освідчення особини власника відкритого ключа Використовують цифрові сертифікати, что тягти за собою всю інфраструктуру РКІ. Сертифікати складають ПЄВНЄВ інформацію, что дозволяє однозначно засвідчіті особу власника (точніше, підтвердження особини власника приходити від третьої сторони).
Коженая суб "єкт РКІ (будь-то звичайний користувач, веб-сервер, Інший сервер чі мереженій Пристрій) має особистий сертифікат (чі кілька), в якому містіться інформація, по якій его можна однозначно ідентіфікуваті и Відкритий ключ власника.
Над усим ЦІМ Стоїть сертифікаційний центр, Certificate Autority (CA ), Який підпісує сертифікати суб "єктів, а такоже підтверджує валідність виданя Сертифікатів тоб посвідчення особини власника. СА довіряють УСІ суб "єсті РКІ, того кореневі сертифікат (сертифікат CA ) Має буті у списку довіри всех суб "єстів РКІ. p> Проаналізувавші Данії материал можна сделать Висновок, что при підключенні до безпроводової мережі можна аутентіфікуваті НЕ Тільки користувача, Який підключається, альо ї сам підключающійся клієнт может Зі своєї Сторони аутентіфікуваті сервер, до Якого ВІН підключається. Достатньо вказаті клієнтському софту перевіряті сертифікат сервера (тоб сертифікат, Який Видається RADIUS-сервером в початковій стадії при підключенні клієнта). Таким чином, можна захістіті собі від "чужих" точок доступу, что маскуються під "свої".
5. Варіант! Застосування аутентіфікації в МЕРЕЖА мобільного зв "язку
У стільніковому зв "язку стандарту GSM, ідентифікаційний номер SIM-карти IMSI НЕ можна вважаті Повністю захіщенім від будь-якого роду "піратськіх" Дій. Тому система безпеки GSM спірається в основному на кріптографічну аутентіфікацію SIM-карт їх дестріб "ютор помощью таємного алгоритму, назіває мого А3/А8 чг А38.
Одночасно з номером IMSI оператор запісує на SIM-карті секретний ключ (К и ), Який такоже буде зберігатісь у центрі аутентіфікації АUC (Autentification Centre). p> На практіці, колі мережі звітність, провести аутентіфікацію SIM-карти мобільного телефона, вона генерує випадкове число ( RND) з 16 байт (інакше Кажучи, 128 біт, Звідки и Пішла назва СОМР128 часто вікорістовує мого алгоритмом А3/А8). Центр аутентіфікації Виконує алгоритм по цьом числа RND з ключем, что відповідає ідентіфікаційному номером IMSI SIM-карти, одночасно передаючі RND на мобільний телефон.
SIM-карта последнего Зі своєї Сторони Виконує тієї ж алгоритм и з Тімі ж операціямі, что Дає наступні результати:
- Підпис (SRES ) З 4 байт, что передається в центр аутентіфікації з метою порівняння, розрахованій в ньом самому;
- Тимчасовий ключ шифрування (К з ) з 8 байт, призначеня для файлу діректорій SIM-карти.
Если підпісі віраховані з однієї и Іншої Сторони ідентічні, то мережа візнає SIM-карту автентичної и вікорістовує ключ До з для шифрування поступаючої ІНФОРМАЦІЇ з помощью більш простого, а відповідно и більш Швидкого алгоритмом. Цею алгоритм, назіваємій А5, має деякі Недоліки, что Забезпечують прослуховування розмов (Легальне и нелегальності).
Колі мова заходити про роумінг, то центр аутентіфікації надає Мережа других країн число RND разом з відповіднімі SRES і К з , при цьом Ніколи НЕ розкріваючі секретного ключа К и .
Розглянемо Використання цього механізму на конкретному зразки карти, спорядження демонстраційнім ключем До и . Випадкове величина RND являє собою еквівалент у шістнадцятковому форматі тексту FSCII з 16 знаків слова AUTENTIFICATION.
Перед Виконання шкірного алгоритмом звітність, вібрато діректорію GSM ( 7F20):
A0 A4 00 00 02 7F 20
Карта відповідає, Наприклад, 9F16. Для того, щоб запустіті алгоритм GSM, звітність, набраті:
А0 88 00 00 10 41 55 54 48 45 4Е 54 49 46 49 43 41 54 49 4F 4E
У відповідь карта відправляє, Наприклад, 9F 0C. Такий звіт говорити про ті, что результат находится в 12 байтах (0Сh ). Щоб з ним ознайомитись звітність, прімініті команду Get Response ( операційний код С0h ) Наступний чином:
А0 С0 00 00 0С
12 байт, інвертованіх картою складаються з підпісу SRES (Чотири дерло байта) i ключа К з (Вісім останніх байт). У Розглянуто прікладі SRES має значення Е4 F0 F1 ED. p> Таким чином, становится зрозуміло, что такий лінійній процес аутентіфікації, Який мережа может періодічно Здійснювати по мірі необхідності, потенційно надійніше, чем системи off-line, что Використовують в области Електрон розрахунків.
І Дійсно, права власніків SIM-карт запісані не на самих SIM-картах, а у базах даніх у Операторів, де їх можна перевіріті и обновіті в режімі реального годині.
