Средства за безопасност и защита на Web-приложения или как да предпазим собствените си Web-страници Красимира Миладинова Йорданова Магистър спец. Информатика гр. 30, ф№7661

Красимира Миладинова Йорданова

Магистър

спец. Информатика

гр. 30, ф№7661

Във връзка с нашумялото хакерстване са необходими методи за предпазване на Web-страниците ни, както и защита на Web-приложенията. Създадени са различни средства като едно от най-използваните е криптирането. Криптографията е наука, използваща метематиката, за да криптира и декриптира информация. Тя дава възможност за съхраняване на чувствителна информация или изпращане през несигурни мрежи (например Internet) така, че тя да не може да бъде прочетена от никой, с изключение на този, за когото е предзначена.

Криптографията е наука, използваща метематиката, за да криптира и декриптира информация. Тя дава възможност за съхраняване на чувствителна информация или изпращане през несигурни мрежи (например Internet) така, че тя да не може да бъде прочетена от никой, с изключение на този, за когото е предзначена.

Криптирането Криптирането се използва, за да се осигури скриването на информацията от тези, за които тя не е предзначена. Информацията, която може да бъде прочетена и разбрана без някакви специални усилия се нарича открит текст ( plaintext ). Методът на преобразуване на открития текст така, че да се скрие неговото съдържание, се нарича криптиране ( encryption). Криптираният текст е нечетаем и се нарича ciphertext . Процесът на преобразуването на кодирания текст в неговият оригинал се нарича декриптиране.

Криптирането се използва, за да се осигури скриването на информацията от тези, за които тя не е предзначена. Информацията, която може да бъде прочетена и разбрана без някакви специални усилия се нарича открит текст ( plaintext ). Методът на преобразуване на открития текст така, че да се скрие неговото съдържание, се нарича криптиране ( encryption). Криптираният текст е нечетаем и се нарича ciphertext . Процесът на преобразуването на кодирания текст в неговият оригинал се нарича декриптиране.

Криптиране със секретен и обществен ключ Основното предимство на криптирането с обществен ключ пред това със секретен ключ е, че персоналните ключове никога не се предават. Това прави този тип криптография по-сигурна и удобна. В една система със секретен ключ, е необходимо предаване на ключовете, което е свързано с рискове. Освен това при работа със секретни ключове механизма на идентифициране се осъществява трудно. Когато един цифров подпис използва инфраструктура с обществен ключ се налага предаване на секретна информация. За да се избегне отказ на плащане се налага трета страна да проверява идентичността.

Основното предимство на криптирането с обществен ключ пред това със секретен ключ е, че персоналните ключове никога не се предават. Това прави този тип криптография по-сигурна и удобна. В една система със секретен ключ, е необходимо предаване на ключовете, което е свързано с рискове. Освен това при работа със секретни ключове механизма на идентифициране се осъществява трудно. Когато един цифров подпис използва инфраструктура с обществен ключ се налага предаване на секретна информация. За да се избегне отказ на плащане се налага трета страна да проверява идентичността.

Степени на криптиране Слаби - Такива са текстовите документи, защитени с парола от текстообработваща програма. Този тип програми използват криптиране с много ниска степен и с помощта на прости средства може да се разбере използваната парола; Устойчиви - С използването на технология за симетрично криптиране може да се създаде устойчива защита, но слабата страна на тези технологии е в това, че при предаване на ключа през несигурни мрежи той може да се прихване; Силни - С използването на технология с обществен ключ, предаването на ключа през несигурни мрежи е безопасно; - Такива са One-Time Pads. Този тип система използва ключ, чиято дължина е колкото дължината на съобщението и който не може да бъде декриптиран със средствата, с които е извършено криптирането.

Слаби - Такива са текстовите документи, защитени с парола от текстообработваща програма. Този тип програми използват криптиране с много ниска степен и с помощта на прости средства може да се разбере използваната парола;

Устойчиви - С използването на технология за симетрично криптиране може да се създаде устойчива защита, но слабата страна на тези технологии е в това, че при предаване на ключа през несигурни мрежи той може да се прихване;

Силни - С използването на технология с обществен ключ, предаването на ключа през несигурни мрежи е безопасно;

- Такива са One-Time Pads. Този тип система използва ключ, чиято дължина е колкото дължината на съобщението и който не може да бъде декриптиран със средствата, с които е извършено криптирането.

Криптогарфския алгоритъм Криптогарфският алгоритъм е математическа функция, използвана при процесите на криптиране и декриптиране. Криптографският алгоритъм работи в комбинация с ключ ( key ) - дума, число или фраза, за да криптира открития текст. Един и същ открит текст, криптиран с различни ключове, дава различен кодиран текст. Сигурността на криптираната информация зависи изцяло от две неща: устойчивостта на криптографския алгоритъм и тайната на ключа.

Криптогарфският алгоритъм е математическа функция, използвана при процесите на криптиране и декриптиране. Криптографският алгоритъм работи в комбинация с ключ ( key ) - дума, число или фраза, за да криптира открития текст. Един и същ открит текст, криптиран с различни ключове, дава различен кодиран текст. Сигурността на криптираната информация зависи изцяло от две неща: устойчивостта на криптографския алгоритъм и тайната на ключа.

SSL протокол SSL , съкращение от Secure Sockets Layer, е протокол, разработен от Netscape, за пренасяне на лични документи през Интернет. Данните се криптират с частен ключ, след което се предават по SSL връзка. Web сайтове, които работят с този протокол обикновено имат URL с префикс "https:" вместо "http:".

SSL , съкращение от Secure Sockets Layer, е протокол, разработен от Netscape, за пренасяне на лични документи през Интернет. Данните се криптират с частен ключ, след което се предават по SSL връзка. Web сайтове, които работят с този протокол обикновено имат URL с префикс "https:" вместо "http:".

SSL протокол Това е протокол, който защитава вашата информация, като я пренася през интернет в криптиран формат, като използва два кода за криптиране на информацията – публичен, които се познава от всички и секретен, познаваем само за получателя на съобщението SSL се грижи за това изпратената информация да остане непроменена и я изпраща само до сървъра, до който сте определили да достигне. Подържа се от почти всички съвременни браузъри и много устройства за комуникация.

Това е протокол, който защитава вашата информация, като я пренася през интернет в криптиран формат, като използва два кода за криптиране на информацията – публичен, които се познава от всички и секретен, познаваем само за получателя на съобщението SSL се грижи за това изпратената информация да остане непроменена и я изпраща само до сървъра, до който сте определили да достигне. Подържа се от почти всички съвременни браузъри и много устройства за комуникация.

Средства за сигурност и защита на данните RSA-Rivest, Shamir и Adleman -Използва криптографска система с две двойки числа дава много опростена представа за RSA алгоритъма, чийто математически апарат е естествено много по-сложен.

RSA-Rivest, Shamir и Adleman -Използва криптографска система с две двойки числа дава много опростена представа за RSA алгоритъма, чийто математически апарат е естествено много по-сложен.

Средства за сигурност и защита на данните DES-Data Encryption Standard -широко и стандартно използван симетричен криптографски алгоритъм с "ключ".

DES-Data Encryption Standard -широко и стандартно използван симетричен криптографски алгоритъм с "ключ".

Средства за сигурност и защита на данните SSL-Secure Sockets Layer-Използването на DES или друг симетричен алгоритъм, с "ключ", който се генерира за всяка сесия, криптира се с RSA и се обменя между страните дава представа за прилагания широко в момента SSL протокол.

SSL-Secure Sockets Layer-Използването на DES или друг симетричен алгоритъм, с "ключ", който се генерира за всяка сесия, криптира се с RSA и се обменя между страните дава представа за прилагания широко в момента SSL протокол.

Средства за сигурност и защита на данните TTS-Third Trusted Party -SSL предполага наличието на "трета доверена страна", която да увери общуващите в тяхната идентичност като регистрира публичната им информация и им предостави сертификат за автентичност.

TTS-Third Trusted Party -SSL предполага наличието на "трета доверена страна", която да увери общуващите в тяхната идентичност като регистрира публичната им информация и им предостави сертификат за автентичност.

Средства за сигурност и защита на данните SET -техническа спецификация за осигуряване предаването на поверителна информация по открити мрежи. SET е разработен от Visa и MasterCard, с участието на компании като Microsoft, IBM, Netscape, SAIC, GTE, Terisa Systems и Verisign.

SET -техническа спецификация за осигуряване предаването на поверителна информация по открити мрежи. SET е разработен от Visa и MasterCard, с участието на компании като Microsoft, IBM, Netscape, SAIC, GTE, Terisa Systems и Verisign.

Типове асиметрични ключове използвани от различни участници при електронна търговия в SET Ключ за подписи – Digital Signature Key – за идентифициране собственика на картата. Ключ за шифриране на данните – Key-Exchange Key. Ключ за подписване на сертификатите – Certificate Signature Key. Ключ за подписване на списъка с оттеглени (отзовани) сертификати CRL– CRL Signature Key.

Ключ за подписи – Digital Signature Key – за идентифициране собственика на картата.

Ключ за шифриране на данните – Key-Exchange Key.

Ключ за подписване на сертификатите – Certificate Signature Key.

Ключ за подписване на списъка с оттеглени (отзовани) сертификати CRL– CRL Signature Key.

Препоръчвани размери на ключовете Размера на асиметричните ключове използувани в протокола SET не е фиксиран и може да се променя във времето. Към настоящия момент са препоръчителни дадените в таблицата размери на ключовете. От дължината на ключовете зависи криптоустойчивостта на алгоритъма, а също така и ресурсоемкостта при шифрирането на съобщенията. По принцип се използува алгоритъм RSA, който се смята за един от най надеждните и до сега не са открити слабости в него.

Размера на асиметричните ключове използувани в протокола SET не е фиксиран и може да се променя във времето. Към настоящия момент са препоръчителни дадените в таблицата размери на ключовете. От дължината на ключовете зависи криптоустойчивостта на алгоритъма, а също така и ресурсоемкостта при шифрирането на съобщенията. По принцип се използува алгоритъм RSA, който се смята за един от най надеждните и до сега не са открити слабости в него.

.htaccess файл С помощта на файла .htaccess може да се направят много полезни настройки за Web-страниците, които разработваме. Чрез този файл не само може да се засекрети самата страница или просто някоя директория от презентацията с парола, а можете и да се променят или добавят настройки в Апаче сървъра по желание. Файлът се създава под Windows и трябва да се конвертира в UNIX модул.

С помощта на файла .htaccess може да се направят много полезни настройки за Web-страниците, които разработваме. Чрез този файл не само може да се засекрети самата страница или просто някоя директория от презентацията с парола, а можете и да се променят или добавят настройки в Апаче сървъра по желание. Файлът се създава под Windows и трябва да се конвертира в UNIX модул.

.htaccess файл Най-често използваната настройка е засекретяване на уеб страница или дадена директория от нея с парола. За тази цел освен файлът .htaccess трябва да се създаде и още един файл на име .htpasswd, в който трябва да се зададат потребителското име и паролата на потребителя, който единствено ще има достъп до защитената директория. http://www-it.fmi.uni-sofia.bg/courses/BonI/mainframe.html?target=chapter7.html&title=7

Най-често използваната настройка е засекретяване на уеб страница или дадена директория от нея с парола. За тази цел освен файлът .htaccess трябва да се създаде и още един файл на име .htpasswd, в който трябва да се зададат потребителското име и паролата на потребителя, който единствено ще има достъп до защитената директория.

http://www-it.fmi.uni-sofia.bg/courses/BonI/mainframe.html?target=chapter7.html&title=7