Ключи. Протоколы безопасности.
Для обеспечения безопасности данных в криптографии совместно с алгоритмами используются ключи. Ключ – это некоторое значение, применяемое для шифрования или дешифрования информации. Для шифрования в системах безопасности могут использоваться как закрытые, так и открытые ключи. Даже если алгоритм известен, без ключа данные нельзя просмотреть или изменить.
Возьмем, например, замок с секретом. Алгоритм открывания замка с секретом общеизвестен – чтобы открыть замок, необходимо установить диски в заданном порядке. Однако ключ к замку, число комбинаторного кода, является секретным и известно только хозяину замка. Безопасность IP в Windows 2000 использует ключи большой длины, чтобы обеспечить повышенную безопасность. Если длину ключа увеличить на один бит, число возможных комбинаций удваивается.
Безопасность IP в Windows 2000 также применяет динамическое обновление ключей; это означает, что после определенного интервала для продолжения обмена данными генерируется новый ключ. Такое решение позволяет защититься от злоумышленника, который получил доступ к части информации во время ее передачи.
Протоколы безопасности
На базе протоколов безопасности реализуются различные службы, обеспечивающие безопасный обмен информацией по сети. Windows 2000 использует следующие протоколы безопасности.
Протокол ассоциаций безопасности и управления ключами Internet (ISAKMP, Internet Security Association and Key Management Protocol).
Прежде чем IP-пакеты будут переданы от одного компьютера другому, должна быть установлена ассоциация, или сопоставление, безопасности (Security Association, SA). SA – набор параметров, который определяет необходимые для защищенной связи услуги и механизмы, типа ключей для безопасных протоколов. SA должна существовать между двумя поддерживающими связь сторонами, использующими безопасность IP. ISAKMP определяет основу для поддержки и установления ассоциаций безопасности. Протокол ISAKMP не связан ни с одним конкретным алгоритмом, методом порождения ключей или протоколом безопасности.
Oakley.
Протокол определения ключей, который использует алгоритм обмена ключами Diffie-Hellman (D-H). Oakley генерирует ключи, необходимые для безопасного обмена информацией.
Заголовок аутентификации IP (АН, Authentication Header).
АН обеспечивает целостность, установление подлинности и защиту от повторного использования. Также при помощи АН поддерживается конфиденциальность. АН основан на некотором алгоритме вычисления ключевого кэшированного значения сообщения (НМАС) для каждого IP-пакета (рис. 26.5).
Рис. 26.5. Заголовок аутентификации АН
Протокол инкапсуляции безопасности (ESP, Encapsulating Security Protocol).
В дополнение к услугам АН, описанным выше, ESP обеспечивает конфиденциальность, используя алгоритм DES-CBC (рис. 26.6).
Рис. 26.6. Протокол инкапсуляции безопасности ESP