автентичності великих обсягів інформації. А для коротких повідомлень типу платіжних доручень або квитанцій підтвердження прийому, напевно, краще підходить алгоритм RSA.
3.4.2 Аутентифікація програмних кодів
Компанія Microsoft розробила засоби для доказу автентичності програмних кодів, поширюваних через Інтернет. Користувачеві важливо мати докази, що програма, яку він завантажив з будь-якого серверу, дійсно містить коди, розроблені певною компанією. Протоколи захищеного каналу типу SSL допомогти тут не можуть, тому що дозволяють засвідчити тільки автентичність сервера. Microsoft розробила технологію аутентікода (Authenticode), суть якої дотеп у наступному.
Організація, яка бажає підтвердити своє авторство на програму, повинна вбудувати в розповсюджуваний код так званий підписує блок (малюнок 3.7). Цей блок складається з двох частин. Перша частина »- сертифікат цієї організації, отриманий звичайним чином від якого-небудь, що сертифікує центру. Другу частину утворює зашифрований дайджест, отриманий в результаті застосування односторонньої функції до розповсюджуваному коду. Шифрування дайджесту виконується за допомогою закритого ключа організації.
Малюнок 3.7 - Схема отримання аутентікода
. 5 Система Kerberos
- це мережева служба, призначена для централізованого вирішення завдань аутентифікації та авторизації в крупних мережах. Вона може працювати в середовищі багатьох популярних ОС, наприклад в останній версії Windows 2000 система Kerberos вбудована як основний компонент безпеки.
В основі цієї досить громіздкої системи лежить кілька простих принципів.
§ У мережах, що використовують систему безпеки Kerberos, всі процедури аутентифікації між клієнтами і серверами мережі виконуються через посередника, якому довіряють обидві сторони аутентификационного процесу, причому таким авторитетним арбітром є сама система Kerberos.
§ В системі Kerberos клієнт повинен доводити свою автентичність для доступу до кожної службі, послуги якої він викликає.
§ Всі обміни даними в мережі виконуються в захищеному вигляді з використанням алгоритму шифрування DES.
Мережева служба Kerberos побудована за архітектурою клієнт-сервер, що дозволяє їй працювати в найскладніших мережах. Kerberos-клієнт встановлюється на всіх комп'ютерах мережі, які можуть звернутися до якої-небудь мережевої служби. У таких випадках Kerberos-клієнт від особи користувача передає запит на Kerberos-сервер і підтримує з ним діалог, необхідний для виконання функцій системи Kerberos.
Отже, в системі Kerberos є наступні учасники: Kerberos-сервер, Кег-beros-клієнти, ресурсні сервери (малюнок 3.8). Kerberos-клієнти намагаються отримати доступ до мережевих ресурсів - файлів, додатків, принтеру і т. Д. Цей доступ може бути наданий, по-перше, тільки легальним користувачам, а по-друге, за наявності у користувача достатніх повноважень, що визначаються службами авторизації відповідних ресурсних серверів - файловим сервером, сервером додатків, сервером друку. Проте в системі Kerberos ресурсним серверам забороняється «безпосередньо» приймати запити від клієнтів, їм дозволяється починати розгляд запиту клієнта тільки тоді, коли на це надходить дозвіл від Kerberos-сервера. Таким чином, шлях клієнта до ресурсу в системі Kerberos складається з трьох етапів:
. Визначення легальності клієнта, логічний вхід в мережу, отримання дозволу на продовження процесу отримання доступу до ресурсу.
. Отримання дозволу на звернення до ресурсного сервера.
. Отримання дозволу на доступ до ресурсу.
Малюнок 3.8 - Три етапи роботи системи Kerberos
Для рішення першої та другої задач клієнт звертається до Kerberos-серверу. Кожна з цих двох завдань вирішується окремим сервером, що входять до складу Kerberos-сервера. Виконання первинної аутентифікації і видача дозволу на продовження процесу отримання доступу до ресурсу здійснюється так званим аутентификационной сервером (Authentication Server, AS). Цей сервер зберігає в своїй базі даних інформацію про ідентифікатори і паролі користувачів.
Другу задачу, пов'язану з отриманням дозволу на звернення до ресурсного сервера, вирішує інша частина Kerberos-сервера - сервер квитанцій (Ticket-Granting Server, TGS). Сервер квитанцій для легальних клієнтів виконує додаткову перевірку і дає клієнтові дозвіл на доступ до потрібного йому ресурсному серверу, Для чого наділяє його електронною формою-квитанцією. Для виконання своїх функцій сервер квитанцій використовує копії секретних ключів всіх ресурсних серверів, які зберігаються у нього в базі даних. Крім цих...
