Стандарты криптопротоколов в Интернет

В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий.

Эти организации, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF), уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение в сети. Семейство протоколов для передачи данных TCP/IP, SMTP и POP для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - результаты деятельности IETF.

Криптографические протоколы в широком смысле являются составной частью протоколов взаимодействия в модели открытых систем OSI.

Стандарты безопасности в Интернете

В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.

SSL (TLS)

SSL (Secure Socket Layer) разработан компанией Netscape Communications Corp. и предназначен для безопасного информационного взаимодействия на уровне клиент-сервер.

SSL - наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.

Протокол SSL, обеспечивает:
– взаимное удостоверение легальности абонентов при установлении соединения сервер - пользователь
– после установления соединения - надежную защиту от несанкционированного контроля всего трафика между сервером и клиентом;
– действенный контроль за наличием случайных или умышленных искажений при обмене информацией.
Перед началом информационного обмена в протоколе SSL обеспечиваетсяаутентификация его участников (server-client authentication), согласуется алгоритм шифрования и формируются общие криптографические ключи.
Протокол базируется на инфраструктуре открытых ключей (public key infrastructure – PKI) на основе сертификатов, удовлетворяющих рекомендациям стандарта Х.509 ITU-T.
Протокол SSL – основной защитный протокол для клиентов и серверов (WWW Browsers and Servers) в сети Интернет.

SET

Протоколбезопасных электронных транзакций SET (Secure Electronics Transaction) предназначен для организации электронной торговли через сеть Интернет (базируется на использовании цифровых сертификатов в стандарте Х.509, версия 3).

Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров.

С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек.

Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых
карт через Интернет.

SET обеспечивает:
– конфиденциальность данных оплаты и информации заказа, переданной наряду с данными об оплате;
– целостность данных платежей на основе применения ЭЦП;
– аутентификацию держателя кредитной карты благодаря использованию ЭЦП и сертификата держателя карты;
– аутентификацию продавца и его возможности принимать платежи по кредитным картам с применением ЭЦП и сертификата продавца;
– аутентификацию того, что банк продавца является легитимным учреждением, которое может принимать платежи по кредитным картам через связь с процессинговой карточной системой (аутентификация банка продавца обеспечивается использованием цифровой подписи и сертификатов банка продавца);
– готовность к проведению транзакций (оплаты) благодаря аутентификации сертификатов открытых ключей всех участвующих сторон.

IPSec

Рабочей группой IP Security тематической группы IETF в 1995 году разработана спецификация IPsec, дополнительная по отношению к текущей версии протоколов TCP/IP и входящая в стандарт IPv6.
Протокол IPsec предусматривает сквозное шифрование трафика (от абонента до абонента) на третьем IPуровне соединений, при этом каждый проходящий по каналу пакет шифруется независимо от приложения.

В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других
криптографических алгоритмов.

Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:

· поддержку немодифицированных конечных систем;

· поддержку транспортных протоколов, отличных от ТСР;

· поддержку виртуальных сетей в незащищенных сетях;

· защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);

· защиту от атак типа "отказ в обслуживании".

IPSec имеет два важных преимущества:

1. его применение не требует изменений в промежуточных устройствах сети;

2. рабочие места и серверы не обязательно должны поддерживать IPSec.

Достоинства IPsec:
– возможность создания виртуальных защищенных сетей «поверх» небезопасной среды;
– повышенная безопасность от анализа трафика за счет защиты заголовка
– защита от атак типа «отказ в обслуживании»;
– применение не требует изменения промежуточных устройств в сети.
Для обеспечения комплексной информационной безопасности IPsec использует следующие методы:
– открытый обмен ключами через сеть на основе алгоритма рукопожатия Диффи-Хеллмана;
– применение цифровой подписи на основе СОК;
– шифрование данных с помощью блочного криптоалгоритма;
– использование хэш-функций для проверки подлинности пакетов.