Professional Documents
Culture Documents
DNS Session18
DNS Session18
2
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مديريت كليد
مشكل :در جدول كليدهاي عمومي ،Aيك كليد به ظاهر متعلق به
كاربر Bاست ،ولي در واقع متعلق به Cاست .در نتيجه Cمي تواند:
بجاي Bبه Aپيغام بفرستد.
پيام هاي ارسال شده از Aبه سمت Bرا بخواند.
3
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مديريت كليد عمومي درPGP
ارسال كليد عمومي با امكان احراز اصالت
انتقال بصورت فيزيكي
در شبكه اين روش غيرعملي است.
انتقال بصورت الكترونيكي و تاييد توسط تلفن يا…
چكيده اي از كليد دريافتي از طريق تلفن با مالك بررسي شود.
انتقال توسط فرد مطمئني كه كليد عمومي وي در اختيار است.
كليد عمومي كاربر Bتوسط كاربر شناخته شده Dامضاء و به كاربرA
ارسال مي شود.
انتقال بصورت گواهي تاييد شده توسط مرجع قابل اعتماد.
4
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مديريت كليد
PGPبراي مديريت كليدهاي عمومي بجاي CAاز مدلي بنام) (Web of Trustاستفاده
مي كند.
فيلدهاي ) Trustدر بايتي تحت عنوان trust_flagنگهداري مي شوند).
فيلد :key legitimacyبيانگر ميزان اعتماد به انتساب كليد عمومي به
شناسه فرد.
فيلد :signature trustهر كليد عمومي ممكن است چند امضا داشته باشد.
هر يك از اين امضاها داراي يك درجه اعتماد هستند.
فيلد :owner trustبيانگر ميزان اعتماد به صاحب كليد براي تاييد اعتبار
كليدهاي عمومي ديگر (گواهي) است.
5
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
محاسبه مقادير اعتماد
با دريافت يك كليد عمومي توسط ،Aمقدار owner trust
اگر خود Aمالك باشد :معادل ultimate trust
وگرنه ،درخواست از Aبراي تعيين ميزان اعتماد
با درج كليد عمومي جديد به دسته كليد عمومي ،مقدار signature trustهر
امضاء
در صورت وجود مالك آن در دسته كليد ،معادل owner trustمالك
در صورت عدم وجود مالك در دسته كليد ،مقدار unknown user
مقدار key legitimacyهر سطر كليد عمومي
اگر داراي يك امضاء با اعتماد ultimateباشد ،معادل complete
وگرنه ،جمع وزني اعتماد امضاها :ضريب 1/xبراي always trustedو
ضريب 1/yبراي usually trusted
6
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
محتواي بايت trust_flag
7
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مثالي از مدل اعتماد درPGP
8
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مديريت كليد
چند نكته در مورد شكل قبل
كليدهاي كاربراني كه مورد اعتماد يك كاربر مي باشند ،لزوما توسط وي
امضاء نشده اند( مانند ) L
اگر چند ) (xكاربر كه جزئاً قابل اعتماد هستند كليدي را امضاء كنند ،كليد
مربوطه مورد تاييد قرار مي گيرد) Hبا امضاي Aو.(B
كليدي كه تاييد شده است ،لزوماً نمي تواند براي تاييد امضاي كليد ديگري
بكار رود( مانند ) N
كليد كاربري كه بطور غيرمستقيم امضاء شده است ،ممكن است به صورت
مستقيم نيز امضاء شود( مانند كليد Eكه توسط Fو Youبه صورت
غيرمستقيم و مستقيم امضا شده است) .
9
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
ابطال كليد عمومي درPGP
داليل ابطال كليد عمومي
افشاي كليد خصوصي
انقضاي زمان استفاده از ان از ديد مالك
نحوه ابطال
توليد گواهي ابطال با امضاي مالك (با همان كليد خصوصي)
انتشار گواهي ابطال توسط مالك در اولين فرصت به ديگر كابران
امكان سوء استفاده از اين روش توسط مهاجم براي منع استفاده مالك از كليد ،وليكن اين
تهديد جدي نيست ،چرا كه دسترسي خود مهاجم نيز منع مي شود.
10
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
فهرستمطالب
امنیت پست الکترونیکی
پروتکلPGP
ويژگی هاي PGP
سرويس هايPGP
انواع کلیدهاي مورد استفاده
مديريت کلید
پروتکل S/MIME
11
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
پروتکل S/MIME
S/MIME نسخه امن سازي شده پروتكل تبادل ايميل MIMEاست.
12
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
قالب پیام RFC 822
RFC 822 قالب پيام هاي متني قابل ارسال از طريق ايميل را تعريف
مي نمايد.
هر پيام شامل دو بخش است:
:Envelop شامل اطالعات الزم براي ارسال و دريافت ايميل است.
:Content شامل هر آنچه كه بايد ارسال شود ،است.
Content خود شامل دو بخش اصلي است:
:Header شامل تعدادي واژه كليدي به همراه عالمت ( ):و مقدار مرتبط با
واژه كليدي.
:Body حاوي متن پيام كه با يك خط خالي از Headerجدا شده است.
13
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
قالب پیام RFC 822
14
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
پروتکل MIME
Multipurpose Internet Mail Extensions = MIME
براي رفع محدوديت ها و مشكالت SMTPو قالب RFC 822ارائه
شده است.
مهم ترين محدوديت ها و مشكالت:
عدم امكان ارسال داده هاي باينري (نياز به تبديل به داده هاي متني)
عدم امكان ارسال داده هاي اسكي با كد 128و يا باالتر (پشتيباني از
ASCII‐7كه 7بيتي است)
محدوديت اندازه ايميل ارسالي
ناسازگاري برخي از پياده سازي هاي SMTPبا استاندارد RFC 821
15
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
پروتکل MIME
پنج فيلد جديد به سرآيند قالب RFC 822اضافه شده است.
چند قالب براي ارسال ايميل هاي چندرسانه اي تدارك ديده شده است.
16
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
سرايند MIME
:MIME Version در حال حاضر بايد 1.0باشد.
:Content‐Type توصيف نوع داده ارسالي و مكانيزم و يا عامل
موردنياز براي باز كردن آن )مثال.(video/quicktim:
:Content‐Transfer‐Encoding نوع كدگذاري داده ارسالي (مثالbinary :
).
:Content‐ID براي شناسايي موجوديت هاي MIMEدر زمينه هاي
مختلف.
:Content‐Description توصيفي از داده ارسالي (براي داده هاي
صوتي كه قابل مشاهده نيستند ،مناسب است).
17
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Content-Typeدر MIME
18
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
قالب پیام MIME
19
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
کدگذاري در MIME
20
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
قالب كانوني
يكي از مفاهيم اساسي در MIMEو S/MIMEقالب كانوني داده ها
است.
قالب كانوني ،قالبي مناسب نوع داده) (Content‐Typeاست ،كه براي
استفاده بين سيستم هاي مختلف استاندارد شده است.
ممكن است شامل تبديل مجموعه كاراكترها ،EOL ،تبديل داده هاي
صوتي ،فشرده سازي و ...باشد.
21
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
قابلیت هاي S/MIME
S/MIME قابليت هايي مشابه قابليت هاي PGPرا فراهم مي آورد.
چهار قابليت ارائه شده توسط :S/MIME
:Enveloped data متن رمز شده همراه با كليد
:Signed data داده همراه با امضاء كه با base 64كدگذاري شده اند.
:Clear‐Signed data داده همراه با امضاء كه در آن صرفاً امضاء
كدگذاري شده است.
:Signed & Enveloped data تركيبي از داده رمز شده و امضاء است.
22
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
الگوريتم هاي S/MIME
:DSS الگوريتم امضاء توصيه شده
:DH (EI-Gamal) توصيه شده براي رمز كليد جلسه
:RSA براي امضاء و يا رمزنگاري
: 3 DES/RC2 (40 bits) براي رمزگذاري پيام
:SHA‐1/MD5 براي توليد چكيده پيام
در S/MIMEتعدادي قاعده براي انتخاب الگوريتم درنظر گرفته شده است (قواعد
الزام MUST -و قواعد اختيار.) SHOULD -
23
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Content-Typeدر S/MIME
24
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Enveloped Data
مراحل ايجاد يك موجوديت MIMEاز نوع :Enveloped Data
توليد يك عدد شبه تصادفي به عنوان كليد جلسه (رمز 3DESيا (RC2/4
رمز كليد جلسه با كليد عمومي هر يك از گيرندگان ايميل
براي هر گيرنده ايجاد يك بلوك RecipientInfoحاوي
شناسه گواهي كليد عمومي گيرنده
شناسه الگوريتم رمز به كار رفته براي رمز كليد جلسه
كليد جلسه رمز شده
25
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Signed Data
مراحل ايجاد يك موجوديت MIMEاز نوع :Signed Data
انتخاب الگوريتم درهم ساز ( SHA‐1يا )MD5و محاسبه چكيده پيام
رمز چكيده با كليد خصوصي فرستنده
ايجاد يك بلوك SignerInfoحاوي
گواهي كليد عمومي فرستنده
شناسه الگوريتم درهم ساز توليد چكيده و شناسه الگوريتم رمز توليد امضاء
چكيده رمز شده
بلوك SignerInfoبه همراه پيام امضاء شده (گاهي همراه با زنجيره گواهي هاي تا
ريشه) ،يك موجوديت signedDataرا حاصل مي نمايند ،كه با base64كد شده
است.
26
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Clear Signing
پيام قابل مشاهده توسط كارگزارهاي ( MIMEكه از S/MIME
پشتيباني نمي كنند).
27
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
درخواست ثبت گواهي كليد عمومي
درخواست ثبت گواهي كليد عمومي مي تواند با استفاده از موجوديت
application/pkcs10ارسال شود. MIMEبا نوع
درخواست گواهي شامل موارد زير است:
بلوك CertificateRequestInfoكه خود حاوي
نام عامل متقاضي گواهي
رشته كليد عمومي متقاضي
شناسه الگوريتم رمزگذاري كليد عمومي
امضاي بلوك CertificateRequestInfoبا استفاده از كليد خصوصي
فرستنده.
28
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
پيام گواهي
Certificate‐Only Message
يك پيام حاوي صرفاً گواهي ها و يا ليست گواهي هاي باطل شده به
عنوان پاسخ درخواست گواهي.
اين پيام از نوع application/pkcs7‐mimeبا پارامتر
degenerateاست.
مراحل ايجاد اين پيام مشابه ايجاد signedDataاست ،با اين تفاوت كه
محتواي پيام خالي است و فيلد signerInfoخالي است.
29
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
گواهی هاي کلید عمومی درS/MIME
S/MIME از گواهي كليد عمومي X.509 V3پشتيباني مي كند.
بهره گيري از روشي مركب از روش PGPو روش PKIبراي مديريت
كليد
مديريت كليدها و گواهي هاي كليد عمومي به صورت محلي صورت مي
پذيرد وليكن هر گواهي امضاي يك مركز CAرا دارد.
30
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مديريت کلید درS/MIME
توليد كليد:
كاربر بايد با روشي مناسب كليدهاي تصافي مودنياز را توليد كرده ،كليدهاي
خصوصي را به صورت امن نگهداري نمايد.
ثبت گواهي كليد عمومي:
كاربر بايد كليد عمومي خود را در يك مركز CAثبت نموده ،گواهي X.509
كليد عمومي مورد نظر را دريافت نمايد.
ذخيره و بازيابي گواهي هاي كليد عمومي:
كاربر بايد به گواهي ها و ليست گواهي هاي باطل شده به صورت محلي
دسترسي داشته باشد.
مدير مي تواند براي تعدادي از كاربران يك ليست محلي نگهداري نمايد.
31
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه