Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг

63
OTP АСОСИДА БИР ЙЎНАЛИШЛИ АУТЕНТИФИКАЦИЯ
ПРОТОКОЛЛАРИНИНГ ТАҲЛИЛИ
Арзиева Жамила Тилеубаевна Қорақалпоқ Давлат Университети
ассистенти
Ушбу мақолада бир мартали пароллар асосида бир йўналишни
аутентификация протоколларининг таҳлили келтирилган.
Калит сўзлар: бир мартали парол, OTP, HOTP, TOTP, SMS, смарт карта, токен.
OTP (One-time password) тармоқ ёки хизматдан фойдаланишда бир марта паролларга асосланган механизм бўлиб, у қўлга киритилган логин/паролдан
қайта фойдалана олмасликни кафолатлайди.
Мазкур
ҳолатда, фойдаланувчининг логини ўзгармасдан, ҳар бир уринишда унинг пароли
ўзгариб туради.
Бир мартали пароллар одатда бир томонлама функциялар ҳисобланган
хэш функциялар асосида ҳосил қилинади ёки хэш функциялар асосида аутентификация протоколи ишлаб чиқилади. OTP асосида бир йўналишли аутентификация протоколлари улардан бири
ҳисобланади.
Ушбу аутентификация протоколларида ҳар иккала мижоз ва серверда бир хил “саноқ
қиймати” бўлиб, мижоз ушбу саноқ қиймати ва махфий калит ёрдамида бир мартали паролни генерация қилади ва шундан сўнг саноқнинг қиймати оширилади. Генерация қилинган бир мартали паролни фойдаланувчи серверга киритади. Ўз навбатида сервер ҳам мижозники билан бир хил бўлган саноқ
қиймати ва махфий калит ёрдамида бир мартали паролни генерация қилади ва мижоз томонидан киритилган парол билан солиштиради. Таққослаш натижаси ижобий бўлганда фойдаланувчи аутентификациядан ўтган ҳисобланади. Акс
ҳолда эса аутентификациядан ўта олмайди.
Бир йўналишли бир мартали паролларга асосланган аутентификация протоколларида ОТР фойдаланувчи томонидан серверга қуйидагича етказилиши мумкин: a)
Мижозда ҳам серверда мавжуд бўлган ОТР генератори ва бир хил саноқ қиймати (ва махфий калит) мавжуд бўлиб, одатда қурилма (ёки дастурий восита) кўринишида бўлган шахсий токен орқали ҳосил қилинади. Қурилмада
(масалан, қурилманинг экранида намоён бўлган) ёки дастурий воситаларда
(масалан, махсус мобил иловаларида) ҳосил бўлган ОТР мижоз томонидан
“қўлда” киритилади. Буларга RSA Security ташкилотнинг SecurID

64
қурилмасини ёки TOTP (ёки HOTP) га асосланган мобил иловаларни (Google
Authenticator, Microsoft Authenticator) мисол келтириш мумкин.
HOTP протоколи. HOTP (An HMAC-Based One-Time Password
Algorithm) алгоритми икки томонда тақсимланган калит K ва бир хил саноқ
ҳолати C бўлганда синхрон ишлайди.
TOTP протоколи. TOTP (Time-Based One-Time Password Algorithm) алгоритми HOTP дан фарқли равишда саноқ қиймати сифатида вақтдан фойдаланади. Вақт зоналари билан мавжуд муаммолардан қочиш учун 1970 йил 1 январдан бошланувчи секундда ифодаланган UNIX вақт белгисидан фойдаланилган. Ушбу вақт қиймати секунда ифодалангани учун ҳар 30 секундда TOTP учун кирувчи T параметр ҳосил бўлади (𝑇 = [
𝑈𝑁𝐼𝑋 вақти
30
]).
Амалда вақтни синхронлашга ва саноқни синхронлашга асосланган ОТР протоколлари жуда кенг фойдаланилади. Ушбу икки ёндашувга асосланган аутентификация протоколларидаги афзаллик ва камчиликлар 1 - жадвалда акс эттирилган.
Ҳар иккала ёндашувнинг ҳам ўзига хос афзаллик ва камчиликлари мавжуд бўлса, хавфсизлик нуқтаи-назаридан қисқа вақт давомида амал
қилиши ва фойдаланишдаги қулайлиги сабабли вақтни синхронлашга асосланган аутентификация усулларидан фойдаланиш мақсадга мувофиқ
ҳисобланади. b)
ОТР сервер томонидан ҳосил қилинади ва узатиш тармоқлари орқали мижозга етказилади. Буларга мисол тариқасида мобил қурилмаларига
SMS (Short Message Service) орқали юбориш, электрон почта орқали юбориш
ёки “қоғозга” ёзиб олиш усулларини келтириш мумкин.
1 – жадвал
Вақтни синхронлашга ва саноқни синхронлашга асосланган ОТР протоколларининг таҳлили
Синхронла- нувчи катталик
Хавфсизлик
Фойдаланишда
Вақтга
Афзал: ОТР қиймати қисқа вақт учун мавжуд.
Афзал:
ОТРни
қурилма экранидан осонлик билан ўқиш мумкин.
Кам: ОТР қиймати кузатувчи томонидан осонлик билан олиниши мумкин.
Кам:
ОТР
қиймати у киритилгунга қадар ўзгариши мумкин.
Саноқ
Афзал: ОТРни генерация қилиш учун бузғунчи қурилмани бошқариши талаб этилади.
Афзал:
ОТР
қиймати фойдаланувчи сўровига кўра генерация қилинади; маълум

65 вақтдан кейин унинг қиймати
ўзгариб қолмайди.
Кам: ОТРни янги ОТР фойдалангунга қадар фойдаланиш мумкин бўлади.
Кам: ОТРни генерация қилиш учун фойдаланувчи “генерация
қилиш” тугмасини босиши талаб этилади.
SMS орқали узатиш - банк-молия соҳасида тўловларни амалга оширишда кенг қўлланилувчи ва барча турдаги мобил қурилмалар учун жоиз бўлган усул ҳисоблансада, жиддий хавфсизлик муаммосига эга. Яъни, SMS хабарларни очиқ ҳолатда юборилиши ёки SS7 маршрутлаш протоколидаги хавфсизлик муаммолари сабабли, уларда юборилган ОТР ни осонлик билан
қўлга киритиш мумкин. c)
Сервер томонидан генерация қилинган ОТРлар мижозга веб браузерга махсус кўринишда тақдим этилади.ОТРни етказишнинг мазкур усулига вебга асосланган усулни киритиш мумкин. Бу усул фойдаланувчининг тасодифий тақдим этилган тасвирлар орасидан олдиндан танланганларини таниш қобилятига асосланган. Фойдаланувчи дастлаб рўйхатдан ўтишда тақдим этилган нарсаларнинг (мушук, машина, гуллар ва ҳ.) махфий гуруҳини танлайди. Аутентификациядан ўтиш давомида тизим унга тасодифий танланган нарсаларни (албатта олдин танлаган нарсалари ҳам улар орасида бўлади) тақдим этади. Ҳар бир тақдим этилганлар орқа фондида такрорланмас рақам мавжуд бўлади. Фойдаланувчи томонидан тақдим этилганлар орасидан олдиндан танланганлари белгиланади ва бу ҳолда орқа фондаги рақамлар тасодифий ОТРни ташкил этади.
Бундан ташқари, Confident Technologies томонидан ишлаб чиқилган вебга асосланган ОТР тизимида аутентификациядан ўтиш вақтида мобайл телефонга расмларни танлаш имкониятини берувчи ҳаволани юборади. Ушбу
ҳаволага муражаат бўлганда веб браузерга тасвирлар орасидан кераклисини танлаш ва ОТРни генерация қилиш амалга оширилади.
Бир йўналишли бир мартали паролларга асосланган аутентификация усулларида ОТРларни етказиш усулларининг қиёсий таҳлили 2-жадвалда келтирилган.
Фойдаланишдаги кенг қамровлиги нуқта-назаридан SMS га юборишга асосланган этказиш усули қолганлари ажралиб турсада, унда хавфсизлик муаммолари критик ҳолатларда фойдаланишни чеклайди. Қурилма кўринишидаги токенлар юқори хавфсизликни таъминласада, унинг юқори нархлиги ва доим бирга олиб юриш зарурияти сабабли ноқулайликларга сабаб бўлади. Ҳозирги кунда келиб мобил қурилмаларнинг кенг тарқалиши ва инсонларнинг ажралмас шеригига айланиши дастурий кўринишдаги

66 токенлардан фойдаланиш имкониятини оширади. Бироқ, мобил операцион тизимларнинг хавфсиз эмаслиги ёки “элка орқали қараш” каби ҳужумлар натижасида қўшимча хавфсизлик чораларини кўриш талаб этилади.
Почта орқали юбориш ёки қоғозда ёзган ҳолда олиб юриш мос ҳолда
қўшимча билимли билиш (почта паролини) ёки доимо ёнда хавфсиз сақлаш заруриятини талаб этади. Вебга асосланган усуллар эса ҳозирги кунга кириб келаётган янги ёндашув ҳисобланиб, инсон хотирасида осон сақлашни усулидан фойдаланишга ҳаракат қилади.

67 2 – жадвал
ОТРларни етказиш усулларининг таҳлили
№
ОТРни
етказиш усули
Камчилиги
Афзаллиги
Хавфсизлик муаммоси
Мавжуд ҳужумлар
Мисоллар
1.
Мобайл телефон орқали
(SMS)
Мобил қурилма талаб этади
Фойдаланишга
қулай, паст нарх
Мобайл қурилма тизимининг хавфсиз эмаслиги, SMS ни узатиш муҳитини хавфсиз эмаслиги.
Қурилмани физик назоратлаш, мобил тармоқни тинглаш, зарарли дастурлар асосида ҳужумлар, “элка орқали
қараш” ҳужуми
Telegram,
WhatsApp
2.
Шахсий токенлар
(қурилма кўриниши)
Доим бирга олиб юриш, юқори нарх, чекланган ишлаш муддати
Фойдаланишга
қулай, юқори хавфсизлик
Доимо хавфсиз сақлаш ва олиб юриш
Ўғирлатиш ёки йўқотиб қўйиш орқали хавфсизликни тўлиқ таъминланмаслиги, “элка орқали
қараш” ҳужуми
SecurID
3.
Шахсий токенлар
(дастурий кўриниши)
Мобил қурилма талаб этади
Ўртача нарх, чекланмаган ишлаш муддати
Мобайл қурилма тизимининг хавфсиз эмаслиги
Зарарли дастурлар асосида ҳужумлар, спуфинг ҳужумлари, “элка орқали
қараш” ҳужуми
Google
Authenticator
4.
Вебга асосланган усуллар
Эсда сақлаш зарурияти
Ортиқча
қурилма талаб этмаслиги, паст нарх
Мобайл қурилма тизимининг хавфсиз эмаслиги (фойдаланилган бўлса)
Спуфинг ҳужумлари, “элка орқали
қараш” ҳужуми
Confident
Multi-Factor-
Authentication
5.
“Қоғозга” ёзиб олиш
Доим бирга олиб юриш
Ортиқча
қурилма талаб этмайди, паст нарх
Доимо хавфсиз сақлаш ва олиб юриш
Фишинг, “ўртага турган одам” ҳужуми,
ўғирлатиш, “элка орқали қараш”
ҳужуми
Классик TAN
6.
Почта орқали юбориш
Почта тизими паролини билиш
Ортиқча
қурилма талаб этмайди, паст нарх
Почта тизими қайд ёзувини доим хавфсиз сақланмаслиги
Спуфинг ҳужумлари, “ўртага турган одам” ҳужуми, “элка орқали қараш”
ҳужуми
SmartSign

68
KRIPTOGRAFIK TIZIMLAR TAHLILI
Abduraximov B., Allanov O., Djurabayev A. TUIT
Ushbu maqolada kriptografik tizimlar haqida umumiy ma’lumotlar berilgan
va ularning qiyosiy tahlili keltirilgan. Tahlil natijasi asosida xulosa berilgan.
Zamonaviy kriptologiya - intensiv tadqiqotlar natijasida shakllangan oxirgi o'ttiz yil ichida rivojlandi. Kriptologiya ikki qismga bo’lib o’rganiladi. Bular kriptografiya va kriptotahlil. Kriptografiya tarifidan kelib chiqib axborotning maxfiyligi va butunligini ta’minlash ausullarini o’rganadigan fan sohasi isoblanadi.
Kriptotahlil esa kalitni bilmasdan turib xar hil tahlillash usullari yordamida shifrmatndan ochiq matnni toppish usullarini o’rganadigan soha hisoblanadi.
Ushbu holatda kriptografik kalit maxfiy axborotni shifrlash/deshifrlash raqamli imzolarni sozlash va tekshirish, xabarlarni autentifikatsiyalash kodlarini hisoblash kabi vazifalar uchun ishlatiladi. Xuddi shu holatlarda ishlatilganda shifrlash natijasi kalitga bog'liq bo’ladi. Zamonaviy algoritmlarda kalitning yo'qolishi amaliy jihatdan shifrmatnni ochish mumkin emasligiga olib keladi. Shu nuqtai nazardan kriptografik algoritmalar simmetrik va asimmetrik turlarga ajratiladi. Ushbu kriptografik tizimlarning yuqorida ko’rasatilgan kamchiliklarini to’ldiradigan kombinatorli shifrlash tizimlari ishlab chiqilgan va foydalanilmoqda.
Gibrid texnologiya sifatida maxfiy va ochiq kalitli tizimlarning aralashtirilgan protokol sxemasi foydalanadi. Bunda xabarni shifrlash uchun tasodifiy qiymatli kalit tanlanadi va ushbu kalitdan foydalanib simmetrik algoritm yordamida maxfiy xabar shifrlanadi. Keyin shu simmetrik kalit qabul qiluvchining ochiq kaliti bilan shifrlanadi. Aloqa kanlaida shifrmatn va shifrlangan simmetrik kalit qabul qiluvchiga uzatiladi. Qabul qiluvchi shifrmatnni ochish uchu teskari jarayon, yani o’zining yopiq kaliti bilan simmetrik kalitni deshifrlaydi, keyin ushbu kalit bilan shifrmatnni deshifrlaydi. Bu yerda asosiy xavfsizlik ochiq kalitli kriptotizim imkoniyatiga qaratilmoqda, biroq ushbu tizimning zaifligidan kelib chiqib unga qaratilgan xujum turi ham mavjud. Ushbu kamchilik va xujum turini yoritishdan oldin, ochiq kalitli kriptotizimning o’ziga e’tibor qaratish kerak.
Ochiq kalitli kriptotizimlarda xabarni shifrlash uchun alohida, deshifrlashlash uchu uchun alohida kalitdan foydalaniladi. Quyida ochiq kalitli kriptotizimlarning umumlashgan sxemasi keltirilgan:

69 1-rasm. Umumiy kalit kriptosistemasi sxemasi.
Ushbu tizimda, User2 dastlab User1 ga xabar almashish uchun ochiq kalit yuboradi va maxfiy kalitni o’zida saqlaydi. Yopiq kalitni ochiq kanlada uzatish talab etilmaganligi uchun tizim nisbatan xavfsiz hisoblanadi. Ammo, bu sxema “o’rtadagi odam” kabi faol hujumlarga qarshi bardoshsiz hisoblanadi.
Bunda tajavuskor o’rtada turib foydalanuvchuining ochiq kalitini
(foydalanuvchilar bir biri bilan kelishgan) tutib oladi, keyin o’zizning ochiq va yopiq kalitini hosil qiladi. Hosil qilgan ochiq kalitini xabar jo’natuvchiga uzatadi va shifrlangan xabarni o’zidagi yopiq kalit bilan ochib ma’lumotga ega bo’ladi.
Jarayon quyidagi sxema asosida amalga oshiriladi:
Tahdid amalga oshirilganda, tajovuzkor ikkala foydalanuvchini ham tahlil qilishi mumkin va u quyidagi imkoniyatlarga ega bo’lishi mumkin:

User2 dan User1 ga jo’natilgan ochiq kalitni tutib qolish;

o’zining kalit juftinini yaratadi ( ochiq va yopiq);

user2 nomidan o'zining ochiq kalitini user1 ga yuborish;

user1 dan user2 ga jo’natiladigan xabarlarni o’zining yopiq kaliti bilan deshifrlab maxfiy xabarni o’qishi;
2-rasm. Asimmetrik tizimlarda o’rtadagi odam xujumi

70
Shunday qilib tahdidchi o’rtadagi xabarni ruxsatsiz o’qishi va almashtirib qo’yishi mumkin. Ushbu xujumning oldini olish uchun quyidagi gibrid(aralashtirilgan) tizim qo’llaniladi:
3-rasm. Kombinatorli shifrlash sxemasi
Yuqoridagi sxemadan ko'rinib turganidek, ushbu shifrlash tizimida xabarlarni shifrlash (bu o'z navbatida shifrlangan) shaxsiy kalit yordamida amalga oshiriladi.
Bunda qabul qilivchi jo’natuvchidan olgan shifrlangan maxfiy kalitni deshifrlaydi va u bilan xabarni ochadi. Shundan so’ng maxfiy kalit o’chirib yuboriladi. Gibrid shifrlash tizimlari yuqoridagi kamchiliklarning yuyidagilarini to’ldiradi:

User2 dan User1 ga jo’natilgan ochiq kalitni tutib qolishning oldini oladi;

tahdidchiga o’zi yaratgan juft kalitlar ( ochiq va yopiq) ni tizimda qo’llashga ruxsat bermaydi;

user2 nomidan o'zining ochiq kalitini user1 ga yuborishga imkon bermaydi;

user1 dan user2 ga jo’natiladigan xabarlarni o’zining yopiq kaliti bilan deshifrlab maxfiy xabarni o’qishning oldini oladi.
Yuqoridan ko’rinib turganidek gibrid kriptotizimi “o’rtadagi odam xujumi” ning oldini oladi.
Bundan tashqari, kiriptotizimlarni mavjud parametrlar asosida quyidagicha solishtirish mumkin:
1-jadval. Kriptorafik tizimlar tahlili
Kriptotizimlar Shifrlash
tezligi
Bardoshliligi Kalit almashish
muammosi
Bardoshli
kalit uzunligi
Simmetrik
Yuqori
Yuqori
Mavjud
128 bit
Asimmetrik
Sekin
Yuqori
Mavjud emas
3072 bit
Kombinatorli
Yuqori
Yuqori
Mavjud emas
3072 bit

71
Yuqoridagi ma’lumotlardan kelib chiqib ma’lumotlarni maxfiy almashish jarayonlarida kombinatorli kiritotizimlarni qo’llash maqsadga muofiq degan xulosaga kelish mumkin.
Foydalanilgan adabiyotlar:
1. Mao B. Современная криптография: теория и практика. M.: Bilyams,
2005 2. Moldovyan N.A., Moldovyan A.A. Введение в криптосистемы с открытым ключом. BXB-Peterburg, 2005 3. Salomaa A. Криптография с открытым ключом. M.: Mir, 1996
ТАРМОҚ ҲИМОЯСИ УЧУН МАШИНАЛИ ЎҚИТИШ
Ганиев А.А. ТАТУ АХТ кафедра мудири, Ботиров Ф.Б.
ТАТУ ассистенти
Ушбу мақолада тармоқ ҳимояси учун машинали келтирилган, ҳамда
машинали ва орқали киберхавфсизликдаги қандай муаммоларни бартараф
этиш мумкинлиги кўрсатилган.
Калит сўзлар: машинали ўқитиш, SSADA, XXE ва SSRF, IDS.
Кириш. Тармоқ ҳимояси – бу Ethernet, симсиз, SSADA ёки ҳаттоки SDN каби виртуал тармоқлар каби протоколларга йўналтирилган турли ечимларнинг ягона тўплами эмас.
Тармоқ ҳимоясини бузиб киришни аниқлаш тизимлари (IDS) каби машҳур ечимларга тааллуқли. Уларнинг баъзилари узоқ йиллар олдин ўзига машинали ўқитишдан фойдаланишган ва асосан сигнатурали ёндашув билан ишлашган. Машинали ўқитиш тармоқ хавфсизлиги ҳар бир даражадасида барча трафикни чуқур таҳлиллаш ва аномалия ҳамда ҳужумларни аниқлаш учун мўлжалланган Network Traffic Analytics (NTA) деб номланувчи янги ечимни назарда тутади.
Бу ерда машинали ўқитиш қандай ёрдам бериши мумкин деган савол бўлиши мумкин. Қуйда машинали ўқитиш ёрдам беришига мисоллар келтирилган:
Тармоқ пакетлар параметрларини башоратлаш учун ва уларни булутда
қиёслаш учун регрессия;
Сканерлаш ва алмаштириш каби тармоқ ҳужумларини турли синфларини аниқлаш учун синфлаштириш;
Криминалистик таҳлил учун кластерлаштириш.
Endpoint Protection учун машинали ўқитиш.

72
Антивирусларнинг янги авлоди – Endpoint Detection and Response.
Фойдаланиладиган файл ва жараёнлар ҳаракати функцияларини яхши
ўрганади. Унутмаслик лозим бўлган томони, якуний нуқта даражасида машинали ўқитиш билан иш кўрилса, фойдаланувчиниг ечими якуний нуқта тоифасига боғлиқ бўлади (маслан, ишчи стансия, сервер, контейнер, булут, мобил телефон, IoT қурилмаси). Ҳар бир якуний нуқта ўзига хос хусусиятга эга, бироқ вазифалар умумийлигича қолади:
Бажарилаётган жаражоннинг тизимли чақириғини башоратлаш ва
ҳақиқийси билан қиёслаш учун регрессия;
Дастурларни зараркунада, жосус ва фирибгар каби категорийларга ажратиш учун синфлаштириш;
Ҳимояланган почта шлюзларида зараркунанда дастурлардан ҳимоя учун кластеризация (масалан, жойлаштирилган қонуний файллар билан ташқи файлларни ажратиш учун).
Якуний нуқталар ҳимояси ва зараркунада дастурлар ҳақидаги илмий мақолалар айниқса машҳур бўлмоқда. Қуйида бир нечта мисоллар келтирилган:
Тўлиқ.EXE (.exe зараркунанда филе кенгайтмаси) ни йўқ қилган ҳолда зараркунада дастурларни аниқлаш;
Кичик якунда чуқур ўқитиш: доменга кирмайдиган экспертлар учун зараркунада дастурлар синфлаштирилиши.
TESSERACT: вақт ва муҳитда зараркунанда дастурлар синфлаштирилишини тажрибавий сурилишини олдини олиш.