Autentifikatsiya protokollariga qilingan asosiy hujumlar

• Masquerade ( taqlid ). Foydalanuvchi boshqa foydalanuvchi nomidan harakat qilish imkoniyatini va imtiyozlarini olish uchun boshqasining nomidan ish ko'rishga harakat qilmoqda;  

• almashtirish qismi tasdiqlash almashish ( oraga hujum ). Ushbu hujum paytida tajovuzkor u orqali o'tadigan trafikni o'zgartirish uchun ikki tomon o'rtasida autentifikatsiya almashinuvida qatnashadi . O'zaro almashtirish xurujlari mavjud: ikki foydalanuvchi o'rtasida autentifikatsiya muvaffaqiyatli o'tkazilib, ulanishni o'rnatgandan so'ng, buzg'unchi har qanday foydalanuvchini ulanishni rad etadi va uning nomidan ishlayveradi;   

• retranslyatsiya ( takror hujumi ). U har qanday foydalanuvchi tomonidan autentifikatsiya ma'lumotlarini qayta uzatishni o'z ichiga oladi ;  

• uzatish aks ( aks hujum ). Oldingi hujumning variantlaridan biri, ushbu protokol sessiyasi davomida tajovuzkor ushlangan ma'lumotlarni qaytarib yuboradi;  

• majburiy kechikish ( majburiy kechiktirish ). Tajovuzkor ba'zi ma'lumotlarni to'xtatib, ma'lum vaqtdan keyin uzatadi;  

• Matnni tanlash bilan hujum ( tanlangan - matnli hujum ). Hujum qiluvchi autentifikatsiya trafikini buzadi va uzoq muddatli kriptografik kalitlar to'g'risida ma'lumot olishga harakat qiladi.  

Autentifikatsiya protokollarini tuzishda bunday hujumlarning oldini olish uchun quyidagi usullardan foydalaniladi:

• so'rovga javob berish mexanizmlaridan, vaqt markalaridan, tasodifiy raqamlardan, identifikatorlardan, raqamli imzolardan foydalanish;

• autentifikatsiya natijasini tizim ichidagi foydalanuvchilarning keyingi harakatlariga bog'lash. Bunday yondashuvga misol sifatida foydalanuvchilarning keyingi o'zaro ta'sirida foydalaniladigan maxfiy sessiya kalitlari bilan almashinishni autentifikatsiya qilish jarayonida amalga oshirish;

• oldindan o'rnatilgan aloqa seansi doirasida vaqti-vaqti bilan autentifikatsiya qilish protseduralari va boshqalar.

Talab-javob mexanizmi quyidagicha. Agar A foydalanuvchisi B foydalanuvchisidan olingan xabarlarning yolg'on emasligiga ishonch hosil qilmoqchi bo'lsa, u B-ga yuborilgan xabarda oldindan aytib bo'lmaydigan element - X so'rovini (masalan, tasodifiy raqam) kiritadi. Javob berishda B foydalanuvchisi ushbu elementda muayyan operatsiyani bajarishi kerak (masalan, f (X) funktsiyasini hisoblang). Buni oldindan amalga oshirish mumkin emas, chunki B foydalanuvchisi so'rovda X qanday tasodifiy raqam kelishini bilmaydi. B xatti-harakatlari natijasi bilan javob olgandan so'ng, A foydalanuvchisi B ning haqiqiyligiga ishonch hosil qilishi mumkin. Ushbu usulning noqulayligi so'rov va javob o'rtasida naqshlarni o'rnatish qobiliyatidir.

Vaqtni belgilash mexanizmi har bir xabar uchun vaqtni yozishni o'z ichiga oladi. Bunday holda, tarmoqning har bir foydalanuvchisi qabul qilingan xabarning eski ekanligini aniqlashi va uni qabul qilmasligi mumkin, chunki bu noto'g'ri bo'lishi mumkin.

Ikkala holatda ham, buzg'unchi tomonidan javob yuborilmaganligiga ishonch hosil qilish uchun boshqarish mexanizmini himoya qilish uchun shifrlash usulidan foydalanish kerak .

Vaqt belgilaridan foydalanganda seansni tasdiqlash uchun haqiqiy kechikish vaqti oralig'i bilan bog'liq muammolar mavjud . Oxir oqibat, "vaqtinchalik muhr" yozilgan xabar, bir zumda etkazilishi mumkin emas. Bundan tashqari, qabul qiluvchi va yuboruvchining kompyuter soatlari to'liq sinxronlashtirilmasligi mumkin.  

Autentifikatsiya protokollarini taqqoslash va tanlashda quyidagi xususiyatlarni hisobga olish kerak.

• o'zaro autentifikatsiya - bu mulk autentifikatsiya almashinuvi taraflari o'rtasida o'zaro autentifikatsiya qilish zarurligini aks ettiradi ;  

• hisoblash samaradorligi - protokolni bajarish uchun zarur bo'lgan operatsiyalar soni;  

• aloqa samaradorligi - bu xususiyat autentifikatsiya qilish uchun kerak bo'lgan xabarlarning sonini va ularning uzunligini aks ettiradi;  

• uchinchi tomonning mavjudligi - ishonchli simmetrik kalitlarni tarqatish serveri yoki ochiq kalitlarni tarqatish uchun sertifikat daraxtini tatbiq etuvchi server;  

• xavfsizlik kafolatlari asosi - masalan nol bilim dalil xususiyatiga ega protokollari hisoblanadi;  

• sirni saqlash - bu muhim muhim ma'lumotlarni saqlash usulini anglatadi.  

Autentifikatsiya nafaqat foydalanuvchilarni aniqlashda, balki xabarlarning yaxlitligini va ularning manbalarining haqiqiyligini tekshirish uchun ham ishlatilishi kerak. Obunachilar o'zaro o'zaro autentifikatsiyadan so'ng, xavfsiz kanal orqali uzatiladigan ma'lumotlarning autentifikatsiya navbati keladi. Har bir ma'lumot oluvchida (qurilma, ilova yoki foydalanuvchi) u tomonidan olingan ma'lumotlar avvalgi autentifikatsiya qilish jarayonida qonuniyligi isbotlangan jo'natuvchi (qurilma, ilova yoki foydalanuvchi) tomonidan yaratilgan va yuborilganligini tasdiqlashi kerak.

Shuning uchun, xabar almashishda quyidagi xavfsizlik talablariga javob berishiga ishonch hosil qilishingiz kerak:

• oluvchi ma'lumotlar manbasining haqiqiyligiga ishonch hosil qilishi kerak; oluvchi uzatilgan ma'lumotlarning haqiqiyligiga ishonch hosil qilishi kerak;

• jo'natuvchi ma'lumotlarni oluvchiga etkazilganligiga ishonch hosil qilishi kerak;

• Yuboruvchi etkazib berilgan ma'lumotlarning haqiqiyligiga ishonch hosil qilishi kerak.

Birinchi va ikkinchi talablarga nisbatan, elektron raqamli imzo himoya vositasi sifatida xizmat qiladi. So'nggi ikki shartni bajarish uchun, jo'natuvchi etkazib berish kvitansiyasini olishi kerak. Ushbu protsedura vositasi tasdiqlash to'g'risidagi xabarning raqamli imzosi bo'lib, bu o'z navbatida asl xabarni yo'naltirishning dalili bo'lib xizmat qiladi.

Agar yuqoridagi to'rtta talab SC-da amalga oshirilsa, ma'lumot uzatish kanalida uzatishda ma'lumotlarning yaxlitligi va ularning manbalarining haqiqiyligi kafolatlanadi, shuningdek, uzatishning rad etolmaslik ( rad etolmaslik ) funktsiyasi deb ataladigan himoya funktsiyasi ham ta'minlanadi . Bunday holda, jo'natuvchi xabarni yuborish faktini yoki uning mazmunini inkor eta olmaydi, oluvchi esa xabarni olish faktini yoki uning mazmunining haqiqiyligini inkor eta olmaydi.

Elektron raqamli imzo algoritmlari yordamida amalga oshiriladigan xabarlarni autentifikatsiya qilish va / yoki ma'lumotlar manbaini autentifikatsiya qilish uchun maxsus jarayonlar (protokollar) mavjud.