Инфраструктура общедоступных ключей в беспроводных сетях
Традиционно в обеспечении безопасности проводной сети использовалась PKI ( Public Key Infrastructure - Инфраструктура публичных ключей ), чтобы гарантировать сохранность информации от прослушивания , кражи и подмены . Беспроводным сетям необходимо обеспечивать аналогичную функциональность в сфере безопасности , чтобы удовлетворить требования пользователей в этой области .
PKI предоставляет собой возможность распределять ключи для шифрования и цифровой подписи и управлять ими централизованным образом . Централизованный сервис обеспечивает возможность доверия между пользователями сети , которые никогда не встречались друг с другом .
PKI состоит из выпуска сертификатов ( CA – certificate authority ), сервиса директорий и услуги подтверждения сертификатов . Выпуск сертификатов – это приложение , которое выпускает ключи в форме сертификатов и управляет ими . Директория или услуги поиска используются для посылки общей информации о пользователях или сертификатах . Услуга подтверждения сертификатов либо непосредственно отвечает на запросы о подлинности или применимости сертификатов , либо обеспечивает контакт с организацией , занимающейся верификацией сертификатов .
Сертификаты PKI аналогичны идентификаторам пользователей или электронным паспортам . Они являются средством обеспечения шифрования или цифровой подписи для пользователей .
Обзор проблем криптографии
Криптография используется со времен Юлия Цезаря . Суть ее состоит в изменении информации до такого вида , который непонятен никому , кроме ее получателя . Криптография состоит из двух частей – шифрования и расшифровки . Шифрование – это процесс превращения обычного текста в зашифрованный , тогда как расшифровка – это процесс возвращения зашифрованного текста в изначальный .
Безопасность , обеспечиваемая при помощи криптографии , основана на том , что только тот , кто посылает и получает информацию , знает способ ее шифрования и расшифровки . Это знание обеспечивается ключами .
Есть два типа методов криптографии , называемых шифрами : симметричных , или общедоступных , ключей и асимметричных ключей .
Симметричные шифры
В симметричных шифрах одни и те же ключи используются для шифрования и расшифровки текста . Вот как это делается : сместите начальную точку алфавита на третьей позиции – ключ шифрования в данном случае К = 3.
Зашифрованный текст – ДИФТУСЕОЗРГВ ДИЛСТГФРСФХЯ Первым использовал симметричный шифр для общения со своими командирами Юлий Цезарь . Ключ , который он использовал , состоял в смещении начальной точки алфавита на определенное число позиций и замену букв так , как мы это сделали в примере в предыдущем абзаце .
Очевидная слабость такой системы шифрования заключается в том , что статистический анализ выдает частоту использования в языке той или иной буквы и может установить истинное значение букв .
Эта стандартная форма симметричного шифрования оставалась практически неизменной до XVI века . В тот момент Генрих III поставил перед Блэзом де Вигенером задачу усовершенствовать шифр Цезаря и обеспечить улучшенную безопасность . Вигенер предложил одновременно использовать несколько криптографических алфавитов для шифрования письма . Выбор того или иного алфавита определялся ключевым словом . Это ключевое слово писалось под текстом письма , и каждая буква основного письма заменялась на соответствующую букву того алфавита , на который указывала соответствующая буква ключевого слова . Если ключевым словом было слово «РАДИОВОЛНЫ» , то первая буква письма смещалась на 17 позиций ( это номер буквы Р в алфавите ), вторая буква – на 1 позицию ( это номер буквы А в алфавите ) и т . д . Таким образом одинаковым буквам в начальном тексте письма соответствовали различные буквы в конечном тексте , и расшифровка статистическими методами становилась практически невозможной без знания ключевого слова . После этого были предложены и другие способы шифрования , но замена букв на основе идеи Вигенера оставалась основой для большинства систем шифрования вплоть до середины XX века .
Основное отличие современной и классической криптографии заключается в том , что мощь современных компьютеров позволяет производить операции над блоками двоичной информации , а не над буквами . Кроме того , вычислительные возможности процессоров позволяют использовать более длинные ключи для успешного шифрования текстов .
В двоичной криптографии ключ представляет собой последовательность битов . Для длины ключа в один бит есть два возможных ключа – « 0 » и « 1 » . Для длины ключа в 3 бита есть два в третьей степени , то есть восемь , возможных ключей и т . д .
Таблица - Длина бинарных ключей
Длина ключа
Число ключей
1 бит
2 ключа (2 1 )
2 бита
4 ключа (2 2 )
3 бита
8 ключей
16 бит
65 536 ключей
56 бит
72 057 594 037 927 936 ключей
Задача отыскания нужного ключа длиной 56 бит похожа на поиск одного красного теннисного шарика среди мириады обычных желтых , заполняющих огромный ров шириной в 50 км , глубиной в 1,5 км и длиной в несколько сотен километров. Добавка одного единственного бита к длине ключа означает добавку еще одного такого же канала для поиска, два дополнительных бита – четыре таких канала и т. д., в геометрической прогрессии.
Еще одно преимущество использования двоичных операций в шифровании и дешифровании заключается в том, что все криптографические операции сводятся к обычной двоичной арифметике.
Кроме того, можно проводить операции над целыми блоками данных длиной, к примеру, 64 бита. Все операции можно повторять многократно с использованием различных ключей. Вот примеры современных систем шифрования: 56-битный DES , тройной DES использует ключи длиной 120 бит, RC 2 использует 40-битные и 1280-битные ключи, CAST использует 40-, 64-, 80-, 128- и 256-битные ключи, IDEA использует 128-битные ключи.
Главный недостаток симметричных алгоритмов заключается в том, что они предоставляют средство только для шифрования. Они действенны лишь настолько, насколько безопасна система обмена этими ключами между теми, кто посылает и получает послания. Если увеличивается число участников обмена информацией, то должно увеличиваться и число индивидуальных ключей, обеспечивающих сохранность данных. Рисунок иллюстрирует экспоненциальный рост числа симметричных ключей.
Чем больше используется симметричных ключей, тем больше статистических данных требуется для запуска атаки грубой силы и других атак шифрования. Наилучшим путем для минимизации этих рисков является частый обмен симметричных ключей. Необходимо отметить, что ручной обмен ключей всегда был делом сложным и дорогим.
Асимметричное шифрование
До изобретения асимметричной криптографии (или общедоступных ключей) в конце 70-х годов главной функцией криптографии была секретность. Сегодня криптография используется для самых разных вещей:
• предотвращения несанкционированного доступа к данным, сетям и приложениям;
• обнаружения вторжения, например внедрения ложной информации или замены информации;
• предотвращения отказа от данных.
Основа асимметричной криптографии заключается в том, что посылающий и получающий информацию участники обладают не одинаковым ключом, а двумя различными, но математически связанными друг с другом. Знание одного ключа не дает возможности воссоздать соответствующий ему ключ. Хорошая аналогия - это кодовый замок. Знание того, где расположен этот замок, еще не дает никаких оснований для того, чтобы его открыть. Верно и обратное. Другими словами: один из ключей используется для шифрования информации, а другой - для ее расшифровки. Такая система позволяет свободно распространять один из пары ключей среди всех пользователей (его называют общедоступным), в то время как другой ключ остается засекреченным (его называют личным), что позволяет устранить нужду в громоздком и дорогом процессе распространения ключей.
Асимметричная криптография может использоваться как механизм, который поддерживает и шифрование, и подпись документов. Главные недостатки асимметричной криптографии - это невысокая скорость процесса шифрования и ограниченный размер полезной нагрузки шифрования по сравнению с симметричной криптографией.
Среди примеров криптографии с общедоступными ключами - RSA , DSA и Diffie - Hellman .
Шифрование при помощи эллиптической кривой
Шифрование при помощи эллиптической кривой используется все чаще для встроенного оборудования, чтобы обеспечить ему гибкость, безопасность и использовать его ограниченные вычислительные возможности.
Эллиптические кривые - это простые функции, которые могут быть нарисованы на двумерной плоскости (x, y). Эти кривые пересекают линии координатной сетки (x, y) в определенных точках. По определенному правилу между двумя такими точками пересечения можно вычислить третью – именно таким образом и вычисляется ключ .
Использование криптографических шифров в беспроводных сетях
Беспроводные сети используют в своей работе комбинацию различных криптографических шифров для обеспечения адекватной функциональности и безопасности . Сочетание симметричной и асимметричной криптографии , а также элиптических кривых применяется в таких беспроводных проколах безопасности , как WAP , WEP и SSL .
Заключение
В этой статье мы познакомились с различными стандартами , используемыми в примерах беспроводных сотовых сетей и беспроводных LAN . Мы обсудили беспроводные решения , которые могут быть использованы для обеспечения связи в персональном пространстве – 802.15 PAN , на локальных пространствах – 802.11 LAN и HomeRF , в крупных городах – 802.16 MAN и на глобальных пространствах – 2 G , 2,5 G и 3 G .
Мы познакомились со спектром проблем , которые решают рабочие группы IEEE , работающие над проектированием стандартов 802.11, 802.15 и 802.16, а также с использованием технологий сетей 2 G , 2,5 G и 3 G для пакетной передачи данных .
Мы обозрели основные риски , связанные с безопасностью , которые существуют в каждом из беспроводных решений , и наиболее общие механизмы их преодоления , которые предлагают производители оборудования и разработчики стандартов , такие как WAP и WEP .
Мы обсудили и оборотные стороны удобств , связанных с беспроводными решениями . Поскольку большинство беспроводных устройств имеют малый размер , а функциональность их все растет , они становятся подверженными всему спектру традиционных беспроводных и совершенно новых атак злоумышленников . Среди таких атак можно выделить банальную кражу , подмену пользователя , вирусы , «трояны» и черви , такие хакерские атаки и отказ от предоставления услуги .
Мы видим , как при помощи современных PDA реальной станет конвергенция многочисленных стандартов беспроводных сетей передачи данных и технологий обеспечения безопасности . После объединения сотовых сетей , LAN и PAN в единое целое наши поумневшие PDA откроют нам невиданный мир новых возможностей передачи голоса и данных . Удобства доступа к информации и общению с людьми в любом месте и в любое время приведут нас к новой эпохе работы и сотрудничества . Возможность загрузки мультимедиа - информации на PDA в офисе , дома , в машине порождает новые услуги и новые способы использования данных . Использование информации , зависящей от контекста или местоположения пользователя , открывает совершенно новые перспективы для проведения фокусных маркетинговых компаний и еще не придуманных приложений .
Однако в этом безоблачном беспроводном мире будущего остается еще немало неконтролируемых рисков , с которыми надо научиться бороться . Прежде всего надо четко определить проблематику сохранения частной информации и наметить пути решения этих проблем . Для этого должны быть установлены доверительные взаимоотношения между операторами сетей , производителями оборудования и пользователями , чтобы использование PKI и других технологий обеспечения безопасности достигало бы своей цели . Любые коммуникации пользователей должны содержать в себе жесткие правила двухступенчатой аутентификации . В мобильных стандартах должны быть предусмотрены идентификаторы пользователей и устройств , а также PIN , совместимые со многими устройствами , работающими в сети .
Наконец , так же как и в других механизмах обеспечения безопасности , в беспроводных сетях необходимо достичь баланса сложности , удобства для пользователей , эффективности , надежности и оптимального сочетания цены и качества . Безопасность и мобильность данных и коммуникаций станут ключевыми моментами нашего беспроводного будущего . Ясные , работоспособные и масштабируемые решения должны быть тщательно продуманы и проработаны , перед тем как они станут определяющими в нашей повседневной жизни.
