas minusas viešojo rakto kriptosistemoje yra tai, kad žmogus _turi_ būti tikras, kad šifruoja duomenis _tikrojo_ gavėjo viešuoju raktu. Kitaip gali būti įvykdyta žmogus viduryje(Man-in-the-midle) ataka. Tai yra blogietis pakiša jums savo viešajį raktą, kuriame visa indentifikacija atitinka Jūsų pažystamo (ar šiaip partnerio) indentifikaciją. Jūs nieko neįtardami tuo raktu užšifruojate slaptus duomenis. Tada blogiečiui tereikia perimti šiuos duomenis ir dešifruoti.
Skaitmeniniai sertifikatai gali užtikrinti, kad viešasis raktas priklauso būtent tam žmogui. Sertifikatą galime įsivaizduoti kaip asmens pasą. Tai dokumentas nurodantis Jūsų asmenybę, pasą jums suteikė valstybė ir jis užtikrina Jūsų identiškumą. Jūs jį saugote, nes jums pametus pasą kitas žmogus gali apsimesti jumis.
Sertifikatas susideda iš trijų dalių:
* viešojo rakto
* sertifikato informacija(informacija apie vartotoja tokia kaip vardas, ID(indentifikacija) ir kita) * vieno ar daugiau skaitmeninių parašų.

Yra du skirtingi PGP sertifikato formatai:
* PGP sertifikatai
* X.509 sertifikatai

PGP sertifikato formatas:
* PGP versijos numeris
* sertifikato turėtojo viešasis raktas
* sertifikato turėtojo informacija(vardas, ID, fotografija ir kita)
* sertifikato šeiminiko skaitmeninis parašas
* sertifikato galiojimo laikas
* pageidaujamas simetrinio šifravimo algoritmas(CAST, Triple-DES, IDEA)

X.509 sertifikato formatas:
* X.509 versijos numeris
* sertifikato turėtojo numeris
* sertifikato serijinis numeris
* sertifikato turėtojo unikalus identifikatorius
* galiojimo laikas
* unikalus sertifikato išdavėjo vardas
* sertifikato išdavėjo skaitmeninis parašas
* sertifikato išdavėjo naudojamas kodavimo algoritmas
Sertifikato galiojimas ir patikimumas
Galimi keli galiojimo patikrinimo būdai. Pvz. pats gavėjas atneša savo viešąjį raktą. Toks būdas varginantis ir nepatogus. Kita galimybė, tai pačiam patikrinti sertifikato “pirštų antspaudą” (angl. “fingerprint”). Taip, kaip kiekvieno žmogaus pirštų antspaudas yra unikalus, taip ir sertifikato “pirštų antspaudas” yra tik vienas. “Pirštų antspaudas” gali buti šešioliktainiai skaičiai arba tam tikrų raidžių sekos. Jį patikrinti galite tiesiog paskambine gauto rakto savinikui ir paprašę, kad jis padiktuotų jį. Šis būdas tinka tik tuomet, kai pažystate tą žmogų. Šiaip dauguma įmonių užrašo sertifikato “pirštų antspaudą” ant savo verslo kortelių(vizitinių).
Kitas reikalas, kai Jūs nepažįstate žmogaus ir Jums reikia patikrinti rakto galiojimą. Tuomet Jums reikia “patikėti” trečiaja šalimi, kuri už jus patikrinio rakto galiojimą. Pavyzdžiui “Sertifikato Autoriteto”(angl. “Certification Authority”) patikrinti ir pasirašyti raktai automatiškai priimami kaip galiojantys.
Pasitikėjimo modeliai:
1) Tiesioginis pasitikėjimas. Papraščiausias modelis, kai žmonės vieni kitus pažysta ir žino iš ko atėjo raktas.
2) Hierarchinis pasitikėjimas. Yra naudojami keli pagrindiniai sertifikatai su kuriais patikimi visi kiti paprastų vartotojų raktai.
3) Pasitikėjimo voratinklis. Šis modelis naudoja ankstensių modulių būdus ir dar prideda, tai, kad kai vienas vartotojas pasirašo kito vartotojo raktą tampa už tą raktą “atsakingas”.
Pasitikėjimo lygiai naudojami PGP
* Visiškas pasitikėjimas. Kuomet raktas yra pasirašytas Jūsų arba kokio kito autoriteto.
* Nežymus pasitikėjimas. Kai vienas iš dviejų raktų pažymimas “visiško pasitikėjimo” parašu.
* Visiškas nepasitikėjimas
Sertifikato panaikinimas
Sertifikatai tol naudingi, kol yra galiojantys. Neprotinga šaip sau pažymėti, kad sertifikatas galioja amžinai. Daugumoje organizacijų sertifikai galioja tam tikrą laiką. Sertifikate užfiksuojamas jo išleidimo laikas ir galiojimo pasibaigimo laikas. Galiojimui pasibaigus jis bus “nebepatikimas”. Tačiau ir negaliojantį sertifikatą bus galima naudoti užšifruotų duomenų patikimumui patikrinti. Sertifikatas taip pat panaikinamas, kai vartotojas nori nutraukti sutartį su firma/organizacija. Kiekvienas žmogus gali panaikinti savo parašą iš sertifikato.
Svarbu apie sertifikato panaikinimą pranešti potencialiems vartotojams. Tai galima padaryti patalpinus jį į sertifikato serverį. CA yra sudaromas tokių sertifikatų sąrašas.
Raktų padalinimas
Yra galimybė “suskaldyti” privatų raktą į dalis(ir pvz. išdalinti jas tam tikriems žmonės). Kiekviena dalis yra bevertė, kol nesurenkamos visos dalys. Surinkus dalis “sulipdomas” privatus raktas.
.
DES
Duomenų kodavimo standartas(anlg. “Data Encryption Standart”), sukurtas JAV vyriausybės 1977 metais. Tai blokinio tipo šifravimas, kuriame 64 bitų duomenų blokai užšifruojami naudojant 56 bitų privatų raktą. DES algoritmas naudojamas daugumoje programų. Naudojamas vyriausybiniuose bei privačiuose sektoriuose.
Šifruojant daugiau nei 64 bitus yra naudojami keturi oficialus metodai:
* “Elektroninė kodu knyga” (angl. “Electronic Codebook”) ECB
* “Šifro blokų grandinų” (anlg. “Cipher Block Chaining”) CBC
* “Išvesties atsakomoji reakcija” (angl. “Output Feedback”) OFB
* “Šifro atsakomoji reakcija” (angl. “Cipher Feedback”) CFB

DES algortimas taip pat gali būti naudojamas iki 64 bitų kontrolės sumoms sudaryti(anlg. “checksums”).
RSA
RSA yra viešojo rakto tipo kriptosistema, kuri palaiko duomenų šifravimą ir skaitmeninius parašus. Veikimas šio algortimo yra toks: imami du dideli pirminiai skaičiai p ir q. Jie sudauginami n = p * q. n yra vadinamas moduliu. Poto parenkamas skaičius e mažensis už n ir artimas pirminiams (q – 1)(p – 1). Tai reiškia, kad e neturi nieko bendra su (q – 1)(p – 1) išskyrus 1. Surandamas kitas skaičius d, kad (e * d – 1) dalintųsi iš (q – 1)(p – 1). Atitinkamai e ir d yra viešas ir privatus komponentai. Pora (e, n) bus viešasis raktas, o (d, n) – privatus.
RSA nėra labai greitas algortimas. DES iki 100 kartų greitesnis, tačiau ir silpnesnis už RSA. RSA laboratorija rekomenduoja naudoti 1024 bitų ilgio raktą. Labai svarbiems duomenis koduoti naudokite 2048 bitus.
MD5
Labai populiarus algortimas. Ima fiksuoto dydžio žinutę ir išveda 128 bitų “pirštų antspaudą”. Naudojamas viešojo rakto kriptosistemose skaitmeniniams parašams daryti. Taip pat failų palyginimui(pvz. sukuriame du vienodus failus
$ echo “testas” > pvz1 $ echo “testas” > pvz2 sukuriame md5 “pirštų antspaudą”(angl. “fingerprint”):
md5sum pvz1 pvz2
22b3793a536400fd469807099e5d2b9d pvz1
22b3793a536400fd469807099e5d2b9d pvz2

Kaip matome vienodų failų “antspaudai” sutampa. Dabar šiek tiek pakeiskime vieno failo turinį:
echo ” ” > pvz1
md5sum pvz1 pvz2
d784fa8b6d98d27699781bd9a7cf19f0 pvz1
22b3793a536400fd469807099e5d2b9d pvz2

Leave a Comment