O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI
VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI
TОSHKЕNT AХBОRОT TЕХNОLОGIYALARI UNIVЕRSITЕTI
«Kriptologiya» kafеdrasi
INDIVIDUAL LOYIHA
Mavzu: Gibrid shifrlash algoritmlari asosida bulutda ma’lumotlarni
himoyalash dasturini ishlab chiqish
5330500 – “Axborot xavfsizligi” yo`nalishi
Bajardi:710-18AXu guruh talabasi Jo’rayev E.N.
Ilmiy rahbar: Islomov Sh.Z.
Toshkеnt - 2020
Mundarija
Kirish…………………………………………………………………...……… 4
1. Bob. Bulutli texnologiyalarga tahdidlar va ularni himoyalash
texnologiyalari.............................................................................................. 00
1.1. Bulutli texnologiyalarning ishlash sxemalari…...…………………..…
00
1.2. Bulutli texnologiyalarda axborotlarga tahditlar.....................................
00
1.3. Axborotlarni himoyalashning texnologiyalari………………………… 00
2. Bob.
Bulutda
ma’lumotlarni
himoyalashda
Gibrid
shifrlash
algoritmlarini qo’llash……………………………………………………. 00
2.1. Bulutda axborotlarni himoyalashda kriptografiyaning o’rni………….. 00
2.2. Bulutli tizimlarni himoyalashda gibrid algoritmlardan foydalanish ….. 00
2.3. Gibrid shifrlash algoritmlari asosida ma’lumotlarni himoyalash
dasturi………………………………………………………………………. 00
Xulosa……………………………………………………………………...…... 00
Foydalanilgan adabiyotlar ro’yhati…………………………………...……... 00
Ilova……………………………………………………………………….…… 00
2
Kirish
Mamlakatda axborot-kommunikatsiya texnologiyalarini davlat boshqaruvi,
iqtisodiyot tarmoqlari, ijtimoiy soha va kundalik hayotga izchil joriy etish bo‘yicha
keng ko‘lamli ishlar amalga oshirilmoqda. Internet tarmog‘iga ulanish qamrovini
kengaytirish va tezligini oshirish, dasturiy ta’minot, telekommunikatsiya sohasida
yetakchi xorijiy kompaniyalar bilan aloqa o‘rnatish muhim vazifalardan sanaladi.
2018-yilda
xalqaro
tajribani,
zamonaviy
axborot-kommunikatsiya
texnologiyalarini rivojlanish tendensiyalarini inobatga olgan holda, “2018–2021yillarda ‘Elektron hukumat’ tizimini yanada rivojlantirish strategiyasi”ni ishlab
chiqish,
“Mirzo
Ulug‘bek
innovatsiya
markazi”
rezidentlari
tomonidan
ko‘rsatiladigan ishlar va xizmatlar hajmini kamida 2 barobarga hamda eksport
hajmini 1,8 barobarga oshirish, rezidentlar uchun chet el kompaniyalari bilan
hamkorlik qilishda va yangi bozorlarga chiqishda ko‘maklashish bo‘yicha
maqsadli ishlar amalga oshirilmoqda.
Shuningdek, O‘zbekiston Prezidenti 7-fevral kungi farmoni bilan 2017—
2021-yillarda O‘zbekistonni rivojlantirishning beshta ustuvor yo‘nalishi bo‘yicha
Harakatlar strategiyasini tasdiqladi [1]. Unda har bir yillar kesimida rivojlantirish
rejalari ishlab chiqildi va amalga oshirilmoqda.
2019 yilni “Faol investitsiyalar va ijtimoiy rivojlanish yili” deb nom
berilgani investitsiyalar va tadbirkorlarga e’tiborni qay darajada ekanligini
anglatadi.
Hisobotlarni electron ko’rinishda almashish, ularni internetda saqlash va
masofaviy ulanishlarni ta’minlash hozirgi asr talabi hisoblanadi. Shuning uchun
axborot kommunikatsiya tizimlari xavfsizligini ta’minlash muhim va dolzarb
masalalardan biri hisoblanadi.
Ishlash va hisoblash imkoniyatlaridan keng foydalanish natijasida bululi
hisoblash tizimlari yuzaga keldi. Undan foydalanish asosida xavfsiz aloqani
yaratish va xavfsiz saqlash usullarini qo’llash foydalanish imkoniaylarini oshiradi.
Individual loyiha ishining maqsadi: Gibrid shifrlash algoritmlari asosida
bulutda ma’lumotlarni himoyalash dasturini ishlab chiqishdan iborat.
3
Ishni bajarishda quyidagi vazifalarni bajarish lozim:
internet aloqalaridan foydalangan holda bulutli texnologiyalarning ishlash
sxemalari, modellari va xizmatlari tadqiq etish;
keltirilgan tahdidlar va xujumlardan ma’lumotlar xavfsizligini ta’minlash
usullarini tahlillash;
bulutda axborotlarni himoyalashda kriptografiyaning o’rnini belgilash;
bulutli tizimlarda qo’llaniladigan kriptografik algoritmlarni tahlillash;
bulutda gibrid shifrlash algoritmlari asosida ma’lumotlarni himoyalash
dasturini ishlab chiqish.
Individual loyiha ishi kirish, 3 ta qism, xulosa, adabiyot ro’yhati va ilovadan
iborat.
1-qism nazariy qism: axborot kommunikatsiya tizimlarida internet
aloqalaridan foydalangan holda bulutli texnologiyalarning ishlash sxemalari,
modellari va xizmatlari tadqiq etildi va keltirilgan tahdidlar va xujumlardan
ma’lumotlar xavfsizligini ta’minlash usullarini tahlillandi.
2-qism asosiy qism: bulutda axborotlarni himoyalashda kriptografiyaning
o’rnini aniqlandi va bulutli tizimlarda qo’llaniladigan kriptografik algoritmlarni
tahlillandi. Bulutda gibrid shifrlash algoritmlari asosida ma’lumotlarni himoyalash
dasturi ishlab chiqilgan.
3-qismda hayot faoliyati xavfsizligi va ekologiya muammolari keltirilgan.
4
1.Bob. Bulutli texnologiyalarga tahdidlar va ularni himoyalash
texnologiyalari
1.1. Bulutli texnologiyalarning ishlash sxemalari
Avvalo,
shuni
ta’kidlash
lozimki,
ayrim
kompaniyalarning
bulut
texnologiyalari bilan bog'liq muammolari bozorda yaqinda paydo bo'lgan bulutlar
an'anaviy biznes standartlari bilan izohlanadi (agar IT evolyutsiyasi tezligi
e’tiborga olinsa, texnologiya allaqachon eng cho’qqiga chiqqan bo’lar edi).
Shunga ko'ra, bulut xizmatlarining mohiyatini mijozlarning xabardorligi va
juda ko'p miqdordagi ishonchli ma'lumotlarning yo'qligi tushuntirilgan bir qator
qoidalar mavjud.
Biroq, to'g'ri yondashuv bilan, texnologiyani yaxshiroq tushunish va
yetkazib beruvchilarning muvozanatli tanlovi, bulutli xizmatlar kompaniyaning
mavjud infratuzilmasidan ko'ra ko'proq ishonchlilik va xavfsizlikni ta'minlaydi.
Bulutli hisoblash tizimlarida uch turdagi xizmatlar mavjud [2]:
Infrastruktura xizmati (IaaS);
Platforma xizmati (PaaS);
Dasturiy ta’minot xizmati (SaaS).
Infrastruktura xizmati (IaaS) - talab qilinadigan masofadan foydalanish
imkoniyati
bilan
konfiguratsiya
qilinadigan
hisoblash
resurslari
(bulut
infratuzilmasi) umumiy xizmatlarini mustaqil ravishda boshqarish qobiliyatiga ega
bo'lgan modeldir. Xususan, ushbu model ikki jihatga ega: klasterlashtirish va
grafiklash.
Serverlarni klasterlashtirish – N serverlarning umumiy dasturlarni ishlatish
uchun ishlaydigan va oxirgi foydalanuvchilar uchun bir butun kabi ko'rinadigan
yagona apparat kompleksini umumlashmasidir. Klasterlashtirishdan foydalanish
orqali, bulut provayderining har qanday mijozi tezda qabul qila oladi va qisqa vaqt
ichida hisoblash resurslarini sezilarli darajada sarf qilmasdan va xarajat qilmasdan
qoldirishi mumkin. Shu bilan birga, iste'mol qilingan resurslar hajmining o'zgarishi
hech qanday tarzda butun bulutning umuman ishiga ta'sir qilmaydi.
5
Klasterlardan foydalanish har bir foydalanuvchi uchun deyarli cheksiz
miqyosda kengaytirilishi mumkin emas, balki uning virtual infratuzilmasining
mustahkamligini oshiradi. Bitta yoki hatto bir nechta serverning ishdan chiqishi
sababli mijozlarning IT-tizimlarida uzilishlarga olib kelmaydi. Yuklanish
avtomatik ravishda klasterdagi boshqa serverlar orasida qayta taqsimlanadi.
Ikkinchi jihat - apparat platformasini virtualizatsiya qilish, bu apparat
platformasini turli xil operatsion tizimlar bilan bo'lishishni o'z ichiga oladi.
Sxematik tarzda apparatlashtirilgan virtualizatsiya shakllari 1.1-rasmda keltirilgan.
Virtualizatsiya
tufayli
bir
nechta
mijozlar
birgalikda
provayderning
infratuzilmasini foydalanish mumkin bo'ladi.
VDI
Web server
Ilovalar Z
Tarmoq OT1
Windows Server
2012
Tarmoq OT2
Red Hat Enterprise
Linux
Mehmon OT X
Operatsion tizim Y
Gipervizor
Qurilmalar
CPU
Disklar
Xotira
Tarmoq
ulanishlari
1.1-rasm. Virtual apparat ta’minot va uning gipervizor va virtual mashinalar bilan
tasvirlanishi
Ushbu yondashuvlardan foydalanish bir qator xavfsizlik muammolarini
tug'diradi, ularning ba'zilari haqiqiydan ko`ra psixologikdir, ayrimlari esa chindan
ham diqqat bilan ko'rib chiqishni talab qiladi [3].
Platforma xizmati – foydalanuvchilarga tayyor dasturiy ta’minotlar bilan
ta’minlash vazifalarini bajaradi. Uning asosiy elementlariga quyidagilar kiradi:
apparat ta’minoti;
operatsion tizim;
6
MBBT;
oraliq dasturiy ta’minotlar;
ishlab chiqish qurilmalari va dasturiy vositalar.
Platform xizmatini keng tijorat maqsadida qo’llash katta natijalarni
bermoqda, sababi, dasturni sotib olmasdan uning imkoniyatlaridan ancha arzon
narxda foydalanish mumkin. Bu esa, uning online savdodadagi o’rnini belgilab
beradi. Bundan tashqari, u tomonidan taqdim etilgan dasturdagi muammolarni
oson mutaxassis tomonidan hal etish mumkin. Chunki, uning foydalanuvchilar
soni cheklangan va online maslaga beruvchi mutanassislar yetarli. Hattoki,
ma’lumot o’chib ketganda ham uning tiklanishiga kafolat beriladi.
Platforma xizmati
Xizmat ko’rsatuvchi provayder
Foydalanuvchi terminallari
1.2-rasm. Platform xizmati
Yuqori hisoblash imkoniyatlarini talab etadigan dasturlardan foydalanishda
ham aynan ushbu xizmatdan foydalaniladi. Bulutda yuklangan ma’lumotlar mahfiy
va ochiq ko’rinishda amalga oshiriladi. Ochiq ko’rinishda yuklangan fayllar va
uning muhokamasiga doir bilimlardan foydalanish mumkin [4].
7
Jamoaviy loyihalarni amalga oshirishda ham, aynan ushbu xizmatdan
foydalaniladi. Ya'ni, barcha ishtirokchilar uchun bitta maydon yaratiladi va o’ziga
tegishli vazifaning yechimini yuklaydi.
Infrastruktura xizmati -
Ish joyi, ofis va elektr ta’minoti
Notebook, Shaxsiy kompyuter, aloqa kanali
Monitoring, Zaxira nusxalash
Ilovalarni admistratsiyalash
Ma’lumotlarni bazasini boshqarish
Operatsion tizimni boshqarish
Infrastruktura
xizmati
Virtuallashtirish
Qurilmalar
Tizim injinerlari
Ma’lumot markazlarining infratuzilmasi
1.3-rasm. Infrastruktura xizmati
1.2. Bulutli texnologiyalarda axborotlarga tahditlar
Eng mashhur noto'g'ri tushunchalardan biri shuki, kompaniya ichidagi IT
xavfsizligi bulutga qaraganda xavfsizroq. Shu bilan birga, ommaviy bulutlarni
boshqaradigan professional provayderlar ko'p hollarda salohiyati cheklangan
8
kompaniyalarning AT bo'limlariga qaraganda ko`proq xavfsizlik, ishlash va
nazoratga
e'tibor
qaratadilar.
Shuning
uchun,
mijoz
o'zining
mahalliy
infratuzilmasiga (kamroq pul sarflash maqsadida) nisbatan jiddiy provayderning
bulut xizmatlaridan foydalanib, qoida tariqasida, o'z tizimlarini yuqori himoya
darajasini va barqarorligini oladi [5].
Buning asosiy sabablari quyidagilardir:
mijoz virtual muhitining xavfsizligi - bulutli provayder biznesining asosiy
elementlaridan biri;
provayderning
mijoz-kompaniyaga
bo'lgan
mas'uliyati
xizmat
darajasining kelishuvi (SLA) tomonidan boshqariladi;
Bulutli provayder ma'lumotlarni muhofaza qilish va xavfsizlik tizimlarini
rivojlantirishga katta mablag' sarflaydi. Bu dastur mahsulotlarini va apparatini,
shuningdek, IT-mutaxassislarning operatsion nazoratini bulutning ishlashi bilan
qamrab olishi mumkin.
Bulutda mijozlar ma'lumotlarini himoya qilishni ta'minlash
uchun
provayderlar mutaxassislari quyidagi funksiyalarni bajaradilar:
uskunalar uzluksiz ishlashini ta'minlash;
jismoniy infratuzilmaning xavfsizligini ta'minlash;
xost boshqaruvi.
Foydalanuvchiga xizmat ko'rsatuvchi bulutning asosiy komponentlaridan
biri uning xavfsizli mas’ulligidir: tarmoqlar, drayvlar, serverlar va virtualizatsiya
uning asosiy elementlari hisoblanadi. Mijozning bulutli infratuzilmasi ichidagi
ichki va tashqi tahditlarning oldini olish – to'g'ridan-to'g'ri kompaniyaning ITmutaxassislarining vazifasidir. Ularning vazifalari quyidagilardir:
boshqarish va nazorat tizimiga xizmat ko`rsatish;
foydalanuvchi siyosati va foydalanish huquqlarini boshqarish, jumladan
parolni himoyalash;
standart OT va dasturlarni yangilashni boshqarish;
ro'yxatga olish jurnallarini saqlash va tahlil qilish;
9
foydalanuvchi faoliyatini monitoring qilish.
Boshqa
mashxo’r
noto'g'ri
tushunchalardan
biri,
go`yoki
bulut
ma'lumotlarining kompaniya ichidan ko'ra o'g'irlash osonligi. Biroq global tajriba
shuni ko'rsatadiki, ichki xavfsizlik xavflari tashqi xavflardan ustunlik qilmoqda.
Kompaniyaning AT-tizimlari uchun xavflarning yuqori manbai endi hakerlar yoki
zararli dastur emas, balki kompaniyaning o'z xodimlaridir.
Buyurtma asosidagi xujumlar
25%
42%
Buzg'unchilik harakatlari
Xakkerlarning hujumlari
23%
Hodimlarning yondoshuvi
10%
1.2-rasm. Tashkilotda ehtimolli xavflarning manbaalari
Ma’lumotlarni yo`qolishi, behosdan, noto'g'ri harakatlar va xodimlar
tomonidan
maqsadli
sabotajdan
kelib
chiqishi
mumkin.
Misol
uchun,
raqobatchilarga ma'lumot sotish, maxfiy axborotni olib tashlash yoki ma'muriy
xavfsizlik siyosatini sabotaj qilish. Ushbu tendensiya butun dunyo bo'ylab ko'plab
tadqiqotlar bilan tasdiqlangan. Har yili AQShda o'tkaziladigan CSI Computer
Crime
and
Security
Survey
2010/2011
tadqiqotlari
natijalariga
ko'ra,
respondentlarning faqat 17 foizi DoS hujumlariga duch keldi va 25 foizida
xodimlar
tomonidan
qilingan
zararli
harakatlarga
duch
keldi.
RSA
konferensiyasida 2013 yil fevral oyida o'tkazilgan so'rov natijalariga ko'ra,
xavfsizlik mutaxassislarining 63% bugungi kunda xodimlarni kompaniyalar uchun
eng xavfli xavf deb hisoblashadi. Axborot xavfsizligi yechimlarini ishlab
chiquvchi
Promisec
2013-yilda
yuqori
texnologiyali
bozorning
asosiy
tendensiyalaridan biri sifatida ichki axborot xavfsizligi xatarlarini aniqladi [6].
Ushbu ma'lumotlar ikkita fikrga asoslangan holda juda mantiqiy va
tushunarli ko'rinishga ega. Birinchidan, ko'plab kompaniyalar uzoq vaqtdan beri
10
tashqi tahdidlarni minimallashtirishga yordam beradigan dasturiy ta'minot va
apparat yechimlaridan faol foydalanmoqda. Ikkinchidan, BYOD harakati ortib
borayotgan omili tashkilotning yangi zaifliklarning paydo bo'lishiga olib keldi. Eng
sodda misol: har qanday ishlaydigan qurilma u ishlayotgan ba'zi tijorat
ma'lumotlarini saqlab qolishi mumkin, ammo hech kim uning hayotiy
davomiyligini va uning nusxalari sonini kuzatib bormaydi. Hech kim bu
ma'lumotlarni uchinchi shaxslar tomonidan yo'qotishi yoki yo'q qilinishiga kafolat
berolmaydi, masalan, agar qurilma o'g'irlangan holatda. RSA konferentsiyasida
o'tkazilgan so'rov natijalariga ko'ra, respondentlarning 67,5 foizi xodimlarning o'z
qurilmalarini xavfsizlik tizimlariga xavf tug'dirayotganligi bilan izohladi.
80%
70%
60%
50%
40%
30%
20%
10%
0%
Zaifliklarning
soni
Tarmoq
xavfsizligiga
talablarning
murakkabligi
Sifatning
pasayishi
Tarmoq
Dasturiy ta'minot
ishlashida
ishlashida
xatoliklarning xatoliklarning
yuzaga kelishi yuzaga kelishi
1.3-rasm. Tarmoqda ishlovchi dasturlar, qurilmalar va foydalanuvchilarning ortishi bilan yuzaga
keladigan muammolar darajalari
Fokusni tashqaridan ichki tahdidlarga almashtirish tendentsiyasi klassik
model va IaaS modeliga hosdir. Ta'kidlash joizki, bulutli provayder turli apparat va
dasturiy vositalardan foydalanish orqali yetarli darajadagi himoyani ta'minlaydi.
Bulut, BYOD bilan bog'liq xatarlarni kamaytirishga yordam berishi mumkin,
ammo mijoz-kompaniyalarning hodimlari yetarli darajada xavfsiz parollardan
foydalanishlari yoki uchinchi shaxslarga kirishni ta'minlasalar, ularning barchasi
oqibatlarini bartaraf etishdir [7].
Bulut klassik mijoz-server arxitekturasidan va odatiy hostingdan ajralib
turadigan noyob xususiyatlarga ega. IT infratuzilmalarini bulut infratuzilmasiga
11
joylashtirishda, mijoz IAAS provayderidan foydalanadigan jismoniy asbobuskunalardan voz kechmasligi sababli infratuzilmaning bir qismini nazorat qiladi.
Tarmoqlar boshqaruvi, serverlar va ma'lumotlarni saqlash tizimlari, shu jumladan
infratuzilma tarkibiy qismlarini boshqarish uchun muntazam javobgarlik
provayderga o'tkaziladi. Endilikda u qurilmaning barqarorligi va xavfsizligi uchun
to'liq javobgar. Mijoz, shuningdek, uskunani kuzatish va sozlash, uni yangilash va
ta'mirlash zarurligini bartaraf etadi. Uning ishlashi kerak bo'lgan resurslar endi
mavjud uskunalarning jismoniy imkoniyatlari bilan chegaralanib qolmaydi, bu
foydalanuvchilar va kompaniyaning butun faoliyati samaradorligini sezilarli
darajada yaxshilaydi.Bulut klassik mijoz-server arxitekturasidan va oddiy
hostingdan ajralib turadigan noyob xususiyatlarga ega. IT infratuzilmalarini bulut
infratuzilmasiga joylashtirishda, mijoz IAAS provayderidan foydala- nadigan
jismoniy asbob-uskunalardan voz kechmasligi sababli infratuzilmaning bir qismini
nazorat qiladi. Tarmoqlar boshqaruvi, serverlar va ma'lumotlarni saqlash tizimlari,
shu jumladan infratuzilma tarkibiy qismlarini boshqarish uchun muntazam
javobgarlik provayderga o'tkaziladi. Endilikda u qurilmaning barqarorligi va
xavfsizligi uchun to'liq javobgar. Mijoz, shuningdek, uskunani kuzatish va sozlash,
uni yangilash va ta'mirlash zarurligini bartaraf etadi. Uning ishlashi kerak bo'lgan
resurslar endi mavjud asboblarning jismoniy imkoniyatlari bilan chegaralanmaydi,
bu esa foydalanuvchilar va kompaniyaning umuman samaradorligini sezilarli
darajada yaxshilaydi.
Antivirus va
Tarmoqlararo
ekranlarni qo’llashni
rad etish
Yetarli bo’lmagan
dasturiy himoya
Komponentlarni
zaxiralashni rad etish
Yetarli bo’lmagan
apparat himoya
Inson omili
Aloqa kanallarida
yetarli bo’lmagan
himoya
1.4-rasm. Xavfsizlikni buzilishining asosiy omillari
12
Shaxsni o’rganishdan
va foydalanishga
ruhsat berishni rad
etish
Shifrlash va
ulanishlarni
tekshirishni rad etish
IaaS modelidagi bu vazifalar va mas'uliyatlarning bu ajratilishi, bir
tomondan, kompaniyalar uchun juda foydalidir va boshqa tomondan, bulutga
o'tishda faqat virtual infratuzilmaga xos bo'lgan nuanslarni hisobga olish kerak
(1.4-rasm).
1.3. Axborotlarni himoyalashning texnologiyalari
Tahditlarni oldini olish ba bulutli tizimlarning xavfsizligini ta’minlash uchun
uning barcha xizmatlarida mos himoya profillarini qo’llash lozim. Quyida buzilish
holati va unga mos himoya yondoshuvlari keltirilgan [8]:
Boshqa
bulutli
foydalanuvchilar
tomonidan
buzilishlar.
Bulutli
texnologiyalarda qurilma yoki dasturning ishchi holatga tekshiruvi (monitoring)
xizmat
ko'rsatuvchi provayder
tomonidan amalga oshiriladi va
ko'plab
mijozlarning o’zlari bulutning jismoniy resurslarini ulanadi. Agar bitta
foydalanuvchi noqonuniy hatti-harakatni amalga oshirsa va jihozlarning bir qismi
olib tashlansa, bulutdagi "qo'shnilar" ham bloklanishi va ma'lumotlarini yo'qotishi
mumkin.
Himoya yondoshuvi. Provayderning klasterli yechimi mijozning asosiy
qurilmaning (biron-bir sababga ko'ra) mavjud emasligi sababli zaxira uskunasiga
kuch berishga imkon berishi kerak.
Internet-kanallar va ularning xavfsizligi. Bulut bilan o'zaro aloqa internetkanallar orqali amalga oshiriladi, bu esa o'z navbatida tegishli himoyalanmagan
holda kompaniya xavfsizligiga tahdit solishi mumkin. Agar so'ralsa, tajovuzkorlar
veb-sessiyani to'xtatishi yoki bulutni boshqarish tizimlariga kirish uchun parollarni
o'g'irlashi mumkin. Provayder yetarlicha ishonchli autentifikatsiya qilish tizimlari
va foydalanish huquqlarini boshqarish siyosatini boshqarishning yuqori darajadagi
xavfi mavjud bo'lib, bu ham xavfsizlik darajasiga salbiy ta'sir ko'rsatmoqda.
Himoya yondoshuvi. Ishchi kompyuter va provayderning ma'lumot markazi
o'rtasida barcha yo'nalishdagi xavfsiz ulanishlarni qo’llash lozim.
Cheklangan resurslar. Yuqorida aytib o'tilganidek, infratuzilma xizmati
sifatida mijozga moslashuvchan boshqarish qobiliyati bilan cheksiz miqdorda
resurslarni taqdim etish hisoblanadi. Shu bilan birga, sezilarli yuklar bilan, ayrim
13
foydalanuvchilar ishlashi yoki xizmatlarning mavjud emasligini his qila oladi.
Ko'pincha bu holat resurslarni taqsimlash mexanizmlari, ularning noto'g'ri
rejalashtirilishi yoki uskunaga kichik investitsiyalardagi xatoliklarga bog'liq.
Mijozlar uchun bu, ishlamay qolish va xizmatlarning mavjud emasligi oqibatida
to'g'ridan-to'g'ri moliyaviy yo'qotishlarni anglatadi.
Himoya yondoshuvi. Resurslar qatlami va ularni joylashtirish tezligi uchun
provayderning yo’riqnomalariga amal qilish lozim. Bundan tashqari ishonchsiz
dasturlarni qo’llamaslik va provayderlar, tashkilot rahbarlarini tanlash orqali
ma'lum resurslarga ega bo'lish kerak.
DoS hujumlarining iqtisodiy ta'siri. Faqatgina bulutlar uchun hos bo'lgan
oxirgi tahdit - bu DoS hujumining iqtisodiy samarasi. Bulutli hisoblash
afzalliklarining teskari tomoni - faqat real iste'mol uchun to'lanadi. Ushbu hujumni
amalga oshirayotganda, chiquvchi Internet-trafik hajmi mijozning serveriga
bo'lgan so'rovlar sonining ko'payishi tufayli juda ko'paymoqda. Natijada, mijozdan
to'liq to'lash talab qilinadi.
Himoya yondoshuvi. Transportning mavsumiy tebranishlarini unutmaslik va
DoS-hujumlaridan himoya qilish lozim. Va, albatta, trafikni to'lamasdan tarif
rejalarini tanlash tavsiya qilinadi.
Boshqa IT xavfsizligi risklarining aksariyati mahalliy infratuzilmaga xos
bo'lganlarga o'xshaydi. Misol uchun, ular tarmoq protokollari, operatsion tizimlar
va individual komponentlarning an'anaviy zaifliklarini o'z ichiga oladi. Buni oldini
olish uchun oddiy himoya vositalaridan foydalaniladi.
Bulutdagi
xavfsizlikning
yuqori
darajasi
-
yaxshi
axborot
bilan
ta'minlaydigan axborot xavfsizligi siyosati to'g'ri provayder bilan birlashtirilgan.
Faqatgina bu holatda, kompaniya bulut AT infratuzilmasining barcha afzalliklarini
qabul qiladi va ularning ma'lumotlarining himoyalanganligini va maxfiyligini
saqlab qoladi [9].
To'g'ri bulutli provayderni qanday tanlashga tavsiya. Kompaniyaning AT
tizimlarini bulutga ko'chirish jarayoni bir qator vazifalar bilan bog'liq: mavjud AT
infratuzilmasini boshqarish, AT tizimlarining bulutga uzatilishini belgilash va,
14
albatta, bulut provayderini tanlash. Bugungi kunga kelib, bulut yetkazib beruvchi
xizmatlarining sifatini to'liq baholashga imkon beruvchi yagona standart yo'q.
«Yevropa Tarmoq va axborot xavfsizligi agentligi» va Cloud Security Alliance
tavsiyalari asosida xizmat ko'rsatuvchi provayderga murojaat qilish kerak bo'lgan
bir qator muhim savollarni aniqlash lozim (1.5-rasm).
Komponentlar va
ma’lumotlarning
zaxira nusxalari
Ruhsatlarni
nazoratlash usullarini
qo’llash
Tashkilotning hududi
xavfsizligi
Uzluksiz elektr
ta’minoti
1.5-rasm. Bulutli hisoblash tizimlarining xotira elementlarining himoya parameterlari
Ma'lumotlarning
yaxlitligini
ta'minlash.
Provayder
kompaniya
ma'lumotlarining yaxlitligini kafolatlaydi. Bu ham provayder, ham mijoz hal
qiladigan vazifadir. Provayder tomonidan SLAda mustahkamlangan kafolatlar,
xavfni kamaytirishga qaratilgan tashkiliy va texnik chora-tadbirlar, shuningdek,
foydalanuvchi tomonidan shifrlashni eng muhim va samarali axborot vositalaridan
biri sifatida qo'llash mumkin. Mijozlar turli darajalarda foydalanishlari mumkin
bo’lgan - virtual qattiq disklar, aloqa kanallari yoki bulutga ulanish uchun
ishlatiladigan kompyuterda shifrlash algoritmlaridan foydalaniladi.
Mijozlar bilan bulutli provayder o'rtasidagi kanalda himoyani tashkil etish.
Provayder yetkazib berish vaqtida ma'lumotlarning himoyalanganligini va
yaxlitligini ta'minlaydi. Bulutli hisoblash tashqi kanallar orqali katta hajmdagi
ma'lumot almashishni o'z ichiga oladi. Himoyalanmagan Internet-ulanishlardan
foydalanish potentsial xavfsizlik xavfini keltirib chiqaradi, chunki tajovuzkorlar
mijoz-kompaniya va bulut o'rtasida uzatish bosqichidagi ma'lumotlarni olishlari
mumkin. Ushbu muammoni IPSEC, PPTP yoki L2TP yordamida VPN ulanish
orqali hal qilish mumkin. Ushbu texnologiyalar tan olingan standartdir va yuqori
15
ishonchlilik darajasini kafolatlaydi. Ta'minlovchilar ulardan foydalanishlari kerak,
o'zlarinikini ixtiro qilmasligi lozim.
Bulutga kirishni boshqarish. Foydalanuvchini autentifikatsiya qilish va
avtorizatsiya qilish jarayoni qanday amalga oshirilishi kabi savollarga javob olish
mumkin. Eng keng tarqalgan va tanish autentifikatsiya usuli bu parolllar
asosidadir. Ammo eng kuchli va ishonchli vositalarga - sertifikatlar, nishonlar yoki
ikki bosqichli autentifikatsiyani keltirish mumkin. Shuningdek, ma'lum vaqt
davomida
bo'sh
bo'lsa,
foydalanuvchining
autentifikatsiya
ma'lumotlarini
avtomatik ravishda sozlash funktsiyasiga ega bo'lish maqsadga muvofiqdir.
Xavfsizlik darajasini oshirish vazifalarni foydalanuvchilarga ajratishi mumkin,
bunda har bir foydalanuvchi bulut manbalariga kirish huquqini oladi [10].
Foydalanuvchi ma'lumotlari va ilovalarini ajratish. Bitta mijozning
ma'lumotlari va ilovalari boshqa mijozlarning ma'lumotlari va ilovalaridan qanday
ajratilgan. Ko'p lizing hisob-kitoblarini amalga oshiradigan IaaS modeli virtualizatsiyaning muhim jihatini ko'rib chiqildi. Bunda foydalanuvchilar
tomonidan resurslarning umumiy ishlatilishi provayderga mijozlar ma'lumotlarini
bir-biridan ajratish va ajratish uchun mexanizmni taqdim etishni talab qiladi. Eng
ishonchli va xavfsiz variant har bir mijozning alohida mashinalaridan, virtual
tarmoqlardan foydalanishni va operatsion tizimlarni izolyatsiya qilishni hipervizor
orqali amalga oshirishni o'z ichiga oladi. Virtual tarmoqlar VLANlar kabi
tasdiqlangan texnologiyalardan foydalanib, mijozlar tarmog'ini bulutning xizmat
ko'rsatish tarmoqlaridan va boshqa foydalanuvchilarning xususiy tarmoqlaridan
ajratib olishi kerak.
Voqeaga munosabat. hodisalarni boshqaruvchi va ularga o'z vaqtida javob
berish bulutning uzluksizligini boshqarishning ajralmas
qismidir. Ushbu
jarayonning maqsadi - hujumning ehtimolligini kamaytirish va g'ayritabiiy
vaziyatlarning provayder mijozlariga salbiy ta'sirini kamaytirishdir. Ularning
muvaffaqiyatli ishlashi uchun xizmat ko'rsatuvchi provayderlar hodisalarni
aniqlash, aniqlash, tahlil qilish va javob berish uchun standartlashtirilgan jarayonga
16
ega bo'lishi kerak. Shu bilan birga, bulutni boshqaruvchi kompaniya mutaxassislari
o'z faoliyatini muntazam ravishda sinab ko'rishlari kerak.
Bundan tashqari, quyidagi qo'shimcha savollarga javob olish foydali bo'ladi.
hodisa jurnallarda yozib borilganmi?
Linklar haqida hisobot berish uchun tizim mavjudmi (masalan, ro'yxatga
olingan hodisalar soni, o'rtacha javob muddati va o'lchamlari va boshqalar)?
Har xil zaifliklarga oid testlar mavjudmi? Stress testlari o'tkaziladimi?
Muammoni hal qilishda mijoz qanday ishtirok etadi? Voqeaning
bosqichlari qanday?
Huquqiy tartibga
solish.
Mijoz-kompaniya
va bulut
texnologiyasi
provayderlari o'rtasidagi munosabatlarni tartibga solinish qaraladi. Mijoz va
etkazib beruvchi o'rtasidagi o'zaro munosabatlarning barcha huquqiy masalalari
shartnoma va xizmat ko'rsatish sifati to'g'risidagi kelishuv bilan tartibga solinadi.
Potensial foydalanuvchi xavfsizlik sohasidagi huquq va majburiyatlarga e'tibor
berishi va tomonlarning mas'uliyatini boshqaradigan shartnomaning qismi bilan
batafsil tanishib chiqish kerak.
Huquqiy tartibga solish bo’yicha xizmat ko'rsatuvchi provayderga murojaat
qilish uchun bir qator qo'shimcha masalalar quyidagilardan iborat:
Bulutli provayder tomonidan shartnoma shartlarini buzganlik uchun
choralar;
Xizmat ko'rsatuvchi provayder tomonidan qanday mijozlar ma'lumotlari
yig'iladi, tarqatiladi va saqlanadi;
Jismoniy ma'lumotlarning saqlanish ko’rinishlari;
Xizmat ko'rsatuvchi provayder bilan tuzilgan shartnomani bekor
qilingandan keyin ma'lumotlar bilan qanday amallar bajariladi;
Ushbu hujjatlarshitirish to’g’risidagi ma’lumotlar provayderning vebsaytidan topish mumkin. Boshqalarga bo'lgan javoblar potentsial provayderga
murojaat qilishni talab qiladi va bu ham tekshirish bir usulidir (javob tezligida,
mijozga munosabat va h.k.).
17
2. Bob. Bulutda ma’lumotlarni himoyalashda Gibrid shifrlash
algoritmlarini qo’llash
2.1. Bulutda axborotlarni himoyalashda kriptografiyaning o’rni
Bulutli texnologiyalarning quyidagi asosiy hususiyatlarini keltirish mumkin:
Masshtablik: bulutli hisoblash tizimlari va foydalanuvchi o’rtasidagi masofa
cheklanmagan. Foydalanuvchi boshqa davlatda (qitada) joylashgan bulut serveriga
murojaat etishi va uning xizmatlaridan foydalanishi mumkin [11].
Moslashuvchanlik:
foydalanuvchilar
soni
ortishi
bilan,
qo’shimcha
qurilmalarni ulamagan holda, xizmat ko’rsatish sifatini ta’minlash imkoniyatlariga
ega bo’lishi lozim.
Multitenantnost: mosofa uzoq bo’lgan holatda eng yaqin nuqtadagi xizmat
ko’rsatish markazidan amalga oshiriladi. Ushbu holat narxning kamayishiga ham
olib keladi.
Foydalangan xizmatlar uchun to’lov: xizmat ko’rsatish markazi tomonidan
amalga oshiriladigan faoliyat uchun to’lov amalga oshiriladi.
O’z-o’ziga xizmat ko’rsatish: belgilangan vaqtda faqat talab etilgan
so’rovlarga javob qaytariladi.
Xavfsizlik: bulutli hisoblash tizimlarida axborotlar konfidensialligini saqlash
uchun
turli
himoya
usullaridan
foydalaniladi.
Bulutda
ma’lumotlar
konfidensialligini ta’minlashning eng asosiy usullaridan bir bu kriptografik
algoritmlardir.
Ko’pchilik davlatlarda bulutda ma’lumotlarni konfidensialligini saqlash yoki
buzilishiga doir, shuningdek, ularni oldini olish bo’yicha hech qanday qonunlar
mavjud emas. Tashkilot ichida unda saqlanadigan ma’lumotlarning xavfsizligi
bo’yicha huquqiy normalar ishlab chiqilgan xolos. Buning uchun internet,
kompyuter tizimlari va tarmoqlarini himoyalashning standart va o’rnatilgan
himoya vositalaridan foydalanish lozim. Ammo, barcha himoyalash vositalari
himoyalash qonun-qoidalariga asoslanishi lozim.
Bulutli tizimlar xavfsizligini ta’minlashning quyidagi samarali usullari
mavjud [12]:
18
1. Kriptografik shifrlash algoritmlari. Ma’lumtolarni himoyalashning eng
samarali usullaridan biri. Ushbu holatda provayder mijoz va ma’lumotllarni qayta
ishlash markazi o’rtasida himoyalangan kanalni hosil qilishi lozim. Agar o’rtada
kimningdir
ruhsatsiz
urinishi
amalga
oshirilsa,
tezda
axborot
orqaga
qaytarilmasdan o’chirilishi lozim.
Shifrlash algoritmlaridan foydalanishda asosiy muamolardan biri – kalitlarni
boshqarish bilan bog’liqdir. Kalitlarni bulutli hisoblash tizimlarida saqlash
mumkin emas, agar kimdir uni olishga erishsa, demak, shifrlangan ma’lumotni
oson ochishi mumkin. Tizim ishga tushishi bilan parollar bilan ishlash tizimli
ravishda local ko’rinishda hal etilishi lozim. Kalitlarni boshqarish tizimlari (Key
Management Server) larni qo’llash orqali kalitlarni qo’lda kiritish muammosi o’zo’zidan avtomatlashgan tizimlarga o’tadi.
Ushbu muammoni hal etishning eng dastlabki yechimlaridan biri bulutli
hisoblash tizimi server va bulutli kalitlarni taqsimlash markazlarini ishga
tushirishdan iborat.
Masofaviy
foydalanuvchilar
Ma’lumotlar
markazlari
Kalitlarni xavfsiz tashish
Java kalitlari
HSMs
Bulut ilovalari
To’lov platforma
X.509
2.2-rasm. Kriptografik kalitlarni boshqarish
Kalitlarni xavfsiz saqlash va tashish ilovalari [13]:
Java kalitlari: JCE, Websphere.
HSMs: Key Blocks, PKCS#11;
Bulut ilovalari: BYOK, IIS, ADFS;
To’lov platform: EMV, ATM, POS, Tokenisation, BASE24, zOS;
X.509: Cryptomathic CA, EJBCA, MS CA.
19
Agar bulutli hisoblash tizimlari va mijoz yagona kalitlarni taqsimlash
markaziga ulangan bo’lsa, unda foydalanuvchi va provayder ma’lumotlari asosida
himoyalangan holda bir martalik parollar bilan ta’minlashi mumkin [14].
2. Ma’lumotlarni uzatishda xavfsizligini ta’minlash. Ma’lumotlarni
xavfsiz qayta ishlash uchun aloqa kanallarida himoyani tashkil etish muhim
ahamiyat kasb etadi. Mijoz va server o’rtasida ma’lumotlarni xavfsiz almashishni
amalga oshirish uchun VPN kanallaridan foydalanish. VPN tunellar ikki tarmoq
o’rtasida xavfsiz aloqa kanalini hosil qiladi va ularning harakatlari yagona login va
parol asosida tartibga solinadi. Aloqa sifatini va xavfsizligini ta’minlash maqsadida
ochiq bulutli hisoblash tizimlariga internet orqali ulanish VPN tunellar orqali
amalga oshiriladi. Misol sifati SSL ulanishlari keltirish mumkin.
SSL va VPN ulanishlari autenifikatsiyalash protokollari yordamida amalga
oshirilsa, xavfsizlik yanada ortadi. Autentifikatsiyalash sertifikatlari qattiq
disklarda shifrlangan ko’rinishda saqlanadi. Bulutli hisoblash tizimi va mijoz
o’rtasida ushbu himoyalash vositalarini qo’llash orqali amalga oshirilgan ulanishlar
xavfsiz hisoblanadi.
Shifrlangan axborotlar autentifikatsiya jarayoni muvafaqqiyatli amalga
oshirilgandan so’ng bulutli hisoblash tizimiga jo’natiladi. Ma’lumotlarni ruhsat
etilmagan kanallardan kirilgan holatda ham o’zgartirish mumkin emas. Ushbu
usullar juda mashxo’r bo’lib, ularga AES, TLS, IPsec protokollarini misol keltirish
mumkin.
3. Autentifikatsiya. Foydalanuvchilarning haqiqiyligini tekshirish usuli
hisoblanadi. Uning parollar, e-tokenlar va biometrik parameterlarga asoslangan
usullari
mavjud.
Ularning
ichidan
bir
martalik
parollorga
asoslangan
autentifikatsiyalash usuli oddiy va xavfsizlik jihatidan yuqori hisoblanadi. Ushbu
bir martalik parollar kalitlarni generatsiyalash maxsus dasturlari, qurilmalari
yordamida va dastlabki qiymat SMS xabarlari orqali amalga oshiriladi. Bulutli
hisoblash tizimlarining boshqa hisoblash tizimlaridan asosiy farqi, uning geografik
jihatdan chegaralanmaganligi va keng masshtabligi hisoblanadi. Bir martalik
20
parollar mobil telefonlarda dasturlarni yuklash va undan foydalanish huquqini
berishda ko’p qo’llaniladi. Xizmat ko’rsatish provayderi va mijoz o’rtasida sinxron
aloqani tashkil etish uchun LDAP (Lightweight Directory Access Protocol)
protokoli va SAML (Security Assertion Markup Language) dasturlash tilidan
foydalanish maqsadga muvofiq.
4. Foydalanuvchilarning izolyatsiyalangani. Boshqacha aytganda, shaxsiy
virtual tarmoqlar va virtual mashinalardan foydalanish. Virtual tarmoqlar VPN
(Virtual Private Network), VLAN (Virtual Local Area Network) va VPLS (Virtual
Private LAN Service) asosida amalga oshiriladi. Bitta dasturlash sohasida turli
foydalanuvchilarning kodlarini farqlash maqsadida qo’llaniladi. Ushbu nostandart
kodlar
o’zaro
almashib
ketishi
va
bulutli
hisoblash
tizimi,
hamda,
foydalanuvchining ma’lumotlariga kirishga imkon yaratishi mumkin. Dastur
kodida xatolik yuz bergan holatda, bir foydalanuvchi boshqa foydalanuvchining
ma’lumotlaridan oson foydalanishi mumkin.
Bulutli hisoblash tizimlarining rivojlanishi uning hodimlariga axborotlar
xavfsizligi, ishonchligi, tezkorligi va qayta tiklanuvchanligi, shuningdek,
konfidensial axborotlarni chiqib ketishini oldini olishni ta’minlash kabi ko’plab
muammolarni yuzaga chiqarmoqda. Bularning ichidan ma’lumotlar xavfsizligini
ta’minlash asosiy muammolardan biri hisoblanadi va barcha mutaxassislar dastlab
ushubu masalaga e’tibor qaratishadi. Internet xizmatlarining eng yuqori
pog’onasiga chiqayotgan hozirgi kunda, bulutli hisoblash texnologiyalarining o’rni
beqiyosdir.
Bulutli hisoblash tizimlarida axborotlarning xavfsizligi asosan kriptografik
algoritmlar asosida amalga oshiriladi va uning quyidagi yo’nalishlari mavjud:
Foydalanuvchi va server o’rtasida himoyalangan kanal yaratish. Aloqa
kanalida axborotlarning xavfsizligini ta’minlash uchun shifrlash algoritmlaridan
foydalangan holda himoyalangan kanal hosil qilinadi. Himoyalangan kanallarni
VPN
texnologiyalari
yordamida
hosil
qilish
mumkin.
Ochiq
tarmoq
himoyalanmagan hisoblanib, unda ma’lumotlarni buzg’unchilar tomonidan o’qib
olinishi ehtimoli yuqori hisoblanadi. Ushbu holatda kriptografik usullar samarali
21
himoyani ta’minlashda asosiy vositalardan biri sifatida qo’llaniladi. Uning
quyidagi amallari mavjud:
shifrlash;
autenfikatsiya;
ochiq kalitli tizimlar;
uzatilayotgan axborotlarni o’zgartirishdan himoyalash.
Ochiq tarmoqlarda mavjud ikki odam o’rtasidagi (MITM) xujumidan
himoyalashda samarali vosita hisoblanadi. Shifrlash algoritmlarini qo’llash orqali
ochiq kanaldan ma’lumotni himoyalangan holda uzatish mumkin. Ushbu usul
bulutli tarmoqlardan boshqa tarmoqlarda ham qo’llaniladi.
Mahfiy kalit
Mahfiy kalit
Aloqa
kanali
Kiruvchi
ochiq matn
Shifrlash
Deshifrlash
Chiquvchi
ochiq matn
2.2-rasm. Shifrlash sxemasi
Bulutda
ma’lumotlarni
shifrlangan
ko’rinishda
saqlash.
Bulutda
ma’lumotlarni saqlash xizmatidan foydalanganda, barcha fayllar va ma’lumotlarni
shifrlangan ko’rinishda saqlash lozim. Ma’lumotlar shifrlangan ko’rinishda
saqlashdan maqsad, bulutli xizmatning egasi yoki admini ham uni ochib o’qishidan
himoyalash. Bundan tashqari, axborotning egasi yoki foydalanish huquqiga ega
foydalanuvchilardan boshqa hech kim undan foydalanishi mumkin emas. Buning
uchun ularga shifrlash kalitini taqdim etishi lozim.
Shifrlangan ma’lumotlarni bulutda saqlash ko’pchilik kichik tashkilotlar
uchun o’rinli hisoblanadi. Bulutli saqlash xizmatlarining ko’pchiligida guruh
bo’lib ma’lumotlarni saqlash imkoniyati mavjud bo’lib, jamoaviy loyihalarni
amalga oshirishda asosiy o’rin egallaydi. Ammo guruh foydalanuvchilar sonining
22
ortishi bulutli hisoblash tizimlari uchun kalitlarni taqsimlash muammosini yuzaga
keltiradi. Shuning uchun bir guruhda foydalanuvchilar sonini chegaradan
oshirmaslik lozim.
Ma’lumotlarni
o’rtadagi
proksi
serverda
shifrlash.
Barcha
bulut
texnologiyalari o’z ximatlarini masofaviy foydalanuvchilarga Proksi serverlar
orqali taqdim etadi. Proksi serverda shifrlash qurilmasini o’rnatish orqali ishonchli
himoyani
tashkil
etish
mumkin.
Bu
orqali
foydalanuvching
o’zining
ma’lumotlarini bulutda qurilma orqali shifrlab saqlash imkoniyatiga ega bo’ladi.
Barcha jo’natilgan xabarlar u orqali o’tadi. Serverda saqlash uchun yuborilgan
ma’lumotlar unda shifrlanadi va foydalanuvchining so’rovi bilan unga yuborilgan
xabar deshifrlanadi.
Shifrlash va deshifrlash kaliti faqat ushbu serverga ma’lum hisoblanadi va
shuningdek, proksi server va bulut server o’rtasida aloqa mavjud emas deb
qaraladi. Proksi serverdan o’tayotgan ma’lumotlar shifrlangan ko’rinishda bo’lishi
ham mumkin. Bundan tashqari proksi serverda ma’lumotlarga urinishlarining
ro’yhati ham mavjud bo’lishi mumkin. Oraliq serverlarning mavjudligi
foydalanuvchi uchun shaffoflikni ta’minlaydi.
Ochiq
tarmoq
Ochiq/yopiq
ma’lumot
Proksi server
Bulutli server
2.3-rasm. Proksi server yordamida ma’lumotlarni shifrlash sxemasi
2.2. Bulutli tizimlarni himoyalashda gibrid algoritmlardan foydalanish
Cloud axborotlarni saqlash tizimlarida mahfiy axborotlarni mahfiyligini
ta’minlash algoritmlari asosida amalga oshiriladi. 2.2-rasmda axborotlarni shifrlab
jo’natish va saqlashning sxemasi keltirilgan.
23
So’rov
Shifrlangan
ma’lumotlar
Server
Ma’lumot
egasi
Foydalanuvchi
Qidiruv natijalari
Foydalanuvchining mahfiy kaliti
2.2-rasm. Mahfiy axborotlarni xavsizligini ta’minlash sxemasi
Ushbu axborotlar serverda shifrlangan ko’rinishda saqlanadi va axborot
foydalanuvchii va talabgor talabiga binoan shifrlangan ko’rinishda yetkaziladi.
Ushbu sxemada uchta komponenta ishtirok etmoqda [15]:
Server: talabgor axborotlarini saqlash va qayta ishlash uchun xavfsizligi
ta’minlangan ko’rinishda saqlashga mo’ljallangan qurilma.
Axborot foydalanuvchii: Cloudda saqlanadigan va uzatiladigna mahfiy
axborotlarni shifirlash kaltga ega yagona shaxs hisoblanadi. Boshqa talabgorlarga
jamoaviy holda o’z axborotlaridan foydalanish huquqini berishda albatta
deshifirlash kaltni taqdim etish talab etiladi. Axborotlar foydalanuvchii serverda
saqlanadigan mahfiy shifrlangan axborotlarni izlash va qayta ishlash huquqiga ega
talabgor hisoblanadi. Sxemada keltirilgan axborot foydalanuvchii boshqa
talabgorlarning uning axborotlariga nazoratni amalga oshiradi.
Talabgorlar: Cloud hisoblash tizimlarida bir nechta talabgorlar bo’lib,
axborot foydalanuvchii tomonidan taqdim etilgan ruhsatlar asosida o’qish, yozish,
o’zgartirish amallarini bajarishi mumkin.
Cloud hisoblash tizimlarida qo’laniladigan algoritmlari xususiy holda
amalga oshirilib, standart algoritmlariga moslashgan. SALSA, ГОСТ 28147-89 va
boshqa shu kabi algoritmlari keng tarqalgan. Ushbu algoritmlardan tayyor holda
foydalanish katta xatar va xavflarni yuzaga keltiradi. Cloud hisoblash tizimlarida
algoritmlarni tanlashda uning bardoshligi va tezligiga alohida e’tibor qaratiladi.
Chunki tizimda bir necha millionlab talabgorlar bo’lib, ularning axborotlari bir
24
vaqtda tezkorlik bilan shifrlanishi va deshifrlanishi lozim. AMD Athlon MP 2200+
prosessorida olingan tahlil natijalari quyida keltirilgan:
Triple DES: kalt uzunligi 168qism, shifirlash tezligi – 10.67 Mqism\s.
SALSA: kalt uzunligi - 128 qism, shifirlash tezligi – 46.55 Mqism\s.
Kalt uzunligi – 256 qism, shifirlash tezligi – 36.57 Mqism\s.
Twofish: kalt uzunligi – 128 qism, shifirlash tezligi – 42.67 Mqism\s.
Shuning uchun shifirlash tezligini oshirish maqsadida ko’p prosessorli
hisoblash imkoniyatlariga ega Cloud hisoblash tizimlarida ko’p oqimli
shifirlashdan foydalanish tavsiya etiladi. Ushbu usullarni qo’llash shifirlash
jarayoni uchun sarflanadigan vaqtni 3-5 martaga kamaytiradi.
Qidiruv holatida axborotlarni shifrlangan ko’rinishda almashishning sxemasi
2.3-rasmda keltirilgan. U quyidagi qadamlardan tashkil etilgan:
1. Axborotlarni shifirlash. Axborot foydalanuvchiining xabarlarini
shifirlashga qaratilgan va u ikki qismdan tashkil topgan:
Shifrlangan axborot mahsulotlari: serverlarda saqlanadigan axborotlar
simmetrik blokli algoritmlari yordamida shifrlanadi. Har bir shifrlangan axborot
yagona identifikator yordamida yozib boriladi.
Xavfsiz index: serverda shifrlangan ko’rinishda saqlanayotgan axborotlarni
ID nomi bo’yicha qidirishga kimda huquq borligini aniqlaydi.
2. Talabgorlarning kaltlarini xavfsiz almashish. Axborot foydalanuvchii
o’zining axborotlarini deshifirlash uchun kalt generatsiya qiladi va uni axborot
talabgorlariga jo’natadi. Talabgor olingan kalt asosida qidiruv so’rovlarini yaratish
imkoniyatiga ega bo’ladi.
3. Qidiruv so’rovlari. Talabgor yoki axborot foydalanuvchii `W` kalt so’zi
uchun qidiruv so’rovlarini yaratadi va va uni serverga jo’natadi. Ushbu holatda
jo’natilgan so’rov qaysi shifrlangan axborotga tegishli ekanligini aniqlash lozim.
4. Qidiruv natijalari. Talabgorlarga qaytarilgan qidiruv natijalari ikki
ko’rinishda bo’lishi mumkin:
shifrlangan axborotlarning ID raqamlari so’rovlarga mos kelishi lozim;
shifrlangan axborot mahsulotlari qidiruv tokenlariga mos kelishi lozim.
25
Qidiruv natijalari
Server
1
4
Shifrlangan
ma’lumot
3
5
So’rovlarni qidirish
Ma’lumot egasi
Foydalanuvchi
Foydalanuvchining mahfiy kaliti
2
2.3-rasm. Qidiruv natijalarini shifirlash
Yuqoridagi rasmda talabgorning axborotlar foydalanuvchiidan kelgan
shifrlangan axborotlaridan foydalanish sxemasi keltirilgan. 2.4-rasmda axborot
foydalanuvchiining o’zining axborotlaridan foydalanish sxemasi keltirilgan. Bunda
axborotlar shifrlangan ko’rinishda serverga jo’natiladi. Ushbu axborotni olish
uchun jo’natilgan so’rov ochiq ko’rinishda bo’lib, undan qaytgan javob shifrlangan
ko’rinishda amalga oshiriladi.
Shifrlangan ma’lumotlar
Server
So’rov
Ma’lumot egasi
Natijalar
2.4-rasm. Axborot foydalanuvchiining qidiruv natijalari
Yuqorodago sxemalarda qo’laniladigan algoritmlarining ketma-ketligi
quyidagi qadamlardan tashkil topgan:
1. 𝑆𝐾 ← 𝐾𝑒𝑦𝐺𝑒𝑛(1𝑘 )
2. 𝐼𝐷 ← 𝐵𝑢𝑖𝑙𝑑𝐼𝑛𝑑𝑒𝑥(𝐷, 𝑆𝐾)
3. 𝑇𝑊 ← 𝑄𝑢𝑒𝑟𝑦 (𝑤, 𝑆𝐾)
26
4. 𝑅𝑤 ← 𝑆𝑒𝑎𝑟𝑐ℎ (𝐼𝐷 , 𝑇𝑊 )
Bunda:
1. Axborot foydalanuvchiining shaxsiy axboroti asosida kalt generatsiya
algoritmi SK (mahfiy kalt) kaltni generatsiya qiladi. Bunda 1𝑘 ∈ 𝑁 mahfiy
parameter hisoblanadi.
2. Ushbu algoritm axborot foydalanuvchii tomonidan ehtimolli yoki
oldindan belgilangan qoidalar asosida ishga tushiriladi. Kirishda axborot
mahsulotiga mos holda bir nechta D – metadatalarni o’z ichiga oladi. Xar bir
axborot mahsuloti o’z 𝑆𝐾 − mahfiy kaltga ega. Chiqishda 𝐼𝐷 − xavfsiz index natija
qaytariladi.
3. Belgilangan algoritm asosida axborot foydalanuvchii qidiruv so’rovlarini
shaklantiradi. Kirishda 𝑤 −kalt so’z va 𝑆𝐾 −mahfiy kalt kiritiladi. Chiqishda,
𝑇𝑊 −qidiruv so’rovi qaytariladi.
4. belgilangan algoritm qidiruv natijalarini qaytarish uchun server tomonidan
ishga tushiriladi. Kirishda 𝐼𝐷 −xavfsiz ideks va 𝑇𝑊 −qidiruv so’rovi beriladi va
chiqishda 𝑅𝑤 −qidiruv natijasi beriladi.
Shifirlash blokli simmetrik algoritmlarining biri asosida xususiy algoritm
generatsiya qilinadi va shifirlash amallari bajariladi.
Kriptografik algoritmlari bo’lib quyidagilar hisoblanadi:
O’z DST
1105:2009, SALSA, DES, RSA, EL-Gamal. Misol sifatida DES algoritmini
oladigan bo’lsak, u Feystel tarmog’iga asoslangan.
Feystel tarmog’ining qo’llanishi ko’pgina simmetrik blokli algoritmlarida
uchraydi. Bu kriptoalgoritmlarga misol qilib FEAL, LOCI, Khufu, Khafre
Blowfish, Lucifer, CAST, shuningdek, DES, GOST 28147-89 kabi standart
algoritmlarni keltirish mumkin.
2.1-jadvalda hozirgi kunda keng foydalaniladigan zamonaviy simmetrik
kriptobardoshli tizimlarning qiyosiy tahlili algoritmlarning hususiyatlari bo’yicha
tahlili keltirilgan.
27
MD5 hesh algoritmida kiruvchi axborotning uzunligi 264 qismdan kichik
bo’lib, hesh qiymat uzunligi 160 qism bo’ladi. Kiritilayotgan axborot 512 qismlik
bloklarga ajratilib qayta ishlanadi.
Qism algoritmi uchun shifirlash kalt SALSA shifirlash algoritmi yordamida
hosil qilinadi. Buning uchun kiritilgan parolning hesh qiymati hisoblanadi. Olingan
hesh qiymat kiritilgan kalt asosida SALSA shifirlash algoritmi yordamida hosil
qilinadi. Bu esa, bir martalik kaltlarni generatsiyalashni yuzaga keltiradi. Bir
martalik kaltlar har bir fayl va talabgor nomi orqali yaratiladi. Yuqorida keltirilgan
hesh qiymatni algoritmlaridan biri SALSA yordamida shifrlaymiz va hosil bo’lgan
kaltni talabgor uchun tushinarli bo’lgan joyda saqlab qo’yamiz. Faylga har safar
murojaat bo’lganida ushbu fayl yangisiga o’zgaradi. Ya’ni bir kalt faqat bir marta
qo’llaniladi. Hesh funksiya sifatida MD5 qaraladi.
K=Ek(Hesh(P));
MD5 hesh algoritmida kiruvchi axborotning uzunligi 264 qismdan kichik
bo’lib, hesh qiymat uzunligi 160 qism bo’ladi. Kiritilayotgan axborot 512 qismlik
bloklarga ajratilib qayta ishlanadi.
2.3. Gibrid shifrlash algoritmlari asosida ma’lumotlarni himoyalash dasturi
Hash funktsiyasi (eng. hash funktsiyasi - "idishga o'girib", "meshanin"), yoki
ivish funktsiyasi-funktsiya, muayyan algoritm tomonidan amalga oshiriladi
belgilangan uzunligi (chiqish) bit mag'lubiyatga tasodifiy uzunligi kirish
ma'lumotlar qator konvertatsiya amalga oshiradi. Xash funktsiyasi tomonidan
ishlab chiqarilgan konvertatsiya hashing deb ataladi. Dastlabki ma'lumotlarga
kirish qatori, "kalit" yoki "xabar"deyiladi. Konvertatsiya natijasi (chiqish
ma'lumotlari) "Xash", "Xash kodi", "Xash miqdori", "xabarning xulosasi"deb
ataladi.
Hash vazifalari quyidagi hollarda ishlatiladi:
assotsiativ massivlarni qurishda;
bir qator ma'lumotlar Papkalarida dublikatlarni qidirishda;
ma'lumotlar Papkalari uchun noyob identifikatorlarni yaratishda;
28
ma'lumotlarni saqlash va / yoki uzatish paytida yuzaga keladigan xatolar
(tasodifiy yoki qasddan qilingan) keyinchalik aniqlash uchun ma'lumotlar (signal)
dan nazorat summalarini hisoblashda;
himoya tizimlarida parollarni Xash kodi sifatida saqlashda (parolni Xash
kodi bilan tiklash uchun ishlatiladigan Xash funktsiyasiga teskari bo'lgan funksiya
talab qilinadi);
elektron imzo ishlab chiqishda (amalda xabarning o'zi emas, balki uning
"Xash-tasvir" tez-tez imzolanadi»);
va boshq. Uning sxemasi 14-rasmda keltirilgan.
14-rasm. Fayl nomini berkitish usuli
SALSA shifrlash uchun kaltlar quyidagicha belgialnadi. Uning ko’rinishi
15-rasmda berilgan.
15-rasm. Fayl nomi asosida kaltni ko’rsatish
Ushbu dastur android uchun yaratilgan. Android ("android" [~1]) —
smartfonlar, planshetlar, elektron kitoblar, raqamli pleyerlar, qo'l soatlari, fitness
29
bilakuzuklar, o'yin konsollari, noutbuklar, netbuklar, smartbuklar, Google Glass
ko'zoynaklari[3], televizorlar[4] va boshqa qurilmalar uchun operatsion tizim
(2015-yilda avtomobil ko'ngilochar tizimlari[5] va maishiy robotlar uchun qo'llabquvvatlandi).
Linux yadrosi[6] va Google-ning Java virtual mashinasini o'zlashtirishga
asoslangan. Dastlab Android, Inc.tomonidan ishlab chiqilgan., keyin Google sotib
oldi. Keyinchalik, Google hozirda platformani qo'llab-quvvatlash va yanada
rivojlantirish bilan shug'ullanadigan Open Handset Alliance (OHA) alyansini
yaratishga kirishdi. Android sizga Google tomonidan ishlab chiqilgan kutubxonalar
orqali qurilmani boshqaradigan Java ilovalarini yaratishga imkon beradi. Android
Native Development Kit Si va boshqa tillarda yozilgan ilovalar kutubxonalari va
tarkibiy qismlarini portlatish imkonini beradi.
Dastur ikki qisimdan tashkil topgan (16.a-rasm).
16-rasm. Dastur ko’rinishi
a. Asosiy qism
b. Papka yaratish
2. Papkani (ma’lumot kiritish uchun serverdan ajratilgan papka)
yaratish.
3. Papkadan foydalanish.
Papkani yaratish jarayoni:
30
Yangi papkalarni yaratishning bir necha yo'li mavjud. Lekin biz ularni
universal usulda qanday qilishni o'rganamiz, bu esa har qanday Windows tizimi
(XP, 7, 8, 10) bilan boshqa har qanday kompyuterda takrorlanishi mumkin.
Siz xohlagancha qo'ng'iroq qilish uchun avval kompyuterda qanday alifbo
o'rnatilganligini ko'rishingiz kerak. Pastki o'ngda hozirda faol bo'lgan alfavit ikki
inglizcha harf bilan ko'rsatiladi.
RU-rus alifbosi, EN-ingliz tili. (17-rasm).
17-rasm. Faylning nomi
18-rasm. Papkalar
31
1. Dastur nomi orqali kalit yaratish
19-rasm. SALSA kaliti
20-rasm. Shifrlash kaliti
Kalit xabarlarni shifrlash/parolini hal qilish, raqamli imzolarni belgilash va
tekshirish, autentifikatsiya kodlarini hisoblash (MAC) uchun kriptografik algoritm
tomonidan
ishlatiladigan
maxfiy
ma'lumotdir.
Xuddi
shu
algoritmdan
foydalanganda, shifrlash natijasi kalitga bog'liq. Kuchli kriptografiyaning
zamonaviy algoritmlari uchun kalitni yo'qotish ma'lumotni tushunish uchun amaliy
imkoniyatga olib keladi.
Kerchgoffs printsipiga ko'ra, kriptografik tizimning ishonchliligi maxfiy
kalitlarni yashirish bilan belgilanishi kerak, ammo ishlatiladigan algoritmlarni yoki
ularning xususiyatlarini yashirmaslik kerak.Kalitdagi ma'lumot miqdori odatda
bitlarda o'lchanadi.
Zamonaviy nosimmetrik algoritmlar uchun (AES, CAST5, IDEA, Blowfish,
Twofish) kripto qarshiligining asosiy xususiyati kalit uzunligi. 128 bit va undan
yuqori uzunlikdagi kalitlarga ega shifrlash kuchli hisoblanadi, chunki kalitsiz
32
ma'lumotni tushunish uchun kuchli superkompyuterlar yillar talab etiladi.
Raqamlar nazariyasi muammolariga asoslangan assimetrik algoritmlar uchun
(faktoring muammosi-rsa, diskret logaritma muammosi-Elgamal) ularning
xususiyatlari tufayli hozirgi vaqtda kalitning minimal ishonchli uzunligi 1024 bit.
Elliptik egri nazariyasidan (ECDSA, GOST R 34.10-2001, DSTU 41452002) foydalanishga asoslangan assimetrik algoritmlar uchun minimal ishonchli
kalit uzunligi 163 bit, lekin uzunligi 191 bit va undan yuqori.
21-rasm. kalit fayllar
22-rasm. fayllarni ko’rish
33
Xulosa
Ushbu individual ishni bajarish natijasida quyidagi xulosalarga erishildi:
bulutli texnologiyalarning asosiy xizmatlari, modellari va texnologiyalari
tadqiq etildi va bulutda ma’lumotlarni saqlash imkoniyatlari kengligi ko’rsatildi;
ushbu tizimlarga bo’lishi mumkin bo’lgan tahdidlar, xavflar va xujumlar
tadqiq etildi va aloqa kanallarida va bulutli saqlash tizimlariga qaratilgan
xujumlarning zarari yuqori ekanligi keltirildi;
bulutli hisoblash tizimlaridagi hujumlarni oldini olish choralari, usullari
va himoya texnologiyalari tadqiq etildi;
bulutli texnologiyalarda haqiqiylikni tekshirish, butunlikni ta’minlash va
konfidensiallikni ta’minlashda kriptografiyaning o’rni tadqiq etildi;
ma’lumotlarni xavfsiz saqlashda qo’llaniladigan kriptografik algoritmlar
va kalitlarni almashish usullari keltirildi va ular asosida mujassamlashgan shifrlash
algoritmi ishlab chiqildi. Yaratilgan algoritm dasturiy amalga oshirildi.
34
Foydalanilgan adabiyotlar ro’yhati
1. O’zbekiston
Respublikasi
Prezidentining
farmoni.
O’zbekiston
Respublikasini yanada rivojlantirish bo’yicha Harakatlar strategiyasi to’g’risida.
2017 yil.
2. Dinh H. T. et al. A survey of mobile cloud computing: architecture,
applications, and approaches //Wireless communications and mobile computing. –
2013. – Т. 13. – №. 18. – С. 1587-1611.
3. Krutz R. L., Vines R. D. Cloud security: A comprehensive guide to secure
cloud computing. – Wiley Publishing, 2010.
4. Tsai W. T., Sun X., Balasooriya J. Service-oriented cloud computing
architecture //2010 seventh international conference on information technology:
new generations. – IEEE, 2010. – С. 684-689.
5. Zissis D., Lekkas D. Addressing cloud computing security issues //Future
Generation computer systems. – 2012. – Т. 28. – №. 3. – С. 583-592.
6. Subashini S., Kavitha V. A survey on security issues in service delivery
models of cloud computing //Journal of network and computer applications. –
2011. – Т. 34. – №. 1. – С. 1-11.
7. Jensen M. et al. On technical security issues in cloud computing //2009
IEEE International Conference on Cloud Computing. – Ieee, 2009. – С. 109-116.
8. Feng D. G. et al. Study on cloud computing security //Journal of software.
– 2011. – Т. 22. – №. 1. – С. 71-83.
9. Mell P. et al. The NIST definition of cloud computing. – 2011.
10.
Popović K., Hocenski Ž. Cloud computing security issues and
challenges //The 33rd International Convention MIPRO. – IEEE, 2010. – С. 344349.
11.
Van Dijk M., Juels A. On the impossibility of cryptography alone for
privacy-preserving cloud computing //HotSec. – 2010. – Т. 10. – С. 1-8.
35
Ilova
def gcd(a, b):
while a != 0:
a, b = b % a, a
return b
def findModInverse(a, m):
if gcd(a, m) != 1:
return None
u1, u2, u3 = 1, 0, a
v1, v2, v3 = 0, 1, m
while v3 != 0:
q = u3 // v3
v1, v2, v3, u1, u2, u3 = (u1 - q * v1), (u2 - q * v2), (u3 - q *v3), v1, v2, v3
return u1 % m
import random
def rabinMiller(num):
s = num - 1
t=0
while s % 2 == 0:
s = s // 2
t += 1
for trials in range(5):
a = random.randrange(2, num - 1)
v = pow(a, s, num)
if v != 1:
i=0
while v != (num - 1):
if i == t - 1:
return False
else:
i=i+1
v = (v ** 2) % num
return True
def isPrime(num):
if (num < 2):
return False
lowPrimes = [2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37, 41, 43, 47, 53, 59,
61, 67, 71, 73, 79, 83, 89, 97, 101, 103, 107, 109, 113, 127,
131, 137, 139, 149, 151, 157, 163, 167, 173, 179, 181, 191,
193, 197, 199, 211, 223, 227, 229, 233, 239, 241, 251, 257,
263, 269, 271, 277, 281, 283, 293, 307, 311, 313, 317, 331,
337, 347, 349, 353, 359, 367, 373, 379, 383, 389, 397, 401,
409, 419, 421, 431, 433, 439, 443, 449, 457, 461, 463, 467,
479, 487, 491, 499, 503, 509, 521, 523, 541, 547, 557, 563,
569, 571, 577, 587, 593, 599, 601, 607, 613, 617, 619, 631,
641, 643, 647, 653, 659, 661, 673, 677, 683, 691, 701, 709,
719, 727, 733, 739, 743, 751, 757, 761, 769, 773, 787, 797,
809, 811, 821, 823, 827, 829, 839, 853, 857, 859, 863, 877,
881, 883, 887, 907, 911, 919, 929, 937, 941, 947, 953, 967,
971, 977, 983, 991, 997]
if num in lowPrimes:
return True
for prime in lowPrimes:
if (num % prime) == 0:
return False
return rabinMiller(num)
36
def generateLargePrime(keysize = 1024):
while True:
num = random.randrange(2 ** (keysize - 1), 2 ** (keysize))
if isPrime(num):
return num
if __name__ == '__main__':
num = generateLargePrime()
print('Prime number:', num)
print('isPrime:', isPrime(num))
import random, sys, os
import rabin_miller as rabinMiller, cryptomath_module as cryptoMath
def main():
print('Making key files...')
makeKeyFiles('rsa', 1024)
print('Key files generation successful.')
def generateKey(keySize):
print('Generating prime p...')
p = rabinMiller.generateLargePrime(keySize)
print('Generating prime q...')
q = rabinMiller.generateLargePrime(keySize)
n=p*q
print('Generating e that is relatively prime to (p - 1) * (q - 1)...')
while True:
e = random.randrange(2 ** (keySize - 1), 2 ** (keySize))
if cryptoMath.gcd(e, (p - 1) * (q - 1)) == 1:
break
print('Calculating d that is mod inverse of e...')
d = cryptoMath.findModInverse(e, (p - 1) * (q - 1))
publicKey = (n, e)
privateKey = (n, d)
return (publicKey, privateKey)
def makeKeyFiles(name, keySize):
if os.path.exists('%s_pubkey.txt' % (name)) or os.path.exists('%s_privkey.txt' % (name)):
print('\nWARNING:')
print('"%s_pubkey.txt" or "%s_privkey.txt" already exists. \nUse a different name or delete these
files and re-run this program.' % (name, name))
sys.exit()
publicKey, privateKey = generateKey(keySize)
print('\nWriting public key to file %s_pubkey.txt...' % name)
with open('%s_pubkey.txt' % name, 'w') as fo:
fo.write('%s,%s,%s' % (keySize, publicKey[0], publicKey[1]))
print('Writing private key to file %s_privkey.txt...' % name)
with open('%s_privkey.txt' % name, 'w') as fo:
fo.write('%s,%s,%s' % (keySize, privateKey[0], privateKey[1]))
if __name__ == '__main__':
main()
37