6.2 Атаки на протоколы
Атаки на протоколыможно разделить на два класса:
При пассивной атакевзломщик не участвует в протоколе, он только следит за протоколом и пытается раздобыть ценную информацию на основе шифртекста.
При активной атакевзломщик пытается изменить протокол к собственной выгоде. С этой целью активный взломщик может выдавать себя за другого человека, повторять сообщения, заменять сообщения, разрывать линию, модифицировать информацию.
Примерами активных атак на протоколы являются атака «человек посередине», атака по словарю, атака с повторной передачей, атака с воспроизведением сообщений, атака на систему часов.
Атака «человек посередине»может быть успешной, если стороныине имеют возможности проверить, действительно ли они общаются друг с другом. Помешать атаке «человек посередине» можно использованием цифровых подписей по ходу протокола обмена сеансовыми ключами либо использованием одновременной передачи ключей и сообщений без предварительного обмена ключами.
Атака по словарюпозволяет сравнивать краденный зашифрованный файл паролей с приготовленным файлом зашифрованных вероятных паролей, отыскивая совпадения. Затруднить атаку по словарю можно использованием привязок - случайных строк, которые конкатенируются с паролями перед их обработкой однонаправленной функцией.
Защита от атак с повторной отсылкой сообщенийзаключается в том, что операции шифрования и цифровой подписи должны различаться. Для этого нужно использовать разные ключи для каждой операции, либо использовать разные алгоритмы в каждой операции, либо наложение меток, либо создание цифровых подписей с применением хеш-функций.
Способами противодействия атакам с воспроизведением сообщенийявляются использование порядковых номеров сообщений, меток даты/времени, уникальных запросов (оказий) и ответов, содержащих корректное значение оказии.
Включив текущее время в криптографические протоколы, мы мешаем злоумышленнику пересылать старые сообщения под видом новых.
Однако успешная атака на систему часов (перевод часов назад или вперед, остановка часов) приводит к отправке сообщений с неправильной меткой даты/времени, что может иметь большие финансовые последствия.
Помешать атаке на систему часов можно, связывая между собой метки даты/времени всех сообщений.
- Федеральное агентство связи
- 1.2 Качество обслуживания в vpn
- 1.3 Защита данных в vpn
- Организация vpn
- 2.1 Vpn устройства
- Расположение vpn устройств в сети
- Пользовательская схема
- 2.2.2 Провайдерская схема
- Смешанная схема
- 3 Характеристики услуги vpn
- 4 Оценка надёжности услуги vpn
- 5 Оценка безопасности услуги vpn
- 5.1 Экспертная модель
- 5.2 Экономическая модель
- 5.3 Вероятностная модель
- 6 Криптографические протоколы
- 6.1 Классификация криптографических протоколов
- 6.2 Атаки на протоколы
- 6.3 Протоколы vpn
- 7 Постановка задачи
- 8 Требования к выполнению курсового проекта
- Литература
- Приложение б Исходные данные
- Приложение в Решения для проектирования vpn Аппаратно-программный комплекс криптон-ip компании «анкад»
- Решение ViPNet Custom компании«Инфотекс»
- Решения «Микротест» на базе сертифицированных vpn-продуктов компании «Инфотекс»
- Межсетевые экраны Juniper Networks (NetScreen)
- Решение компании Alcatel-Lucent (Lucent Secure vpn)
- Решение компании Cisco Systems