B4
アプリケーション層にさらに偏っています。
ウェブセキュリティ
認証の問題、機密性の問題、データの整合性の問題、およびサービス拒否問題 (DDOS など。サーバーをブロックして通常のサービス機能を妨害する狂気の情報送信) の 4 つの主要な脅威が依然として存在します。
使用される通信方式は、SSLセキュリティソケット層を前身とするTLSトランスポート層セキュリティであり、対称暗号化、メッセージ認証コード、公開鍵暗号、デジタル署名、擬似乱数発生器などの暗号技術を組み合わせてPoint-to-通信を確立します。ポイント接続とセッション。
GPT: 接続はフライトのようなもので、セッションはパスポートであり、新しい接続をすばやく確立するのに役立ちます。GPT には、複数の接続間で共有できる複数の暗号化パラメータが含まれています。
このことは覚えておく必要があるようです:
握手協定
ハンドシェイク同意: 2 人が会ったら、まず握手します。ハンドシェイク同意は SSL の最初のステップです。クライアントとサーバーは、双方の身元を確認し、暗号スイートに同意し、通信に必要なキーを生成します。
鍵交換の方法は一般に DH ですが、ここでは短期 DH アルゴリズムである Ephemeral Diffie-Hellman を紹介します。
- サーバーは一連のパラメータを選択し、デジタル署名を計算し、それを公開値とともにクライアントに送信します。選択されたパラメータのこの部分により、この DH プロトコルが短期間有効になります。
- クライアントは署名を検証した後、DH キー ペアも相手に送信します。
- どちらも公開鍵ペア (茶色の部分) を計算します。
したがって、ハンドシェイク プロトコルの全体的なプロセスは次のようになります。
- クライアントは、私がコミュニケーションを確立したい、そして空を飛びたいと言いました。セッション ID、乱数 (リプレイ攻撃を防ぐため)、および暗号スイート (使用する鍵交換方法を表す) をサーバーに送信します。
- それを受信した後、サーバーはセッション ID、乱数、独自の暗号スイート (おっしゃるとおりですが、別の鍵交換方法を使用したい。ネゴシエーションが必要です)、および独自の公開鍵証明書を送り返します。クライアントにコピーします。 。短期 DH アルゴリズムが選択された場合、新しく選択されたパラメータでデジタル署名を生成し、上記の公開値と一緒に送信する必要があります。
- クライアントは、公開キー証明書と DH デジタル署名の有効性を検証します。
- プレマスター秘密転送: 両者が鍵交換方法に合意した後、クライアントも独自の RSA (または他のアルゴリズム) 鍵ペアを生成してサーバーに送信し、両者は共有公開鍵 K_p の計算を開始します。
- K_p、r_c、r_s(乱数)などを利用して、次に送信する情報を暗号化するためのK_Mマスターキーを生成します。
- クライアントはすべての情報を送信した後、送信されたすべての情報の MAC 値を計算し、暗号化してサーバーに送信します。
- サーバーはデータが正しいことを確認した後、MAC 値もクライアントに送信します。
パスワード指定プロトコルを変更する
暗号スイートへの変更を要求するデータのバイトを送信します。
TLS レコード プロトコル
機密性とデータの整合性を確保してください、旧友よ。機密性と完全性。
実装方法:データの断片化、圧縮、mac値の追加、macの値の追加、暗号化、ヘッダーの追加の5つの部分に分かれています。 TLSレコードヘッダー(圧縮長、バージョンなどの情報を示す)を追加します。
アラームプロトコル
TLS 関連のアラーム情報を送信するために使用されます。
ハートビートプロトコル
同期および相手が動作しているかどうかを判断するために使用される周期的な信号。
ここでもう少し詳しく説明します。コンピューターにおける「時間」の概念はどこから来たのでしょうか? 組み込みシステムに触れたことのある学生はよく理解しているかもしれませんが、主にインターネットで作業している学生は馴染みがないかもしれません。本体内部には「水晶振動子」と呼ばれる水晶の結晶があり、通電すると周期的な信号(0101010101…など)を発し、これをクロック源として、ロジックを実装できる「クロック」の概念。たとえば、一部の水晶発振器は 12MHz ですが、これは発振の 12M サイクルが 1 秒を表すことを意味します。つまり、レベルが 24M 回反転した後、コンピューターは 1 秒が経過したとみなします。TLS の攻撃方法: ハートビート プロトコルを攻撃すると、この周期信号も破壊されます。たとえば、サーバーがハートビート データ リクエストを開始すると、サーバーは 100 サイクルのデータを送信するはずですが、今度は悪意を持って 10,000 サイクルのデータが送信され、サーバーが時間が100倍に加速したと勘違いすると、タイムアウトなどの判定が厳しくなる。
電子メールセキュリティ
達成すべきセキュリティ効果も同様で、完全性、機密性、認証です。
PGP暗号化
かなり優れたプライバシー (頭がクラクラするほど優れています)。ここが重要なポイントであり、ppt にマークを付ける際には、ppt の役割と提供するサービスを理解する必要があります。
提供できるサービス: 認証、機密保持、圧縮、電子メール互換性 (ASCII コードまたは UTF-8 コード形式など)、セグメンテーション。
署名後に圧縮する必要があるのはなぜですか?
- 電子メールを送信する場合、ソース ファイルが大きすぎるため、この手順を圧縮する必要があります。
- 署名元ファイルは比較的統一されているため、署名が圧縮ファイルの場合、相手がファイルを取得した後に認証を確認したい場合は、一度手動で圧縮する必要があります。
- 圧縮方式(zip tar)にはさまざまな方式があり、どの方式でデジタル署名を圧縮・検証すればよいのか相手にはわかりません。
- 署名が圧縮されると、データの冗長性が減少し (暗号化を解読する 1 つの方法が、キーを推測するために冗長なシーケンスを見つけることであることは以前から知られています)、解読がより困難になります。
電子メールの互換性: マッピング拡張機能により、8 ビット バイト ストリームが ASCII コードにマッピングされ、電子メールの送信を容易にするために分割されます。
キーには次のものが含まれます。
-
パスフレーズ キーは、ローカル秘密キーの暗号化と復号化に使用されます。
-
セッションキー (ランダムキー生成)
-
公開鍵
-
秘密鍵
キー ストレージ: 秘密キー リングのキー リングは現在のノードのすべてのキーを保存し、公開キー リングは他のすべてのノードの公開キーを保存します。公開鍵の末尾には 64 ビットの署名があり、鍵が誰のものであるかを識別します。
キーの検索方法を追加した後の認証と暗号化のプロセスは次のとおりですが、実際には、上の図よりも 2 つのステップが追加されています: キーの検索。
もう一つ質問ですが、C の公開鍵を渡して、これは B の公開鍵ですと伝えた場合、鍵を保存するときにエラーが発生するのではありませんか? それを避けるにはどうすればよいでしょうか?
一般的なアプローチは、CA 組織が一元管理を実現することですが、PGP には当てはまりません。双方がお互いを信頼している限り、相手方の公開キーを (検証後に) 要求し、それを自分の秘密キーで暗号化して保存できます。公開キーの信頼レベルは、他の人がそれを受け入れるにつれて増加します。これが信頼モデルです。
- 鍵の正当性: この鍵がこの人物の信頼に属しているかどうかを PGP が計算し、パラメータには鍵に署名する他のユーザーと他のユーザーの信頼性が含まれます。
- 所有者の信頼: ユーザーによって設定された、他の公開キー所有者に対するユーザーの信頼 (ブラックリスト?)。
- 署名の信頼: PGP は、フィールドを通じて取得できる公開キーを署名者がどの程度信頼するかを決定します。
S/MIME
MIME は、実行可能ファイルを転送できないなど、一部のメール転送プロトコル (smtp など) の問題や制限を解決するために設計された拡張フレームワークです。
S/MIME はセキュリティを強化するために RSA を使用します。
たとえば、次のテキストは RFC5322 と呼ばれるメール転送プロトコルの形式になっており、この形式で記述された場合は正しく解析できます。
MIME 拡張子は次のとおりです。
S/MIME 暗号化方式。最初に自分の秘密鍵で署名し、相手が簡単に鍵を見つけられるように個人情報を添付します。次に、自分がランダムに生成したコンテンツ復号鍵で暗号化し、相手の公開鍵 RSA を使用して暗号化します。コンテンツキーを暗号化し、最後に暗号化された情報と暗号化されたコンテンツキーを送信します。
証明書プロセス:
- X.509 v3に準拠した公開鍵証明書を使用します。
- キー管理は、X.509 と PGP の信頼のウェブ間のハイブリッドです。
- 各クライアントは、信頼できる CA の証明書のリストと独自の公開鍵/秘密鍵のペアと証明書を持っています。
- 証明書は信頼できる CA (VeriSign など) によって署名されている必要があります。
セキュリティに対する脅威
悪意のあるソフトウェア
ウイルス: 実行されると、自分自身を他の実行可能コードにコピーし、そのコードが実行されると、ウイルスも一緒に実行され、複製を続けます。
ワーム: 自身を実行し、同じネットワーク上の他のホストに拡散する可能性があります。
トロイの木馬: ファイアウォールで説明したように、通常のソフトウェアのように見えますが、実際には悪意があり、ユーザーの権限を悪用することがあります。
バックドア (トラップドア): セキュリティ チェックをバイパスし、一部の不正なアクションを許可する可能性があります。
ダウンローダー: 通常は電子メールを介して拡散し、ホスト マシンに他のソフトウェアをダウンロードします (1 回の充電につき 999 ドル)。
自動ルータ: 新しいコンピュータにリモートから侵入するために使用されます。
スパマー プログラム: 役に立たないスパム メールを大量に送信します。
フラッダー: ネットワーク上のコンピューターに対する DOS フラッド攻撃。
ゾンビ (ボット): 他のホストを攻撃し続けます。
スパイウェア: データを収集し、別のコンピューターに送信します。
アドウェア アドウェア: 多数の広告がポップアップし、ブラウザが広告にリダイレクトします。
マルウェア防御対策
時間スケール: (ほぼ) リアルタイムの防御と侵害後の対応。
イベント後: インシデント管理とフォレンジック インシデントの処理とフォレンジック。
オンタイム: ネットワーク トラフィック、ペイロード、エンドポイントの動作を分析します。
2 つの DDoS
分散型サービス拒否攻撃、この 2 つの違いは、1 つのターゲットが攻撃を開始するか、複数のターゲットが攻撃を開始するかです。
ターゲットコンピュータのリソースを消費し、帯域幅を占有するなど、通常の機能が使用できなくなりますか? 私はコミュニケーションについてほとんど知りません。