Методические указания для студентов по выполнению практических работ являются частью основной профессиональной образовательной программы Государственного бюджетного
|
Скачать 1.58 Mb.
|
|
Практическая работа №15 «Сертификаты открытого ключа» Цель работы: получить навык применения программного продукта OpenSSL для создания сертификатов X.509 и их преобразования, изучить структуру сертификата X.509 и форматы DER и PEM. Краткие теоретические и учебно-методические материалы по теме практической работы Схема аутентификации на основе сертификата. Данная схема предполагает наличие третьей стороны, называемой УЦ – удостоверяющим центром или ЦС – центром сертификации, которая выдает удостоверения (сертификаты) всем участникам сетевого домена, входящего в зону действия данного ЦС. При регистрации нового пользователя или сервера в домене ЦС выдает новому участнику сертификат, состоящий из открытой части, содержащий такие данные как:
и закрытой части, содержащий ту же информацию, закрепленной электронно-цифровой подписью ЦС (т.е. подвергнутого хеш- преобразованию и последующему шифрованию с помощью закрытого ключа ЦС). Обе части выдаются соискателю в электронном виде в виде одного файла. Закрытая часть служит для того, чтобы нельзя было подделать сертификат. Кроме того, соискатель получает отдельно закрытый ключ, соответствующий открытому ключу, находящемуся в сертификате, который соискатель обязуется хранить в секрете. Кроме того, открытая часть сертификата может выдана в виде бумажного документа, подтвержденного печатью ЦС. При обмене сообщения каждый участник сопровождает свое послание меткой времени, электронно-цифровой подписью, сформированной на основе своего закрытого ключа, и сертификатом, выданным ему ЦС. Сертификат здесь служит для удостоверения ЭЦП отправителя: получатель подписывает своим закрытым ключом послания, а получатель расшифровывает ЭЦП, используя открытый ключ отправителя, извлеченный из сертификата. Подлинность сертификата подтверждается электронно-цифровой подписью ЦС, которая может быть проверена с помощью расшифровки закрытой части сертификата с использованием открытого ключа ЦС, который является общедоступным. Создание цифровых сертификатов Х.509 и преобразование их форматов с применением пакета OpenSSL Ход работы: 1. Изучите пункты методического руководства 8.2 «Сертификаты X.509» и 8.8 «Форматы DER и PEM для записи сертификатов x.509 v3» и пункты руководствапо управлению 1.6 «Создание запросов на сертификацию X.509 и управление ими» и 1.7 «Управление сертификатами X.509». 2. Создайте запрос на сертификацию. 3. Выведите запрос на сертификацию в текстовом виде, укажите назначение и смысл значения каждого поля. 4. Сгенерируйте ключ RSA и подпишите им созданный запрос, укажите формат сертификата DER. 5. Выведите полученный сертификат в текстовом виде, укажите назначение и смысл значения каждого поля. 6. Преобразуйте формат сертификата из DER в PEM. Покажите, что изменилось. Поясните разницу между DER и РЕМ. Контрольные вопросы
Практическая работа №16 «Настройка и администрирование токена» Цель работы: получить навык применения программного продукта OpenSSL для создания центра сертификации, выпуска, верификации и отзыва сертификатов, изучить формат списков отзыва сертификатов. Создание центра сертификации с поддержкой списков отозванных сертификатов с применением пакета OpenSSL Ход работы: 1. Изучите пункты методического руководства 8.4 «Архитектура PKI», 8.7 «Отмена сертификатов» и 8.9 «Профиль CRL и расширений CRL» и пункты руководства по управлению 1.8 «Создание центра сертификации и управление им», 1.9 «Управление списками отзыва сертификатов» и 1.10 «Проверка подлинности сертификатов». 2. С помощью OpenSSL создайте новый центр сертификации. 3. Выпустите два сертификата («А» и «В»). 4. Проверьте подлинность сертификата «А» с помощью сертификата удостоверяющего центра. 5. Измените сертификат «А». 6. Заново проверьте подлинность сертификата «А», убедитесь, что сертификат не проходит проверку. 7. Внесите сертификат «В» в список отзыва. 8. Разберите формат получившегося списка отзыва. 9. С использованием списка отзыва проверьте подлинность сертификата «В». Убедитесь, что сертификат не проходит проверку. 10. Опишите шаги, необходимые для верификации сертификата с применением списка отзыва на другом узле. Сделайте вывод о проблемах применения списков отзыва. Создание центра сертификации с поддержкой протокола OCSP с применением пакета OpenSSL Цель работы: получить навык применения программного продукта OpenSSL для создания центра сертификации с поддержкой протокола OCSP, изучить протокол OCSP. Ход работы: 1. Изучите пункты методического руководства 8.4 «Архитектура PKI», 8.7 «Отмена сертификатов» и 8.11 «On-line протокол статуса сертификата (OCSP)» и пункты руководства по управлению 1.8 «Создание центра сертификации и управление им» и 1.11 «Управление протоколом OCSP». 2. С помощью OpenSSL создайте новый центр сертификации. 3. Выпустите один сертификат, проверьте его подлинность локально. 4. Запустите прослушивание передаваемых OCSP-ответчику данных с помощью Wireshark. 5. Подготовьте OCSP-запрос, выведите его в текстовом виде, разберите его формат. 6. С использованием протокола OCSP проверьте подлинность сертификата с узла, не являющегося центром сертификации. Убедитесь, что сертификат проходит проверку. 7. Внесите сертификат в индексный файл отзыва на OCSP-ответчике и выполните шаг 6. Убедитесь, что сертификат не проходит проверку. 8. Опишите шаги, необходимые для верификации сертификата с применение протокола OCSP, рассмотрите формат передаваемых данных. Сделайте вывод о проблемах применения протокола OCSP. Контрольные вопросы
Практическая работа №17 «Разработка алгоритма PGP» Цель работы: получить навык применения программного продукта GnuPG для управления ключами и сертификатами PGP, изучить принципы сети доверия. Краткие теоретические и учебно-методические материалы по теме практической работы PGP (Pretty Good Privacy) был изобретен Филом Цимерманном (Phil Zimmermann), чтобы обеспечить секретность, целостность и установление подлинности электронной почты. PGP может использоваться, чтобы создать безопасное почтовое сообщение или надежно сохранить файл для будущего извлечения. Сценарии Сначала обсудим общую идею PGP, продвигаясь от простого сценария к сложному. Мы используем термин "Данные", чтобы указать сообщение или файл для обработки. a) Открытый текст Самый простой сценарий - это передать почтовое сообщение (или накопленный файл) в исходном тексте. В этом сценарии нет сохранения целостности сообщения или конфиденциальности. Передатчик составляет сообщение и передает его получателю. Сообщение сохраняется в почтовом ящике Боба, пока не будет извлечено им. b) Целостность сообщения Вероятно, следующее усовершенствование должно позволить передатчику подписывать сообщение. Передатчик создает дайджест сообщения и подписывает его своим секретным ключом. Когда получатель получает сообщение, он проверяет его, используя открытый ключ передатчика. Для этого сценария необходимы два ключа. Передатчик должен знать свой секретный ключ; получатель должен знать открытый ключ передатчика. c) Сжатие Дальнейшее усовершенствование позволяет сжать сообщение и дайджест, чтобы сделать пакет более компактным. Это усовершенствование не имеет никаких преимуществ с точки зрения безопасности, но существенно уменьшает трафик. d) Конфиденциальность с одноразовым ключом сеанса Как мы уже говорили раньше, конфиденциальность может быть достигнута за счет применения обычного шифрования одноразовым ключом сеанса. Передатчик может создать ключ сеанса, использовать ключ сеанса для шифрования сообщения и дайджеста и передать ключ непосредственно с сообщением. Однако для защиты ключа сеанса Передатчик зашифровал его открытым ключом получателя. Получатель получает пакет, он сначала расшифровывает ключ, используя свой секретный ключ, чтобы удалить этот секретный ключ. Затем он использует ключ сеанса, чтобы расшифровать остальную часть сообщения. После расширения (декомпрессации) остальной части сообщения приёмник создает дайджест сообщения и проверяет, равен ли он дайджесту, передаваемому передатчиком. Если дайджесты равны, то сообщение подлинно. e) Преобразование кода Другая услуга, предоставляемая PGP, - преобразование кода. Большинство почтовых систем позволяет передать сообщение, состоящее только из символов ASCII. Чтобы перевести символы, не входящие в множество ASCII, PGP использует преобразование Radix-64. Каждый посылаемый символ (после того как будет зашифрован) преобразуется в код Radix-64. Применение «сетей доверия» для распространения сертификатов Ход работы: 1. Изучите пункты методического руководства 12 «PGP» и пункты руководства по управлению 2 «GnuPG 2». 2. С помощью GnuPG выпустите по 3 пары ключей для подписи на каждом из компьютеров (А1, B1, C1, A2, B2, C2, A3, B3, C3). 3. Создайте в текстовом редакторе KText произвольный файл и подпишите его ключом A1. 4. Передайте файл, подпись и открытый ключ A1 на компьютер 2, проверьте подпись файла, убедитесь, что подпись верна. 5. Измените исходный файл и проверьте подпись заново, убедитесь, что проверка заканчивается неудачей. 6. Измените подпись и проверьте её заново, убедитесь, что проверка заканчивается неудачей. 7. Выстройте следующую сеть доверия (стрелкой обозначено направление доверия): A1 -> A2 -> C1 -> C3, B1 -> B2 -> A1, C1 -> B3 -> B2, A3 -> C2 -> A1. 8. Изменяя степени доверия к тем или иным сертификатам, вычислите вручную новые степени доверия в сети и проверьте свои расчёты программой gpg2. Контрольные вопросы 1.В чем заключается понятие комбинированного шифрования? 2. Преимущества и недостатки PGP. 3 Реализации PGP. Практическая работа №18 «Изучение протоколов SSL, TLS, IPSec» Цель работы: получить навык построения криптотуннелей в Linux, изучить каркас ISAKMP. Краткие теоретические и учебно-методические материалы по теме практической работы Основная функция протокола TLS состоит в обеспечении защиты и целостности данных между двумя взаимодействующими приложениями, одно из которых является клиентом, а другое – сервером. Протокол TLS (Transport Layer Security) разрабатывался на основе спецификации протокола SSL 3.0 (Secure Socket Layer), опубликованного корпорацией Netscape. Различия между данным протоколом и SSL 3.0 несущественны, но важно заметить, что TLS 1.0 и SSL 3.0 несовместимы, хотя в TLS 1.0 предусмотрен механизм, который позволяет реализациям TLS иметь обратную совместимость с SSL 3.0. Перечислим задачи протокола TLS в порядке их приоритета: - Криптографическая безопасность: TLS должен использоваться для установления безопасного соединения между двумя участниками. - Интероперабельность: независимые разработчики могут создавать приложения, которые будут взаимодействовать по протоколу TLS, что позволит устанавливать безопасные соединения. - Расширяемость: TLS формирует общий каркас, в который могут быть встроены новые алгоритмы открытого ключа и симметричного шифрования. Это также избавляет от необходимости создавать новый протокол, что сопряжено с опасностью появления новых слабых мест, и предотвращает необходимость полностью реализовывать новую библиотеку безопасности. - Относительная эффективность: криптографические операции интенсивно используют ЦП, особенно операции с открытым ключом. Для этого вводится понятие сессии, для которой определяются алгоритмы и их параметры. В рамках одной сессии может быть создано несколько соединений (например, ТСР). TLS позволяет кэшировать сессии для уменьшения количества выполняемых действий при установлении соединения. Это снижает нагрузку как на ЦП, так и на трафик. Протокол состоит из двух уровней. Нижним уровнем, расположенным выше некоторого надежного протокола (а именно, протокола ТСР) является протокол Записи. Протокол Записи обеспечивает безопасность соединения, которая основана на следующих двух свойствах: - Конфиденциальность соединения. Для защиты данных используется один из алгоритмов симметричного шифрования. Ключ для этого алгоритма создается для каждой сессии и основан на секрете, о котором договариваются в протоколе Рукопожатия. Протокол Записи также может использоваться без шифрования. - Целостность соединения. Обеспечивается проверка целостности сообщения с помощью МАС с ключом. Для вычисления МАС используются безопасные хэш-функции SHA-1 и MD5. Протокол Записи может выполняться без вычисления МАС, но обычно функционирует в этом режиме. Протокол Записи используется для инкапсуляции различных протоколов более высокого уровня. Одним из протоколов более высокого уровня является протокол Рукопожатия, который использует протокол Записи в качестве транспорта для ведения переговоров о параметрах безопасности. Протокол Рукопожатия позволяет серверу и клиенту аутентифицировать друг друга и договориться об алгоритмах шифрования и криптографических ключах до того, как прикладной протокол, выполняющийся на том же уровне, начнет передавать или принимать первые байты данных. Протокол Рукопожатия обеспечивает безопасность соединения, которая основана на следующих свойствах: - Участники аутентифицированы с использованием криптографии с открытым ключом (т.е. с использованием алгоритмов RSA, DSS и т.д.). Эта аутентификация может быть необязательной, но обычно требуется по крайней мере для сервера. - Переговоры о разделяемом секрете безопасны, т.е. этот общий секрет невозможно подсмотреть. - Переговоры о разделяемом секрете надежны, если выполнена аутентификация хотя бы одной из сторон. В таком случае атакующий, расположенный в середине соединения, не может модифицировать передаваемый секрет незаметно для участников соединения. Одно из преимуществ TLS состоит в том, что он независим от прикладного протокола. ISAKMP на примере протокола туннелирования IPSec Ход работы: 1. Изучите пункты методического руководства 10 «Internet Security Association and Key Management Protocol (ISAKMP)» и 11 «Internet Key Exchange (IKE)» и пункт руководства по управлению 6 «OpenSwan». 2. Соедините два компьютера так, чтобы третий выступа для них маршрутизатором (A <-> B <-> C). Проверьте доступность обоих компьютеров друг для друга. 3. Установите защищённый туннель по протоколу IPSEC между конечными компьютерами. На промежуточном компьютере перехватите весь трафик с помощью Wireshark. 4. Поясните происходящие процессы, обнаружьте и поясните все фазы установления соединения на перехваченных пакетах. Практическая работа №18 «Настройка безопасности беспроводной сети передачи информации IEEE 802.11. WEP. WPA. WPA-2» Цель работы: Изучение механизмов обеспечения безопасности беспроводной Wi-Fi сети на базе Windows- клиентов. Краткие теоретические и учебно-методические материалы по теме практической работы |
Похожие:
 |
Методические указания для студентов по выполнению практических работ... «Применение программно-аппаратных, инженерно-технических методов и средств обеспечения информационной безопасности телекоммуникационных... |
|
Методические указания для студентов по выполнению практических работ... «Применение программно-аппаратных, инженерно-технических методов и средств обеспечения информационной безопасности телекоммуникационных... |
|
Методические указания по выполнению Методические указания по выполнению практических работ являются частью основной профессиональной образовательной программы по мдк... |
 |
Методические указания по выполнению практических работ адресованы... Методические указания для выполнения практических работ являются частью основной профессиональной образовательной программы огбоу... |
|
Методические указания по выполнению практических занятий адресованы обучающимся Методические указания для выполнения практических занятий являются частью основной профессиональной образовательной программы гбпоу... |
|
Методические указания для студентов по выполнению лабораторных работ... Лабораторная работа 4, 5 Исследование регистров, счетчиков и дешифраторов Лабораторная работа 6, 7 Исследование генератора псевдослучайной... |
|
Сборник методических указаний для студентов по выполнению лабораторных работ дисциплина «химия» Методические указания для выполнения лабораторных работ являются частью основной профессиональной образовательной программы Государственного... |
|
Методические указания doc Методические указания по выполнению лабораторно... Данные методические указания для студентов являются частью учебно-методического комплекта по пм 01. «Техническое обслуживание и ремонт... |
|
Методические указания для студентов по выполнению лабораторных и... Методические указания для студентов по выполнению лабораторных и практических работ |
|
Методические указания к практическим работам являются частью основной... Автономная некоммерческая профессиональная образовательная организация «уральский промышленно-экономический техникум» |
|
Методические рекомендации по выполнению практических работ по дисциплине «Деловой русский язык» «Деловой русский язык» предназначены для студентов средних профессиональных учебных заведений, реализующих фгос среднего (полного)... |
|
Методические рекомендации по выполнению практических работ по дисциплине... «Русский язык и культура речи» предназначены для студентов средних профессиональных учебных заведений, реализующих фгос среднего... |
|
Методические указания для выполнения практических работ по общепрофессиональной... Методические указания для выполнения практических работ по общепрофессиональной дисциплине являются частью программы подготовки специалистов... |
|
Методические указания по выполнению практических работ по учебной дисциплине Методические указания для выполнения практических работ разработаны на основе программы учебной дисциплины «Устранение и предупреждение... |
|
Методические указания по выполнению практических и лабораторных работ... Учебно-методическое пособие предназначенодля студентов 3 курса, обучающихся по профессии 23. 01. 03 Автомеханик. Пособие содержит... |
|
Область применения программы Программа факультатива является частью... Место дисциплины в структуре основной профессиональной образовательной программы |