Инфраструктура общедоступных ключей в беспроводных сетях

Традиционно в обеспечении безопасности проводной сети использовалась PKI ( Public Key Infrastructure - Инфраструктура публичных ключей ), чтобы гарантировать сохранность информации от прослушивания , кражи и подмены . Беспроводным сетям необходимо обеспечивать аналогичную функциональность в сфере безопасности , чтобы удовлетворить требования пользователей в этой области .

PKI предоставляет собой возможность распределять ключи для шифрования и цифровой подписи и управлять ими централизованным образом . Цент рализованный сервис обеспечивает возможность доверия между пользователями сети , которые никогда не встречались друг с другом .

PKI состоит из выпуска сертификатов ( CA – certificate authority ), сервиса директорий и услуги подтверждения сертификатов . Выпуск сертификатов – это приложение , которое выпускает ключи в форме сертификатов и управляет ими . Директория или услуги поиска используются для посылки общей информации о пользователях или сертификатах . Услуга подтверждения сертификатов либо непосредственно отвечает на запросы о подлинности или применимости сертификатов , либо обеспечивает контакт с организацией , занимающейся верификацией сертификатов .

Сертификаты PKI аналогичны идентификаторам пользователей или электронным паспортам . Они являются средством обеспечения шифрования или цифровой подписи для пользователей .

Обзор проблем криптографии

Криптография используется со времен Юлия Цезаря . Суть ее состоит в изменении информации до такого вида , который непонятен никому , кроме ее получателя . Криптография состоит из двух частей – шифрования и расшиф­ровки . Шифрование – это процесс превращения обычного текста в зашифрованный , тогда как расшифровка – это процесс возвращения зашифрованного текста в изначальный .

Безопасность , обеспечиваемая при помощи криптографии , основана на том , что только тот , кто посылает и получает информацию , знает способ ее шифрования и расшифровки . Это знание обеспечивается ключами .

Есть два типа методов криптографии , называемых шифрами : симметрич­ных , или общедоступных , ключей и асимметричных ключей .

Симметричные шифры

В симметричных шифрах одни и те же ключи используются для шифрования и расшифровки текста . Вот как это делается : сместите начальную точку алфавита на третьей позиции – ключ шифрования в данном случае К = 3.

Обычный алфавит : АБВГДЕЖЗИКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯ

Зашифрованный алфавит : ГДЕЖЗИКЛМНОПРСТУФХЦЧШЩЪЫЬЭЮЯ - АБВ

Пример шифрования :

Обычный текст – БЕСПРОВОДНАЯ БЕЗОПАСНОСТЬ

Зашифрованный текст – ДИФТУСЕОЗРГВ ДИЛСТГФРСФХЯ Первым использовал симметричный шифр для общения со своими коман­дирами Юлий Цезарь . Ключ , который он использовал , состоял в смещении начальной точки алфавита на определенное число позиций и замену букв так , как мы это сделали в примере в предыдущем абзаце .

Очевидная слабость такой системы шифрования заключается в том , что статистический анализ выдает частоту использования в языке той или иной буквы и может установить истинное значение букв .

Эта стандартная форма симметричного шифрования оставалась практически неизменной до XVI века . В тот момент Генрих III поставил перед Блэзом де Вигенером задачу усовершенствовать шифр Цезаря и обеспечить улучшенную безопасность . Вигенер предложил одновременно использовать несколько криптографических алфавитов для шифрования письма . Выбор того или иного алфавита определялся ключевым словом . Это ключевое слово писалось под текстом письма , и каждая буква основного письма заменялась на соответствующую букву того алфавита , на который указывала соответствующая буква ключевого слова . Если ключевым словом было слово «РАДИОВОЛНЫ» , то первая буква письма смещалась на 17 позиций ( это номер буквы Р в алфавите ), вторая буква – на 1 позицию ( это номер буквы А в алфавите ) и т . д . Таким образом одинаковым буквам в начальном тексте письма соответствовали различные буквы в конечном тексте , и расшифровка статистическими методами становилась практически невозможной без знания ключевого слова . После этого были предложены и другие способы шифрования , но замена букв на основе идеи Вигенера оставалась основой для большинства систем шифрования вплоть до середины XX века .

Основное отличие современной и классической криптографии заключается в том , что мощь современных компьютеров позволяет производить операции над блоками двоичной информации , а не над буквами . Кроме того , вычислительные возможности процессоров позволяют использовать более длинные ключи для успешного шифрования текстов .

В двоичной криптографии ключ представляет собой последовательность битов . Для длины ключа в один бит есть два возможных ключа – « 0 » и « 1 » . Для длины ключа в 3 бита есть два в третьей степени , то есть восемь , возможных ключей и т . д .

Таблица - Длина бинарных ключей

Задача отыскания нужного ключа длиной 56 бит похожа на поиск одного красного теннисного шарика среди мириады обычных желтых , заполняющих огромный ров шириной в 50 км , глубиной в 1,5 км и длиной в несколько сотен километров. Добавка одного единственного бита к длине ключа означает добавку еще одного такого же канала для поиска, два дополнительных бита – четыре таких канала и т. д., в геометрической прогрессии.

Еще одно преимущество использования двоичных операций в шифровании и дешифровании заключается в том, что все криптографические операции сводятся к обычной двоичной арифметике.

Кроме того, можно проводить операции над целыми блоками данных длиной, к примеру, 64 бита. Все операции можно повторять многократно с использованием различных ключей. Вот примеры современных систем шифрования: 56-битный DES , тройной DES использует ключи длиной 120 бит, RC 2 использует 40-битные и 1280-битные ключи, CAST использует 40-, 64-, 80-, 128- и 256-битные ключи, IDEA использует 128-битные ключи.

Главный недостаток симметричных алгоритмов заключается в том, что они предоставляют средство только для шифрования. Они действенны лишь настолько, насколько безопасна система обмена этими ключами между теми, кто посылает и получает послания. Если увеличивается число участников обмена информацией, то должно увеличиваться и число индивидуальных ключей, обеспечивающих сохранность данных. Рисунок иллюстрирует экспоненциальный рост числа симметричных ключей.

Чем больше используется симметричных ключей, тем больше статистических данных требуется для запуска атаки грубой силы и других атак шиф рования. Наилучшим путем для минимизации этих рисков является частый обмен симметричных ключей. Необходимо отметить, что ручной обмен ключей всегда был делом сложным и дорогим.

Асимметричное шифрование

До изобретения асимметричной криптографии (или общедоступных клю­чей) в конце 70-х годов главной функцией криптографии была секретность. Сегодня криптография используется для самых разных вещей:

•  предотвращения несанкционированного раскрытия информации;

•  предотвращения несанкционированного доступа к данным, сетям и приложениям;

•  обнаружения вторжения, например внедрения ложной информации или замены информации;

•  предотвращения отказа от данных.

Основа асимметричной криптографии заключается в том, что посылающий и получающий информацию участники обладают не одинаковым ключом, а двумя различными, но математически связанными друг с другом. Зна­ние одного ключа не дает возможности воссоздать соответствующий ему ключ. Хорошая аналогия - это кодовый замок. Знание того, где расположен этот замок, еще не дает никаких оснований для того, чтобы его открыть. Верно и обратное. Другими словами: один из ключей используется для шифрования информации, а другой - для ее расшифровки. Такая система позволяет свободно распространять один из пары ключей среди всех пользователей (его называют общедоступным), в то время как другой ключ остается засекреченным (его называют личным), что позволяет устранить нужду в громоздком и дорогом процессе распространения ключей.

Асимметричная криптография может использоваться как механизм, который поддерживает и шифрование, и подпись документов. Главные недостатки асимметричной криптографии - это невысокая скорость процесса шифрования и ограниченный размер полезной нагрузки шифрования по сравнению с симметричной криптографией.

Среди примеров криптографии с общедоступными ключами - RSA , DSA и Diffie - Hellman .

Шифрование при помощи эллиптической кривой

Шифрование при помощи эллиптической кривой используется все чаще для встроенного оборудования, чтобы обеспечить ему гибкость, безопасность и использовать его ограниченные вычислительные возможности.

Эллиптические кривые - это простые функции, которые могут быть нарисованы на двумерной плоскости (x, y). Эти кривые пересекают линии координатной сетки (x, y) в определенных точках. По определенному правилу между двумя такими точками пересечения можно вычислить третью – именно таким образом и вычисляется ключ .

Использование криптографических шифров в беспроводных сетях

Беспроводные сети используют в своей работе комбинацию различных криптографических шифров для обеспечения адекватной функциональности и безопасности . Сочетание симметричной и асимметричной криптографии , а также элиптических кривых применяется в таких беспроводных проколах безопасности , как WAP , WEP и SSL .

Заключение

В этой статье мы познакомились с различными стандартами , используемыми в примерах беспроводных сотовых сетей и беспроводных LAN . Мы обсудили беспроводные решения , которые могут быть использованы для обеспечения связи в персональном пространстве – 802.15 PAN , на локальных пространствах – 802.11 LAN и HomeRF , в крупных городах – 802.16 MAN и на глобальных пространствах – 2 G , 2,5 G и 3 G .

Мы познакомились со спектром проблем , которые решают рабочие груп­пы IEEE , работающие над проектированием стандартов 802.11, 802.15 и 802.16, а также с использованием технологий сетей 2 G , 2,5 G и 3 G для пакетной передачи данных .

Мы обозрели основные риски , связанные с безопасностью , которые сущест­вуют в каждом из беспроводных решений , и наиболее общие механизмы их преодоления , которые предлагают производители оборудования и разработ­чики стандартов , такие как WAP и WEP .

Мы обсудили и оборотные стороны удобств , связанных с беспроводными решениями . Поскольку большинство беспроводных устройств имеют малый размер , а функциональность их все растет , они становятся подверженными всему спектру традиционных беспроводных и совершенно новых атак злоумышленников . Среди таких атак можно выделить банальную кражу , подмену пользователя , вирусы , «трояны» и черви , такие хакерские атаки и отказ от предоставления услуги .

Мы видим , как при помощи современных PDA реальной станет конвергенция многочисленных стандартов беспроводных сетей передачи данных и технологий обеспечения безопасности . После объединения сотовых сетей , LAN и PAN в единое целое наши поумневшие PDA откроют нам невиданный мир новых возможностей передачи голоса и данных . Удобства доступа к информации и общению с людьми в любом месте и в любое время приведут нас к новой эпохе работы и сотрудничества . Возмож­ность загрузки мультимедиа - информации на PDA в офисе , дома , в машине порождает новые услуги и новые способы использования данных . Использование информации , зависящей от контекста или местоположения пользователя , открывает совершенно новые перспективы для проведения фокусных маркетинговых компаний и еще не придуманных приложений .

Однако в этом безоблачном беспроводном мире будущего остается еще немало неконтролируемых рисков , с которыми надо научиться бороться . Прежде всего надо четко определить проблематику сохранения частной ин­формации и наметить пути решения этих проблем . Для этого должны быть установлены доверительные взаимоотношения между операторами сетей , производителями оборудования и пользователями , чтобы использование PKI и других технологий обеспечения безопасности достигало бы своей цели . Любые коммуникации пользователей должны содержать в себе жесткие правила двухступенчатой аутентификации . В мобильных стандартах должны быть предусмотрены идентификаторы пользователей и устройств , а также PIN , совместимые со многими устройствами , работающими в сети .

Наконец , так же как и в других механизмах обеспечения безопасности , в беспроводных сетях необходимо достичь баланса сложности , удобства для пользователей , эффективности , надежности и оптимального сочетания цены и ка­чества . Безопасность и мобильность данных и коммуникаций станут ключевыми моментами нашего беспроводного будущего . Ясные , работоспособные и масштабируемые решения должны быть тщательно продуманы и проработаны , перед тем как они станут определяющими в нашей повседневной жизни.