- No category
Gibrid shifrlash algoritmlari asosida bulutda ma'lumotlarni himoyalash
advertisement
1 Individual loyiha ishini bajarish bо‘yicha namunaviy kо‘rsatma О‘ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALAR VAZIRLIGI MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI «Axborot xavfsizligi» kafedrasi INDIVIDUAL LOYIHA Mavzu: Gibrid shifrlash algoritmlari asosida bulutda ma’lumotlarni himoyalash dasturini ishlab chiqish 5330300 – “Axborot xavfsizligi (sohalar bо‘yicha)” yо‘nalishi Bajardi: _ Ilmiy rahbar: _ Toshkent - 2023 2 Mundarija Kirish…………………………………………………………………...……. I II 00 Bob. Bulutli texnologiyalarga tahdidlar va ularni himoyalash texnologiyalari.......................................................................................... 00 1.1. Bulutli texnologiyalarning ishlash sxemalari…...……………… 00 1.2. Bulutli texnologiyalarda axborotlarga tahditlar........................... 00 1.3. Axborotlarni himoyalashning texnologiyalari…………………… 00 Bob. Bulutda ma’lumotlarni himoyalashda Gibrid shifrlash algoritmlarini qо‘llash……………………………………………. 00 2.1. Bulutda axborotlarni himoyalashda kriptografiyaning о‘rni….. 00 2.2. Bulutli tizimlarni himoyalashda gibrid algoritmlardan foydalanish … 00 2.3. Gibrid shifrlash algoritmlari asosida ma’lumotlarni himoyalash dasturi………………………………………………………. 00 Xulosa………………………………………………..…………..……...…... 00 Foydalanilgan adabiyotlar rо‘yhati…………….……………………... 00 Ilovalar…………………………………………………….…………….…… 00 3 Kirish Mamlakatda axborot-kommunikatsiya texnologiyalarini davlat boshqaruvi, iqtisodiyot tarmoqlari, ijtimoiy soha va kundalik hayotga izchil joriy etish bо‘yicha keng kо‘lamli ishlar amalga oshirilmoqda. Internet tarmog‘iga ulanish qamrovini kengaytirish va tezligini oshirish, dasturiy ta’minot, telekommunikatsiya sohasida yetakchi xorijiy kompaniyalar bilan aloqa о‘rnatish muhim vazifalardan sanaladi. 2023-yilda xalqaro tajribani, zamonaviy axborot-kommunikatsiya texnologiyalarini rivojlanish tendensiyalarini inobatga olgan holda, “2018–2021yillarda ‘Eelektron hukumat’ tizimini yanada rivojlantirish strategiyasi”ni ishlab chiqish, “Mirzo Ulug‘bek innovatsiya markazi” rezidentlari tomonidan kо‘rsatiladigan ishlar va xizmatlar hajmini kamida 2 barobarga hamda eksport hajmini 1,8 barobarga oshirish, rezidentlar uchun chet el kompaniyalari bilan hamkorlik qilishda va yangi bozorlarga chiqishda kо‘maklashish bо‘yicha maqsadli ishlar amalga oshirilmoqda. Shuningdek, О‘zbekiston Prezidenti 7-fevral kungi farmoni bilan 2017— 2021-yillarda О‘zbekistonni rivojlantirishning beshta ustuvor yо‘nalishi bо‘yicha Harakatlar strategiyasini tasdiqladi. Unda har bir yillar kesimida rivojlantirish rejalari ishlab chiqildi va amalga oshirilmoqda. 2023 yilni “Insonga e'tibor va sifatli ta'lim yili” deb nom berilgani ushbu sohalarda e’tiborni qay darajada ekanligini anglatadi. Hisobotlarni elektron kо‘rinishda almashish, ularni internetda saqlash va masofaviy ulanishlarni ta’minlash hozirgi asr talabi hisoblanadi. Shuning uchun axborot kommunikatsiya tizimlari xavfsizligini ta’minlash muhim va dolzarb masalalardan biri hisoblanadi. Ishlash va hisoblash imkoniyatlaridan keng foydalanish natijasida bulutli hisoblash tizimlari yuzaga keldi. Undan foydalanish asosida xavfsiz aloqani yaratish va xavfsiz saqlash usullarini qо‘llash foydalanish imkoniyatlarini oshiradi. Individual loyiha ishining maqsadi: Gibrid shifrlash algoritmlari asosida bulutda ma’lumotlarni himoyalash dasturini ishlab chiqishdan iborat. 4 Ishni bajarishda quyidagi vazifalarni bajarish lozim: internet aloqalaridan foydalangan holda bulutli texnologiyalarning ishlash sxemalari, modellari va xizmatlari tadqiq etish; keltirilgan tahdidlar va xujumlardan ma’lumotlar xavfsizligini ta’minlash usullarini tahlillash; bulutda axborotlarni himoyalashda kriptografiyaning о‘rnini belgilash; bulutli tizimlarda qо‘llaniladigan kriptografik algoritmlarni tahlillash; bulutda gibrid shifrlash algoritmlari asosida ma’lumotlarni himoyalash dasturini ishlab chiqish. Individual loyiha ishi kirish, 3 ta qism, xulosa, adabiyot rо‘yhati va ilovadan iborat. 1- qism: axborot kommunikatsiya tizimlarida internet aloqalaridan foydalangan holda bulutli texnologiyalarning ishlash sxemalari, modellari va xizmatlari tadqiq etildi va keltirilgan tahdidlar va xujumlardan ma’lumotlar xavfsizligini ta’minlash usullarini tahlillandi. 2- qism: bulutda axborotlarni himoyalashda kriptografiyaning о‘rnini aniqlandi va bulutli tizimlarda qо‘llaniladigan kriptografik algoritmlarni tahlillandi. Bulutda gibrid shifrlash algoritmlari asosida ma’lumotlarni himoyalash dasturi ishlab chiqilgan. 5 Bob. Bulutli texnologiyalarga tahdidlar va ularni himoyalash 1. texnologiyalari 1.1. Bulutli texnologiyalarning ishlash sxemalari Avvalo, shuni ta’kidlash lozimki, ayrim kompaniyalarning bulut texnologiyalari bilan bog‘liq muammolari bozorda yaqinda paydo bо‘lgan bulutlar an’anaviy biznes standartlari bilan izohlanadi (agar IT evolyusiyasi tezligi e’tiborga olinsa, texnologiya allaqachon eng chо‘qqiga chiqqan bо‘lar edi). Shunga kо‘ra, bulut xizmatlarining mohiyatini mijozlarning xabardorligi va juda kо‘p miqdordagi ishonchli ma’lumotlarning yо‘qligi tushuntirilgan bir qator qoidalar mavjud. Biroq, tо‘g‘ri yondashuv bilan, texnologiyani yaxshiroq tushunish va yetkazib beruvchilarning muvozanatli tanlovi, bulutli xizmatlar kompaniyaning mavjud infratuzilmasidan kо‘ra kо‘proq ishonchlilik va xavfsizlikni ta’minlaydi. Bulutli hisoblash tizimlarida uch turdagi xizmatlar mavjud: Infrastruktura xizmati (IaaS); Platforma xizmati (PaaS); Dasturiy ta’minot xizmati (SaaS). Infrastruktura xizmati (IaaS) - talab qilinadigan masofadan foydalanish imkoniyati bilan konfiguratsiya qilinadigan hisoblash resurslari (bulut infratuzilmasi) umumiy xizmatlarini mustaqil ravishda boshqarish qobiliyatiga ega bо‘lgan modeldir. Xususan, ushbu model ikki jihatga ega: klasterlashtirish va grafiklash. Serverlarni klasterlashtirish – N serverlarning umumiy dasturlarni ishlatish uchun ishlaydigan va oxirgi foydalanuvchilar uchun bir butun kabi kо‘rinadigan yagona apparat kompleksini umumlashmasidir. Klasterlashtirishdan foydalanish orqali, bulut provayderining har qanday mijozi tezda qabul qila oladi va qisqa vaqt ichida hisoblash resurslarini sezilarli darajada sarf qilmasdan va xarajat qilmasdan qoldirishi mumkin. Shu bilan birga, iste’mol qilingan resurslar hajmining о‘zgarishi hech qanday tarzda butun bulutning umuman ishiga ta’sir qilmaydi. 6 Klasterlardan foydalanish har bir foydalanuvchi uchun deyarli cheksiz miqyosda kengaytirilishi mumkin emas, balki uning virtual infratuzilmasining mustahkamligini oshiradi. Bitta yoki hatto bir nechta serverning ishdan chiqishi sababli mijozlarning IT-tizimlarida uzilishlarga olib kelmaydi. Yuklanish avtomatik ravishda klasterdagi boshqa serverlar orasida qayta taqsimlanadi. Ikkinchi jihat - apparat platformasini virtualizatsiya qilish, bu apparat platformasini turli xil operatsion tizimlar bilan bо‘lishishni о‘z ichiga oladi. Sxematik tarzda apparatlashtirilgan virtualizatsiya shakllari 1.1- rasmda keltirilgan. Virtualizatsiya tufayli bir nechta mijozlar birgalikda provayderning infratuzilmasini foydalanish mumkin bо‘ladi. VDI Web server Ilovalar Z Tarmoq OT1 Windows Server 2012 Tarmoq OT2 Red Hat Enterprise Linux Mehmon OT X Operatsion tizim Y Gipervizor Qurilmalar CPU 1.1- Disklar Xotira Tarmoq ulanishlari rasm. Virtual apparat ta’minot va uning gipervizor va virtual mashinalar bilan tasvirlanishi Ushbu yondashuvlardan foydalanish bir qator xavfsizlik muammolarini tug‘diradi, ularning ba’zilari haqiqiydan kо‘ra psixologikdir, ayrimlari esa chindan ham diqqat bilan kо‘rib chiqishni talab qiladi. Platforma xizmati – foydalanuvchilarga tayyor dasturiy ta’minotlar bilan ta’minlash vazifalarini bajaradi. Uning asosiy elementlariga quyidagilar kiradi: apparat ta’minoti; 7 operatsion tizim; MBBT; oraliq dasturiy ta’minotlar; ishlab chiqish qurilmalari va dasturiy vositalar. Platform xizmatini keng tijorat maqsadida qо‘llash katta natijalarni bermoqda, sababi, dasturni sotib olmasdan uning imkoniyatlaridan ancha arzon narxda foydalanish mumkin. Bu esa, uning online savdodadagi о‘rnini belgilab beradi. Bundan tashqari, u tomonidan taqdim etilgan dasturdagi muammolarni oson mutaxassis tomonidan hal etish mumkin. Chunki, uning foydalanuvchilar soni cheklangan va online maslaga beruvchi mutanassislar yetarli. Hattoki, ma’lumot о‘chib ketganda ham uning tiklanishiga kafolat beriladi. Platforma xizmati Xizmat ko’rsatuvchi provayder Foydalanuvchi terminallari 1.2- rasm. Platform xizmati Yuqori hisoblash imkoniyatlarini talab etadigan dasturlardan foydalanishda ham aynan ushbu xizmatdan foydalaniladi. Bulutda yuklangan ma’lumotlar mahfiy va ochiq kо‘rinishda amalga oshiriladi. Ochiq kо‘rinishda yuklangan fayllar va uning muhokamasiga doir bilimlardan foydalanish mumkin. Jamoaviy loyihalarni amalga oshirishda ham, aynan ushbu xizmatdan foydalaniladi. YA’ni, barcha ishtirokchilar uchun bitta maydon yaratiladi va о‘ziga tegishli vazifaning yechimini yuklaydi. 8 Infrastruktura xizmati - Ish joyi, ofis va elektr ta’minoti Notebook, Shaxsiy kompyuter, aloqa kanali Monitoring, Zaxira nusxalash Ilovalarni admistratsiyalash Ma’lumotlarni bazasini boshqarish Operatsion tizimni boshqarish Infrastruktura xizmati Virtuallashtirish Qurilmalar Tizim injinerlari Ma’lumot markazlarining infratuzilmasi 1.3-rasm. Infrastruktura xizmati 1.2. Bulutli texnologiyalarda axborotlarga tahditlar Eng mashhur notо‘g‘ri tushunchalardan biri shuki, kompaniya ichidagi IT xavfsizligi bulutga qaraganda xavfsizroq. Shu bilan birga, ommaviy bulutlarni boshqaradigan professional provayderlar kо‘p hollarda salohiyati cheklangan kompaniyalarning AT bо‘limlariga qaraganda kо‘proq xavfsizlik, ishlash va nazoratga e’tibor qaratadilar. Shuning uchun, mijoz о‘zining mahalliy 9 infratuzilmasiga (kamroq pul sarflash maqsadida) nisbatan jiddiy provayderning bulut xizmatlaridan foydalanib, qoida tariqasida, о‘z tizimlarini yuqori himoya darajasini va barqarorligini oladi. Buning asosiy sabablari quyidagilardir: mijoz virtual muhitining xavfsizligi - bulutli provayder biznesining asosiy elementlaridan biri; provayderning mijoz-kompaniyaga bо‘lgan mas’uliyati xizmat darajasining kelishuvi (SLA) tomonidan boshqariladi; Bulutli provayder ma’lumotlarni muhofaza qilish va xavfsizlik tizimlarini rivojlantirishga katta mablag‘ sarflaydi. Bu dastur mahsulotlarini va apparatini, shuningdek, IT-mutaxassislarning operatsion nazoratini bulutning ishlashi bilan qamrab olishi mumkin. Bulutda mijozlar ma’lumotlarini himoya qilishni ta’minlash uchun provayderlar mutaxassislari quyidagi funksiyalarni bajaradilar: uskunalar uzluksiz ishlashini ta’minlash; jismoniy infratuzilmaning xavfsizligini ta’minlash; xost boshqaruvi. Foydalanuvchiga xizmat kо‘rsatuvchi bulutning asosiy komponentlaridan biri uning xavfsizli mas’ulligidir: tarmoqlar, drayvlar, serverlar va virtualizatsiya uning asosiy elementlari hisoblanadi. Mijozning bulutli infratuzilmasi ichidagi ichki va tashqi tahditlarning oldini olish – tо‘g‘ridan-tо‘g‘ri kompaniyaning ITmutaxassislarining vazifasidir. Ularning vazifalari quyidagilardir: boshqarish va nazorat tizimiga xizmat kо‘rsatish; foydalanuvchi siyosati va foydalanish huquqlarini boshqarish, jumladan parolni himoyalash; standart OT va dasturlarni yangilashni boshqarish; rо‘yxatga olish jurnallarini saqlash va tahlil qilish; foydalanuvchi faoliyatini monitoring qilish. Boshqa mashxо‘r notо‘g‘ri tushunchalardan 10 biri, gо‘yoki bulut ma’lumotlarining kompaniya ichidan kо‘ra о‘g‘irlash osonligi. Biroq global tajriba shuni kо‘rsatadiki, ichki xavfsizlik xavflari tashqi xavflardan ustunlik qilmoqda. Kompaniyaning AT-tizimlari uchun xavflarning yuqori manbai endi hakerlar yoki zararli dastur emas, balki kompaniyaning о‘z xodimlaridir. Buyurtma asosidagi xujumlar 25% 42% Buzg'unchilik harakatlari Xakkerlarning hujumlari 23% Hodimlarning yondoshuvi 10% 1.4- rasm. Tashkilotda ehtimolli xavflarning manbaalari Ma’lumotlarni yo’qolishi, behosdan, notо‘g‘ri harakatlar va xodimlar tomonidan maqsadli sabotajdan kelib chiqishi mumkin. Misol uchun, raqobatchilarga ma’lumot sotish, maxfiy axborotni olib tashlash yoki ma’muriy xavfsizlik siyosatini sabotaj qilish. Ushbu tendensiya butun dunyo bо‘ylab kо‘plab tadqiqotlar bilan tasdiqlangan. Har yili AQShda о‘tkaziladigan CSI Compyuter Crime and Security Survey 2010/2011 tadqiqotlari natijalariga kо‘ra, respondentlarning faqat 17 foizi DoS hujumlariga duch keldi va 25 foizida xodimlar tomonidan qilingan zararli harakatlarga duch keldi. RSA konferensiyasida 2013 yil fevral oyida о‘tkazilgan sо‘rov natijalariga kо‘ra, xavfsizlik mutaxassislarining 63% bugungi kunda xodimlarni kompaniyalar uchun eng xavfli xavf deb hisoblashadi. Axborot xavfsizligi yechimlarini ishlab chiquvchi Promisec 2013-yilda yuqori texnologiyali bozorning asosiy tendensiyalaridan biri sifatida ichki axborot xavfsizligi xatarlarini aniqladi. Ushbu ma’lumotlar ikkita fikrga asoslangan holda juda mantiqiy va tushunarli kо‘rinishga ega. Birinchidan, kо‘plab kompaniyalar uzoq vaqtdan beri tashqi tahdidlarni minimallashtirishga yordam beradigan dasturiy ta’minot va apparat 11 yechimlaridan faol foydalanmoqda. Ikkinchidan, BYOD harakati ortib borayotgan omili tashkilotning yangi zaifliklarning paydo bо‘lishiga olib keldi. Eng sodda misol: har qanday ishlaydigan qurilma u ishlayotgan ba’zi tijorat ma’lumotlarini saqlab qolishi mumkin, ammo hech kim uning hayotiy davomiyligini va uning nusxalari sonini kuzatib bormaydi. Hech kim bu ma’lumotlarni uchinchi shaxslar tomonidan yо‘qotishi yoki yо‘q qilinishiga kafolat berolmaydi, masalan, agar qurilma о‘g‘irlangan holatda. RSA konferensiyasida о‘tkazilgan sо‘rov natijalariga kо‘ra, respondentlarning 67,5 foizi xodimlarning о‘z qurilmalarini xavfsizlik tizimlariga xavf tug‘dirayotganligi bilan izohladi. 80% 70% 60% 50% 40% 30% 20% 10% 0% Zaifliklarning soni Tarmoq xavfsizligiga talablarning murakkabligi Sifatning pasayishi Tarmoq Dasturiy ta'minot ishlashida ishlashida xatoliklarning xatoliklarning yuzaga kelishi yuzaga kelishi 1.5- rasm. Tarmoqda ishlovchi dasturlar, qurilmalar va foydalanuvchilarning ortishi bilan yuzaga keladigan muammolar darajalari Fokusni tashqaridan ichki tahdidlarga almashtirish tendensiyasi klassik model va IaaS modeliga hosdir. Ta’kidlash joizki, bulutli provayder turli apparat va dasturiy vositalardan foydalanish orqali yetarli darajadagi himoyani ta’minlaydi. Bulut, BYOD bilan bog‘liq xatarlarni kamaytirishga yordam berishi mumkin, ammo mijoz-kompaniyalarning hodimlari yetarli darajada xavfsiz parollardan foydalanishlari yoki uchinchi shaxslarga kirishni ta’minlasalar, ularning barchasi oqibatlarini bartaraf etishdir. Bulut klassik mijoz-server arxitekturasidan va odatiy hostingdan ajralib turadigan noyob xususiyatlarga ega. IT infratuzilmalarini bulut infratuzilmasiga 12 joylashtirishda, mijoz IAAS provayderidan foydalanadigan jismoniy asbobuskunalardan voz kechmasligi sababli infratuzilmaning bir qismini nazorat qiladi. Tarmoqlar boshqaruvi, serverlar va ma’lumotlarni saqlash tizimlari, shu jumladan infratuzilma tarkibiy qismlarini boshqarish uchun muntazam javobgarlik provayderga о‘tkaziladi. Endilikda u qurilmaning barqarorligi va xavfsizligi uchun tо‘liq javobgar. Mijoz, shuningdek, uskunani kuzatish va sozlash, uni yangilash va ta’mirlash zarurligini bartaraf etadi. Uning ishlashi kerak bо‘lgan resurslar endi mavjud uskunalarning jismoniy imkoniyatlari bilan chegaralanib qolmaydi, bu foydalanuvchilar va kompaniyaning butun faoliyati samaradorligini sezilarli darajada yaxshilaydi.Bulut klassik mijoz-server arxitekturasidan va oddiy hostingdan ajralib turadigan noyob xususiyatlarga ega. IT infratuzilmalarini bulut infratuzilmasiga joylashtirishda, mijoz IAAS provayderidan foydala- nadigan jismoniy asbob-uskunalardan voz kechmasligi sababli infratuzilmaning bir qismini nazorat qiladi. Tarmoqlar boshqaruvi, serverlar va ma’lumotlarni saqlash tizimlari, shu jumladan infratuzilma tarkibiy qismlarini boshqarish uchun muntazam javobgarlik provayderga о‘tkaziladi. Endilikda u qurilmaning barqarorligi va xavfsizligi uchun tо‘liq javobgar. Mijoz, shuningdek, uskunani kuzatish va sozlash, uni yangilash va ta’mirlash zarurligini bartaraf etadi. Uning ishlashi kerak bо‘lgan resurslar endi mavjud asboblarning jismoniy imkoniyatlari bilan chegaralanmaydi, bu esa foydalanuvchilar va kompaniyaning umuman samaradorligini sezilarli darajada yaxshilaydi. Antivirus va Tarmoqlararo ekranlarni qo’llashni rad etish Yetarli bo’lmagan dasturiy himoya Komponentlarni zaxiralashni rad etish Yetarli bo’lmagan apparat himoya Inson omili Aloqa kanallarida yetarli bo’lmagan himoya 1.6- rasm. Xavfsizlikni buzilishining asosiy omillari 13 Shaxsni o’rganishdan va foydalanishga ruhsat berishni rad etish Shifrlash va ulanishlarni tekshirishni rad etish IaaS modelidagi bu vazifalar va mas’uliyatlarning bu ajratilishi, bir tomondan, kompaniyalar uchun juda foydalidir va boshqa tomondan, bulutga о‘tishda faqat virtual infratuzilmaga xos bо‘lgan nuanslarni hisobga olish kerak (1.6- rasm). 1.3. Axborotlarni himoyalashning texnologiyalari Tahditlarni oldini olish ba bulutli tizimlarning xavfsizligini ta’minlash uchun uning barcha xizmatlarida mos himoya profillarini qо‘llash lozim. Quyida buzilish holati va unga mos himoya yondoshuvlari keltirilgan: Boshqa bulutli foydalanuvchilar tomonidan buzilishlar. Bulutli texnologiyalarda qurilma yoki dasturning ishchi holatga tekshiruvi (monitoring) xizmat kо‘rsatuvchi provayder tomonidan amalga oshiriladi va kо‘plab mijozlarning о‘zlari bulutning jismoniy resurslarini ulanadi. Agar bitta foydalanuvchi noqonuniy hatti-harakatni amalga oshirsa va jihozlarning bir qismi olib tashlansa, bulutdagi "qо‘shnilar" ham bloklanishi va ma’lumotlarini yо‘qotishi mumkin. Himoya yondoshuvi. Provayderning klasterli yechimi mijozning asosiy qurilmaning (biron-bir sababga kо‘ra) mavjud emasligi sababli zaxira uskunasiga kuch berishga imkon berishi kerak. Internet-kanallar va ularning xavfsizligi. Bulut bilan о‘zaro aloqa internetkanallar orqali amalga oshiriladi, bu esa о‘z navbatida tegishli himoyalanmagan holda kompaniya xavfsizligiga tahdit solishi mumkin. Agar sо‘ralsa, tajovuzkorlar veb-sessiyani tо‘xtatishi yoki bulutni boshqarish tizimlariga kirish uchun parollarni о‘g‘irlashi mumkin. Provayder yetarlicha ishonchli autentifikatsiya qilish tizimlari va foydalanish huquqlarini boshqarish siyosatini boshqarishning yuqori darajadagi xavfi mavjud bо‘lib, bu ham xavfsizlik darajasiga salbiy ta’sir kо‘rsatmoqda. Himoya yondoshuvi. Ishchi kompyuter va provayderning ma’lumot markazi о‘rtasida barcha yо‘nalishdagi xavfsiz ulanishlarni qо‘llash lozim. Cheklangan resurslar. Yuqorida aytib о‘tilganidek, infratuzilma xizmati sifatida mijozga moslashuvchan boshqarish qobiliyati bilan cheksiz miqdorda resurslarni taqdim etish hisoblanadi. Shu bilan birga, sezilarli yuklar bilan, ayrim foydalanuvchilar ishlashi yoki xizmatlarning mavjud emasligini his qila oladi. 14 Kо‘pincha bu holat resurslarni taqsimlash mexanizmlari, ularning notо‘g‘ri rejalashtirilishi yoki uskunaga kichik investitsiyalardagi xatoliklarga bog‘liq. Mijozlar uchun bu, ishlamay qolish va xizmatlarning mavjud emasligi oqibatida tо‘g‘ridan-tо‘g‘ri moliyaviy yо‘qotishlarni anglatadi. Himoya yondoshuvi. Resurslar qatlami va ularni joylashtirish tezligi uchun provayderning yо‘riqnomalariga amal qilish lozim. Bundan tashqari ishonchsiz dasturlarni qо‘llamaslik va provayderlar, tashkilot rahbarlarini tanlash orqali ma’lum resurslarga ega bо‘lish kerak. DoS hujumlarining iqtisodiy ta’siri. Faqatgina bulutlar uchun hos bо‘lgan oxirgi tahdit - bu DoS hujumining iqtisodiy samarasi. Bulutli hisoblash afzalliklarining teskari tomoni - faqat real iste’mol uchun tо‘lanadi. Ushbu hujumni amalga oshirayotganda, chiquvchi Internet-trafik hajmi mijozning serveriga bо‘lgan sо‘rovlar sonining kо‘payishi tufayli juda kо‘paymoqda. Natijada, mijozdan tо‘liq tо‘lash talab qilinadi. Himoya yondoshuvi. Transportning mavsumiy tebranishlarini unutmaslik va DoS-hujumlaridan himoya qilish lozim. Va, albatta, trafikni tо‘lamasdan tarif rejalarini tanlash tavsiya qilinadi. Boshqa IT xavfsizligi risklarining aksariyati mahalliy infratuzilmaga xos bо‘lganlarga о‘xshaydi. Misol uchun, ular tarmoq protokollari, operatsion tizimlar va individual komponentlarning an’anaviy zaifliklarini о‘z ichiga oladi. Buni oldini olish uchun oddiy himoya vositalaridan foydalaniladi. Bulutdagi xavfsizlikning yuqori darajasi - yaxshi axborot bilan ta’minlaydigan axborot xavfsizligi siyosati tо‘g‘ri provayder bilan birlashtirilgan. Faqatgina bu holatda, kompaniya bulut AT infratuzilmasining barcha afzalliklarini qabul qiladi va ularning ma’lumotlarining himoyalanganligini va maxfiyligini saqlab qoladi. Tо‘g‘ri bulutli provayderni qanday tanlashga tavsiY. Kompaniyaning AT tizimlarini bulutga kо‘chirish jarayoni bir qator vazifalar bilan bog‘liq: mavjud AT infratuzilmasini boshqarish, AT tizimlarining bulutga uzatilishini belgilash va, 15 albatta, bulut provayderini tanlash. Bugungi kunga kelib, bulut yetkazib beruvchi xizmatlarining sifatini tо‘liq baholashga imkon beruvchi yagona standart yо‘q. «Yevropa Tarmoq va axborot xavfsizligi agentligi» va Cloud Security Alliance tavsiyalari asosida xizmat kо‘rsatuvchi provayderga murojaat qilish kerak bо‘lgan bir qator muhim savollarni aniqlash lozim (1.7- rasm). Komponentlar va ma’lumotlarning zaxira nusxalari Ruhsatlarni nazoratlash usullarini qo’llash Tashkilotning hududi xavfsizligi Uzluksiz elektr ta’minoti 1.7- rasm. Bulutli hisoblash tizimlarining xotira elementlarining himoya parameterlari Ma’lumotlarning yaxlitligini ta’minlash. Provayder kompaniya ma’lumotlarining yaxlitligini kafolatlaydi. Bu ham provayder, ham mijoz hal qiladigan vazifadir. Provayder tomonidan SLAda mustahkamlangan kafolatlar, xavfni kamaytirishga qaratilgan tashkiliy va texnik chora-tadbirlar, shuningdek, foydalanuvchi tomonidan shifrlashni eng muhim va samarali axborot vositalaridan biri sifatida qо‘llash mumkin. Mijozlar turli darajalarda foydalanishlari mumkin bо‘lgan - virtual qattiq disklar, aloqa kanallari yoki bulutga ulanish uchun ishlatiladigan kompyuterda shifrlash algoritmlaridan foydalaniladi. Mijozlar bilan bulutli provayder о‘rtasidagi kanalda himoyani tashkil etish. Provayder yetkazib berish vaqtida ma’lumotlarning himoyalanganligini va yaxlitligini ta’minlaydi. Bulutli hisoblash tashqi kanallar orqali katta hajmdagi ma’lumot almashishni о‘z ichiga oladi. Himoyalanmagan Internet-ulanishlardan foydalanish potensial xavfsizlik xavfini keltirib chiqaradi, chunki tajovuzkorlar mijoz-kompaniya va bulut о‘rtasida uzatish bosqichidagi ma’lumotlarni olishlari mumkin. Ushbu muammoni IPSEC, PPTP yoki L2TP yordamida VPN ulanish 16 orqali hal qilish mumkin. Ushbu texnologiyalar tan olingan standartdir va yuqori ishonchlilik darajasini kafolatlaydi. Ta’minlovchilar ulardan foydalanishlari kerak, о‘zlarinikini ixtiro qilmasligi lozim. Bulutga kirishni boshqarish. Foydalanuvchini autentifikatsiya qilish va avtorizatsiya qilish jarayoni qanday amalga oshirilishi kabi savollarga javob olish mumkin. Eng keng tarqalgan va tanish autentifikatsiya usuli bu parolllar asosidadir. Ammo eng kuchli va ishonchli vositalarga - sertifikatlar, nishonlar yoki ikki bosqichli autentifikatsiyani keltirish mumkin. Shuningdek, ma’lum vaqt davomida bо‘sh bо‘lsa, foydalanuvchining autentifikatsiya ma’lumotlarini avtomatik ravishda sozlash funksiyasiga ega bо‘lish maqsadga muvofiqdir. Xavfsizlik darajasini oshirish vazifalarni foydalanuvchilarga ajratishi mumkin, bunda har bir foydalanuvchi bulut manbalariga kirish huquqini oladi. Foydalanuvchi ma’lumotlari va ilovalarini ajratish. Bitta mijozning ma’lumotlari va ilovalari boshqa mijozlarning ma’lumotlari va ilovalaridan qanday ajratilgan. Kо‘p lizing hisob-kitoblarini amalga oshiradigan IaaS modeli virtualizatsiyaning muhim jihatini kо‘rib chiqildi. Bunda foydalanuvchilar tomonidan resurslarning umumiy ishlatilishi provayderga mijozlar ma’lumotlarini bir-biridan ajratish va ajratish uchun mexanizmni taqdim etishni talab qiladi. Eng ishonchli va xavfsiz variant har bir mijozning alohida mashinalaridan, virtual tarmoqlardan foydalanishni va operatsion tizimlarni izolyatsiya qilishni hipervizor orqali amalga oshirishni о‘z ichiga oladi. Virtual tarmoqlar VLANlar kabi tasdiqlangan texnologiyalardan foydalanib, mijozlar tarmog‘ini bulutning xizmat kо‘rsatish tarmoqlaridan va boshqa foydalanuvchilarning xususiy tarmoqlaridan ajratib olishi kerak. Voqeaga munosabat. hodisalarni boshqaruvchi va ularga о‘z vaqtida javob berish bulutning uzluksizligini boshqarishning ajralmas qismidir. Ushbu jarayonning maqsadi - hujumning ehtimolligini kamaytirish va g‘ayritabiiy vaziyatlarning provayder mijozlariga salbiy ta’sirini kamaytirishdir. Ularning muvaffaqiyatli ishlashi uchun xizmat kо‘rsatuvchi provayderlar hodisalarni 17 aniqlash, aniqlash, tahlil qilish va javob berish uchun standartlashtirilgan jarayonga ega bо‘lishi kerak. Shu bilan birga, bulutni boshqaruvchi kompaniya mutaxassislari о‘z faoliyatini muntazam ravishda sinab kо‘rishlari kerak. Bundan tashqari, quyidagi qо‘shimcha savollarga javob olish foydali bо‘ladi. hodisa jurnallarda yozib borilganmi? Linklar haqida hisobot berish uchun tizim mavjudmi (masalan, rо‘yxatga olingan hodisalar soni, о‘rtacha javob muddati va о‘lchamlari va boshqalar)? Har xil zaifliklarga oid testlar mavjudmi? Stress testlari о‘tkaziladimi? Muammoni hal qilishda mijoz qanday ishtirok etadi? Voqeaning bosqichlari qanday? Huquqiy tartibga solish. Mijoz-kompaniya va bulut texnologiyasi provayderlari о‘rtasidagi munosabatlarni tartibga solinish qaraladi. Mijoz va etkazib beruvchi о‘rtasidagi о‘zaro munosabatlarning barcha huquqiy masalalari shartnoma va xizmat kо‘rsatish sifati tо‘g‘risidagi kelishuv bilan tartibga solinadi. Potensial foydalanuvchi xavfsizlik sohasidagi huquq va majburiyatlarga e’tibor berishi va tomonlarning mas’uliyatini boshqaradigan shartnomaning qismi bilan batafsil tanishib chiqish kerak. Huquqiy tartibga solish bо‘yicha xizmat kо‘rsatuvchi provayderga murojaat qilish uchun bir qator qо‘shimcha masalalar quyidagilardan iborat: Bulutli provayder tomonidan shartnoma shartlarini buzganlik uchun choralar; Xizmat kо‘rsatuvchi provayder tomonidan qanday mijozlar ma’lumotlari yig‘iladi, tarqatiladi va saqlanadi; Jismoniy ma’lumotlarning saqlanish kо‘rinishlari; Xizmat kо‘rsatuvchi provayder bilan tuzilgan shartnomani bekor qilingandan keyin ma’lumotlar bilan qanday amallar bajariladi; Ushbu hujjatlarshitirish tо‘g‘risidagi ma’lumotlar provayderning vebsaytidan topish mumkin. Boshqalarga bо‘lgan javoblar potensial provayderga murojaat qilishni talab qiladi va bu ham tekshirish bir usulidir. 18 2. Bob. Bulutda ma’lumotlarni himoyalashda Gibrid shifrlash algoritmlarini qо‘llash 2.1. Bulutda axborotlarni himoyalashda kriptografiyaning о‘rni Bulutli texnologiyalarning quyidagi asosiy xususiyatlarini keltirish mumkin: Masshtablik: bulutli hisoblash tizimlari va foydalanuvchi о‘rtasidagi masofa cheklanmagan. Foydalanuvchi boshqa davlatda (qitada) joylashgan bulut serveriga murojaat etishi va uning xizmatlaridan foydalanishi mumkin. Moslashuvchanlik: foydalanuvchilar soni ortishi bilan, qо‘shimcha qurilmalarni ulamagan holda, xizmat kо‘rsatish sifatini ta’minlash imkoniyatlariga ega bо‘lishi lozim. Multitenantnost: mosofa uzoq bо‘lgan holatda eng yaqin nuqtadagi xizmat kо‘rsatish markazidan amalga oshiriladi. Ushbu holat narxning kamayishiga ham olib keladi. Foydalangan xizmatlar uchun tо‘lov: xizmat kо‘rsatish markazi tomonidan amalga oshiriladigan faoliyat uchun tо‘lov amalga oshiriladi. О‘z-о‘ziga xizmat kо‘rsatish: belgilangan vaqtda faqat talab etilgan sо‘rovlarga javob qaytariladi. Xavfsizlik: bulutli hisoblash tizimlarida axborotlar konfidensialligini saqlash uchun turli himoya usullaridan foydalaniladi. Bulutda ma’lumotlar konfidensialligini ta’minlashning eng asosiy usullaridan bir bu kriptografik algoritmlardir. Kо‘pchilik davlatlarda bulutda ma’lumotlarni konfidensialligini saqlash yoki buzilishiga doir, shuningdek, ularni oldini olish bо‘yicha hech qanday qonunlar mavjud emas. Tashkilot ichida unda saqlanadigan ma’lumotlarning xavfsizligi bо‘yicha huquqiy normalar ishlab chiqilgan xolos. Buning uchun internet, kompyuter tizimlari va tarmoqlarini himoyalashning standart va о‘rnatilgan himoya vositalaridan foydalanish lozim. Ammo, barcha himoyalash vositalari himoyalash qonun-qoidalariga asoslanishi lozim. Bulutli tizimlar xavfsizligini ta’minlashning quyidagi samarali usullari 19 mavjud: 1. Kriptografik shifrlash algoritmlari. Ma’lumtolarni himoyalashning eng samarali usullaridan biri. Ushbu holatda provayder mijoz va ma’lumotllarni qayta ishlash markazi о‘rtasida himoyalangan kanalni hosil qilishi lozim. Agar о‘rtada kimningdir ruhsatsiz urinishi amalga oshirilsa, tezda axborot orqaga qaytarilmasdan о‘chirilishi lozim. Shifrlash algoritmlaridan foydalanishda asosiy muamolardan biri – kalitlarni boshqarish bilan bog‘liqdir. Kalitlarni bulutli hisoblash tizimlarida saqlash mumkin emas, agar kimdir uni olishga erishsa, demak, shifrlangan ma’lumotni oson ochishi mumkin. Tizim ishga tushishi bilan parollar bilan ishlash tizimli ravishda local kо‘rinishda hal etilishi lozim. Kalitlarni boshqarish tizimlari (Key Management Server) larni qо‘llash orqali kalitlarni qо‘lda kiritish muammosi о‘z-о‘zidan avtomatlashgan tizimlarga о‘tadi. Ushbu muammoni hal etishning eng dastlabki yechimlaridan biri bulutli hisoblash tizimi server va bulutli kalitlarni taqsimlash markazlarini ishga tushirishdan iborat. Masofaviy foydalanuvchilar Ma’lumotlar markazlari Kalitlarni xavfsiz tashish Java kalitlari HSMs Bulut ilovalari To’lov platforma X.509 2.1- rasm. Kriptografik kalitlarni boshqarish Kalitlarni xavfsiz saqlash va tashish ilovalari: Java kalitlari: JCE, Websphere. HSMs: Key Blocks, PKCS#11; Bulut ilovalari: BYOK, IIS, ADFS; 20 Tо‘lov platform: EMV, ATM, POS, Tokenisation, BASE24, zOS; X.509: Cryptomathic CA, EJBCA, MS CA. Agar bulutli hisoblash tizimlari va mijoz yagona kalitlarni taqsimlash markaziga ulangan bо‘lsa, unda foydalanuvchi va provayder ma’lumotlari asosida himoyalangan holda bir martalik parollar bilan ta’minlashi mumkin. 2. Ma’lumotlarni uzatishda xavfsizligini ta’minlash. Ma’lumotlarni xavfsiz qayta ishlash uchun aloqa kanallarida himoyani tashkil etish muhim ahamiyat kasb etadi. Mijoz va server о‘rtasida ma’lumotlarni xavfsiz almashishni amalga oshirish uchun VPN kanallaridan foydalanish. VPN tunellar ikki tarmoq о‘rtasida xavfsiz aloqa kanalini hosil qiladi va ularning harakatlari yagona login va parol asosida tartibga solinadi. Aloqa sifatini va xavfsizligini ta’minlash maqsadida ochiq bulutli hisoblash tizimlariga internet orqali ulanish VPN tunellar orqali amalga oshiriladi. Misol sifati SSL ulanishlari keltirish mumkin. SSL va VPN ulanishlari autenifikatsiyalash protokollari yordamida amalga oshirilsa, xavfsizlik yanada ortadi. Autentifikatsiyalash sertifikatlari qattiq disklarda shifrlangan kо‘rinishda saqlanadi. Bulutli hisoblash tizimi va mijoz о‘rtasida ushbu himoyalash vositalarini qо‘llash orqali amalga oshirilgan ulanishlar xavfsiz hisoblanadi. Shifrlangan axborotlar autentifikatsiya jarayoni muvafaqqiyatli amalga oshirilgandan sо‘ng bulutli hisoblash tizimiga jо‘natiladi. Ma’lumotlarni ruhsat etilmagan kanallardan kirilgan holatda ham о‘zgartirish mumkin emas. Ushbu usullar juda mashxо‘r bо‘lib, ularga AES, TLS, IPsec protokollarini misol keltirish mumkin. 3. Autentifikatsiya. Foydalanuvchilarning haqiqiyligini tekshirish usuli hisoblanadi. Uning parollar, e-tokenlar va biometrik parameterlarga asoslangan usullari mavjud. Ularning ichidan bir martalik parollorga asoslangan autentifikatsiyalash usuli oddiy va xavfsizlik jihatidan yuqori hisoblanadi. Ushbu bir martalik parollar kalitlarni generatsiyalash maxsus dasturlari, qurilmalari yordamida va dastlabki qiymat SMS xabarlari orqali amalga oshiriladi. Bulutli hisoblash 21 tizimlarining boshqa hisoblash tizimlaridan asosiy farqi, uning geografik jihatdan chegaralanmaganligi va keng masshtabligi hisoblanadi. Bir martalik parollar mobil telefonlarda dasturlarni yuklash va undan foydalanish huquqini berishda kо‘p qо‘llaniladi. Xizmat kо‘rsatish provayderi va mijoz о‘rtasida sinxron aloqani tashkil etish uchun LDAP (Lightweight Directory Access Protocol) protokoli va SAML (Security Assertion Markup Language) dasturlash tilidan foydalanish maqsadga muvofiq. 4. Foydalanuvchilarning izolyatsiyalangani. Boshqacha aytganda, shaxsiy virtual tarmoqlar va virtual mashinalardan foydalanish. Virtual tarmoqlar VPN (Virtual Private Network), VLAN (Virtual Local Area Network) va VPLS (Virtual Private LAN Service) asosida amalga oshiriladi. Bitta dasturlash sohasida turli foydalanuvchilarning kodlarini farqlash maqsadida qо‘llaniladi. Ushbu nostandart kodlar о‘zaro almashib ketishi va bulutli hisoblash tizimi, hamda, foydalanuvchining ma’lumotlariga kirishga imkon yaratishi mumkin. Dastur kodida xatolik yuz bergan holatda, bir foydalanuvchi boshqa foydalanuvchining ma’lumotlaridan oson foydalanishi mumkin. Bulutli hisoblash tizimlarining rivojlanishi uning hodimlariga axborotlar xavfsizligi, ishonchligi, tezkorligi va qayta tiklanuvchanligi, shuningdek, konfidensial axborotlarni chiqib ketishini oldini olishni ta’minlash kabi kо‘plab muammolarni yuzaga chiqarmoqda. Bularning ichidan ma’lumotlar xavfsizligini ta’minlash asosiy muammolardan biri hisoblanadi va barcha mutaxassislar dastlab ushubu masalaga e’tibor qaratishadi. Internet xizmatlarining eng yuqori pog‘onasiga chiqayotgan hozirgi kunda, bulutli hisoblash texnologiyalarining о‘rni beqiyosdir. Bulutli hisoblash tizimlarida axborotlarning xavfsizligi asosan kriptografik algoritmlar asosida amalga oshiriladi va uning quyidagi yо‘nalishlari mavjud: Foydalanuvchi va server о‘rtasida himoyalangan kanal yaratish. Aloqa kanalida axborotlarning xavfsizligini ta’minlash uchun shifrlash algoritmlaridan foydalangan holda himoyalangan kanal hosil qilinadi. Himoyalangan kanallarni VPN texnologiyalari yordamida hosil qilish mumkin. Ochiq tarmoq 22 himoyalanmagan hisoblanib, unda ma’lumotlarni buzg‘unchilar tomonidan о‘qib olinishi ehtimoli yuqori hisoblanadi. Ushbu holatda kriptografik usullar samarali himoyani ta’minlashda asosiy vositalardan biri sifatida qо‘llaniladi. Uning quyidagi amallari mavjud: shifrlash; autenfikatsiya; ochiq kalitli tizimlar; uzatilayotgan axborotlarni о‘zgartirishdan himoyalash. Ochiq tarmoqlarda mavjud ikki odam о‘rtasidagi (MITM) xujumidan himoyalashda samarali vosita hisoblanadi. Shifrlash algoritmlarini qо‘llash orqali ochiq kanaldan ma’lumotni himoyalangan holda uzatish mumkin. Ushbu usul bulutli tarmoqlardan boshqa tarmoqlarda ham qо‘llaniladi. Mahfiy kalit Mahfiy kalit Aloqa kanali Kiruvchi ochiq matn Shifrlash Deshifrlash Chiquvchi ochiq matn 2.2- rasm. Shifrlash sxemasi Bulutda ma’lumotlarni shifrlangan kо‘rinishda saqlash. Bulutda ma’lumotlarni saqlash xizmatidan foydalanganda, barcha fayllar va ma’lumotlarni shifrlangan kо‘rinishda saqlash lozim. Ma’lumotlar shifrlangan kо‘rinishda saqlashdan maqsad, bulutli xizmatning egasi yoki admini ham uni ochib о‘qishidan himoyalash. Bundan tashqari, axborotning egasi yoki foydalanish huquqiga ega foydalanuvchilardan boshqa hech kim undan foydalanishi mumkin emas. Buning uchun ularga shifrlash kalitini taqdim etishi lozim. Shifrlangan ma’lumotlarni bulutda saqlash kо‘pchilik kichik tashkilotlar 23 uchun о‘rinli hisoblanadi. Bulutli saqlash xizmatlarining kо‘pchiligida guruh bо‘lib ma’lumotlarni saqlash imkoniyati mavjud bо‘lib, jamoaviy loyihalarni amalga oshirishda asosiy о‘rin egallaydi. Ammo guruh foydalanuvchilar sonining ortishi bulutli hisoblash tizimlari uchun kalitlarni taqsimlash muammosini yuzaga keltiradi. Shuning uchun bir guruhda foydalanuvchilar sonini chegaradan oshirmaslik lozim. Ma’lumotlarni о‘rtadagi proksi serverda shifrlash. Barcha bulut texnologiyalari о‘z ximatlarini masofaviy foydalanuvchilarga Proksi serverlar orqali taqdim etadi. Proksi serverda shifrlash qurilmasini о‘rnatish orqali ishonchli himoyani tashkil etish mumkin. Bu orqali foydalanuvching о‘zining ma’lumotlarini bulutda qurilma orqali shifrlab saqlash imkoniyatiga ega bо‘ladi. Barcha jо‘natilgan xabarlar u orqali о‘tadi. Serverda saqlash uchun yuborilgan ma’lumotlar unda shifrlanadi va foydalanuvchining sо‘rovi bilan unga yuborilgan xabar deshifrlanadi. Shifrlash va deshifrlash kaliti faqat ushbu serverga ma’lum hisoblanadi va shuningdek, proksi server va bulut server о‘rtasida aloqa mavjud emas deb qaraladi. Proksi serverdan о‘tayotgan ma’lumotlar shifrlangan kо‘rinishda bо‘lishi ham mumkin. Bundan tashqari proksi serverda ma’lumotlarga urinishlarining rо‘yhati ham mavjud bо‘lishi mumkin. Oraliq serverlarning mavjudligi foydalanuvchi uchun shaffoflikni ta’minlaydi. Ochiq tarmoq Ochiq/yopiq ma’lumot Proksi server Bulutli server 2.3- rasm. Proksi server yordamida ma’lumotlarni shifrlash sxemasi 2.2. Bulutli tizimlarni himoyalashda gibrid algoritmlardan foydalanish Cloud axborotlarni saqlash tizimlarida mahfiy axborotlarni mahfiyligini ta’minlash algoritmlari asosida amalga oshiriladi. 2.4- rasmda axborotlarni shifrlab jо‘natish va saqlashning sxemasi keltirilgan. 24 So’rov Shifrlangan ma’lumotlar Server Ma’lumot egasi Foydalanuvchi Qidiruv natijalari Foydalanuvchining mahfiy kaliti 2.4- rasm. Mahfiy axborotlarni xavsizligini ta’minlash sxemasi Ushbu axborotlar serverda shifrlangan kо‘rinishda saqlanadi va axborot foydalanuvchii va talabgor talabiga binoan shifrlangan kо‘rinishda yetkaziladi. Ushbu sxemada uchta komponenta ishtirok etmoqda: Server: talabgor axborotlarini saqlash va qayta ishlash uchun xavfsizligi ta’minlangan kо‘rinishda saqlashga mо‘ljallangan qurilma. Axborot foydalanuvchii: Cloudda saqlanadigan va uzatiladigna mahfiy axborotlarni shifirlash kaltga ega yagona shaxs hisoblanadi. Boshqa talabgorlarga jamoaviy holda о‘z axborotlaridan foydalanish huquqini berishda albatta deshifirlash kaltni taqdim etish talab etiladi. Axborotlar foydalanuvchii serverda saqlanadigan mahfiy shifrlangan axborotlarni izlash va qayta ishlash huquqiga ega talabgor hisoblanadi. Sxemada keltirilgan axborot foydalanuvchii boshqa talabgorlarning uning axborotlariga nazoratni amalga oshiradi. Talabgorlar: Cloud hisoblash tizimlarida bir nechta talabgorlar bо‘lib, axborot foydalanuvchii tomonidan taqdim etilgan ruhsatlar asosida о‘qish, yozish, о‘zgartirish amallarini bajarishi mumkin. Cloud hisoblash tizimlarida qо‘laniladigan algoritmlari xususiy holda amalga oshirilib, standart algoritmlariga moslashgan. SALSA, GOST 28147-89 va boshqa shu kabi algoritmlari keng tarqalgan. Ushbu algoritmlardan tayyor holda foydalanish katta xatar va xavflarni yuzaga keltiradi. Cloud hisoblash tizimlarida algoritmlarni tanlashda uning bardoshligi va tezligiga alohida e’tibor qaratiladi. Chunki tizimda bir necha millionlab talabgorlar bо‘lib, ularning axborotlari bir vaqtda tezkorlik 25 bilan shifrlanishi va deshifrlanishi lozim. AMD Athlon MP 2200+ prosessorida olingan tahlil natijalari quyida keltirilgan: Triple DES: kalt uzunligi 168qism, shifirlash tezligi – 10.67 Mqism\s. SALSA: kalt uzunligi - 128 qism, shifirlash tezligi – 46.55 Mqism\s. Kalt uzunligi – 256 qism, shifirlash tezligi – 36.57 Mqism\s. Twofish: kalt uzunligi – 128 qism, shifirlash tezligi – 42.67 Mqism\s. Shuning uchun shifirlash tezligini oshirish maqsadida kо‘p prosessorli hisoblash imkoniyatlariga ega Cloud hisoblash tizimlarida kо‘p oqimli shifirlashdan foydalanish tavsiya etiladi. Ushbu usullarni qо‘llash shifirlash jarayoni uchun sarflanadigan vaqtni 3-5 martaga kamaytiradi. Qidiruv holatida axborotlarni shifrlangan kо‘rinishda almashishning sxemasi 2.4- rasmda keltirilgan. U quyidagi qadamlardan tashkil etilgan: 1. Axborotlarni shifirlash. Axborot foydalanuvchiining xabarlarini shifirlashga qaratilgan va u ikki qismdan tashkil topgan: Shifrlangan axborot mahsulotlari: serverlarda saqlanadigan axborotlar simmetrik blokli algoritmlari yordamida shifrlanadi. Har bir shifrlangan axborot yagona identifikator yordamida yozib boriladi. Xavfsiz index: serverda shifrlangan kо‘rinishda saqlanayotgan axborotlarni ID nomi bо‘yicha qidirishga kimda huquq borligini aniqlaydi. 2. Talabgorlarning kaltlarini xavfsiz almashish. Axborot foydalanuvchii о‘zining axborotlarini deshifirlash uchun kalt generatsiya qiladi va uni axborot talabgorlariga jо‘natadi. Talabgor olingan kalt asosida qidiruv sо‘rovlarini yaratish imkoniyatiga ega bо‘ladi. 3. Qidiruv sо‘rovlari. Talabgor yoki axborot foydalanuvchii ‘W’ kalt sо‘zi uchun qidiruv sо‘rovlarini yaratadi va va uni serverga jо‘natadi. Ushbu holatda jо‘natilgan sо‘rov qaysi shifrlangan axborotga tegishli ekanligini aniqlash lozim. 4. Qidiruv natijalari. Talabgorlarga qaytarilgan qidiruv natijalari ikki kо‘rinishda bо‘lishi mumkin: shifrlangan axborotlarning ID raqamlari sо‘rovlarga mos kelishi lozim; 26 shifrlangan axborot mahsulotlari qidiruv tokenlariga mos kelishi lozim. Qidiruv natijalari Server 1 4 Shifrlangan ma’lumot 3 5 So’rovlarni qidirish Ma’lumot egasi Foydalanuvchining mahfiy kaliti Foydalanuvchi 2 2.5- rasm. Qidiruv natijalarini shifirlash Yuqoridagi rasmda talabgorning axborotlar foydalanuvchiidan kelgan shifrlangan axborotlaridan foydalanish sxemasi keltirilgan. 2.5- rasmda axborot foydalanuvchiining о‘zining axborotlaridan foydalanish sxemasi keltirilgan. Bunda axborotlar shifrlangan kо‘rinishda serverga jо‘natiladi. Ushbu axborotni olish uchun jо‘natilgan sо‘rov ochiq kо‘rinishda bо‘lib, undan qaytgan javob shifrlangan kо‘rinishda amalga oshiriladi. 27 Shifrlangan ma’lumotlar Server So’rov Ma’lumot egasi Natijalar 2.6- rasm. Axborot foydalanuvchiining qidiruv natijalari Yuqorodago sxemalarda qо‘laniladigan algoritmlarining ketma-ketligi quyidagi qadamlardan tashkil topgan: 1. 𝑆𝐾 ← 𝐾𝑒𝑦𝐺𝑒𝑛(1𝑘) 2. 𝐼𝐷 ← 𝐵𝑢𝐵𝐵𝑙𝑑𝐼𝑛𝑑𝑒𝑥(𝐷, 𝑆𝐾) 3. 𝑇𝖶 ← 𝑄𝑄𝑢𝑒𝑟𝑦 (𝑤, 𝑆𝐾) 4. 𝑅𝑤𝑤 ← 𝑆𝑒𝑎𝑟𝑐ℎ (𝐼𝐷, 𝑇𝖶) Bunda: 1. Axborot foydalanuvchiining shaxsiy axboroti asosida kalt generatsiya algoritmi SK (mahfiy kalt) kaltni generatsiya qiladi. Bunda 1𝑘 ∈ 𝑁 mahfiy parameter hisoblanadi. 2. Ushbu algoritm axborot foydalanuvchii tomonidan ehtimolli yoki oldindan belgilangan qoidalar asosida ishga tushiriladi. Kirishda axborot mahsulotiga mos holda bir nechta D – metadatalarni о‘z ichiga oladi. Xar bir axborot mahsuloti о‘z 𝑆𝐾 − mahfiy kaltga ega. Chiqishda 𝐼𝐷 − xavfsiz index natija qaytariladi. 3. Belgilangan algoritm asosida axborot foydalanuvchii qidiruv sо‘rovlarini shaklantiradi. Kirishda 𝑤 −kalt sо‘z va 𝑆𝐾 −mahfiy kalt kiritiladi. Chiqishda, 𝑇𝖶 −qidiruv sо‘rovi qaytariladi. 4. belgilangan algoritm qidiruv natijalarini qaytarish uchun server tomonidan ishga tushiriladi. Kirishda 𝐼𝐷 −xavfsiz ideks va 𝑇𝖶 −qidiruv sо‘rovi beriladi va chiqishda 𝑅𝑤𝑤 −qidiruv natijasi beriladi. 28 Shifirlash blokli simmetrik algoritmlarining biri asosida xususiy algoritm generatsiya qilinadi va shifirlash amallari bajariladi. Kriptografik algoritmlari bо‘lib quyidagilar hisoblanadi: О‘z DST 1105:2009, SALSA, DES, RSA, EL-Gamal. Misol sifatida DES algoritmini oladigan bо‘lsak, u Feystel tarmog‘iga asoslangan. Feystel tarmog‘ining qо‘llanishi kо‘pgina simmetrik blokli algoritmlarida uchraydi. Bu kriptoalgoritmlarga misol qilib FEAL, LOCI, Khufu, Khafre Blowfish, Lucifer, CAST, shuningdek, DES, GOST 28147-89 kabi standart algoritmlarni keltirish mumkin. 2.1-jadvalda hozirgi kunda keng foydalaniladigan zamonaviy simmetrik kriptobardoshli tizimlarning qiyosiy tahlili algoritmlarning hususiyatlari bо‘yicha tahlili keltirilgan. MD5 hesh algoritmida kiruvchi axborotning uzunligi 264 qismdan kichik bо‘lib, hesh qiymat uzunligi 160 qism bо‘ladi. Kiritilayotgan axborot 512 qismlik bloklarga ajratilib qayta ishlanadi. Qism algoritmi uchun shifirlash kalt SALSA shifirlash algoritmi yordamida hosil qilinadi. Buning uchun kiritilgan parolning hesh qiymati hisoblanadi. Olingan hesh qiymat kiritilgan kalt asosida SALSA shifirlash algoritmi yordamida hosil qilinadi. Bu esa, bir martalik kaltlarni generatsiyalashni yuzaga keltiradi. Bir martalik kaltlar har bir fayl va talabgor nomi orqali yaratiladi. Yuqorida keltirilgan hesh qiymatni algoritmlaridan biri SALSA yordamida shifrlaymiz va hosil bо‘lgan kaltni talabgor uchun tushinarli bо‘lgan joyda saqlab qо‘yamiz. Faylga har safar murojaat bо‘lganida ushbu fayl yangisiga о‘zgaradi. YA’ni bir kalt faqat bir marta qо‘llaniladi. Hesh funksiya sifatida MD5 qaraladi. К=Эк(Hesh(P)); MD5 hesh algoritmida kiruvchi axborotning uzunligi 264 qismdan kichik bо‘lib, hesh qiymat uzunligi 160 qism bо‘ladi. Kiritilayotgan axborot 512 qismlik bloklarga ajratilib qayta ishlanadi. 29 2.3. Gibrid shifrlash algoritmlari asosida ma’lumotlarni himoyalash dasturi Hash funksiyasi (ing. hash funksiyasi - "idishga о‘girib", "meshanin"), yoki ivish funksiyasi-funksiya, muayyan algoritm tomonidan amalga oshiriladi belgilangan uzunligi (chiqish) bit mag‘lubiyatga tasodifiy uzunligi kirish ma’lumotlar qator konvertatsiya amalga oshiradi. Hesh funksiyasi tomonidan ishlab chiqarilgan konvertatsiya hashing deb ataladi. Dastlabki ma’lumotlarga kirish qatori, "kalit" yoki "xabar"deyiladi. Konvertatsiya natijasi (chiqish ma’lumotlari) "Hesh ", "Hesh kodi", "Hesh miqdori", "xabarning xulosasi"deb ataladi. Hash vazifalari quyidagi hollarda ishlatiladi: assotsiativ massivlarni qurishda; bir qator ma’lumotlar Papkalarida dublikatlarni qidirishda; ma’lumotlar Papkalari uchun noyob identifikatorlarni yaratishda; ma’lumotlarni saqlash va / yoki uzatish paytida yuzaga keladigan xatolar (tasodifiy yoki qasddan qilingan) keyinchalik aniqlash uchun ma’lumotlar (signal) dan nazorat summalarini hisoblashda; himoya tizimlarida parollarni Hesh kodi sifatida saqlashda (parolni Hesh kodi bilan tiklash uchun ishlatiladigan Hesh funksiyasiga teskari bо‘lgan funksiya talab qilinadi); elektron imzo ishlab chiqishda (amalda xabarning о‘zi emas, balki uning "Hesh -tasvir" tez-tez imzolanadi»); va boshq. Uning sxemasi 2.7- rasmda keltirilgan. 2.7- rasm. Fayl nomini berkitish usuli 30 SALSA shifrlash uchun kaltlar quyidagicha belgialnadi. Uning kо‘rinishi 2.8rasmda berilgan. 2.8- rasm. Fayl nomi asosida kaltni kо‘rsatish Ushbu dastur android uchun yaratilgan. Android ("android") — smartfonlar, planshetlar, elektron kitoblar, raqamli pleyerlar, qо‘l soatlari, fitness bilakuzuklar, о‘yin konsollari, noutbuklar, netbuklar, smartbuklar, Google Glass kо‘zoynaklari, televizorlar va boshqa qurilmalar uchun operatsion tizim (2015-yilda avtomobil kо‘ngilochar tizimlari va maishiy robotlar uchun qо‘llab-quvvatlandi). Linux yadrosi va Google-ning Java virtual mashinasini о‘zlashtirishga asoslangan. Dastlab Android, Inc.tomonidan ishlab chiqilgan., keyin Google sotib oldi. Keyinchalik, Google hozirda platformani qо‘llab-quvvatlash va yanada rivojlantirish bilan shug‘ullanadigan Open Handset Alliance (OHA) alyansini yaratishga kirishdi. Android sizga Google tomonidan ishlab chiqilgan kutubxonalar orqali qurilmani boshqaradigan Java ilovalarini yaratishga imkon beradi. Android Native Development Kit Si va boshqa tillarda yozilgan ilovalar kutubxonalari va tarkibiy qismlarini portlatish imkonini beradi. Dastur ikki qisimdan tashkil topgan (2.9- rasm). 31 a. Asosiy qism b. Papka yaratish 2.9- rasm. Dastur kо‘rinishi 2. Papkani (ma’lumot kiritish uchun serverdan ajratilgan papka) yaratish. 3. Papkadan foydalanish. Papkani yaratish jarayoni: Yangi papkalarni yaratishning bir necha yо‘li mavjud. Lekin biz ularni universal usulda qanday qilishni о‘rganamiz, bu esa har qanday Windows tizimi (XP, 7, 8, 10) bilan boshqa har qanday kompyuterda takrorlanishi mumkin. Siz xohlagancha qо‘ng‘iroq qilish uchun avval kompyuterda qanday alifbo о‘rnatilganligini kо‘rishingiz kerak. Pastki о‘ngda hozirda faol bо‘lgan alfavit ikki inglizcha harf bilan kо‘rsatiladi. RU-rus alifbosi, EN-ingliz tili. (2.10- rasm). 32 2.10- rasm. Faylning nomi 2.11- rasm. Papkalar 1. Dastur nomi orqali kalit yaratish 33 2.12- rasm. SALSA kaliti 2.13- rasm. Shifrlash kaliti Kalit xabarlarni shifrlash/parolini hal qilish, raqamli imzolarni belgilash va tekshirish, autentifikatsiya kodlarini hisoblash (MAC) uchun kriptografik algoritm tomonidan ishlatiladigan maxfiy ma’lumotdir. Xuddi shu algoritmdan foydalanganda, shifrlash natijasi kalitga bog‘liq. Kuchli kriptografiyaning zamonaviy algoritmlari uchun kalitni yо‘qotish ma’lumotni tushunish uchun amaliy imkoniyatga olib keladi. Kerchgoffs prinsipiga kо‘ra, kriptografik tizimning ishonchliligi maxfiy kalitlarni yashirish bilan belgilanishi kerak, ammo ishlatiladigan algoritmlarni yoki ularning xususiyatlarini yashirmaslik kerak.Kalitdagi ma’lumot miqdori odatda bitlarda о‘lchanadi. Zamonaviy nosimmetrik algoritmlar uchun (AES, CAST5, IDEA, Blowfish, Twofish) kripto qarshiligining asosiy xususiyati kalit uzunligi. 128 bit va undan yuqori uzunlikdagi kalitlarga ega shifrlash kuchli hisoblanadi, chunki kalitsiz ma’lumotni tushunish uchun kuchli superkompyuterlar yillar talab etiladi. Raqamlar nazariyasi muammolariga asoslangan assimetrik algoritmlar uchun (faktoring 34 muammosi-rsa, diskret logaritma muammosi-Elgamal) ularning xususiyatlari tufayli hozirgi vaqtda kalitning minimal ishonchli uzunligi 1024 bit. Elliptik egri nazariyasidan (ECDSA, GOST R 34.10-2001, DSTU 4145-2002) foydalanishga asoslangan assimetrik algoritmlar uchun minimal ishonchli kalit uzunligi 163 bit, lekin uzunligi 191 bit va undan yuqori. 2.14- rasm. Kalit fayllar 2.15- rasm. Fayllarni kо‘rish 35 Xulosa Ushbu individual ishni bajarish natijasida quyidagi xulosalarga erishildi: bulutli texnologiyalarning asosiy xizmatlari, modellari va texnologiyalari tadqiq etildi va bulutda ma’lumotlarni saqlash imkoniyatlari kengligi kо‘rsatildi; ushbu tizimlarga bо‘lishi mumkin bо‘lgan tahdidlar, xavflar va xujumlar tadqiq etildi va aloqa kanallarida va bulutli saqlash tizimlariga qaratilgan xujumlarning zarari yuqori ekanligi keltirildi; bulutli hisoblash tizimlaridagi hujumlarni oldini olish choralari, usullari va himoya texnologiyalari tadqiq etildi; bulutli texnologiyalarda haqiqiylikni tekshirish, butunlikni ta’minlash va konfidensiallikni ta’minlashda kriptografiyaning о‘rni tadqiq etildi; ma’lumotlarni xavfsiz saqlashda qо‘llaniladigan kriptografik algoritmlar va kalitlarni almashish usullari keltirildi va ular asosida mujassamlashgan shifrlash algoritmi ishlab chiqildi. Yaratilgan algoritm dasturiy amalga oshirildi. 36 Foydalanilgan adabiyotlar rо‘yhati 1. О‘zbekiston Respublikasi Prezidentining farmoni. О‘zbekiston Respublikasini yanada rivojlantirish bо‘yicha Harakatlar strategiyasi tо‘g‘risida. 2017 yil. 2. Dinh H. T. et al. A survey of mobile cloud computing: architecture, applications, and approaches //Wireless communications and mobile computing. – 2013. – T. 13. – №. 18. – S. 1587-1611. 3. Krutz R. L., Vines R. D. Cloud security: A comprehensive guide to secure cloud computing. – Wiley Publishing, 2010. 4. Tsai W. T., Sun X., Balasooriya J. Service-oriented cloud computing architecture //2010 seventh international conference on information technology: new generations. – IEYEE, 2010. – S. 684-689. 5. Zissis D., Lekkas D. Addressing cloud computing security issues //Future Generation compyuter systems. – 2012. – T. 28. – №. 3. – S. 583-592. 6. Subashini S., Kavitha V. A survey on security issues in service delivery models of cloud computing //Journal of network and compyuter applications. – 2011. – T. 34. – №. 1. – S. 1-11. 7. Jensen M. et al. On technical security issues in cloud computing //2009 IEYEE International Conference on Cloud Computing. – Ieyee, 2009. – S. 109-116. 8. Feng D. G. et al. Study on cloud computing security //Journal of software. – 2011. – T. 22. – №. 1. – S. 71-83. 9. Mell P. et al. The NIST definition of cloud computing. – 2011. 10. Popović K., Hocenski Ž. Cloud computing security issues and challenges //The 33rd International Convention MIPRO. – IEYEE, 2010. – S. 344349. 11. Van Dijk M., Juels A. On the impossibility of cryptography alone for privacy-preserving cloud computing //Hotsec. – 2010. – T. 10. – S. 1-8. 37 Ilova def gcd(a, b): while a != 0: a, b = b % a, a return b def findModInverse(a, m): if gcd(a, m) != 1: return None u1, u2, u3 = 1, 0, a v1, v2, v3 = 0, 1, m while v3 != 0: q = u3 // v3 v1, v2, v3, u1, u2, u3 = (u1 - q * v1), (u2 - q * v2), (u3 - q *v3), v1, v2, v3 return u1 % m import random def rabinMiller(num): s = num - 1 t=0 while s % 2 == 0: s = s // 2 t += 1 for trials in range(5): a = random.randrange(2, num - 1) v = pow(a, s, num) if v != 1: i=0 while v != (num - 1): if i == t - 1: return False else: i=i+1 v = (v ** 2) % num return True def isPrime(num): if (num < 2): return False lowPrimes = [2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37, 41, 43, 47, 53, 59, 61, 67, 71, 73, 79, 83, 89, 97, 101, 103, 107, 109, 113, 127, 131, 137, 139, 149, 151, 157, 163, 167, 173, 179, 181, 191, 193, 197, 199, 211, 223, 227, 229, 233, 239, 241, 251, 257, 263, 269, 271, 277, 281, 283, 293, 307, 311, 313, 317, 331, 337, 347, 349, 353, 359, 367, 373, 379, 383, 389, 397, 401, 409, 419, 421, 431, 433, 439, 443, 449, 457, 461, 463, 467, 479, 487, 491, 499, 503, 509, 521, 523, 541, 547, 557, 563, 569, 571, 577, 587, 593, 599, 601, 607, 613, 617, 619, 631, 641, 643, 647, 653, 659, 661, 673, 677, 683, 691, 701, 709, 719, 727, 733, 739, 743, 751, 757, 761, 769, 773, 787, 797, 809, 811, 821, 823, 827, 829, 839, 853, 857, 859, 863, 877, 881, 883, 887, 907, 911, 919, 929, 937, 941, 947, 953, 967, 971, 977, 983, 991, 997] if num in lowPrimes: return True for prime in lowPrimes: 38 О‘quv adabiyotlarni ishlab chiqish va nashr etishga tayyorlash bо‘yicha uslubiy kо‘rsatmalar TATU ilmiy-uslubiy kengashi majlisida kо‘rib chiqildi va nashrga ruxsat etildi 2022 yil bayonnoma № Tuzuvchi(lar): Ganiyev A.A. Taqrizchilar: _ _ Mas’ul muharrir: _ 39
0
advertisement
Download
advertisement
Add this document to collection(s)
You can add this document to your study collection(s)
Sign in Available only to authorized usersAdd this document to saved
You can add this document to your saved list
Sign in Available only to authorized users