ься за допомогою надійного алгоритму (ГОСТ, DSA та ін.) Відкриті ключі вільно поширюються центром розподілу ключів із загальної бази даних. p align="justify"> Для кожної пари вузлів I, J обчислюється спільно використовуваний секрет (типова довжина 1024 біта): gij mod N.
Розділяється ключ Kij обчислюється з цього секрету шляхом зменшення його до погодженої в рамках протоколу довжини 64 ... 128 біт.
Вузол обчислює ключ Kij (використовуваний як ключ шифрування ключів) для відносно тривалого застосування і розміщує його в захищеній пам'яті . Кожен вузол мережі забезпечується секретним і відкритим ключами. Відкриті ключі можуть вільно поширюватися серед користувачів, зацікавлених в організації захищеного обміну інформацією. Вузол i, що адресує свій трафік до вузла j, на основі логіки відкритих ключів обчислює розділяється секрет Kij. Однак цей, що вимагає високого ступеня захисту, що розділяється секрет не використовується прямо для шифрування даних.
Для шифрування конкретного пакету або їх невеликої групи вузол i виробляє спеціальний пакетний (сеансовий) ключ Kp, шифрує за допомогою цього ключа дані, укладає їх у блок даних SKIP-пакета. Далі, власне пакетний ключ Kp шифрується на основі іншого ключа, що виробляється з розділяється секрету Kij і теж записується в пакет. Пакет забезпечується SKIP-заголовком, по синтаксису збігається із заголовком IP-пакета і відправляється в мережу. Оскільки SKIP-заголовок збігається із заголовком IP-пакета, все проміжне обладнання мережі стандартним чином маршрутизує цей пакет до його доставки вузлу-одержувачу j. Вузол j, отримавши пакет і обчисливши розділяється секрет Kij, дешифрує ключ Kp і, з його допомогою, дешифрує весь пакет. Інкапсуляція в SKIP (тунелювання) забезпечує шифрування (шляхом інкапсуляції пакетів, які підлягають захисту, в SKIP-пакети) і аутентифікацію (достовірну ідентифікацію джерела) інформації. Режими інкапсуляції і шифрування можуть застосовуватися як спільно, так і окремо. Структура пакета, що виходить в результаті такої інкапсуляції, наведена нижче: | SKIP | AH | ESP | Inner protocol-заголовок протоколаSKIP - заголовок протоколу SKIP-аутентифікаційний заголовок-заголовок, що включає дані про інкапсулюватися протоколеprotocol - пакет інкапсуліруемого протоколу
Якщо застосовується тільки режим аутентифікації або інкапсуляції, то заголовки AH і ESP, відповідальні за аутентифікацію і инкапсуляцию можуть вилучатися з пакета.
4. Конфіденційність і аутентифікація
Між собою користувачі, що працюють в мережі, можуть передавати інформацію в зашифрованому вигляді або з використанням механізму електронного підпису на кожному пакеті, що досягається шляхом застосування протоколу управління криптографічним ключем SKIP (Simple Key Management for Internet Protocol). З точки зору способу захист...
