Har qanday taraqqiy etgan jamiyat hayotida axborotning ahamiyati uzluksiz ortib bormoqda



Yüklə 1,81 Mb.
səhifə5/18
tarix09.09.2022
ölçüsü1,81 Mb.
#63505
1   2   3   4   5   6   7   8   9   ...   18
asosiy qism111

XESH zanjiri
Har bir yangi OTP ilgari ishlatilgan OTPlar asosida yaratilishi mumkin. Lesli Lemportga tegishli bu turdagi algoritmlarga misol bir tomonlama funksiyadan foydalanadi (uni f deb ataymiz). Ushbu bir martalik parol tizimi quyidagicha ishlaydi:

  1. Boshlang‘ich qiymat s tanlanadi.

  2. f(s) xesh-funktsiyasi boshlang‘ich qiymatga qayta-qayta (masalan, 1000 marta) qo‘llanilib, quyidagi qiymatni beradi: f(f(f(...f(s)...))). Biz f 1000(s) deb ataydigan bu qiymat butun tizimda saqlanadi.

  3. Foydalanuvchi birinchi marta tizimga kirganida, boshlang‘ich qiymatga f 999 marta qo‘llash orqali olingan p parol beriladi, ya'ni f 999(s) ishlatiladi. Maqsadli tizim bu to‘g‘ri parol ekanligini tekshirishi mumkin, chunki f(p) saqlangan qiymat bo‘lgan f 1000(s) ga teng. Keyin saqlangan qiymat p bilan almashtiriladi va foydalanuvchiga tizimga kirishga ruxsat beriladi.

  4. Keyingi logindan keyin f 998(s) bo‘lishi kerak. Shunga qaramay, buni tekshirish mumkin, chunki xesh f 999(s) ni beradi, bu p, oldingi kiritishdan saqlangan qiymat. Shunga qaramay, yangi qiymat p o‘rnini egallaydi va foydalanuvchi autentifikatsiya qilinadi.

  5. Bu yana 997 marta takrorlanishi mumkin, har safar parol o‘rnida bir marta kamroq f ishlatiladi va xeshlanganda oldingi loginda saqlangan qiymatni berishi tekshiriladi. Xesh funksiyalarini qaytarish juda qiyin va tizimga kirish uchun ishlatishga mo‘ljallangan, shuning uchun tajovuzkor mumkin bo‘lgan parollarni hisoblash uchun faqat s ning boshlang‘ich qiymatini bilishi kerak va kompyuter tizimi istalgan vaqtda parolni xeshlanganda oldingi qiymatni berishini tekshirish orqali tasdiqlashi mumkin.. Agar cheksiz qator parollar kerak bo‘lsa, s to‘plami tugagandan so‘ng, yangi boshlang‘ich qiymat tanlash mumkin.

  6. Serverdagi hisoblagich faqat muvaffaqiyatli OTP autentifikatsiyasidan so‘ng ortib boradi, tokendagi hisoblagich har safar foydalanuvchi yangi parol so‘raganda ortadi. Shu sababli, serverdagi va tokendagi hisoblagichlarning qiymatlari sinxronlashtirilmasligi mumkin. Serverda oldinga qarash oynasining o‘lchamini belgilaydigan oldinga qarash x parametrini o‘rnatish tavsiya etiladi. Agar foydalanuvchi tasodifan parol yaratsa, server mijozni autentifikatsiya qiladi, chunki u keyingi x OTP server qiymatlarini qayta hisoblashi va ularni mijozdan olingan parol bilan tekshirishi mumkin [3].

Oldingi parollar qatorida keyingi parolni olish uchun siz f-1 teskari funksiyasini hisoblash usulini topishingiz kerak. f bir tomonlama bo‘lishi uchun tanlanganligi sababli, buni qilish juda qiyin. Agar f kriptografik xesh-funksiya bo‘lsa, bu odatda sodir bo‘ladigan narsa bo‘lsa, u holda bu hisoblash uchun hal qilib bo‘lmaydigan muammo deb taxmin qilinadi. Tasodifan bir martalik parolni ko‘rgan tajovuzkor bir muddat yoki tizimga kirish huquqiga ega bo‘lishi mumkin, ammo bu muddatdan keyin u foydasiz bo‘lib qoladi. S/KEY bir martalik parol tizimi va uning hosilasi OTP Lamport sxemasiga asoslangan.
Savol – javob. OTPlarni yetkazib berish uchun ishlatiladigan keng tarqalgan texnologiya bu matnli xabarlardir. Matnli xabar almashish deyarli barcha mobil telefonlarda va matndan nutqqa har qanday mobil yoki statsionar telefonda foydalanish mumkin bo‘lgan hamma joyda mavjud bo‘lgan aloqa kanali bo‘lganligi sababli, matnli xabarlar barcha iste'molchilarga erishish uchun katta imkoniyatlarga ega. Matnli xabarlar orqali OTPlar A5/x standarti yordamida shifrlanishi mumkin, bu bir nechta xakerlik guruhlariga ko‘ra, bir necha daqiqalar yoki soniyalar ichida muvaffaqiyatli shifrlanishi mumkin [6][7][8][9]. Bundan tashqari, SS7 marshrutlash protokolidagi xavfsizlik kamchiliklari tegishli matnli xabarlarni tajovuzkorlarga yo‘naltirish uchun ishlatilishi mumkin va foydalanilmoqda; 2017 yilda Germaniyadagi bir nechta O2 mijozlari mobil bank hisoblariga kirish uchun xakerlik hujumiga uchragan. 2016 yil iyul oyida Amerika NIST autentifikatsiya amaliyotlari bo‘yicha qo‘llanma bilan maxsus nashr loyihasini chiqardi, bu SMS-ni keng miqyosda ushlash ehtimoli tufayli ikki faktorli autentifikatsiyani amalga oshirish usuli sifatida SMS-dan foydalanishni tavsiya etmaydi. [10][11][12]. Matnli xabarlar, shuningdek, SIM-kartani aldash firibgarliklariga qarshi himoyasizdir, bunda tajovuzkor firibgarlik yo‘li bilan qurbonning telefon raqamini o‘zining SIM-kartasiga o‘tkazadi va undan keyin unga yuborilgan xabarlarga kirish uchun foydalanish mumkin [13][14].

Yüklə 1,81 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   ...   18




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin