Информатика для юристов и экономистов


Технологии защищенной связи - часть 6


4. Совпадает ли доменное имя сервера, указанное в сертификате, с тем доменным именем, по которому в данный момент находится сервер? В принципе, эта проверка не относится к протоколу 551, но она все-таки необходима, чтобы исключить возможность создания защищенного канала, ведущего к подставному партнеру.

Угроза подставного партнера. Как мы только что сказали, клиент должен убедиться в том, что доменное имя сервера, указанное в сертификате, выданном на его открытый ключ, совпадает с доменным именем сервера, с которым в данный момент устанавливается связь. Эта мера предосторожности связана с возможностью создания подставного партнера.

Подставным партнером может быть программа, размещенная злоумышленником на одном из промежуточных серверов, через которые осуществляется установление защищенного соединения по протоколу 551 между клиентом и сервером. Серверу «подставная» программа представляется клиентом, а клиенту — сервером. При этом она перехватывает открытые ключи клиента и сервера и подменяет их своими. В итоге она создает два защищенных канала 551 со своими сеансовыми ключами (рис. 10.20). В одном канале она взаимодействует с сервером, а в другом — с клиентом. Это позволяет ей не только читать данные, проходящие через соединение, но и модифицировать их, причем в каждом из каналов сеансовые ключи не покажут корреспондентам, что что-то было изменено на путях транспортировки. Во избежание этой угрозы чрезвычайно важно, чтобы доменное имя сервера, указанное в сертификате, совпадало с реальным в сеансе связи.

 

 

Рис. 10.20. «Подставная» программа создает два защищенных

                     канала связи там, где должен быть один

 

Идентификация клиента. Сервер, как и клиент, получает от партнера его открытый ключ вместе с сертификатом, заверенным удостоверяющим центром, но дополнительно еще и образец ЭЦП клиента. Для того чтобы убедиться, что открытый ключ действительно принадлежит клиенту и соответствует закрытому ключу, использованному при создании ЭЦП, сервер должен выполнить ряд проверок и получить положительные ответы на шесть следующих вопросов.




Начало  Назад  Вперед



Книжный магазин