Sulmi Man-in-the-middle
Sulmi Man-in-the-middle në kriptografi dhe në sigurinë e kompjuterëve është një formë e sulmit ku një individ përvec që përgjon mesazhet e dy palëve që komunikojnë në mes vete nëpër një kanal komunikues jo të sigurt ai edhe i ndryshon ato mesazhe duke i imituar të dy palët gjatë komunikimit ,në këtë rast të dy palët që komunikojnë besojnë se ata janë me të vërtet duke komunikuar me njëri tjetrin gjë e cila në të vërtetë nuk ndodh. Sulmuesi duhet të jetë i aftë t'i kap mesazhet dhe të krijoj të reja.
Sulmi ka sukses vetëm atëherë kur pala që përgjon arrin në mënyrë të suksesshme të shtiret si njëri nga palët që komunikon.
Për këtë arsyje sot shumë protokole implementojnë authentifikim si masë mbrojtëse ndaj këtij sulmi. Një autoritet certifikues lëshon certifikatë digjitale palëve gjë e cila do t'u shërbejë atyre për të identifikuar mesazhet e njëri-tjetrit.
Logjika e funksionimit të sulmit
[Redakto | Redakto nëpërmjet kodit]- Alice dërgon celësin e saj publik [1] te Bob. Përgjuesi (në këtë rast Mallory) e kap celësin e Alice dhe ja dërgon Bob-it celësin e saj.
- Bob dërgon celësin e tij publik të Alice. Mallory e kap celësin e Bob-it dhe ja dërgon Alice-s celësin e saj.
- Kur Alice I dërgon Bob-it një mesazh me celësin e “Bob-it” (që në fakt është celësi I Mallory-t) Mallory e merr mesazhin e enkriptuar (cipherteksti)[2] e dekripton me celësin e saj privat[3] , dhe pastaj e enkripton me celësin publik të Bob-it dhe ja dërgon atij.
- Kur Bobi I dërgon Alice-s një mesazh me celësin e “Alice-s” (që në fakt është celësi I Mallory-t) Mallory e merr mesazhin e enkriptuar e dekripton me celësin e saj privat , dhe pastaj e enkripton atë me celësin publik te Alice-s dhe ja dërgon asaj mesazhin e enkriptuar.
Ky lloj sulmi funksionon sepse Alice dhe Bob nuk kanë asnjë mënyrë për të vërtetuar se ata janë duke komunikuar me njëri tjetrin.
Parandalimi I sulmit
[Redakto | Redakto nëpërmjet kodit]Interlock Protokoli
[Redakto | Redakto nëpërmjet kodit]Ekzistojnë protokole të cilat tentojnë të zvogelojnë mundësinë e sulmit Man-in-the-middle. Një nga këto protokole është edhe protokoli Interlock. Interlock Protokoli: është zbuluar nga Ron Rivest dhe Adi Shamir , dhe funksionon sipas këtij algoritmi:
- Alice dërgon te Bobi celësin e saj publik.
- Bob dërgon te Alice celësin e tij publik.
- Alice enkripton[4] mesazhin saj me celësin publik te Bob-it. Ajo e dërgon vetëm gjysmën e mesazhit të enkriptuar te Bob.
- Bob enkripton mesazhin e tij me celësin publik të Alice-s. Ai e dërgon gjysmën e mesazhit të enkriptuar te Alice.
- Alice dergon gjysmen tjeter te mesazhit te Bob.
- Bob I bashkon dy gjysme-mesazhet dhe I dekripton[5] me celesin privat te tij.
- Bob enkripton gjysmën tjetër të mesazhit te tij dhe ja dërgon Alice-s.
- Alice I bashkon dy gjysmë-mesazhet dhe I dekripton me celësin privat te saj.
Arsyeja e funksionimit të këtij algoritmi është sepse gjysma e mesazhit të enkriptuar nuk ka kuptim pa gjysmën tjetër , ajo nuk mund të dekriptohet. Bobi nuk arrin të marr mesazhin e plot nga Alice deri te hapi 6 dhe poashtu Alice nuk e din se cka permbanë mesazhi I Bob-it deri te hapi 7.
Për të arritur këtë qëllim përdoren disa metoda:
- a) Nëse enkriptimi është bllok algoritëm atëhere mesazhi ndahet në blloqe dhe dërgohet.
- b) Dekriptimi mund të varet nga një vektor inicializues që mund të dergohet me pjesën e dytë të mesazhit.
- c) Pjesa e parë e mesazhit mund të jetë hashi[6] I tekstit të enkriptuar ndërsa pjesa e dytë vetë pjesa e dytë e mesazhit të enkriptuar.
Mallory do të ketë problem të shkatërroj algoritmin sepse ajo nuk mund të dekriptoj pjesën e parë të mesazhit që e dërgon Alice me celësin e saj privat dhe të enkriptoj atë me celësin publik të Bob-it sepse ai mesazh nuk ka kuptim të dekriptohet pa pjesën e dytë të mesazhit. Ajo duhet të krijoj një mesazh komplet te ri dhe t’ja dërgoj gjysmen Bob-it. Kur Mallory arrin të marr edhe pjesën e dytë të mesazheve të enkriptuara do te jetë shumë vonë për të ndërruar përmbajtjen e mesazheve të krijuara me parë. Shkëmbimi I Celësit me nënshkrim digjital: Bob dhe Alice para se të fillojnë shkëmbinin e celësave publik I nënshkruajnë ato nga një autoritet I caktuar. Në këtë mënyre kur Bob dhe Alice t’i dërgojne njëri tjetrit celësat ata mund të vërtetojnë nëse janë celësat e njëri-tjetrit duke kontrolluar nënshkrimin digjital.
Problemi me Mallory qëndron në faktin që ajo tashmë nuk mund që celesin e saj ta paraqes si celës te Bob-it ose Alice-s ndonëse edhe celësi I saj është I nënshkruar ajo është e nënshkruar si celës I Mallory-s.
Shkëmbimet e celësave me nënshkrim digjital
[Redakto | Redakto nëpërmjet kodit]Implementimi i nënshkrimeve digjitale gjatë shkëmbimit te celësave është një mënyre mjaftë e mirë për të shmangur sulmin Man-in-the-middle. Një autoritet i lartë e ka për detyrë të nënshkruaj celësat e te dy palëve , ky autoritet është qendra për shpërndarjen e celësave[7]. Palët që komunikojnë kur të shkëmbejnë celësat verifikojnë nënshkrimin e autoritet të lartë dhe në këtë mënyrë vërtetojnë se celësat e pranuar janë pronë e palës tjetër.
Sulmuesi tash e ka problem të shtiret si njëri nga palët që komunikojnë sepse ndonëse ai e ka celësin e tij të nënshkruar , celësi është i nënshkruar në emër të tij. Gjithcka që mund të bëj sulmuesi është të dëgjoj mesazhet e enkriptuara dhe të mundohet të pengoj komunikim.
Ky protokol përdor qendrën e shpërndarjes së celësave , mundësia e kompromentimit të kësaj qendre është shumë e vogel.
Edhe nëse sulmuesi arrin t'a kompromentoj qendrën dhe të marr celësin e autoritetit që i nënshkruan ato e gjitha që mund të arrij me atë celës është të nënshkruaj celësa të ri , por jo të dekriptoj mesazhe të enkriptuara.
E vetmja mënyrë për sulmuesin që të lexoj mesazhet e enkriptuara është që t'i mashtrojë përdoruesit për t'a përdorur celësin e tij të nënshkruar nga autoriteti.
Ky sulm mund të funksionojë por sulmuesi duhet të jetë në gjendje të kap mesazhet dhe t'i ndryshojë ato. Në shumë rrjete komunikimi të arrish këtë qëllim është shumë më vështirë sesa të qëndrosh në mënyrë pasive duke i lexuar mesazhet.
Transmetimi i celësit dhe mesazhit
[Redakto | Redakto nëpërmjet kodit]Një formë tjetër e parandalimit të sulmit nga pala e tretë është komunikimi duke mos pasur nevojë shkëmbimin e celësave.
- Alice gjeneron një celës K dhe enkripton mesazhin M me K.
- Alice merr celësin e Bob-it nga baza e të dhënave.
- Alice enkripton celësin e saj K me celësin publik të Bob-it.
- Alice dergon celësin dhe mesazhin e enkriptuar bashkarisht te Bob.
,
Për siguri të shtuar Alice mund të enkriptoj edhe trasmetimin.
- Bob dekripton celësin e Alice me celësin e tij privat.
- Bob dekripton mesazhin e Alice duke përdorur celësin e saj të gjeneruar.
Ky sistem hibrid paraqet mënyren sesi kriptografia e celësave publik përdoret më së shpeshti në sisteme komunikuese.
Ky lloj komunikimi mund të kombinohet me nënshkrime digjitale, vula kohore dhe protokole të tjera të sigurisë.
Sqarimet/termet
[Redakto | Redakto nëpërmjet kodit]- ^ Celësi publik : numër I njohur nga të gjithë, I zgjedhur nga Bob(pronari) . Përdoret për të enkriptuar.
- ^ Cipherteksti – informacioni/mesazhi I fituar pas enkriptimit
- ^ Celesi privat: numer I njohur vetem nga pronari.Perdoret për të dekriptuar.
- ^ Enkriptimi ( Encryption)–është procesi përmes të cilit plaintexti konvertohet në ciphertext. Pra enkriptimi është procesi me të cilin tentohet që nga plaintexti të fitojmë një strukturë të të dhënave inkoherente (ciphertext).
- ^ Dekriptimi ( Decryption) – është pocesi i kundërt i kriptimit. Ai kthen ciphertextin në plaintext(mesazhi paraprak) përseri.
- ^ Hashi është funskion që merr një sasi arbitrare të të dhënave dhe e kthen në një string me madhësi të caktuar bitesh.
- ^ KDC - Key Distribution Center
Referime
[Redakto | Redakto nëpërmjet kodit]Schneier, Bruce. Applied Cryptography: Protocols,Algorithms and Source code in C (bot. 2nd). fq. 52–55. {{cite book}}
: Lidhje e jashtme në
(Ndihmë!); Mungon ose është bosh parametri |title=
|language=
(Ndihmë!)
Stallings, William. Cryptography and Network Security (bot. 5th). fq. 15–20. {{cite book}}
: Lidhje e jashtme në
(Ndihmë!); Mungon ose është bosh parametri |title=
|language=
(Ndihmë!)
--Arlind.Dushi (diskutimet) 4 qershor 2014 16:41 (CEST)