Amaliy mashg’ulot-14 Feige-Fiat-Shamir identifikatsiya sxemasi Kompyuter tizimida ro‘yxatga olingan har bir subyekt (foydalanuvchi yoki foydalanuvchi nomidan harakatlanuvchi jarayon) bilan uni bir ma’noda indentifikatsiyalovchi axborotga bog‘liq bo‘ladi.
Bu mazkur subyektga nom beruvchi son yoki simvollar satri bo‘lishi mumkin. Bu axborot subyekti indentifikatori, deb yuritiladi. Agar foydalanuvchi tarmoqda ro‘yxatga olingan indentifikatorga ega bo‘lsa u legal (qonuniy), aks holda nolegal (noqonuniy) foydalanuvchi hisoblanadi. Kompyuter resurslaridan foydalanishdan avval foydalanuvchi kompyuter tizimining identifikatsiya va autentifikatsiya jarayonidan o‘tishi lozim.
Identifikatsiya (Identification) - foydalanuvchini uning identifikatori (nomi) bo‘yicha aniqlash jarayoni. Bu foydalanuvchi tarmoqdan foydalanishga uringanida birinchi galda bajariladigan ishdir. Foydalanuvchi tizimga uning so‘rovi bo‘yicha o‘zining identifikatorini bildiradi, tizim esa o‘zining ma’lumotlar bazasida uning borligini tekshiradi.
Autentifikatsiya (Authentication) — ma’lum qilingan foydalanuvchi, jarayon yoki qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish foydalanuvchi (jarayon yoki qurilma) haqiqatan aynan o‘zi ekanligiga ishonch hosil qilinishiga imkon beradi. Autentifikatsiya o‘tkazishda tekshiruvchi taraf tekshiriluvchi tarafning haqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda tekshiriluvchi taraf ham axborot almashinuv jarayonida faol qatnashadi. Odatda foydalanuvchi tizimga o‘z xususidagi noyob, boshqalarga ma’lum bo‘lmagan axborotni (masalan, parol yoki sertifikat) kiritishi orqali identifikatsiyani tasdiqlaydi.
Identifikatsiya va autentifikatsiya subyektlarning (foydalanuvchilarning)
haqiqiy ekanligini aniqlash va tekshirishning o‘zaro bog‘langan jarayonidir. Muayyan foydalanuvchi yoki jarayonning tizim resurslaridan foydalanishiga tizimning ruxsati aynan shularga bog‘liq. Subyektni identifikatsiyalash va autentifikatsiyalashdan so‘ng uni avtorizatsiyalash boshlanadi.
Avtorizatsiya (Authorization) - subyektga tizimda ma’lum vakolat va resurslarni berish muolajasi, ya’ni avtorizatsiya subyekt harakati doirasini va u foydalanadigan resurslarni belgilaydi. Agar tizim avtorizatsiyalangan shaxsni avtorizatsiyalanmagan shaxsdan ishonchli tarzda ajrata olmasa, bu tizimda axborotning konfidensialligi va yaxlitligi buzilishi mumkin. Autentifikatsiya va avtorizatsiya muolajalari bilan foydalanuvchi harakatini ma’murlash muolajasi uzviy bog‘langan. Ma ’murlash (Accounting) - foydalanuvchining tarmoqdagi harakatini, shu jumladan, uning resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot axboroti xavfsizlik nuqtai nazaridan tarmoqdagi xavfsizlik hodisalarini oshkor qilish, taxlillash va ularga mos reaksiya ko‘rsatish uchun juda muhimdir.
Ma’lumotlarni uzatish kanallarini himoyalashda subyektlarning O’zaro autentifikatsiyasi, ya’ni aloqa kanallari orqali bog‘lanadigan subyektlar haqiqiyligining o‘zaro tasdig‘i bajarilishi shart. Haqiqiylikning tasdig‘i odatda seans boshida, abonentlarning bir-biriga ulanish jarayonida amalga oshiriladi.
“Ulash” atamasi orqali tarmoqning ikkita subyekti o‘rtasida mantiqiy bog‘lanish tushuniladi. Ushbu muolajaning maqsadi ulash qonuniy subyekt bilan amalga oshirilganligiga va barcha axborot mo‘ljallangan manzilga borishligiga ishonchni ta’minlashdir.
O‘zining haqiqiyligining tasdiqlash uchun subyekt tizimga turli asoslarni ko‘rsatishi mumkin. Subyekt ko‘rsatadigan asoslarga bog‘liq holda autentifikatsiya jarayonlari quyidagi kategoriyalarga bo‘linishi mumkin:
biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya kodi PIN (Personal Identification Number) hamda “so‘rov- javob” xilidagi protokollarda namoyish etiluvchi maxfiy va ochiq kalitlarni ko‘rsatish mumkin;
biror narsaga egaligi asosida. Odatda bular magnit kartalar, smart-
qandaydir daxlsiz tavsiflar asosida. Ushbu kategoriya o‘z tarkibiga foydalanuvchining biometrik tavsiflariga (ovozlar, ko‘zining rangdor pardasi va to‘r pardasi, barmoq izlari, kaft geometriyasi va x.k.) asoslangan usullarni o‘z ichiga oladi. Bu kategoriyada kriptografik usullar va vositalar ishlatilmaydi. Biometrik tavsiflar binodan yoki qandaydir texnikadan foydalanishni nazoratlashda ishlatiladi.
Parol — foydalanuvchi hamda uning axborot almashinuvidagi sherigi biladigan narsa. O‘zaro autentifikatsiya uchun foydalanuvchi va uning sherigi o‘rtasida parol almashinishi mumkin. Plastik karta va smart - karta egasini autentifikatsiyasida shaxsiy identifikatsiya nomeri PIN sinalgan usul hisoblanadi.
PIN — kodning maxfiy qiymati faqat karta egasiga ma’lum bo‘lishi shart.
Dinamik (bir martalik) parol - bir marta ishlatilganidan so‘ng boshqa umuman ishlatilmaydigan parol. Amalda odatda doimiy parolga yoki tayanch iboroga asoslanuvchi muntazam o‘zgarib turuvchi qiymat ishlatiladi.
“So‘rov-javob” tizimi - taraflarning biri noyob va oldindan bilib bo‘lmaydigan “so‘rov” qiymatini ikkinchi tarafga jo‘natish orqali. autentifikatsiyani boshlab beradi, ikkinchi taraf esa so‘rov va sir yordamida hisoblangan javobni jo‘natadi. Ikkala tarafga bitta sir ma’lum bo‘lgani sababli, birinchi taraf ikkinchi taraf javobini to‘g‘riligini tekshirishi mumkin.
Sertifikatlar va raqamli imzolar - agar autentifikatsiya uchun sertifikatlar ishlatilsa, bu sertifikatlarda raqamli imzoning ishlatilishi talab etiladi. Sertifikatlar foydalanuvchi tashkilotining mas’ul shaxsi, sertifikatlar serveri yoki tashqi ishonchli tashkilot tomonidan beriladi. Internet doirasida ochiq kalit sertifikatlarini tarqatish uchun ochiq kalitlarni boshqaruvchi qator tijorat infratuzilmalari PKI
(Public Key Infrastrusture) paydo bo‘ldi. Foydalanuvchilar turli darajali sertifikatlarini olishlari mumkin. Autentifikatsiya jaryonlarini ta’minlanuvchi xavfsizlik darajasi bo‘yicha ham turkumlash mumkin. Ushbu yondashishga binoan autentifikatsiya jarayonlari quyidagi turlarga bo‘linadi:
parollar va raqamli sertifikatlardan foydalanuvchi autentifikatsiya;
kriptografik usullar va vositalar asosidagi qat’iy autentifikatsiya; - foydalanuvchilarning biometrik autentifikatsiyasi.
Xavfsizlik nuqtai nazaridan yuqorida keltirilganlarning har biri o‘ziga xos masalalarni yechishga imkon beradi. Shu sababli autentifikatsiya jarayonlari va protokollari amalda faol ishlatiladi.
Feige-Fiat-Shamir identifikatsiya sxemasi 1986 yilda U.Feyge, A.Fiat va A.Shamirlar tomonidan taklif etilgan. Bu sxemada ikkita tomon ishtirok etadi. Tomonlarning har biri n=p*q, p va q lar katta tub sonlarni oldindan bilishi shart, boshqa hech kim p va q larni bilmasliklari kerak. Protokol boshlanishidan oldin quyidagilar hisoblanishi kerak: x modn=v tenglikdan barcha v lar topiladi. Bunda x natural son bo‘lib, 1 dan n/2 gacha o‘zgaradi. Topilgan v larning n bilan o‘zaro tub bo‘lganlari ajratib olinadi va v-1modn hisoblanadi. s=sqrt(v-1)modn tenglik orqali ochiq kalit hisoblanadi va e’lon qilinadi.
A tomon: tasodifiy r < n-1 natural son tanlaydi va hisoblaydi: y=r modn va y qiymatni B tomonga jo‘natadi.
B tomon: ixtiyoriy b bit tanlaydi va uni A tomonga jo‘natadi.
A tomon: B tomon jo‘natgan bit 0 ga teng bo‘lsa, r qiymatni B tomonga jo‘natadi. Agar B tomon jo‘natgan bit 1 ga teng bo‘lsa, z=r*s modn qiymatni B tomonga jo‘natadi.
B tomon: A tomonga 0 ni jo‘natgan bo‘lsa, r2modn=y tenglikni tekshiradi, aks holda (z *v) modn=y tenglikni tekshiradi. Tenglik bajarilsa B tomon A tomon ekanligiga ishonch hosil qilguncha shu 4 ta bosqichni bir necha marta takrorlaydi.
Bu 4 ta bosqich protokolning bitta sikli bo‘lib, akkreditatsiya deyiladi. Har bir siklda aldanish ehtimolligi 50% ni tashkil etadi. Sikl 10 marta takrorlansa, aldanish ehtimolligi 0,1% ni tashkil etadi.
Bu sxemani yanada umumiyroq qilib yozish mumkin:
A tomon: tasodifiy r < n-1 natural son tanlaydi va hisoblaydi: y=r modn va y qiymatni B tomonga jo‘natadi.
B tomon: ixtiyoriy b (i=1,..,k) bitlarni tanlaydi va ularni A tomonga jo‘natadi.
A tomon: z qiymatni B tomonga jo‘natadi.
B tomon tenglikni tekshiradi. Tenglik bajarilsa B
tomon A tomon ekanligiga ishonch hosil qilguncha shu 4 ta bosqichni bir necha marta takrorlaydi.
Har bir siklda aldanish ehtimolligi (1/2)k ni tashkil etadi. k=10 bo‘lsa va sikl bir marta takrorlansa, aldanish ehtimolligi 0,1% ni tashkil etadi.