Використання хешування у VPN мережах. Пн 16.2.2 ст. 109.

Хешування

Хешування сприяє цілісності даних і аутентифікації, гарантуючи, що сторонні особи не підробили передані повідомлення. Хеш, або як його ще назвають дайджест повідомлення, це число, згенероване з рядка тексту. Хеш менший, ніж сам текст. Він створений за допомогою формули таким чином, що вкрай малоймовірно, що інший текст буде виробляти те ж хеш значення.

Як показала практика, під час передачі VPN даних через Інтернет існує потенційна загроза перехоплення та зміни даних. Відправник створює хеш повідомлення і відправляє його разом з самим повідомленням. Отримувач розшифровує повідомлення та хеш, виробляє інший хеш з отриманого повідомлення і порівнює два хеші. Якщо вони збігаються, отримувач може бути впевненим, що цілісність повідомлення не порушена.

VPN використовують коди перевірки автентичності повідомлення для перевірки цілісності та автентичності повідомлення, не використовуючи ніяких додаткових механізмів. Ключем хешованного коду перевірки автентичності повідомлення (hashed message authentication code, HMAC) є алгоритм цілісності даних, що гарантує цілісність повідомлення.

HMAC має два параметри: вхідне повідомлення і секретний ключ, відомий тільки відправнику повідомлення і прогнозованим отримувачам. Відправник повідомлення використовує функції HMAC для отримання значення (код аутентифікації повідомлення), утвореного шляхом конденсації секретного ключа та введеного повідомлення. Код аутентифікації повідомлення відправляється разом з повідомленням. Отримувач обчислює код перевірки автентичності повідомлення на отримані повідомлення, використовуючи той же ключ і HMAC функції, які використав відправник, і порівнює результат обчислення з отриманим кодом перевірки автентичності повідомлення. Якщо два значення збігаються, повідомлення було правильно прийняте і отримувач впевнений, що відправник є автентичним. Криптографічна міцність HMAC залежить від криптографічної міцності основної хеш-функції, розміру та якості ключа, і розміру отриманого вихідного хешу у бітах.

Існує два найбільш розповсюджені алгоритми HMAC:

HMAC-Message Dіgest 5 (MD5) – в даному алгоритмі використовується 128-бітний спільний секретний ключ. Повідомлення змінної довжини і 128-розрядний спільний секретний ключ поєднуються і проходять через хеш-алгоритм HMAC-MD5. В результаті створюється 128-розрядний хеш, що приєднується до вихідного повідомлення і відправляється на віддалений вузол.

HMAC-Secure Hash Algorіthm 1 (HMAC-SHA-1) – в даному алгоритмі використовується 160-бітний секретний ключ. Повідомлення змінної довжини і 160-розрядний спільний секретний ключ поєднуються і проходять через хеш-алгоритм HMAC-SHA-1. В результаті створюється 160-розрядний хеш, що приєднується до вихідного повідомлення і відправляється на віддалений вузол.

VPN аутентифікація

При передачі інформації через мережу VPN, пристрій на іншому кінці VPN тунелю повинен пройти перевірку справжності (аутентифікацію), перш ніж канал зв'язку вважатиметься безпечним. Є два методи аутентифікації:

PSK (Pre-shared key - Спільний ключ) – секретний ключ, який спільно використовується двома сторонами і який потрібно передати по захищеному каналу перед його використанням. PSK використовує криптографічні алгоритми з симетричним ключем. PSK вводиться в кожен вузол вручну і використовується для перевірки автентичності.

RSA signature (RSA підпис) – для аутентифікації використовує обмін цифровими сертифікатами. Локальний пристрій хешує та шифрує його приватним ключем. Зашифрований хеш (цифровий підпис) додається до повідомлення і передається на віддалений вузол. На віддаленому вузлі, зашифрований хеш розшифровується за допомогою відкритого ключа отримувача. Якщо розшифрований хеш та перераховуваний хеш співпадають, підпис є справжнім.