- •§1. Основные принципы организации и задачи сетевой безопасности.
- •Уровень 1, физический (Physical Layer).
- •Уровень 3, сетевой (Network Layer)
- •Уровень 4, транспортный (Transport Layer)
- •Уровень 5, сеансовый (Session Layer)
- •Уровень 6, уровень представления (Presentation Layer)
- •Уровень 7, прикладной (Application Layer)
- •Рекомендации ieee 802
- •Сетезависимые и сетенезависимые уровни
- •§3. Обзор стека протоколов tcp/ip
- •3.1. Общая характеристика tcp/ip
- •Структура стека tcp/ip и краткая характеристика протоколов
- •3.2. Протоколы iPv4 и iPv6
- •Формат заголовка iPv4
- •Адресация в iPv6
- •Формат заголовка iPv6
- •Взаимодействие iPv6 и iPv4
- •Туннелирование
- •Двойной стек
- •Трансляция протоколов
- •IPv6 в России
- •§4. Математические основы криптографии.
- •4.1. Криптографические примитивы.
- •4.1.1. Подстановки
- •4.1.2. Перестановки
- •4.1.3. Гаммирование.
- •4.1.4. Нелинейное преобразование с помощью s-боксов
- •4.1.5. Комбинированные методы.
- •4.2. Потоковые шифры на основе сдвиговых регистров.
- •4.3. Абелевы группы и конечные поля.
- •4.3.1. Основные определения и примеры.
- •4.3.2. Неприводимые многочлены в конечном поле k.
- •4.4. Эллиптические кривые
- •4.5. Односторонние функции.
- •§5. Криптографические средства защиты.
- •5.1. Классификация криптографических методов.
- •5.2. Схема метода rc4.
- •5.4. Асимметричные системы шифрования
- •5.5. Алгоритм ЭльГамаля.
- •5.6. Алгоритм Диффи-Хелмана выработки общего секретного ключа.
- •§6. Электронно-цифровая подпись
- •6.1. Свойства эцп и ее правовые основы.
- •6.2. Алгоритм создание эцп и стандарты.
- •6.3. Использование эллиптических кривых в стандарте цифровой подписи.
- •§7. Сетевая аутентификация
- •Вычисление хеш-функций
- •7.2. Парадокс дня рождения
- •Использование цепочки зашифрованных блоков
- •Алгоритм md5
- •7.4. Алгоритм hmac
- •7.5. Простая аутентификация на основе хеш-значений
- •7.5. Сетевая аутентификация на основе слова- вызова.
- •§7. Протокол расширенной аутентификации Kerberos
- •§9. Стандарт сертификации X.509.
- •9.1. Аутентификация пользователей на основе сертификатов
- •9.2. Состав сертификата
- •Имя владельца сертификата.
- •Открытый ключ владельца сертификата.
- •Компоненты иок и их функции
- •Центр Сертификации
- •Эцп файлов и приложений
- •Стандарты в области иок
- •Стандарты pkix
- •Стандарты, основанные на иок
- •§10. Защита информации, передаваемой по сети
- •10.1. Организация защиты данных в сетях.
- •10.2. Протокол iPsec.
- •10.3. Спецификации iPsec.
- •10.3.1. Защищенные связи
- •10.3.2. Транспортный и туннельный режимы iPsec.
- •10.4. Режим ah протокола ipSec
- •10.6. Управление ключами ipSec
- •Следующий элемент
- •Тип обмена
- •Идентификатор сообщения
- •§11. Защита web.
- •11.1. Угрозы нарушений защиты Web
- •11.2.Архитектура ssl
- •Идентификатор сеанса.
- •2 Этап. Аутентификация и обмен ключами сервера.
- •3 Этап. Аутентификация и обмен ключами клиента.
- •4 Этап. Завершение.
- •11.4. Протокол set
- •11.5. Сравнительные характеристики протоколов ssl и set
- •§12. Организация сетей gsm.
- •12.1. Основные части системы gsm, их назначение и взаимодействие друг с другом
- •12.2. Полный состав долгосрочных данных, хранимых в hlr и vlr.
- •12.3. Полный состав временных данных, хранимых в vlr.
- •12.4. Регистрация в сети.
- •12.5. Пользовательский интерфейс мобильной станции
- •Регистрация пользователя в сети
- •Классы доступа
- •Режим фиксированных номеров
- •13. Защита сетей gsm.
Версия. Наивысшая версия SSL, подерживаемая клиентом.
Случайное значение. Состоит из 32-битового штампа даты/времени и 28-байтового случайного числа, генерируемого клиентом. Служит для предотвращения атак воспроизведения.
Идентификатор сеанса.
Комплект шифров. Список криптографических алгоритмов, поддерживаемых клиентом, в порядке убывания их приоритета.
Методы сжатия. Методы сжатия, поддерживаемые клиентом.
Сервер возвращает клиенту сообщение server_hello, имеющее ту же структуру, что и client_hello, но поле Комплект шифров содержит алгоритмы, выбранные сервером. Первым элементом этого поля определяется метод обмена ключами (необходимы ключи для шифрования потока и создания MAC). SSL поддерживает следующие методы обмена ключами:
RSA. Секретный ключ шифруется с помощью открытого ключа RSA. Для этого отправителю должен быть доступен сертификат открытого ключа получателя.
Метод Диффи-Хелмана с фиксированными параметрами. Метод обмена, при котором сертификат сервера содержит открытые параметры алгоритма Диффи-Хелмана, подписанные центром сертификации.
Метод Диффи-Хелмана с одноразовыми параметрами.
Анонимный метод Диффи-Хелмана. Тот же алгоритм, но без аутентификации. Уязвим к атаке «третий посередине».
Fortezza. Метод, используемый в схеме шифрования Fortezza.
Далее идет элемент CipherSpec, содержащий спецификации алгоритмов. Он состоит из следующих полей:
Cipher Algorithm. Содержит один из алгоритмов шифрования, перечисленных в табл.1.
MAC Algorithm. Алгоритм вычисления MAC (MD5 или SHA-1).
Is Exportable. Признак экспортируемости (да/нет).
Hash Size. Размер хеш-кода: 16 байт для MD5 и 20 байт для SHA-1.
Key Material. Параметры вычисления ключей.
2 Этап. Аутентификация и обмен ключами сервера.
Данный этап начинается с отправки сервером своего сертификата или цепочки сертификатов X.509. Затем отправляется сообщение server_key_exchange, содержащее параметры шифрования для RSA или алгоритма DH. Для метода Диффи-Хелмана сервер высылает простое число p, служащее размерностью поля Галуа и первообразный корень a.
После этого сервер может затребовать сертификат клиента,послав сообщение certificate_request. Это сообщение содержит два поля: тип сертификата и список центров сертификации, принимаемых сервером.
В завершении этого этапа сервер посылает сообщение server_done и переходит в режим ожидания ответа клиента.
3 Этап. Аутентификация и обмен ключами клиента.
Клиент, получив сообщение сервера, сначала проверяет сертификат сервера. Потом, если сервер затребовал сертификат, он должен выбрать сертификат из списка принимаемых сервером. Если у клиента нет такого сертификата, он отправляет уведомление no_certificate.
Следующим обязательным сообщением будет client_key_exchange, содержание которого зависит от ранее выбранных методов:
RSA. Клиент генерирует 48-байтовый предварительный ключ и шифрует его с помощью открытого ключа из сертификата сервера.
DH. Отправляются открытые параметры метода Диффи-Хелмана (т.е. y=aK mod p)
Fortezza. Отправляются параметры алгоритма Fortezza.
4 Этап. Завершение.
На этом этапе сервер отправляет сообщение change_cipher_spec в рамках протокола изменения параметров сообщения. В ответ клиент оправляет сообщение finished, зашифрованное алгоритмами, согласованными в предыдущей части. Получив это сообщение, сервер расшифровывает его. Если операция прошла успешно, то после этого сервер начинает передавать клиенту зашифрованные данные.