66
Almashtirib qo‗yishning quyidagi xili mavjud: ikkita foydalanuvchi
o‗rtasidagi autentifikatsiya muvaffaqiyatli o‗tib, ulanish o‗rnatilganidan so‗ng
buzђunchi foydalanuvchilardan birini chiqarib tashlab,
uning nomidan ishni
davom ettiradi;
➢
takroriy uzatish
(replay attack). Foydalanuvchilarning biri tomonidan
autentifikatsiya ma‘lumotlari takroran uzatiladi;
➢
uzatishni qaytarish
(reflection attak). Oldingi xujum variantlaridan biri bo‗lib,
xujum mobaynida niyati buzuq odam protokolning
ushbu sessiya doirasida
ushlab qolingan axborotni orqaga qaytaradi.
➢
majburiy kechikish
(forsed delay). Niyati buzuq odam qandaydir ma‘lumotni
ushlab qolib, biror vaqtdan so‗ng uzatadi.
➢
matn tanlashli xujum
( chosen text attack). Niyati buzuq odam autentifikatsiya
trafigini ushlab qolib, uzoq muddatli kriptografik kalitlar xususidagi axborotni
olishga urinadi.
Yuqorida keltirilgan xujumlarni bartaraf qilish uchun autentifikatsiya
protokollarini qurishda quyidagi usullardan foydalaniladi:
➢
―so‗rov–javob‖, vaqt belgilari,
tasodifiy sonlar, indentifikatorlar, raqamli
imzolar kabi mexanizmlardan foydalanish;
➢
autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi keyingi
xarakatlariga boђlash. Bunday misol yondashishga
tariqasida autentifikatsiya
jarayonida foydalanuvchilarning keyinga o‗zaro aloqalarida ishlatiluvchi
maxfiy seans kalitlarini almashishni ko‗rsatish mumkin;
➢
aloqaning o‗rnatilgan seansi doirasida autentifikatsiya muolajasini vaqti-vaqti
bilan bajarib turish va h.
―So‗rov-javob‖ mexanizmi quyidagicha. Agar foydalanuvchi
A
foydalanuvchi
V
dan oladigan xabari yolђon emasligiga ishonch xosil qilishni istasa, u
foydalanuvchi
V
uchun yuboradigan xabarga oldindan bilib bo‗lmaydigan element –
X
so‗rovini (masalan, qandaydir tasodifiy sonni) qo‗shadi. Foydalanuvchi V javob
berishda bu amal ustida ma‘lum amalni (masalan, qandaydir
f(X)
funksiyani
hisoblash) bajarishi lozim. Buni oldindan bajarib bo‗lmaydi, chunki so‗rovda qanday
tasodifiy son
X
kelishi foydalanuvchi
V
ga ma‘lum emas. Foydalanuvchi
V
harakati
natijasini
olgan foydalanuvchi
A
foydalanuvchi
V
ning xaqiqiy ekanligiga ishonch
xosil qilishi mumkin. Ushbu usulning kamchiligi - so‗rov va javob o‗rtasidagi
qonuniyatni aniqlash mumkinligi.
Vaqtni belgilash mexanizmi har bir xabar uchun vaqtni qaydlashni ko‗zda
tutadi. Bunda tarmoqning har bir foydalanuvchisi kelgan xabarning qanchalik
eskirganini aniqlashi va uni qabul qilmaslik qaroriga kelishi mumkin,
chunki u
yolђon bo‗lishi mumkin. Vaqtni belgilashdan foydalanishda seansning xaqiqiy
ekanligini tasdiqlash uchun
kechikishning joiz vaqt oraliђi
muammosi paydo bo‗ladi.
67
Chunki, ―vaqt tamђasi‖li xabar, umuman, bir laxzada uzatilishi mumkin emas.
Undan tashqari, qabul qiluvchi va jo‗natuvchining soatlari mutlaqo sinxronlangan
bo‗lishi mumkin emas.
Autentifikatsiya
protokollarini
taqqoslashda
va
tanlashda
quyidagi
xarakteristikalarni hisobga olish zarur:
➢
o„zaro autentifikatsiyaning mavjudligi.
Ushbu
xususiyat autentifikatsion
almashinuv taraflari o‗rtasida ikkiyoqlama autentifikatsiyaning zarurligini aks
ettiradi;
➢
hisoblash samaradorligi
. Protokolni bajarishda zarur bo‗lgan amallar soni;
➢
kommunikatsion samaradorlik
. Ushbu xususiyat autentifikatsiyani bajarish
uchun zarur bo‗lgan xabar soni va uzunligini aks ettiradi;
➢
uchinchi tarafning mavjudligi
. Uchinchi tarafga misol tariqasida simmetrik
kalitlarni taqsimlovchi ishonchli serverni yoki ochiq kalitlarni taqsimlash
uchun sertifikatlar daraxtini amalga oshiruvchi serverni ko‗rsatish mumkin;
➢
xavfsizlik kafolati asosi.
Misol sifatida nullik bilim bilan isbotlash xususiyatiga
ega bo‗lgan protokollarni ko‗rsatish mumkin;
Dostları ilə paylaş: