UPRAVLJANJE IK SISTEMOV - lu-r.si · Web viewDigitalni podpis je na sodišču enakovreden običajnemu podpisu. Slovenski zakon o elektronskem poslovanju in elektronskem podpisu

UPRAVLJANJE IK SISTEMOV

Rehberger Roman


KAZALO

1. KODIRANJE.......................................................................................................................................11

1.1 Analogno kodiranje....................................................................................................................11

1.2 Digitalno kodiranje.....................................................................................................................11

1.3 Kodiranje števil...........................................................................................................................12

1.4 Kodiranje znakov........................................................................................................................13

1.5 Kodiranje zvoka..........................................................................................................................14

1.5.1 MP3 kodiranje.....................................................................................................................16

1.5.2 Zgodovina MP3 formata......................................................................................................16

1.5.3 AAC......................................................................................................................................16

1.5.4 WMA....................................................................................................................................16

1.5.5 Vorbis..................................................................................................................................16

1.5.6 FLAC.....................................................................................................................................17

1.6 Kodiranje slike............................................................................................................................17

1.6.1 Rastrska grafika...................................................................................................................18

1.6.2 Vektorska slika.....................................................................................................................19

1.6.3 JPEG kodiranje.....................................................................................................................20

1.6.4 GIF.......................................................................................................................................20

1.6.5 PNG......................................................................................................................................20

1.6.6 SVG......................................................................................................................................21

1.7 Kodiranje videa...........................................................................................................................21

1.7.1 MPEG-4 (MP4).....................................................................................................................21

1.7.2 Flash Video (FLV).................................................................................................................21

1.7.3 AVI.......................................................................................................................................22

1.7.4 Ogg......................................................................................................................................22

1.7.5 Matroska (MKV)...................................................................................................................22

1.7.8 WebM..................................................................................................................................22

1.8 Razširjeni video formati..............................................................................................................22

1.8.1 H.264...................................................................................................................................22

1.8.2 Theora.................................................................................................................................23

1.8.3 VP8......................................................................................................................................23

| 1


1.8.4 Xvid......................................................................................................................................23

1.8.5 VC-1 / Windows Media Video 9...........................................................................................23

1.9 Manchester kodiranje................................................................................................................23

1.10 Stiskanje podatkov...................................................................................................................24

1.10.1 Brez izgubno stiskanje.......................................................................................................25

1.10.2 Izgubno stiskanje...............................................................................................................25

1.11 Metode stiskanja......................................................................................................................26

1.11.1 Run-length Encoding (RLE).................................................................................................26

1.11.2 Aritmetično kodiranje........................................................................................................26

1.11.3 Predvidevanje z delnim ujemanjem...................................................................................26

1.12 Programi za stiskanje datotek...................................................................................................26

1.12.1 HTTP kompresija................................................................................................................27

1.12.2 Stiskanje tekstovnih datotek..............................................................................................27

1.13 Razširjeni arhivsko-kompresijski formati..................................................................................28

1.13.1 ZIP......................................................................................................................................28

1.13.2 RAR....................................................................................................................................28

1.13.3 7z.......................................................................................................................................28

2. KRIPTOGRAFIJA.................................................................................................................................30

2.1 Nekaj primerov klasične kriptografije.........................................................................................30

2.2 Simetrični algoritmi....................................................................................................................32

2.3 Asimetrična kriptografija............................................................................................................35

2.4 Kvantna kriptografija..................................................................................................................37

2.5 Varnost in uporaba ključev.........................................................................................................37

2.5.1 Varne komunikacije v omrežju internet...............................................................................37

2.5.2 Enkripcija.............................................................................................................................38

2.7 Enkripcija podatkov....................................................................................................................38

2.7.1 Program za enkripcijo - PGP (Pretty Good Privacy)..............................................................39

2.8 Algoritmi z javnim ključem.........................................................................................................41

2.9 RSA.............................................................................................................................................43

2.10 Šifriranje...................................................................................................................................43

2.11 Stiskanje...................................................................................................................................45

2.12 Multipleksiranje........................................................................................................................45

2.13 Frekvenčno porazdeljeno multipleksiranje...............................................................................46

2.14 Časovno porazdeljeno multipleksiranje....................................................................................47

| 2


3. DIGITALNI PODPISI...........................................................................................................................50

3.1 Izdelava in uporaba digitalnega podpisa....................................................................................51

3.2 Pravni vidik digitalnega podpisa.................................................................................................52

3.3 Digitalna potrdila........................................................................................................................53

3.3.1 Digitalna potrdila javnih ključev in overitelji........................................................................53

3.3.2 Protokoli za izmenjavo ključev.............................................................................................57

3.3.2.1 Izmenjava ključev Diffie-Hellman......................................................................................57

3.3.3 Uporaba distribucijskega centra DC za izmenjavo varnostnih ključev.................................58

3.4 Kako je z uporabo digitalnih potrdil v Sloveniji...........................................................................60

3.5 Digitalno potrdilo........................................................................................................................62

3.6 Osnovne lastnosti digitalnih potrdil SIGOV-CA in SIGEN-CA.......................................................63

3.7 Kvalificirana digitalna potrdila za fizične osebe..........................................................................66

3.7 Osnove varnih časovnih žigov.....................................................................................................66

3.8 Podpis XML.................................................................................................................................67

3.9 Zgostitveni algoritmi...................................................................................................................68

4. LOKALNA OMREŽJA..........................................................................................................................70

4.1 Lokalno omrežje Lan...................................................................................................................70

4.2 Ethernet......................................................................................................................................72

4.3 Izvor etherneta...........................................................................................................................72

4.4 Standardizacija etherneta...........................................................................................................72

4.5 Lastnosti etherneta.....................................................................................................................72

4.5.1 Fizični sloj.............................................................................................................................72

4.5.2 UTP ethernet.......................................................................................................................73

4.5.3 Ethernet po optičnih vlaknih...............................................................................................73

4.5.4 Zgradba okvirja ethernet.....................................................................................................74

4.6 Naslavljanje v ethernetu.............................................................................................................75

4.7 Mehanizmi overjanja v lokalnih ethernet omrežjih....................................................................75

4.7.1 IEEE 802.1X..........................................................................................................................75

4.7.2 EAP – razširljivi avtentikacijski protokol...............................................................................76

4.7.3 EAP-MD5.............................................................................................................................77

4.7.4 LEAP.....................................................................................................................................78

4.7.5 EAP-TLS................................................................................................................................78

4.7.6 PEAP....................................................................................................................................79

5. BREZŽIČNE TEHNOLOGIJE IN NAPRAVE............................................................................................82

| 3


5.1 Infrardeče področje....................................................................................................................82

5.2 Področje radijskih frekvenc........................................................................................................83

5.3 WLAN..........................................................................................................................................83

5.3.1 Osnove delovanja WLAN-a..................................................................................................83

5.4 Standardi brezžičnih lokalnih omrežij - WiFi...............................................................................84

5.4.1 Zgodovina in razvoj standarda IEEE802.11.........................................................................84

5.4.2 Arhitektura standarda IEEE 802.11......................................................................................84

5.5 Standard IEEE 802.11..................................................................................................................86

5.5.1 IEEE 802.11..........................................................................................................................86

5.5.2 IEEE 802.11a........................................................................................................................87

5.5.3 IEEE 802.11b........................................................................................................................87

5.5.4 IEEE 802.11g........................................................................................................................87

5.6 Komponente brezžičnih lokalnih omrežij....................................................................................87

5.6.1 Brezžični odjemalec.............................................................................................................87

5.6.2 Dostopovna točka................................................................................................................87

5.6.3 Brezžični mostič...................................................................................................................88

5.6.4 Antene.................................................................................................................................88

5.6.5 Kartica za brežično povezavo...............................................................................................89

5.6.6 Brezžični usmerjevalnik – Wireless Router..........................................................................89

5.7 Uporaba WLAN-a........................................................................................................................90

5.8 NeoWLAN...................................................................................................................................90

5.9 Načini namestitev in identifikacija brezžičnih lokalnih omrežij...................................................91

5.9.1 Identifikacija brezžičnih lokalnih omrežij.............................................................................91

5.9.2 Načini namestitev WLAN.....................................................................................................91

5.10 Provizorični način namestitve (Ad-Hoc)....................................................................................91

5.11 Infrastrukturni način namestitve..............................................................................................91

5.12 Razširjanje dosega brezžičnih lokalnih omrežij.........................................................................91

5.13 Brezžični kanali.........................................................................................................................91

5.14 Konfiguracija dostopovne točke...............................................................................................92

5.15 Brezžična omrežja in varnost....................................................................................................93

5.16 Uvod v varnost brezžičnih omrežij............................................................................................94

5.16.1 Osnovne metode avtentikacije..............................................................................................94

5.16.2 Odprta avtentikacija..............................................................................................................95

5.16.3 Avtentikacija na podlagi MAC naslovov.................................................................................95

| 4


5.16.4 Avtentikacija z deljenim ključem...........................................................................................96

5.17 WEP (Wired Equivalent Privacy)...............................................................................................97

5.18 TKIP...........................................................................................................................................98

5.19 Brezžična WiFi omrežja.............................................................................................................99

6. OMREŽNI STANDARDI....................................................................................................................101

6.1 Referenčni model OSI...............................................................................................................101

6.2 Slojevita zgradba ISO/OSI.........................................................................................................102

6.3 Fizična plast..............................................................................................................................103

6.4 Povezovalna plast.....................................................................................................................104

6.5 Mrežna plast.............................................................................................................................104

6.6 Prenosna plast..........................................................................................................................105

6.7 Plast seje...................................................................................................................................105

6.8 Predstavitvena plast.................................................................................................................105

6.9 Aplikacijska plast......................................................................................................................106

6.10 Sedemslojni referenčni model OSI..........................................................................................106

6.10.1 Odnosi med sloji referenčnega modela OSI.....................................................................106

6.11 TCP/IP.....................................................................................................................................106

6.11.1 Predstavitev TCP/IP.........................................................................................................106

6.12 Standardi TCP/IP.....................................................................................................................107

6.12.1 Sloji v TCP/IP....................................................................................................................107

6.12.2 Sloj omrežnega vmesnika................................................................................................108

6.12.3 Internetni sloj..................................................................................................................108

6.12.4 Transportni sloj................................................................................................................108

6.12.5 Aplikacijski sloj.................................................................................................................108

6.12.6 Omrežni sloj.....................................................................................................................108

6.13 Naslavljanje............................................................................................................................109

6.14 Fragmentiranje.......................................................................................................................109

6.15 Usmerjanje.............................................................................................................................110

6.15.1 Identificiranje protokola transportne plasti.....................................................................110

6.16 Internetni sloj.........................................................................................................................110

6.17 Internet Protocol....................................................................................................................111

6.18 IP na usmerjevalniku..............................................................................................................111

7. INTERNET PROTOCOL, V6...............................................................................................................113

7.1 Naslavljanje..............................................................................................................................113

| 5


7.2 Usmerjanje...............................................................................................................................113

7.3 IPv6 in kvaliteta storitev...........................................................................................................114

7.4 Razširitev..................................................................................................................................114

7.5 Združljivost...............................................................................................................................114

7.6 Varnost.....................................................................................................................................114

7.7 Usmerjanje in usmerjevalni protokoli.......................................................................................114

7.8 Usmerjevalniki..........................................................................................................................115

8. UVOD V RAČUNALNIŠKA OMREŽJA................................................................................................117

8.1 Koncept omreževanja...............................................................................................................118

8.1.1 Zakaj uporabiti računalniško omrežje?..............................................................................118

8.1.2 Izmenjava informacij (ali podatkov)...................................................................................119

8.2 Delitev programske in strojne opreme.....................................................................................120

8.3 Sestavni deli omrežja................................................................................................................120

8.3.1 Omrežja vsak z vsakim.......................................................................................................121

8.3.2 Lastnosti omrežij vsak z vsakim.........................................................................................122

8.4 Strežniška omrežja....................................................................................................................123

8.5 Specializirani strežniki...............................................................................................................124

8.6 Vloga programske opreme v strežniških omrežjih....................................................................125

8.6.1 Prednosti strežniškega omrežja.........................................................................................125

8.7 Računalniška omrežja po velikosti............................................................................................126

8.7.1 Lokalna omrežja.................................................................................................................127

8.7.2 Prednosti računalnikov povezanih v lokalna omrežja........................................................127

8.7.3 Zahteve za lokalno omrežje...............................................................................................127

8.8 Mestna omrežja........................................................................................................................128

8.9 Prostrana omrežja....................................................................................................................129

8.10 Omrežna topologija................................................................................................................130

8.10.1 Načrtovanje omrežne topologije.....................................................................................130

8.10.2 Izbira topologije...............................................................................................................131

8.11 Vodilo.....................................................................................................................................132

8.11.1 Komunikacija na vodilu....................................................................................................132

8.11.2 Pošiljanje signala..............................................................................................................132

8.11.3 Razširitev omrežja............................................................................................................134

8.12 Zvezda.....................................................................................................................................135

8.13 Obroč......................................................................................................................................136

| 6


8.14 Multistation access unit..........................................................................................................137

8.15 Token ring...............................................................................................................................138

8.15.1 Značilnosti arhitekture token ring....................................................................................138

8.15.2 Osnove token ringa..........................................................................................................139

8.15.3 Zgradba paketa token ring...............................................................................................139

8.15.4 Delovanje omrežja token ring..........................................................................................140

8.15.5 Nadzorovanje sistema.....................................................................................................140

8.15.6 Strojne komponente........................................................................................................140

8.16 Polna topologija......................................................................................................................141

9. PROTOKOL ZA PREVEDBO NASLOVOV............................................................................................143

9.1 Address Resolution Protocol (ARP)...........................................................................................143

Pripomoček za Address Resolution Protocol..............................................................................143

Tabela ARP..................................................................................................................................143

Pripomoček za ARP.....................................................................................................................143

9.2 Reverse Address Resolution Protocol (RARP)...........................................................................144

9.2.1 Prevedba lokalnega naslova IP..........................................................................................144

9.3 User Datagram Protocol...........................................................................................................145

9.4 Transportni sloj.........................................................................................................................147

9.4.1 Transportni sloj TCP/IP......................................................................................................148

9.4.2 TCP.....................................................................................................................................148

9.4.3 TCP uporablja virtualni kanal.............................................................................................148

9.4.4 Vrata in vtičnice.................................................................................................................148

9.4.5 Vrata so programski vmesnik do aplikacij..........................................................................149

9.5 Prenos podatkov s TCP.............................................................................................................149

Vzpostavljanje povezave............................................................................................................149

9.6 Prenos podatkov.......................................................................................................................150

9.7 Zaznavanje napak.....................................................................................................................151

9.8 Kontrola pretoka.......................................................................................................................152

9.9 Rušitev povezave......................................................................................................................152

10 ZAKAJ VAROVATI SVOJO INFORMACIJSKO ZASEBNOST?........................................................153

10.1 Na kratko o nevarnostih, ki prežijo na našo informacijsko zasebnost....................................153

10.2 Prvi varnostni obroč: Posodabljanje operacijskega sistema, požarni zidovi in protivirusna zaščita.............................................................................................................................................154

10.3 Požarni zidovi..........................................................................................................................154

| 7


10.4 Protivirusna zaščita.................................................................................................................155

10.5 Drugi varnostni obroč: Kriptiranje podatkov in anonimno sprehajanje po spletu..................155

10.6 Anonimno brskanje po spletu.................................................................................................156

10.7 Prilagoditev spletnega brskalnika...........................................................................................157

10.8 Ob rob brskalnikom: Zakaj piškotki niso vedno okusni?.........................................................157

10.9. Okrepljena zasebnost: Nekaj koristnih dodatkov za brskalnike.............................................158

10.10 Anonimen spletni iskalnik.....................................................................................................158

10.11 Začasna elektronska pošta....................................................................................................158

10.12 Virtualna zasebna omrežja (VPN) in uporaba posredniških strežnikov (Proxy).....................159

10.13 Zdrava pamet in dobršna mera previdnosti..........................................................................159

Kazalo slik

Slika 1: Digitalno kodiranje...............................................................................................................12Slika 2: ASCII code............................................................................................................................14Slika 3: Bitne ali točkovne slike........................................................................................................17Slika 4: Vektorska in bitna slika.......................................................................................................18Slika 5: Vektorska in bitna slika.......................................................................................................19Slika 6: Povezava med Manchester kodo in originalnimi podatki...............................................24Slika 7: Simetrična kriptologija.........................................................................................................34Slika 8: Asimetrične metode.............................................................................................................36Slika 9: Frekvenčno porazdeljenem multipleksiranju....................................................................46Slika 10: Časovno porazdeljenem multipleksiranju.......................................................................47Slika 11: Digitalni podpis...................................................................................................................50Slika 12: Delovanje digitalnega podpisa.........................................................................................51Slika 13: Izmenjava ključev Diffie-Hellman....................................................................................58Slika 14: Princip zaupanja med lastniki digitalnih potrdil preko tretje osebe – overitelja.........63Slika 15: Ustanova.............................................................................................................................63Slika 16: Para ključev za podpisovanje..........................................................................................64Slika 17: Postopek šifriranja in dešifriranja....................................................................................64Slika 18: Postopek digitalnega podpisovanja................................................................................65Slika 19: Preverjanje digitalnega podpisa......................................................................................65Slika 20: Postopek časovnega žigosanja.......................................................................................67Slika 21: Uporaba UTP eterneta......................................................................................................73Slika 22: Razširitev UTP-eterneta...................................................................................................73Slika 23: Elektromagnetni spekter...................................................................................................82Slika 24: Primer brezžične dostopne točke v LAN (Cisco Aironet) in v industrijskem okolju (Neteon)..............................................................................................................................................88Slika 25: Primer sevalnega diagrama usmerjenega in neusmerjenega snopa oddajne antene (tloris)..................................................................................................................................................89Slika 26: Nosilne frekvence možnih kanalov standarda IEEE 802.11b......................................92

| 8


Slika 27: Primer dveh scenarijev širokopasovne povezave v Internet z uporabljenimi brezžičnimi tehnologijami v lokalnih omrežjih................................................................................93Slika 28: Postopek avtentikacije......................................................................................................96Slika 29: Proces šifriranja sporočila................................................................................................97Slika 30: Primer trka šifer.................................................................................................................98Slika 31: Delovanje TKIP..................................................................................................................99Slika 32: Referenčni model ISO/OSI.............................................................................................103Slika 33: Fizični sloj OSI določa konektorje.................................................................................103Slika 34: Fizični sloj OSI določa strojno opremo, foto MW........................................................104Slika 35: Omrežna plast..................................................................................................................105Slika 36: Samostojno okolje...........................................................................................................117Slika 37: Ali je to omrežje?.............................................................................................................117Slika 38: Enostavno računalniško omrežje..................................................................................118Slika 39: Računalniško omrežje.....................................................................................................119Slika 40: Tiskalnik v samostojnem okolju.....................................................................................120Slika 41: Delitev tiskalnika v omrežju............................................................................................120Slika 42: Običajni elementi v omrežju...........................................................................................121Slika 43: Omrežje vsak z vsakim...................................................................................................121Slika 44: Komunikacija med računalnikoma................................................................................122Slika 45: Omrežja vsak z vsakim in strežniška omrežja.............................................................123Slika 46: Strežniško omrežje..........................................................................................................124Slika 47: Komunikacija med računalnikoma................................................................................124Slika 48: Strežniki podjetja IBM.....................................................................................................124Slika 49: Specializirani strežniki.....................................................................................................125Slika 50: En administrator upravlja z omrežno varnostjo...........................................................126Slika 51: Lokalno omrežje..............................................................................................................127Slika 52: Primer lokalnega omrežja...............................................................................................127Slika 53: Izvedba z koaksialnimi kabli (T členi, terminatorji)......................................................128Slika 54: Izvedba z UTP kabli (HUB)............................................................................................128Slika 55: Mestno omrežje pogosto temelji na CATV...................................................................128Slika 56: Prostrano omrežje...........................................................................................................129Slika 57: WAN omrežje (komunikacija poteka po telefonskih žicah in preko satelitov in povezuje lokalna omrežja)..............................................................................................................130Slika 58: Topologija zvezde............................................................................................................130Slika 59: Prednosti in slabosti topologij........................................................................................132Slika 60: Omrežna topologija vodila..............................................................................................132Slika 61: Zaključni člen...................................................................................................................133Slika 62: Prekinitev omrežja...........................................................................................................133Slika 63: Pasivno podaljševanje....................................................................................................134Slika 64: Aktivno podaljševanje.....................................................................................................134Slika 65: Prenos paketov................................................................................................................135Slika 66: Izpad uporabnika ne predstavlja posledic za ostale...................................................135Slika 67: Izpad zvezdišča onemogoči vso komunikacijo............................................................136Slika 68: Omrežje obroč.................................................................................................................136Slika 69: Omrežje zvezda – obroč.................................................................................................137

| 9


Slika 70: Multistation access unit...................................................................................................138Slika 71: Omrežje token ring..........................................................................................................138Slika 72: Zgradba paketa token ring (velikost delov je v bajtih)................................................139Slika 73: Zgradba token ring paketa.............................................................................................140Slika 74: Token ring.........................................................................................................................140Slika 75: Notranji obroč v MAU......................................................................................................141Slika 76: Polna topologija ima redundantne povezave...............................................................142Slika 77: Pregled tabele ARP.........................................................................................................144Slika 78: Razpršeno pošiljanje paketa..........................................................................................144Slika 79: Primerjanje naslov IP......................................................................................................145Slika 80: Pošiljanje strojnega naslova povpraševalcu................................................................145Slika 81: Vrata so programski vmesnik do aplikacij....................................................................146Slika 82: Usmerjanje z UDP je na nivoju paketov.......................................................................146Slika 83: Vzpostavitev povezave s TCP.......................................................................................149Slika 84: Zakasnjeno porjevanje....................................................................................................151Slika 85: TCP uporablja za kontrolo pretoka drseče okno.........................................................152

| 10


1. KODIRANJEKodiranje lahko imenujemo vsako pretvorbo podatkov iz ene v drugo obliko; najpogosteje kodiramo v neko zaporedje simbolov. Sporočilo se lahko napiše, oblikuje, posname ali pošlje na različne načine. Pomembno je le, da jo bo prejemnik znal prebrati oziroma razumeti. Da ne bi prihajalo do kakšnih dvomov ali napačnega razumevanja so se skozi zgodovino razvili različni znaki in pravila z zapis. V računalniku se sporočila v obliki teksta, slike, zvoka itd. pretvorijo v različna zaporedja enic in ničel. Vsaka enica ali ničla predstavlja en bit ali dvojiški digit, ki je hkrati tudi najmanjša predstavljiva informacijska enota.

Cilji kodiranja: shranjevanje / prenašanje / obdelava podatkov; razumljivosti predstavitve (besede s črkami, števila s ciframi, prometni znaki ipd.); varovanje / skrivanje vsebine (=šifriranje); Če želimo podatke obdelovati z računalnikom, jih

moramo pretvoriti v obliko, ki je primerna za obdelavo z računalnikom – v binarno obliko. Pravimo, da podatke binarno kodiramo (pretvorimo v binarni kod – v zaporedje ničel in enic). Takšno kodiranje podatkov je zelo zanesljivo in manj občutljivo na motnje pri prenosu, zato se čedalje več uporablja (npr. digitalna glasba, digitalna telefonija in televizija…).

Računalnik omogoča tudi shranjevanje in obdelavo podatkov, namenjenih za multimedijske predstavitve (podatki v obliki števil, besedila, glasbe, grafika, gibljive slike). Ne glede na to, na kakšen način kodiramo podatke, poznamo dva bistveno različna načina kodiranja.

analogno (zvezno) digitalno (diskretno).

1.1 Analogno kodiranjeAnalogni podatki predstavljajo zvezno predstavitev nekih fizikalnih lastnosti realnega sistema (npr. temperature, vlage, hitrosti, časa, glasnosti ipd.). Pri analogni ali zvezni predstavitvi podatki (brez preskokov) lahko zavzamejo vse vrednosti (npr. analogna ura s kazalci). Pri digitalni predstavitvi pa podatki zavzamejo diskretne vrednosti – podatki so predstavljeni s končno mnogo stanji in vmesnih stanj ni. (temp. interval med –5 in +5oC ima neskončno vrednosti, a le 11 različnih diskretnih vrednosti, če so temperature predstavljene s celimi števili).

V naravi je večina fizikalnih sistemov analogne narave. Da bi njihove lastnosti binarno kodirali, moramo analogne vrednosti najprej predstaviti z nekimi diskretnimi (digitalnimi) vrednostmi – pravimo, da podatke digitaliziramo (predstavimo jih s končno mnogo različnimi stanji). Ko so vrednosti enkrat diskretne, jih lahko brez težav kodiramo tudi v binarno obliko, primerno za računalniško obdelavo.

1.2 Digitalno kodiranjeDigitalno kodiranje predstavlja diskretno obliko zapisa. Količine v tem zapisu niso več zvezne kot pri analognem in zaradi tega tudi ni več neskončno mnogo vrednosti. Na ta način zapisujemo podatke, pridobljene s štetjem. Primer takšne oblike je število strani v knjigi, dan v tednu, hišna številka itd.

Če želimo za prikazovanje podatkov uporabiti ustrezno obliko podatkov, moramo poznati nekaj osnov kodiranja. Dobro je vedeti, kako nekaj predstavimo (opišemo) v dvojiškem sistemu. Poglejmo primer: S kakšnim številom bitov lahko informacijo predstavimo oz. koliko različnih kombinacij lahko predstavimo s tremi biti?

Rešitev: 8 kombinacij1 000

| 1. KODIRANJE 11


2 0013 0104 0115 1006 1017 1108 111

Primer pokaže, da lahko s tremi biti predstavimo 8 različnih kombinacij oz. M = 2N. V našem

primeru je: M=2*3=8. Z osmimi bit pokažemo torej na eno izmed 256 možnosti (2*8).

Slika 1: Digitalno kodiranje

Vir: www.google.com Večjo količino informacije torej predstavimo z večjim številom bitov. V naravi je večina fizikalnih sistemov analogne narave. Da bi njihove lastnosti binarno kodirali, moramo analogne vrednosti najprej predstaviti z nekimi diskretnimi (digitalnimi) vrednostmi – pravimo, da podatke digitaliziramo (predstavimo jih s končno mnogo različnimi stanji). Ko so vrednosti enkrat diskretne, jih lahko brez težav kodiramo tudi v binarno obliko, primerno za računalniško obdelavo.

1.3 Kodiranje številŠtevila predstavljamo v računalniku samo s kombinacijo dveh znakov (0 in 1). Vendar pa jih tako kot pri uporabi brez računalnika tudi pri računanju z računalnikom lahko zapišemo na več načinov. Ker je osnova dvojiški sistem (0 in 1), moramo števila pretvoriti v dvojiški sistem. Iz desetiškega sistema v dvojiški pretvarjamo tako, da število delimo z 2 in pišemo ostanke. Rezultat so ostanki, ki jih zapišemo v obratnem vrstnem redu.

Števila so lahko shranjena v računalniku kot besedilo (zaporedje bitov poiščemo iz ASCII tabele), če pa je treba z njimi računati, jih računalnik prevede v obliko, ki mu je primernejša za računanje. Ena izmed takšnih oblik je dvojiško kodirana desetiška oblika ali BCD oblika (angl. BCD - Binary Coded Decimal). Pri BCD kodiranju je vsaka desetiška cifra predstavljena s štirimi biti.

Pri obdelavi z računalniki se uporabljajo naslednji številski sistemi:

Vrsta številskega sistema Cifre Osnova Primer dvojiški ali binarni 0 ali 1 2 1100

osmiški ali oktalni 0, 1, 2, 3, 4, 5, 6, 7 8 7, 12

desetiški 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 10 2008

šestnajstiški ali heksadecimalni 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F 16 A1, 3F

| 1. KODIRANJE 12

http://www.google.com/


Število 5307 = 5×103+3×102+0×101+7×100

Kako ločimo, ali je število 1011 zapisano v dvojiškem ali desetiškem sistemu? Uporabljamo podpisan zapis osnove: 10112 (dvojiško), 101110 (desetiško).

S štirimi biti lahko predstavimo vsako izmed števil šestnajstiškega številskega sistema. Številska sistema omogočata preprosto predstavljanje večbitnih števil v digitalnem sistemu, saj so njune baze večkratnika števila 2.

1A16=1*161+10*160 = 2610

Z enim šestnajstiškim znakom lahko predstavimo 16 različnih števil (4 biti; 24 = 16 kombinacij).

1.4 Kodiranje znakovZnaki so črke (velike, male), matematični in slovnični znaki, ki so v računalniku predstavljeni z nizom ničel in enic. Vsakemu znaku ustreza točno določena kombinacija bitov. Če bi za kodiranje uporabili dva bita, bi z različno kombinacijo bitov lahko kodirali štiri znake.

Če želimo binarno kodirati kak drug tip podatkov (ne le cela števila), npr. črke abecede, se moramo dogovoriti za standarden način kodiranja. Kateremu znaku torej prirediti katero binarno kodo. Tako prireditveno tabelo med podatki in binarnimi kodami imenujemo kodna tabela.

Primer kodiranja znakov z 2 bitoma.Znak A B C D Dvojiška koda 00 01 10 11 Desetiška koda 65 66 67 68

Primer kodiranja znakov z 8 biti.Znak A B 1 2 a bDvojiška koda 01000001 01000010 01000101 01000110 01100001 01100010Desetiška koda 65 66 69 70 97 98

Zato uporabimo daljše zaporedje ničel in enic. Vsi znaki so kodirani s po 8-imi biti, takšno število bitov nam omogoča predstavitev 256 (28) znakov.

V šestdesetih letih so v ZDA določili stalne kode za najpogosteje uporabljane znake, kar naj bi omogočalo izmenjavo informacij med računalniki. Poimenovali so jo ASCII (angl. American Standard Code for Information Interchange – ameriški standardni nabor znakov za izmenjavo informacij med računalniki) je kodna tabela, kjer posamezni znak zapišemo s točno določeno kombinacijo osmih bitov (1 BYTE). Standard ASCII ne predpisuje vseh 256 kod, ki jih omogoča zapis z osmimi biti, ampak le 128, od kode 0 do kode 127. ASCII tabelo razdelimo na 3 sekcije:

Neizpisljive kode na mestih od 0 do 31 (neizpisljivi). "Spodnji" del ASCII tabele med 32 in 127 mestom. To je del, kjer so vsi glavni znaki

(predvsem ameriške abecede) izpisljivi. "Zgornji" ASCII med 128 in 255. Del kode, kjer s programiranjem lahko dobimo specialne

znake, predvsem v odvisnosti od jezika, kateremu so znaki namenjeni (šumniki, nemški znaki).

| 1. KODIRANJE 13


Slika 2: ASCII code

Vir: www.google.com Slabost ASCII: ne upošteva nekaterih naših pisnih znakov. V njej ne najdemo šumnikov, ki jih seveda nujno potrebujemo. Standard ASCII je neposredno uporaben samo v angleško govorečih deželah. Nekateri programi (za elektronsko pošto, starejši operacijski programi) uporabljajo za zapis 7 bitov in tako ne moremo uporabiti šumnikov. Pisave drugih dežel povečini vsebujejo dodatne lastne znake, ki jih ASCII ne pozna. Omenjeni problem rešujemo z uvajanjem dodatnih kodnih standardov, ki jih imenujemo kodne tabele. Pri tem imamo dve možnosti:

določenim kodam ASCII spremenimo osnovni pomen. Tako smo včasih za naše šumnike uporabili kode oglatih oklepajev in zavitih oklepajev. Pomanjkljivost take metode je, da izgubimo prvotne znake.

osnovni nabor ASCII obdržimo, manjkajoče znake pa predstavimo s prostimi kodami od 128 do 255. Problem: da bodo podatki enaki v dveh različnih računalnikih oziroma programih, morata oba uporabljati isti standard

1.5 Kodiranje zvokaZvok je predstavljen z zaporedjem vrednosti zvočnega signala, vzorčenega v različnih časovnih trenutkih. Za dobro kvaliteto zvoka je potrebno za vsako sekundo zvoka imeti vsaj 44100 vrednosti zvočnega signala, vzorčenih v enakomernih časovnih intervalih. Ta številka izhaja iz lastnosti človeškega sluha. Za predstavitev vrednosti zvočnega signala je ponavadi dovolj 16 bitov. To omogoča predstavitev 65536 različnih vrednosti, kar zagotavlja kvaliteten zvok.

Zvočno valovanje ima določeno:

amplitudo (jakost zvoka) frekvenco (višina zvoka)

Časovno spreminjanje zvoka prikažemo z ovojnico. Za kakovosten zapis zvoka Hi-Fi (angl. High Fidelity) odčitamo odmik ovojnice vsako sekundo 44.100 krat. Dobljene vrednosti zapišemo s 16 biti.

Zvok je analogna informacija, ki je digitalni računalnik ne more obdelovati. Zvok v računalnik sprejmemo prek zvočne kartice, ki velikosti zvočnega vala ne meri neprekinjeno ampak v določenih časovnih razmikih. Pri predvajanju valovno kodiranega zvoka zvočna kartica izvede nasprotni postopek – izpolni vrzeli med vrednostmi in tako iz digitalnega signala ustvari analognega. Zvok, ki ga želimo posneti iz realnega sveta in ga računalniško obdelati, mora analogno-digitalni pretvornik spremeniti v digitalno obliko. Osnovni princip je preprost: naprava v določenih časovnih intervalih odčitava vrednosti zvočnega signala in jo shrani v binarni obliki. Pri predvajanju pa digitalno-analogni pretvornik poskrbi za obratno pretvorbo. Ni težko uganiti, da bo predvajani zvok tem bolj podoben izvirniku, kolikor hitrejše bo vzorčenje pri snemanju.

Standardni formati za zvočne datoteke so: MP3; MPEG-1 Audi Layer 3 M4A; MPEG-4 Audio File

| 1. KODIRANJE 14



WMA; Windows Media Audio

RA; RealAudio

MIDI; Musical Instrument Digital Interface

AAC; Advanced Audio Coding.

Valovno kodiranje zvoka je prestavitev zvoka z velikostmi zvočnega vala, merjenega v določenih, enako velikih časovnih razmikih. Kodiranje zvočnega vala določimo z dvema parametroma:

kako natančno merimo velikost zvočnega vala (s koliko vrednostmi – 8 bitov = 256 vrednosti, 16 bitov = 65.536 vrednosti);

kako pogosto izvajamo meritve (frekvenca vzorčenja – standardne velikosti 11 kHz, 22 kHz, 44 kHz).

Podobno kot slike digitaliziramo tudi zvok. Zvok je nihanje zraka s slišno frekvenco. Z mikrofonom ga spremenimo v nihanje električne napetosti, ki je analogna predstavitev zvoka. Za razliko od slike je pri zvoku pomembna časovna dimenzija. Analogno predstavitev zvoka digitaliziramo tako, da čas razdelimo na drobne časovne korake. Nato določimo povprečno velikost zvočnega signala v posameznem časovnem koraku. Na sliki je povprečna velikost signala predstavljena s stolpci. Velikost stolpcev izrazimo z dvojiškimi števili. Dobljeno zaporedje dvojiških števil predstavlja digitalni zapis zvoka.

Pri sliki je natančnost digitalne predstavitve odvisna od gostote mreže, pri zvoku pa je odvisna od frekvence vzorčenja. Čim večja je dobljena količina informacije, tem bolj natančna je predstavitev zvoka. Če je časovni korak dovolj kratek, da zajamemo tudi visoke frekvence, ki so na robu slišnega območja človeškega ušesa, potem bolj natančna predstavitev zvoka ni smiselna. Zgornja meja slišnih frekvenc človeškega ušesa je približno 18 kHz. Pri digitalizaciji zvoka za zapis na CD je frekvenca vzorčenja 44 kHZ. Vsak vzorec pa je predstavljen s 16 biti.

Stiskanje govora

Obstajajo tudi metode za stiskanje zvoka, ki so prilagojene predvsem za stiskanje govora. Govor se sicer obravnava enako kot ostali zvočni zapisi, vendar ima ta zaradi narave človeškega glasu nekatere lastnosti, ki jih je mogoče še dodatno izkoristiti v prid stiskanja. Človeški govor se giblje v frekvenčnem območju od 500 Hz do 2 KHz in se zaradi počasnega delovanja glasilk ter pljuč, tudi počasneje spreminja. Pri govoru se načeloma snema samo en govor hkrati in je sneman v mono tehniki (načeloma samo levi kanal). To posledično pomeni tudi manj kompleksen zvok za obdelavo in prenos. Kljub temu je prenos zvoka zahteven postopek, ker zahteva prenose v realnem času. Tukaj se gibljejo stopnje vzorčenja od 8 KHz (ozkopasovne povezave) do 16 KHz (širokopasovne povezave) in redko tudi do 32 KHz (ultra-širokopasovne povezave), z bitnimi hitrosti 2 - 64 Kbps. (Salomon, Motta, 2010, 986).

Kodeki, ki se danes pogosto uporabljajo za stiskanje zvoka so Speex, WMA Voice, SILK (Skype) in razne G.771 ali G.722 variante, za VoIP in digitalno telefonijo. Tovrstni kodeki so v primerjavi s kodirniki kompleksnejšega zvoka, manj zahtevni in kompleksni. Kljub temu, jih je večina namenjena bolj razvijalcem programske opreme, kot pa širši javnosti. Veliko jih je varovanih kot patenti podjetja.

Standard MIDI (angl. Musical Instrument Digital Interface) določa podatke za proženje zvoka. Pri zvoku kot opisu se uporablja MIDI vmesnik, ki ni format za zvočne datoteke ampak za datoteke z zapisom, ki pove zvočni kartici, katere note naj igra: proži zvočne vzorce, ki so shranjeni na zvočni kartici ali drugi audio napravi. Te datoteke (.MIDI) so mnogo manjše kot zvočne datoteke in »igrajo« na večini zvočnih kartic. Novejši sintetizatorji delajo na principu valovne sinteze (angl. Wave Synthesis).

| 1. KODIRANJE 15


1.5.1 MP3 kodiranjeMP3 kodiranje je eno izmed najbolj razširjenih kodiranj glasbenih datotek na svetu. S tem načinom kodiranja lahko glasbene zapise velikosti od 40 do 50 MB zapišemo v pičlih 4 do 5 MB. Za priljubljenost tega zapisa je bilo odločilno tudi to, da ni začel z industrijo ampak z uporabniki na svetovnem spletu. Za največjo popularnost MP3 zapisa pa je nedvomno poskrbel Napster (program, ki omogoča brezplačno izmenjavo glasbenih datotek preko interneta).

1.5.2 Zgodovina MP3 formataMP3 je kratica za MPEG Audio Layer 3 in je digitalni zapis, katerega je razvilo nemško podjetje Frauhofer IIS leta 1987. Skrivnost tega kodiranja je, da uporablja tehniko imenovano »Perceptual Noise Shaping«, kar pomeni zaznavno zvočno ostrenje. Bistvo tega načina je to, da se frekvence katere naši možgani ne morejo zaznati enostavno odrežejo iz zapisa in tako lahko njegovo velikost občutno zmanjšamo. Pri kodiranju govora, glasbil, ... pa potrebujemo za zapis zvoka (podobno kot pri predstavitvi večih barv) večje število bitov.

Kompresija MP3 zapisa je bazirana na psihoakustičnem modelu, ki prepoznava frekvence katere lahko naše uho sliši. Človeško uho ima frekvenčni razpon od 20hz pa do 20 Khz, najbolj pa je občutljivo med 2 in 4 Khz. MP3 kodiranje enostavno s filtriranjem odstrani ves hrup, ki ga človeško uho oziroma sluh ne more zaznati. Takšno vrsto kodiranja imenujemo tudi »Lossy compression« kompresija z izgubo saj odstranjenih podatkov ne moremo več nadomestiti.

1.5.3 AACAAC je standardiziran izgubni datotečni format, ki je bil razvit leta 1997, kot naslednik popularnega MP3 formata. Prav tako razvit od skupine MPEG po zgledu MP3 formata, vendar s pomočjo velikih podjetij kot so AT&T, Bell Laboratories, Fraunhofer IIS, Dolby Laboratories, Sony in Nokia. Ta je zasnovan po novejših MPEG-2 in MPEG-4 standardih in je sposoben boljše kvalitete zvoka, pri isti bitni hitrosti kakor MP3. Podpira večje število kanalov (do 48 kanalov) ter višje stopnje vzorčenja (8 - 96 KHz). Je privzeti standardni datotečni format za naprave iPod, iPhone, iPad, PlayStation 3, mobilne telefone z operacijskimi sistemi Android, Symbian, WebOS in podobnimi, katerih uporaba hitro raste in predstavlja vedno večjo grožnjo »zasidranemu« MP3 formatu. Poleg privzetega formata s končnico .aac, je AAC format mogoče uporabiti tudi z drugimi kontejner formati. Obstajajo tudi dve razširitve AAC kodirnika, z imenom HE-AAC in HE-AAC v2, ki omogočata še dodatne funkcije in izboljšave. Prvoten kodirnik se je ob tem preimenoval v LC-AAC (http://en.wikipedia.org/wiki/Advanced_Audio_Coding , dne 25.7.2011).

1.5.4 WMAWindows Media Audio (WMA), je ime datotečnega formata ali paketa avdio kodekov, ki sta delo podjetja Microsoft. Prvotna verzija tega formata je bila izdana leta 1999, kateri je še isto leto sledila malce izboljšana različica imenovana WMA 2. Kljub temu je zaradi kompatibilnosti dekodiranja med njima, ime ostalo enako. Microsoft sicer trdi, da je WMA sposoben boljše kvalitete zvoka kakor MP3, vendar se ta trditev s strani uporabnikov ni nikoli potrdila. Uporaba in podpora WMA formata je kljub temu na spletu in med raznimi multimedijskimi napravami, zelo razširjena. Paket avdio kodekov WMA, velikokrat spremljajo še trije dodatni kodeki, poznani kot WMA Pro, WMA Lossless, in WMA Voice. (http://en.wikipedia.org/wiki/Windows_Media_Audio , dne 26.7.2011).

1.5.5 VorbisVorbis predstavlja brezplačno in odprto alternativo zgoraj naštetim formatom. Ta se najpogosteje uporablja z Ogg kontejnerjem, zato se ta pogosto imenuje kar Ogg Vorbis. Je delo Xiph.org Fundacije, katerega so začeli razvijati že leta 1993, intenzivno so se ga pa lotili šele 1998. To je privedlo do tega, da je format resnično zaživel šele po letu 2000. Vorbis je sposoben vsebovati 255 kanalov, podpira stopnje vzorčenja 8 - 192 KHz ter bitne hitrosti od 32 do 500 Kbps. Njegova fleksibilnost, kvaliteta in

| 1. KODIRANJE 16

http://en.wikipedia.org/wiki/Windows_Media_Audio

http://en.wikipedia.org/wiki/Advanced_Audio_Coding


predvsem odprta narava, ga počasi dvigujejo med ostale popularne in razširjene formate. (http://en.wikipedia.org/wiki/Vorbis , dne 26.7.2011).

1.5.6 FLACVedno bolj priljubljen FLAC format je prav tako delo Xiph.org Fundacije. Ta je poznan po visoki kvaliteti zvoka, ki jo nudi, učinkoviti in brez izgubni metodi stiskanja ter popolni odprtosti uporabe. FLAC je bil razvit okoli leta 2001. Ni sicer tako razširjen in podprt kakor MP3 ali AAC formata, je pa na seznamu bolj razširjenih brez izgubnih avdio formatov. FLAC je sposoben stisniti zvok s prihranki prostora od 30 do 50 %. Podpira bitne globine 4 - 32 bitov na vzorec in stopnjo vzorčenja od enega pa vse do 1.048.570 Hz. Sposoben je vsebovati do 8 zvočnih kanalov. (http://en.wikipedia.org/wiki/Flac, dne 26.7.2011)

1.6 Kodiranje slikeInformacijo lahko predstavimo s točkami, črtami, barvnimi ploskvami in drugimi likovnimi elementi. Za računalnik je grafika (slika) iz pik. Vse črte, barvne ploskve, prelivi, svetlobe in sence, ki jih računalnik izriše na zaslon, so rezultat matematičnega računanja z biti.

Slike so lahko predstavljene kot: bitne ali točkovne slike, vektorske ali predmetne slike (z opisom).

Rastrske ali bitne slike (angl. Bitmap) imajo podatkovno strukturo, ki je predstavljena kot mreža barvnih pik (angl. Pixels). Takšno sliko sestavlja x vrstic in y stolpcev barvnih pik, ki kot celota tvorijo podobo slike. Z množenjem teh pik ( y) dobimo ločljivost slike, ki z njeno širino in višino, predstavlja njeno velikost. Večje število pik pomeni večjo ločljivost slike, večja ločljivost pa večjo kvaliteto in posledično tudi večjo datoteko za predstavitev slike. Barvne pike so lahko predstavljene z različnimi barvnimi modeli, kot na primer RGB ali CMYK, ki na različne načine predstavljajo barve v sliki. Glede na barvno globino slike lahko določimo število barv, ki jih lahko prikaže ena barvna pika. 8 bitna slika na primer, je tako sposobna prikazati 28 = 256 število barv, medtem, ko jih je 24 bitna slika sposobna prikazati 224 = 16.777.216 število barv. To je 256 odtenkov rdeče, zelene in modre barve po RGB barvnem modelu, kar zadostuje tudi sposobnostim človeškega očesa. (Salomon, Motta, 2010, 447).

Bitna slika je sestavljena iz posameznih pik ali pikslov, ki so urejeni v vrstice in stolpce (matrika). Vsak piksel žari na zaslonu v določeni barvi. Če je slika črno-bela, potrebujemo za kodiranje barve piksel en bit: piksel žari belo (1) ali pa je črn (0). Slika je razdeljena na mrežo slikovnih pik (1024 x 1280). Vsaka pika je opisana z ustreznim številom bitov (4, 8, 16 ali 24 bitov). Shraniti je potrebno podatek o barvi vsake pike:

če uporabimo le 1 bit, potem lahko definiramo le 2 barvi, če uporabimo 4 bite za vsako piko, lahko opišemo 16 različnih barv, kadar govorimo o "milijonih" barv (True Color), opisujemo pike s 24 biti.

Slika 3: Bitne ali točkovne slike

| 1. KODIRANJE 17

http://en.wikipedia.org/wiki/Flac

http://en.wikipedia.org/wiki/Vorbis


Vir: www.google.com

Število bitov Število barv 1 2 barvi

4 16 barv

8 256 barv

16 65.636 barv

24 16.777.216 barv

Barvna globina opisuje maksimalno število barv, ki jih lahko neka slika vsebuje. Višja kot je barvna globina, več barv bo slika vsebovala. Slika je lepša, če je mreža gostejša, s tem pa se veča tudi velikost datoteke in bo zavzela precej prostora v pomnilniku, saj je potrebno opisati več kvadratov. Velikost datoteke se veča tudi z večanjem števila barv, ki jih lahko prikazujemo. Vse pike so enako velike, število teh pik v sliki pa določa njeno kakovost – večje število pik pomeni ostrejšo sliko. Ko jo transformiramo (povečamo, zavrtimo, raztegnemo itd.), postane rastrska grafika nazobčana, pokvarimo pa lahko tudi ločljivost slike.

Slika 4: Vektorska in bitna slika

Vir: www.google.com

1.6.1 Rastrska grafikaRastrska grafika se ponavadi uporablja v programih za slikanje. Tovrstni programi uporabniku omogočajo izdelavo slik na računalnikovem zaslonu na podoben način, kot da bi slikal na papir ali slikarsko platno. Bitne slike dobimo:

ko slike posnamemo z optičnim čitalcem (skenerjem) ali digitalnim fotoaparatom; posnamemo del zaslona z ustreznim programom;

sliko narišemo s programom za bitno grafiko (npr. slikar).

Znani so naslednji formati slik:

gif (angl. Graphic Interchange Format) jpg ali .jpeg (angl. Joint Photographic Experts Group) bmp (angl. Windows Device Independent Bitmap) tiff (angl. Tagged Image File Format) pcx (angl. PC Paintbrush Exchange).

| 1. KODIRANJE 18




Slika 5: Vektorska in bitna slika

Vir: www.google.comBitne slike lahko skrčimo, tako da jih pretvorimo v drug format. Primerni programi za preoblikovanje slik in pretvarjanje med slikovnimi format so npr. PaintShopPro, Photo Paint, PhotoShop. Prednosti bitne slike:

Kakovost bitnih slik je dobra, ker spominjajo na slike iz realnega življenja. Ker je vsaka pika določena s svojo barvo in lokacijo, lahko nad tako sliko izvedemo množico

transformiranih učinkov kot so senčenje, osvetljevanje, manipulacije nad določenim območjem slike itd., saj lahko obdelujemo vsako grafično točko posebej.

Tiskanje bitnih slik je enostavno, saj zmore računalnik brez težav sporočati tiskalniku, kako naj natisne posamezne točke.

Pomanjkljivosti bitne slike:

Zavzamejo veliko količino delovnega pomnilnika in prostora na disku. Obdelava obsežnih bitnih slik s primernimi programi je večkrat zelo zahtevno opravilo.

Predvsem moramo zagotoviti primerno strojno opremo (hiter procesor, dovolj delovnega pomnilnika), saj bo v nasprotnem primeru delo počasno in utrujajoče.

Pri povečevanju se točke večajo v kvadratke, žagaste in ostre robove (slabša kakovost slike).

Na splošno in še posebej na spletu, prevladuje uporaba rastrskih slik, saj so primerne za naravno prikazovanje podrobnosti in barv. Tovrstna predstavitev slike pa ima svoje slabosti. Povečava rastrske slike preko njene originalne velikosti, pomeni izračun in prikaz dodatnih barvnih pik, kar posledično povzroči vidno poslabšanje kvalitete slike (izguba ostrine), izredna pomanjšava pa popačenja. Prekomerno izgubno stiskanje rastrskih slik, lahko povzroči izris tako imenovanih kompresijskih artefaktov, ki prav tako vplivajo na kvaliteto slike.

1.6.2 Vektorska slikaVektorska slika je slika, ki je prikazana z geometrijskimi liki (krivulje, mnogokotniki, črte, krog). Kvadrat je opisan s površino, ki jo zavzema, dolžino in debelino črte. Lahko rečemo, da je slika opisana z nizom matematičnih enačb. Vektorska grafika uporablja matematična razmerja med točkami in povezuje poti krivulj, da popiše sliko. Lahko jih transformiramo (povečamo, vrtimo, raztegnemo itd) brez poslabšanja ločljivosti slike. Izbrati in transformirati je mogoče tudi vsako posamezno komponento vektorsko zapisane slike, saj je vsaka komponenta v računalnikovem pomnilniku definirana posebej. V teh pogledih vektorska grafika prekaša rastrsko. Vektorsko grafiko ponavadi uporabljajo risalni programi, ki uporabniku omogočajo izdelavo in popravljanje tehničnih diagramov, na primer načrtov hiš ali avtomobilov. Prednosti vektorske slike:

ta način zavzame manj prostora v pomnilniku kot bitna slika; povečujemo in raztegujemo jih lahko brez popačenja robov.

| 1. KODIRANJE 19



Slabosti vektorske slike:

zaradi matematičnega zapisa je videz vektorske grafike bolj nenaraven.

Primeri programov: CorelDRAW, Macromedia Flash, Draw orodje v MS office.

Vrste vektorskih slik

EPS – (angl. Encapsulated PostScript) SWF - (angl. Shockwave Flash)

PDF - (angl. Portable Document Format).

1.6.3 JPEG kodiranjeTako kot poznamo MP3 kompresijo na področju glasbenih datotek, tako je na področju slik najboljša JPEG kompresija oziroma preslikava. JPEG je najpogosteje uporabljen algoritem za shranjevanje slik. Kratica JPEG pomeni Joint Photographic Experts Group. Temeljna lastnost tega algoritma je, da vara človeški vid, saj so strokovnjaki odkrili, da je človeško oko bolj občutljivo na spremembo svetlobe, kot pa na barvne spremembe.

Leta 1982 je ISO ustanovil Photographic Experts Group, da bi poiskali in razvili tehniko za pošiljanje slik, videa ter besedila preko ISDN linij. Leta 1987 se ustanovi CCITT (Comite Consultatif Internationale de Telegraphique et Telephonique). Ker so tudi oni prišli na področju kompresije za pošiljanje barvnih faksov do enakih rezultatov so se leta 1988 združili in nastal je JPEG.

Za razliko od drugih kompresijskih metod je JPEG sestavljen iz večih algoritmov in to omogoča da si lahko uporabnik nastavlja kompresijo slike. Podobno kot MP3 tudi JPEG briše nepomembne informacije, zato ga uvrščamo med izgubne algoritme saj kompresirana slika ne bo nikoli več identična prvotni. Kolikšno kompresijo bo JPEG lahko naredil je odvisno od vsebine slike. Ponavadi lahko sliko kompresira do razmerja nekje med 20:1 ter 25:1 ne da bi bilo to preveč očitno ter vidno. Za koliko se bo slika stisnila lahko uporabnik sam določa in sicer s Q faktorjem. Q faktor predstavlja parameter kvalitete pri čemer je 1 največja kvaliteta 100 pa najmanjša.

1.6.4 GIFGIF ali GIFF format, je delo podjetja CompuServe Information Services, ki ga je svetu predstavilo leta 1987. Gre za format, ki podpira največ 8 bitno barvno globino, s čimer je sliko možno prikazati z največ 256 barvami po RGB barvnem modelu. Zaradi takšne barvne omejitve format ni primeren za prikazovanje kompleksnejših barvnih fotografij, vendar odigra dobro vlogo s prikazovanjem enostavnejših slikovnih elementov, kot so enobarvne grafike, logotipi ali znaki. Originalna različica tega formata je bila imenovana 87a, kasneje pa je ga je podjetje izpopolnilo z različico 89a, ki je sposobna podpirati sekvenco zaporednih slik (animacijo), enostavno obliko prosojnosti in še nekaj dodatkov. Ta temelji na brez izgubnem LZW (angl. Lempel-Ziv-Welch) kompresijskem algoritmu, za katerega podjetje CompuServe ni vedelo, da si patent lasti podjetje Unisys. Ta je kasneje, ko je datotečni format GIF postal masovno uporabljan, leta 1994 sklenilo dogovor s CompuServe, ki je zahteval nakup licence, za uporabo tega datotečnega formata, v komercialne namene. (Sayood, 2000, 134).

1.6.5 PNGDatotečni slikovni format PNG, se je začel razvijati leta 1995, kot alternativa popularnemu GIF formatu, ki je takrat podlegel sporu patentiranega kompresijskega algoritma, ki ga je vseboval. Ta je tako nastal kot projektno delo skupine različnih strokovnjakov s tega področja in leta 1996 tudi zaživel. PNG podpira barvno globino do 24 bitov po RGB barvnem modelu, ki je lahko kombiniran z dodatnim 8 bitnim alfa kanalom (RGBA), za napreden prikaz prosojnosti. Kadar ju uporabimo skupaj, to pomeni,

| 1. KODIRANJE 20


da gre za sliko 32 bitne barvne globine. Za stiskanje podatkov uporablja kompresijski algoritem deflate. PNG sicer ne podpira animacije, ampak so namesto tega zato kasneje razvili na njemu osnovan MNG (Multiple-image Network Graphic) format, ki je namenjen izključno animacijam. Danes je PNG izredno razširjen in priznan kot standard za prikazovanje spletnih slik. (Sayood, 2000, 135).

1.6.6 SVGSVG je format, ki temelji na XML datotečnem formatu. Ta se uporablja za prikazovanje dvodimenzionalnih (2D) statičnih in dinamičnih vektorskih slik. Je odprt datotečni format, ki ga razvija World Wide Web Consortium (W3C) že od leta 1999 dalje. Je zelo fleksibilen in sposoben format, kateri sprva ni bil deležen velike podpore s strani spletnih brskalnikov, danes pa ga popularni brskalniki kot so Mozilla FireFox, Internet Explorer 9, Google Chrome in Safari, že v zadovoljivi meri podpirajo. (http://en.wikipedia.org/wiki/SVG , dne 23.8.2011).

1.7 Kodiranje videaŽe datoteke s slikami so v primerjavi s tekstovnimi datotekami velike, pri videu pa se mora na zaslonu zvrstiti več slik v sekundi (pri našem televizijskem sistemu PAL- 25/sekundo, pri ameriškem - NTSC-30/sekundo), zato so datoteke ogromne. Za kvaliteten video posnetek potrebujemo vsaj 25 slik na sekundo, kar zahteva precejšnjo količino pomnilnika. Zato so slike videa običajno velike le četrtino ali pa samo šestnajstino, lahko pa še manjši delež zaslona. Razvili so različne algoritme, ki video posnetek pred shranjevanjem na disk stisnejo (KOmpresirajo), ob predvajanju pa raztegnejo na prvotno velikost (DEKompresirajo), proces je kratko imenovan KODEK. KODEK (CODEC; COding DECoding) je algoritem za kodiranje in dekodiranje analognih signalov v digitalno obliko in nasprotno.

Vrste video datotek:

MPEG4; Moving Picture Experts Group 4 AVI; Audio Video Interleave

DIVX; Digital Video Express

WMv; Windows Media Video

MP4; MPEG-4 Video File

3GP; Third Generation Partnership Project

FLV; Flash Video.

1.7.1 MPEG-4 (MP4)MPEG-4 je standard/način podajanja kompresijskih metod, za stiskanje zvočnih in vizualnih digitalnih vsebin. Ta se je kot projekt začel maja 1991 ter bil predstavljen in določen kot standard, leta 1998. Ta standard, zbirke zvočnih in video kodirnikov ter formatov, so določili pri ISO/IEC in MPEG, pod imenom ISO/IEC 14496 – kodiranje avdio-vizualnih objektov. Ta posega v vsa področja avdio-vizualne produkcije, distribucije in potrošnje na področju računalništva, televizije, glasbene produkcije, telefonije, radija, spleta in podobnih. Ime MPEG-4 lahko s tem povzroča precej zmede, saj se isto ime uporablja za podajanje kodekov (npr. MPEG-1, MPEG-2, MPEG-4, …), kontejner formata (MP4) in zbirko standardiziranih kompresijskih metod; zato bodimo pozorni. (http://en.wikipedia.org/wiki/MPEG-4 , dne 10.9.2011).

Danes poznan tudi pod polnim imenom MPEG-4 part 14, je kontejner format, ki bazira na starejšem Applovem QuickTime MOV kontejnerju. Razvijajo ga pri MPEG, kot razširitev MPEG-4 part 12 standarda. Ta je standardiziran, sposoben odpravljanja napak, zaščite podatkov, vgradnje profilov in s svojo fleksibilnostjo, sposoben še dodatnih izboljšav. (http://en.wikipedia.org/wiki/MPEG-4_Part_14 , 12.9.2011)

| 1. KODIRANJE 21

http://en.wikipedia.org/wiki/MPEG-4_Part_14

http://en.wikipedia.org/wiki/MPEG-4

http://en.wikipedia.org/wiki/MPEG-4

http://en.wikipedia.org/wiki/SVG


1.7.2 Flash Video (FLV)Flash Video je kontejner podjetja Adobe (nekoč od podjetja Macromedia), ki ga podpira njihov masovno uporabljen predvajalnik Adobe Flash Player. Ta je posebej prirejen za prenose preko interneta in je podprt s strani Adobe-ovih programov. Predstavlja privzeti kontejner, za vse posnetke, ki so naloženi na YouTube-u.

1.7.3 AVIKontejner, katerega je leta 1992 razvil Microsoft pod polnim imenom Audio Video Interleave, je preprost kontejner, ki ne nudi veliko naprednih funkcij, ampak še vedno živi. Zaradi starosti zna povzročati nekaj težav med novejšimi formati, sicer je pa pogosto v uporabi še v piratskih scenah.

1.7.4 OggOgg je popolnoma odprt standard, za katerega skrbi Xiph.Org Foundation in je namenjen za uporabo, z ostalimi odprti formati kot so Theora, Vorbis, FLAC, Speex in podobnimi. Je izredno sposoben kontejner format, katerega zaradi njegove »odprtosti«, podpirajo vse večje Linux distribucije, popularni brskalniki in predvajalniki. Večjih problemov prav tako ne povzroča na platformah Windows in Mac OS X. (http://en.wikipedia.org/wiki/Ogg , dne 12.9.2011).

1.7.5 Matroska (MKV)Vsestranski multimedijski kontejner format z imenom Matroska (poimenovan po znani tradicionalni Ruski igrači, ki je pri nas poznana kot babuška), bi naj bil sposoben vsebovati neskončno število tokov videa, zvoka, slik in podnapisov. Gre za odprt format, namenjen shranjevanju vseh splošnih multimedijskih vsebin in vsesplošne podpore s strani vseh platform. (http://en.wikipedia.org/wiki/.mkv , dne 12.9.2011).

1.7.8 WebMWebM je novejši kontejner format, ki je namenjen za uporabo z VP8 video formatom, Vorbis formatom za zvok ter HTML5. Gre za odprt kontejner format, katerega razvoj sofinancira Google in je že deležen podpore med spletnimi brskalniki Google Chrome, Mozilla FireFox in Opera. (http://en.wikipedia.org/wiki/WebM , dne 12.9.2011).

1.8 Razširjeni video formatiKadar se v računalništvu srečamo z videom, nam je ta večinoma dostavljen z zvokom, skupaj pa sta zapakirana v kontejner. Gre torej za datoteko, ki vsebuje eno ali več tokovnih sledi zvoka in videa, pri čemer sta bila oba v njo bila zapisana po svojem formatu. Format video sledi je vanjo zapisal video kodirnik (npr. H.264), format zvočne sledi pa avdio kodirnik (npr. AAC). Opravka imamo torej z dvema formatoma, ki sta zapisana znotraj datoteke, katera pa prav tako predstavlja neke vrste datotečni format, za shranjevanje avdio in video tokov. Tukaj je veliko govora o video kodekih, saj predstavljajo zelo zmogljivo orodje za obdelavo videa. Večino kodekov se uporablja v sklopu neke knjižnične zbirke ali profilov. Z drugimi besedami lahko rečemo, da kadar uporabljamo kodek, uporabljamo le enega izmed zbirke kodekov, ki so priloženi zraven. Ti se načeloma ločijo po profilih, kot se npr. VC-1 kodek loči po svojih treh različno zmogljivih profilih, imenovanih simple, main in advanced.

1.8.1 H.264H.264, je najnovejši video format iz velike družine formatov, ki je postal standardiziran maja 2003, kot odgovor na njegove zastarane predhodnike H.261, H.262 in H.263. S poudarkom na hitrosti, fleksibilnosti in zanesljivosti, predstavlja ta en sam, a efektiven kodek, za uporabo z vsemi multimedijskimi napravami, od telefonov do televizorjev in z delovanjem tako pri ozkopasovnimi kot hitrimi širokopasovnimi povezavami. Njegova uporaba v tako širokem obsegu je mogoča z uporabo v naprej definiranih profilih, ki spreminjajo parametre kodirnika glede na ciljno uporabo. Podpira pretakanje preko interneta, visoke in nizke ločljivosti, napredne metode za stiskanje podatkov in še

| 1. KODIRANJE 22

http://en.wikipedia.org/wiki/WebM

http://en.wikipedia.org/wiki/.mkv

http://en.wikipedia.org/wiki/Ogg


več. Obstaja tudi popolnoma odprta in samostojna različica H.264 kodirnika imenovana x264, ki prav tako stiska video v H.264 formatu. (http://en.wikipedia.org/wiki/H.264 , dne 11.9.2011)

1.8.2 TheoraKompresijski video format, katerega počasi razvija Xiph.org fundacija, je razvit iz lastniškega VP3 kodeka. Ta je poznan kot konkurenca ostalim MPEG-4 part 2 standardom, nekaterim Windows Media Video formatom in RealVideo formatu, kljub nekaterimi pomanjkljivostmi, ki jih vsebuje. Kot večina formatov, tudi ta uporablja »podvzorčenje«, blokovno kompenzacijo gibanja in ostale. Ime Theora izvira od istoimenskega igralca iz oddaje Hax Headroom. (http://en.wikipedia.org/wiki/Theora , dne 11.9.2011)

1.8.3 VP8VP8 je kodek podjetja On2 Technologies, ki je prav tako razvilo kodek VP3, na katerem bazira zgoraj omenjena Theora in njegov predhodnik VP6, ki se privzeto uporablja s Flash Video kontejnerjem. V 2010, je to podjetje kupil Google, ki je kodek tudi popolnoma odprl javnosti, ter ga začel razvijati tudi sam. Ta se načeloma uporablja v kombinaciji z novim WebM kontejnerjem. VP8 je na splošno znan kot dober kodek, sicer večjih podrobnosti o njem še ni bilo zaslediti, je pa znano, da vsega kar se Google »dotakne«, postane slej kot prej aktualno za uporabo. (http://en.wikipedia.org/wiki/VP8 , dne 11.9.2011)

1.8.4 XvidXvid je kompresijski video format, ki je izpeljan iz MPEG-4 part 2 tehnologije stiskanja. Predstavlja resnega tekmeca DivX Pro formatu, ki je nekoč slavil s svojim DivX kodekom, iz katerega Xvid tudi izhaja. Tukaj je šlo predvsem za zaplete v podjetju DivxNetworks (danes Divx, Inc.). Xvid je enostaven za uporabo, a učinkovit pri svojem delu. Na njega prisegajo tudi nekateri izdelovalci in uporabniki piratskih vsebin. (http://en.wikipedia.org/wiki/Xvid , dne 11.9.2011)

1.8.5 VC-1 / Windows Media Video 9VC-1 je video kodek, katerega so standardizirali pri SMPTE (Society of Motion Picture and Television Engineers), implementiralo pa ga je podjetje Microsoft, kot Windows Media Video 9. Gre torej za kodek z dvema imenoma. Ta je sposoben visokih (do 2048 × 1536) in nizkih (do 176 × 144) ločljivosti, nizkih podatkovnih hitrosti ter uporabe treh profilov. Zaradi možnosti kodiranja tako prepletenih, kot progresivnih video signalov, se ta pogosto uporablja tudi v televizijski industriji in predstavlja resno konkurenco H.264 formatu. Ta se načeloma shranjuje v ASF kontejnerju, kateremu pa se zaradi lažje prepoznavnosti, kadar ta vsebuje video, dodeli končnica .wmv. V družini Windows Media Video se lahko srečamo tudi s kodekom WMV 7 in WMV 8. (http://en.wikipedia.org/wiki/Windows_Media_Video , dne 11.9.2011)

V tovrstne kontejnerje je mogoče shraniti tudi, slike, animacije in tekst. Priporočam tudi ogled ostalih kontejner formatov, kot so MOV (Apple QuickTime Movie) in ASF (Advanced Systems Format).

1.9 Manchester kodiranjeEna od enostavnih in pogosto uporabljenih vrst je Manchester kodiranje. Pri njem se ničla ali enica ponovi največ dvakrat, zato je signal zelo uravnotežen. To kodiranje se razlikuje od drugih skupin kodirnih metod, pri katerih so biti predstavljeni ali v visokem stanju (5 V) ali v nizkem stanju (0 V). Kadar se uporabi Manchester kodiranje, je dolžina vsakega podatkovnega bita prednastavljena. Stanje bita je določeno glede na smer prenosa. V nekaterih sistemih prenos od nizkih do visokih predstavlja logično 1 in prenos od visokih k nizkim pomeni logično 0, v drugih sistemih pa ravno obratno. Pri Manchester kodiranih podatkih se tranzicija izvrši na sredini periode.

Obstajata dva dogovora, po katerem se kodira podatke, med njima pa je le trivialna razlika. Izvirni, po G. E. Thomasu, logično ničlo predstavi kot prehod signala iz nizkega v visoko stanje. V implementaciji

| 1. KODIRANJE 23

http://en.wikipedia.org/wiki/Windows_Media_Video

http://en.wikipedia.org/wiki/Xvid

http://en.wikipedia.org/wiki/VP8

http://en.wikipedia.org/wiki/Theora

http://en.wikipedia.org/wiki/H.264


pa je bil uporabljen drug dogovor, in sicer po standardu IEEE 802.3, ki zahteva ravno nasprotne prehode. Iz načina delovanja je mogoče ugotoviti, da sta za kodiranje vsakega podatkovnega bita potrebna 2 kodirna bita. V praksi to pomeni, da se pasovna širina, ki je na voljo za prenos podatkov, prepolovi.

Slika 6: Povezava med Manchester kodo in originalnimi podatki

Vir: www.google.com Pri tem zakodiranju nastopi prehod signala z enega nivoja na drugi na sredini trajanja vsakega bita. Pri pošiljanju logične ''0'' imamo negativni prehod (navzdol), pri pošiljanju logične ''1'' pa pozitivni prehod (navzgor). Ti regularni prehodi omogočajo enostavno sinhronizacijo sprejemne ure na bitni tok. Slabost pa je da imajo nekateri biti dvojni prehod signalnega nivoja. V najslabšem primeru je baudna hitrost dvakrat večja kot podatkovna hitrost prenašanja. S tem se 10 Mbit/s hitrost podvoji na 20 Mbit/s. Mnogi sistemi skušajo doseči podatkovno hitrost manjšo kot baudno, da bi potrošili manj pasovne širine radijskega spektra. Vendar to ni problem pri koaksialnih kablih ali prepletenih paricah TP (angl. twisted pair), ker se signal, elektromagnetno valovanje zadrži znotraj in le malo seva navzven.

1.10 Stiskanje podatkovS stiskanjem podatkov je mogoče učinkovito privarčevati na velikosti digitalnih zapisov, ki so sicer preveč obsežni za normalno rabo v spletu. To storimo tako, da poskušamo iz zapisa odstraniti čim več odvečnih (redundantnih) podatkov. S tem pridejo v igro tudi različne metode stiskanja, kompresijski algoritmi ter datotečni formati, katerih neprimerna uporaba lahko izrazito negativno vpliva na vsebino, ki se stiska. Stiskanje lahko poteka v brez izgubnem ali izgubnem načinu, pri čemer je prvi primernejši za arhiviranje in ohranitev prvotne kvalitete zapisa, drugi pa je bolj smiseln za masovno prenašanje preko spleta in učinkovito varčevanje s prostorom.

Zaradi hitrega razvoja informacijskih tehnologij pa se tukaj pojavi vprašanje glede splošne učinkovitosti tovrstnega stiskanja podatkov, saj ima ta tehnologija tudi svoje slabosti. Slabosti, kot so na primer čas stiskanja in razširitve, programske ter strojne zahteve, razne nekompatibilnosti, popačenja v zapisih in omejitve s strani uporabljenih formatov, lahko hitro povzročijo nevšečnosti pri povprečnemu uporabniku spleta.

Stiskanje, kompresiranje ali izvirno kodiranje podatkov, je proces, ki pretvori vhoden tok podatkov (iz samega izvora ali prvotno shranjenih podatkov) v drug tok podatkov, ki je po velikosti manjši (manj redundanten) od prvega. Takšen tok podatkov je lahko datoteka ali podatki, ki se nahajajo v pomnilniku in jih lahko nato še programsko obdelamo (stisnemo). (Salomon, Motta, 2010, 2).

| 1. KODIRANJE 24



Tovrstni programi storijo to tako, da vsebino datoteke ali tok podatkov sprejema in procesira, vse dokler ne zazna konca podatkov. Med procesom je tako nastal nov zapis podatkov, ki sedaj lahko pomeni nov tip datoteke ali pa spremenjeno staro datoteko. Procesirani podatki so lahko znaki, slikovne pike ali zvočni zapisi in v večini primerov, kodirnem programu ne predstavljajo pomena. Ti se najprej preberejo in analizirajo, nato pa po določenem algoritmu obdelajo, pri čemer se isti algoritem kasneje uporabi tudi za odpiranje teh obdelanih (stisnjenih) podatkov. Novo nastala datoteka ali podatkovni tok, lahko sedaj vsebuje kodirno shemo (slovar), ki služi kot neke vrste navodilo, kako to datoteko ali tok, razširiti.

Vsako tovrstno stiskanje temelji na ideji odstranjevanja redundantnih podatkov, torej, iz pretvarjanja neefektivnega (dolgega in obsežnega) v efektivno (krajše in kompaktno), kar lahko pomeni tudi pretvorbo datotečnega formata. Tehnologija stiskanja podatkov je že relativno stara. Teoretične razlage s tega področja se prvič pojavijo konec štiridesetih in v začetku petdesetih. V svetu informacijskih tehnologij se zaradi izrednih količin podatkov, danes izredno veliko uporablja, še posebej pa je prišla do izraza v zadnjih nekaj letih s komercializacijo svetovnega spleta in razvojem multimedijskih naprav. V primeru spletne vsebine je stiskanje podatkov aktualno predvsem zaradi dveh razlogov:

hitrejši prenosi (manjša količina podatkov pomeni krajši čas prenosa); bolj učinkovito shranjevanje (manjše datoteke zasedejo manj prostora, zato jih lahko na

shranjujemo v večjih količinah).

Kljub prednostim, ki jih pridobimo s stiskanjem pa le ne gre brez slabosti. Vse podatke, ki stisnemo, je kasneje potrebno tudi razširiti, če jih želimo sploh uporabljati. Za delo s tovrstnimi podatki tako potrebujemo primerno programsko in strojno opremo. Stiskanje in razširjanje podatkov lahko namreč zahteva precejšnjo količino procesorske moči ter pomnilnika (še posebej v primeru videa), glede na tip podatkov pa potrebujemo tudi temu primeren program.

Kakor se zvok in slika razlikujeta po svojih fizičnih lastnostih, se ta dva v digitalnem svetu razlikujeta po svoji vrsti zapisa. Vsega ne moramo stiskati po isti metodi, zato imamo na področju stiskanja podatkov na voljo več načinov in metod stiskanja. Glede na to »kaj« stiskamo, moramo vedeti tudi »kako« to stisniti. Na grobo ločimo dva načina stiskanja: izgubno in brez izgubno stiskanje.

1.10.1 Brez izgubno stiskanjeZ brez izgubnim stiskanjem podatke večinoma pretvarjamo v bolj učinkovit zapis, katerega pa lahko pozneje natančno pretvorimo nazaj v svojo prvotno obliko. Med postopkom stiskanja, brez izgubni algoritem naredi kodirno shemo, katera se nato uporabi za razširitev in rekonstrukcijo vsebine, v popolnoma enako obliko, kot je bila prvotno. Zaradi te natančne reprodukcije podatkov se tovrstno stiskanje večinoma uporablja za stiskanje teksta, kjer lahko izguba podatkov v tekstovnih datotekah privede do nedopustljivih semantičnih napak.

1.10.2 Izgubno stiskanjePri izgubnem stiskanju odstranjujemo podatke s katerimi posledično deformiramo celoten zapis. Razširjeni podatki s tem niso popolnoma identični prvotnemu zapisu podatkov, vendar smo s tem dosegli zelo dobro razmerje stiskanja, kar pomeni, da je lahko stisnjena datoteka bistveno manjša od prvotne. Ta način stiskanja se večinoma uporablja za stiskanje slik, zvoka in še posebej videa, zaradi obsežnih podatkov, ki si potrebni za njihovo predstavitev. Pri teh je namreč mogoče odstraniti podatke, ki jih človeška čutila ne zaznavajo, s čimer lahko ob primernem postopku stiskanja dosežemo to, da razlike med prvotno in stisnjeno vsebino, sploh ne opazimo. Tovrsten način stiskanja s tem večinoma bazira na razumevanju naših akustičnih in vizualnih sposobnosti. Neprimerna uporaba tovrstnega stiskanja pa lahko privede do zelo nekvalitetno stisnjenih vsebin, ki izgledajo in zvenijo popačeno. Pri uporabi izgubnega načina stiskanja, se rešitev načeloma skriva nekje na sredini, med razmerjem

| 1. KODIRANJE 25


kakovosti zapisa in velikostjo datoteke, saj sta tako ena, kot druga skrajnost stiskanja po navadi neprimerni.

1.11 Metode stiskanjaZnotraj izgubnega in brez izgubnega načina, poznamo več metod stiskanja podatkov. Metode stiskanja predstavljajo način, s katerim pristopamo k stiskanju podatkov. Večina metod se deli v 4 kategorije: RLE kodiranje (angl. Run Length Encoding - RLE), statistična (angl. Statistical), z uporabo slovarja (angl. Dictionary-Based) in pretvorbena (angl. Transforms). Izmed teh se vsaka metoda lahko namensko uporablja za svoj specifičen tip podatkov, saj se vsaka loti obdelave podatkov na svoj način. Te metode se lahko prav tako kombinirajo med seboj ali pa jih dopolnjujejo raznorazni kompresijski algoritmi. Obstajajo tudi druge metode, ki zaradi svojih posebnosti ne spadajo v nobeno od naštetih metod. (Salomon, Motta, 2010, 9)

Spoznajmo nekaj zelo pogosto uporabljenih metod oz. tehnik, za stiskanje podatkov:

1.11.1 Run-length Encoding (RLE)RLE je enostavna metoda, ki združi vse zaporedne ponovitve znakovnih nizov v en števnik (število ponovitev) in en simbol (ponovljeni znak). Na primer: AAAAAA = 6A. RLE metoda se lahko uporablja za stiskanje vseh vrst podatkov (tekst, zvok, slika) in je strojno nezahtevna ter enostavna za implementacijo. (http://en.wikipedia.org/wiki/Run-length_encoding , dne 3.3.2013).

1.11.2 Aritmetično kodiranjeAritmetično kodiranje (angl. Arithmetic Coding) je statistična metoda, ki celoten vhodni znakovni niz zakodira simbol za simbolom, v eno kodo, namesto tipičnega dodeljevanja posameznih kod simbolom. Je metoda, ki deluje počasneje, ampak zaradi dodatnega varčevanja s kodami, ki so potrebne za kodiranje, učinkovito. (http://en.wikipedia.org/wiki/Arithmetic_coding, dne 3.3.2013).

1.11.3 Predvidevanje z delnim ujemanjemPredvidevanje z delnim ujemanjem (angl. Prediction By Partial Matching, krajše PPM), je statistična metoda za stiskanje, ki izdela seznam simbolov iz še ne stisnjenega zapisa podatkov, katerega pa pozneje uporabi za lažje predvidevanje simbolov v stisnjenem zapisu podatkov. (http://en.wikipedia.org/wiki/Prediction_by_partial_matching , dne 9.4.2012).

1.12 Programi za stiskanje datotekPri stiskanju podatkov je algoritem neke vrste kodirna shema znotraj kodirnika in dekodirnika, po katerem se podatkovni tok stiska ali razširja. Kodirnik (angl. Coder) je program, ki po svojem algoritmu, stisne vhoden tok podatkov in izdela stisnjen (manj redundanten) tok podatkov, kot rezultat. Dekodirnik (angl. Decoder) pa je program, ki deluje isto kot kodirnik, vendar v obratni smeri – razširi vhoden tok podatkov v razširjen (redundanten) tok podatkov. Za povprečnega uporabnika, ki podatkov ne stiska, ampak jih samo uporablja, je dovolj samo uporaba dekodirnika. (Salomon, Motta, 2010, 9)

Tukaj se pogosto pojavlja izraz kodek (angl. Codec, izpeljano iz coder/decoder), ki predstavlja kodirnik in dekodirnik hkrati. Torej, če želimo preko interneta poslati nekomu stisnjene podatke, mora prejemnik za uporabo podatkov, na svojem sistemu imeti naložen primeren kodek oz. dekodirnik.

Kadar urejamo ali kreiramo naša besedila, slike, zvok ali video, nam tovrstni napredni programi, ker imajo v sebi že vgrajene kodirnike, možnosti stiskanja načeloma ponudijo med shranjevanjem podatkov v datoteko.

Datoteke lahko prav tako naknadno stiskamo s temu namenskimi programi. Raznorazni programi za stiskanje datotek, nam lahko poleg stiskanja podatkov nudijo tudi enkripcijo podatkov, pakiranje večjega števila datotek v en sam arhiv, pretvarjanje med datotečnimi formati in še več. Zaradi velikega

| 1. KODIRANJE 26

http://en.wikipedia.org/wiki/Prediction_by_partial_matching

http://en.wikipedia.org/wiki/Arithmetic_coding

http://en.wikipedia.org/wiki/Run-length_encoding


števila formatov, so tovrstni programi prirejeni samo za stiskanje formatov, ki jih podpirajo. Tukaj programi za stiskanje teksta, načeloma uporabljajo razne brez izgubne algoritme, programi za stiskanje slik, zvoka in videa pa z raznimi pretvorbami, odstranjujejo redundantne podatke. Kadar se srečamo s takšnimi programi, bomo v njih (če je program napisan v angleškem jeziku) zasledili angleške ukaze (izraze), kot so encode ali compress za stiskanje, ukaze decode ali decompress za njihovo razširitev, in convert ali transcode, za medsebojno pretvarjanje med različnimi vrstami formatov. Za podatke, ki še niso bili stisnjeni uporabljamo izraze, kot so nekompresirani, prvotni ali surovi (angl. Raw) podatki, končni rezultat pa so stisnjeni, kompresirani ali kodirani podatki.

1.12.1 HTTP kompresijaSpletne strani so večinoma podane v popularnih formatih, kot je HTML in njegova novejša različica XHTML. To so neke vrste dokumenti, ki so prilagojeni za spletne brskalnike. V dokumentu formata HTML je podano, kako se nam bo preko spletnega brskalnika prikazovala vsebina, ki jo ta dokument vsebuje. Ta je zapisana v označevalnem jeziku, ki lahko poleg teksta vsebuje vse od tabel, okvirjev, pozicij slik, povezav do drugih strani in datotek ter raznih skript (pHp, JavaScript, ASP.NET) in oblikovnih slogov (CSS), ki naredijo stran bolj dinamično in funkcionalno za uporabo. Vse skupaj je preko programskih jezikov prav tako podano v obliki teksta.

HTTP kompresija (angl. HTTP Compression), je eden izmed načinov stiskanja spletnih strani. Tukaj se za stiskanje uporabi zelo standardizirane algoritme za stiskanje HTML/XHTML, CSS in JavaScript tekstovne vsebine, za pohitritev prenosa strani in za varčevanje pasovne širine. Za delovanje tovrstnega načina stiskanja mora stiskanje podpirati tako spletni strežnik (npr. Apache Web Server, Microsoft Internet Information Server - IIS), kot spletni brskalnik (npr. Internet Explorer, Mozilla FireFox, Google Chrome) in še sam HTTP protokol. S tem je vsebina na strežniku stisnjena še preden je poslana, spletni brskalnik pa medtem javi strežniku ali jo je sposoben prebrati. V primeru, da brskalnik ne podpira stisnjene vsebine, mu strežnik vrne prvotno (nekompresiorano) obliko vsebine. Vsebina na strežniku se večinoma stiska po deflate algoritmu s pomočjo gzip programa, njihovo uporabo in standardizacijo pa upravlja Internet Assigned Numbers Authority (IANA) organizacija. (http://www.websiteoptimization.com/speed/tweak/compress/ , dne 3.3.2013).

O učinkovitosti HTTP kompresije je težko govoriti, saj je močno povezana z obremenjenostjo strežnika in podporo brskalnikov ter protokolov. Nekateri testi kažejo, da je z njo mogoče doseči tudi do 75 % prihranek na prostoru. Na splošno rečeno je priporočljiva za stiskanje obsežnih spletnih strani, podatkovnih baz in spletnih dokumentov. Stiskanje spletnih strani pa je izključno stvar administratorja in vzdrževalcev spletnih strani, na kar povprečen uporabnik spletna ne more imeti vpliva. Veliko spletnih strani pa sploh ni stisnjenih, saj zaradi skromne vsebine, napredne izdelave ali kompatibilnostih vzrokov, to ni potrebno. (http://www.websiteoptimization.com/speed/tweak/compress/ , dne 3.3.2013).

1.12.2 Stiskanje tekstovnih datotekKakor sem že prej omenil, ima tekstovna datoteka širši pomen. Domači uporabnik se najverjetneje pogosteje sreča z datotekami formatov DOC, PDF, ODF ali celo TXT, ki so kreirane z raznimi urejevalniki dokumentov, kot so na primer Microsoft Word, OpenOffice.org Writer in podobni. Nekateri novejši tovrstni formati celo podpirajo nekatere metode stiskanja, kar med shranjevanjem. To pomeni, da lahko s primernimi nastavitvami (izbiro primernega datotečnega formata) znotraj urejevalnika dokumentov, vsebino dokumenta shranimo v že stisnjeni obliki dokumenta. Stiskanje spletnih strani in podatkovnih baz pa se vrši med obratovanjem strežnika in s strani programske opreme, ki ga poganja. Programe, ki jih razvijajo programerji so v osnovi prav tako tekstovne datoteke, ki vsebujejo programsko kodo in je lahko stisnjena s pomočjo namestitvenih programov, katere pogosto srečamo, kadar nameščamo program na naš operacijski sistem. Skratka obilo možnosti s strani razvijalcev programskih oprem in administratorjev.

| 1. KODIRANJE 27

http://www.websiteoptimization.com/speed/tweak/compress/

http://www.websiteoptimization.com/speed/tweak/compress/


Tekstovne datoteke so tako lahko programi, dokumenti, podatkovne baze, skripte ali datoteke z raznoraznimi podatki, ki se kljub svoji tekstovni osnovi lahko med seboj razlikujejo. Tem razlikam pa vsekakor ne more biti kos en sam kodirni algoritem, zato so kot univerzalna rešitev, tukaj na voljo posebni kompresijski programi. Programi, kot so WinZip, WinRar, 7-Zip, Stuffit in podobni, se uporabljajo predvsem za tovrstne reči. Ti vsebujejo več prirejenih kodekov oziroma kompresijskih algoritmov, s katerimi lahko stiskajo različne formate datotek, stisnjene datoteke pa nato »zapakirajo« v posebne arhivsko-kompresijske formate, kot so ZIP, RAR, 7z ali TAR. Ti programi in njihovi formati, delujejo na vseh popularnih operacijskih sistemih (Windows, Linux, Mac OS X), vendar je njihovo stiskanje datotek omejeno na formate, ki so jih sposobni stisniti. Nepodprte formate ne znajo stisniti, za vse podprte datotečne formate pa uporabljajo več možnih kompresijskih algoritmov, s katerimi so sposobni učinkovito stiskati razne tekstovne in celo slikovne datoteke, prav tako pa so sposobni za malenkost stisniti nekatere zvočne in video formate.

1.13 Razširjeni arhivsko-kompresijski formati

1.13.1 ZIPZip je izredno popularen arhivsko-kompresijski format, katerega je leta 1989 razvil Phil Katz z uporabo svojega deflate algoritma. Za njegovo uporabo je sprva bilo potrebno imeti naložen program PKZIP, kasneje pa so uporabo formata implementirali tudi v vse popularne operacijske sisteme. Datotečni format je sposoben stiskati več datotek in različnih formatov hkrati ter jih skupaj združiti v eno ZIP datoteko, pri čemer je še posebej efektiven s tekstovnimi datotekami. (http://en.wikipedia.org/wiki/ZIP_%28file_format%29 , dne 15.5.2012).

1.13.2 RARArhivsko-kompresijski format Roshal Archive (Roshal ARchive), ki je priljubljen predvsem po Evropi, Rusiji ter Aziji, je lastniški format podjetja Rarlabs, katerega je leta 1993 po svojevrstnem algoritmu razvil Ruski programer Eugene Roshal. Format, v katerega je mogoče shranjevati le z uporabo programa WinRAR, je sposoben boljše kompresije od formata ZIP, vpenjanja datotek in korekcije napak. (http://sl.wikipedia.org/wiki/RAR , dne 15.5.2011).

1.13.3 7zOdprt arhivsko-kompresijski format, katerega je 1999 na trg pospremil prav tako odprt in brezplačen program 7-Zip, je delo Ruskega programerja Igorja Pavlova. Format, ki je z serijo modificiranih algoritmov (LZMA algoritem) sposoben celo boljšega kompresijskega razmerja kakor konkurenca, kot pravijo, je prav tako sposoben enkripcije ter ostalih naprednih funkcij. Na žalost pa trpi z nepodprtostjo s strani operacijskih sistemov in neprepoznavnostjo med uporabniki. Kljub temu ta predstavlja odlično brezplačno alternativo programu WinZip in WinRAR. (http://en.wikipedia.org/wiki/7z , dne 15.5.2011).

POVZETEK

Kodiranje je predstavitev informacije z dogovorjenimi znaki (npr. pisava, Morsova abeceda). Računalnik je digitalna elektronska naprava, zato mu moramo informacijo posredovati v obliki impulzov ⇒ vsako informacijo zapišemo z nizom bitov, pri čemer 1 pomeni tokovni ali napetostni sunek, 0 pa odsotnost sunka. 1 BIT (Binary DigiT) je osnovna enota za merjenje informacije. Posamezen bit prenese le majhen del informacije, zato bite združujemo v večje skupine. Vsaka skupina bitov pomeni določeno število v računalniku. Informacije zapisujemo s števili.

VPRAŠANJA1. Opiši vrste kodiranja in razlike med njimi!2. Opiši cilje kodiranja!3. Kako moramo kodirati podatke, če jih želimo obdelovati z računalnikom in zakaj?4. Razloži kodiranje števil!

| 1. KODIRANJE 28

http://en.wikipedia.org/wiki/7z

http://sl.wikipedia.org/wiki/RAR

http://en.wikipedia.org/wiki/ZIP_(file_format)



5. Razloži kodiranje znakov! Kateri znaki po standardu ASCII pripadajo desetiškim kodam: 64, 92, 126?

6. Razloži kodiranje grafike!7. Razloži kodiranje zvoka!

Viri:

http://robin2.r.uni-mb.si/predmeti/sis_meh/Predavanja/Mehatronika_2_2del.pdf

http://www2.arnes.si/~sspmpese/i/Informatika2/BazaPojmov/Kodiranje.htm

http://www.p-ng.si/~bohanec/osnrac/02slozn.doc

http://www.ecnm.si/e-gradivo/KIT/kodiranje.html

http://www.si-ca.si/kripto/index.htm

http://freeweb.siol.net/8sony/digit.html

http://en.wikipedia.org/wiki/ZIP_%28file_format%29



| 1. KODIRANJE 29




http://freeweb.siol.net/8sony/digit.html

http://www.si-ca.si/kripto/index.htm

http://www.ecnm.si/e-gradivo/KIT/kodiranje.html

http://www.p-ng.si/~bohanec/osnrac/02slozn.doc

http://www2.arnes.si/~sspmpese/i/Informatika2/BazaPojmov/Kodiranje.htm

http://robin2.r.uni-mb.si/predmeti/sis_meh/Predavanja/Mehatronika_2_2del.pdf


2. KRIPTOGRAFIJAKriptologija je veda o tajnosti, šifriranju, zakrivanju sporočil (kriptografija) in o razkrivanju šifriranih podatkov (kriptoanaliza). Beseda prihaja iz grščine: kryptos logos pomeni skrita beseda. Uporabljata se še pojma enkripcija (šifriranje) in dekripcija. Osnovno sporočilo ponavadi imenujemo čistopis (cleartext, plaintext), zašifrirano pa šifropis ali tajnopis (kriptogram, ciphertext).

Kriptografija je znanost, ki uporablja matematiko za šifriranje in dešifriranje podatkov. Omogoča shranjevanje zelo občutljivih informacij ali njihov prenos preko nezavarovanega omrežja (kot je Internet), na tak način, da jih ne more prebrati nihče razen tistega, kateremu je informacija namenjena.

V kriptografski terminologiji osnovno sporočilo ponavadi imenujemo čistopis (plaintext, cleartext). Šifriranje (encryption) je metoda prikrivanja vsebine čistopisa. Z uporabo šifriranja želimo zavarovati informacijo tako, da je skrita vsem, ki jim ni namenjena, tudi tistim, ki lahko vidijo šifrirane podatke. Rezultat uporabe šifriranja nad čistopisom je nerazumljiv niz znakov, ki ga imenujemo šifropis. Postopek vrnitve šifriranega čistopisa nazaj v originalno obliko se imenuje dešifriranje. Za postopek šifriranja in dešifriranja uporabimo določene vrednosti, imenovane ključ, kot parametre v algoritmu. Ključ je začetna vrednost algoritma s katerim izvedemo šifriranje. Poznamo dva razreda šifrirnih algoritmov, ki temeljita na uporabi ključev: simetrični (skrivni ključ – secret key) in asimetrični (javni ključ/tajni ključ – public key/private key) algoritmi. Simetrični algoritmi uporabljajo isti ključ za šifriranje in dešifriranje. Asimetrični algoritmi uporabljajo različna ključa za šifriranje in dešifriranje sporočila: Pomembno je, da dešifrirnega ključa ni mogoče dobiti iz šifrirnega ključa

Sporočilo po nekem postopku (algoritmu, metodi) spremenimo v kriptirano sporočilo, pri tem uporabimo določene vrednosti za parametre v algoritmu, ki jim rečemo ključ. Sogovornika se morata torej dogovoriti o algoritmu in ključu, da si lahko pošiljata šifrirana sporočila.

Začetki uporabe kriptografije segajo v čas pred našim štetjem. Razvitih je bilo nešteto načinov za zakrivanje sporočil. Prestrezanje sporočil ni bilo v navadi samo v vojnih časih, običajna praksa je bila predvsem prestrezanje diplomatske pošte. Na dvorih so obstajale "črne sobe", kjer so poskušali razvozlati prestrežena in prepisana sporočila.

2.1 Nekaj primerov klasične kriptografijeŠpartanci so uporabljali naslednji način: na valj so navili ozek trak in sporočilo napisali pravokotno na smer traku. Poslali so odvit trak, naslovnik pa je moral imeti valj enakega premera.

Julij Cezar je svojim vojskovodjem pošiljal sporočila, v katerih je vsako črko zamenjal s črko, ki je bila v abecedi nekaj mest za njo. Postopek lahko opišemo kot zamenjavo črk a → a+k po modulu n (n pomeni število črk v abecedi)."k" predstavlja ključ. Cezar je menda običajno uporabil ključ 3. Kako bi dešifrirali HAL, če vemo, da smo uporabili isti algoritem s ključem -1?

Enako metodo so v zgodnjih letih svetovnega spleta v Usenetu uporabljali za šifriranje neprimernih šal. V uporabi je bil postopek ROT-13 (zamenjava črk a → a+13 po modulu 26 - angleška abeceda). Seveda ni predstavljal nobene resne zaščite.

Ta metoda, kjer se črka vedno preslika v isto črko, je zelo preprosta za dešifriranje. Pri dešifriranju poiščemo najbolj pogoste črke in jih nadomestimo z najbolj pogostimi črkami v jeziku. Torej z uporabo statistične analize znakov, značilnih za nek jezik hitro odkrijemo čistopis.

| 2. KRIPTOGRAFIJA 30


Nadomestile so jo varnejše polialfabetske substitucije.

Princip kriptiranja je sedaj sledeč: Znake iz osnovne abecede kriptiramo z dvema ključema. Lihe po prvi zamaknjeni abecedi, sode pa po drugi zamaknjeni abecedi. Na ta način je precej zmanjšana možnost razkritja čistopisa.

V prvi polovici 20. stoletja so za polialfabetsko substitucijo uporabljali šifrirne stroje. Najbolj znana je enigma, ki so jo uporabljali Nemci med 2. svetovno vojno.

Med drugo svetovno vojno je zaveznikom povzročal precejšne težave nemški kodirni sistem Enigma, katerega naloga je bila maskirati sporočila, namenjena koordinaciji vojaških enot, predvsem tistih na odprtem morju. Šlo je za sistem valjev, ki so se obračali glede na začetno namestitev. Rezultat mehanskega dela valjev je bil izhodni navidezno naključni niz znakov (tajnopis). Da bi prejemnik (druga nemška enota) razvozlal sporočilo, je bilo treba odkodirno napravo (valje) nastaviti na začetno vrednost (torej ekvivalentno namestitvi za kodiranje) in spustiti celoten niz skozi obdelavo. Rezultat je predstavljal izvirno sporočilo (čistopis).

Da bi zavezniki lahko razvozlali šifrirana sporočila nemške vojske, so se najprej morali dokopati do ustroja Enigme in do začetnih namestitev stroja. Pristopa k reševanju problema sta bila dva: ugotoviti delovanje sistema na podlagi prestreženih (šifriranih) sporočil in znane vsebine ali pa se enostavno dokopati do vzorca sistema. Zavezniška vojska se je iz praktičnih razlogov odločila za slednji korak in tudi uspešno razbila nemški šifrirni sistem (postopek ugotavljanja začetne namestitve so tudi naknadno razvozlali). Seveda je bilo treba za tak poseg zagotoviti popolno tajnost in prepričati nasprotnika, da sistema nimajo in ne razumejo, kako nemški šifrirni sistem deluje. To se je tudi v resnici zgodilo in pomembno vplivalo na tok zgodovine. Nasprotno so Američani vse do konca vojne uspešno skrivali svoj sistem šifriranja, ki je temeljil na mešanici besed indijanskega jezika.

Leta 1949 je Shannon objavil delo Communication Theory of Secrecy Systems, s katerim je postavil temelje kriptološke znanosti. Medtem ko se je Shannovo delo ukvarja s simetrično kriptografijo in zagotavljanjem tajnosti, sta Diffie in Hellman utemeljila asimetričnokriptografijo s številnimi novimi cilji v članku New directions in Cryptography. Soavtor te nove vrste kriptografije je tudi Merkle, vendar je bil njegov prispevek Secure communication over insecure cannels objavljen šele leto pozneje, zato mu pogosto po krivici niso priznavali njegovih zaslug. Diffie in Hellman sta tako prva pokazala, da je mogoč praktično varen sistem tajnega komuniciranja brez varnega prenosa tajnega ključa med pošiljateljem in prejemnikom.

S tem sta pretresla kriptološki svet in izzvala pravo raziskovalno eksplozijo. Bistvo njunega članka sta dve nenavadno zviti definiciji enosmerne funkcije in enosmerne funkcije s stranskimi vratci, ki nista matematično rigorozni.

Naslednji način kriptiranja je transpozicija.

Najenostavnejši primer je stolpčna traspozicija, kjer je čistopis v obliki stolpcev in kolon, nato pa se tvori tajnopis tako, da se prepišejo znaki po stolpcih. Ključ pa predstavlja zaporedje stolpcev.

Pri pošiljanju sporočila po internetu ni dovolj, da sporočilo zašifriramo. Ko potuje po javnih vodih, preko nešteto vozlišč, lahko kdo sporočilo spremeni, saj je šifrirni ključ javno objavljen.

Pojavi se tudi problem identifikacije lastnika javnega ključa - ali ni objavil ključa namesto mene kdo drug, ki se hoče izdajati za mene in dobivati pošto, namenjeno meni. Varnostna aplikacija mora torej zagotoviti naslednje:

zaupnost (angl. Confidentiality), celovitost (angl. Integrity), overjanje (angl. Authentication),



preprečevanje tajenja (angl. Nonrepudiation), kontrolo dostopa (angl. Access Control).

Zato se je razvilo podpisovanje sporočil (angl. Digital Signatures) in overjanje javnih ključev. Potrdilo (certificate) vsebuje poleg podatkov o ključu še čas nastanka, podatke o lastniku, rok veljavnosti in podobno.

V aplikacijah, ki omogočajo zaupnost pošiljanja sporočil, se uporablja obe vrsti algoritmov. Obenem vključujejo zgoščevalne funkcije, ki poljubno dolg tekst preslikajo v število fiksne dolžine (npr. 128 bitov). Najbolj znani sta MD5 in SHA. Poleg tega pred šifriranjem tekst običajno stisnemo na manj kot polovico dolžine z enim od programskih produktov za to. Vhod v kriptografske algoritme predstavlja binarni zapis.

Če hočemo zagotoviti verodostojnost svojega sporočila, mu dodamo digitalni podpis: z zgoščevalno funkcijo izračunamo fiksni "povzetek" sporočila, ki ga zašifriramo s svojim zasebnim ključem. Prejemnik bo najprej z našim javnim ključem dešifriral podpis, iz sporočila bo ponovno izračunal povzetek ter ga primerjal s tistim, ki ga je dobil v podpisu. Če se ujemata, je dobil tako sporočilo, kot smo ga podpisali (http://www.egradiva.net/moduli/upravljanje_ik/14_kriptiranje/01_datoteka.html , 3.3.2013).

Omenjeni klasični algoritmi spadajo med simetrične algoritme ali algoritme z zasebnim ključem: imamo samo en ključ, s katerim zašifriramo in dešifriramo sporočilo.

2.2 Simetrični algoritmiPri simetričnem šifriranju, ki se imenuje tudi šifriranje s skrivnim ključem, se uporablja samo en ključ za šifriranje in dešifriranje podatkov. Prednost simetrične kriptografije je v tem, da je zelo hitra in je najbolj uporabna pri mirujočih podatkih, ki jih ni potrebno pošiljati. Uporaba simetrične kriptografije za oddajo varovanih podatkov je lahko zelo draga zaradi težavne varne distribucije ključev. Za varno komunikacijo pri uporabi simetričnega šifriranja, se morata pošiljatelj in prejemnik nekako sporazumeti glede ključa, ta pa mora ostati njuna skrivnost. Če se nahajata na različnih fizičnih lokacijah, morata distribucijo ključa zaupati kurirju ali kaki drugi vrsti varne komunikacije, ki preprečuje razkritje skrivnega ključa med prenosom. Kdorkoli prestreže ključ med prenosom, lahko pozneje prebere, spremeni ali ponaredi vse informacije zaščitene in overjene s tem ključem. Glavni problem simetričnega šifriranja je torej varna distribucija ključa.

Sprva se je uporabljala samo simetrična kriptografija, pri kateri uporabljamo isti ključ tako za šifriranje kot za dešifriranje. Pri tem nastane težava upravljanja s ključi: kako vsakemu uporabniku, ki bi želel naše sporočilo prebrati, ta ključ varno dostaviti.

Simetrična kriptografija uporablja en sam skrivni ključ za šifriranje in dešifriranje. Problem pri simetričnem šifriranju je, kako varno razdeliti šifrirne ključe pooblaščenim osebam.

Pošiljatelj sporočila se mora z vsakim prejemnikom posebej dogovoriti, kje je skrivni ključ, kar pa povečuje možnost, da kdo ta skrivni ključ prestreže in dešifrira sporočilo. Prednost simetričnega šifriranja je v njegovi hitrosti. V današnjem času se uporablja predvsem v kombinaciji z drugimi algoritmi, ki omogočajo varno izmenjavo ključev. Najbolj znan standard za simetrično šifriranje je DES (angl. Data Encryption Standard), ki pa ga zaradi prekratkih ključev danes ni več tako zelo varno uporabljati. Pomembnejši algoritmi so še IDEA, 3DES, RC2, RC4 in v zadnjem času AES (256 bitni ključ) (angl. SET Secure Electronic Transaction Specification – Bussines Description, 1997).

Delimo jih na dve skupini:

tekoče šifriranje - sporočilo šifriramo bit za bitom (angl. Stream Ciphers); sporočilo razbijemo na bloke in vsak blok posebej šifriramo (angl. Block Ciphers).


http://www.egradiva.net/moduli/upravljanje_ik/14_kriptiranje/01_datoteka.html


Pri prvem načinu šifriramo tako, da kombiniramo bit ključa in bit sporočila (običajno je to kar XOR). Če uporabimo kratek, ponavljajoč ključ, postopek ni varen - s kombiniranjem zašifriranega teksta je razmeroma lahko ugotoviti najprej dolžino ključa, potem vrednost ključa in dešifrirati sporočilo. Nasprotno pa je ta sistem nezlomljiv, če se ključ ne ponavlja in je povsem naključen niz bitov (one-time pad).

Večina algoritmov, ki jih danes uporabljamo v civilnih organizacijah, je blokovnih: sporočilo razbijemo na tako dolge bloke, kot zahteva algoritem, in vsak blok preoblikujemo in kombiniramo s ključem. Permutacije, substitucije in kombinacije s ključem (npr. opis DES-a) morajo zagotoviti, da so v izhodnem bloku zabrisani vsi vzorci iz vhodnega bloka - skratka, da izgleda kot naključen niz bitov. Za vse dobre simetrične algoritme velja, da se izhoda ne da kompresirati za več kot nekaj odstotkov.

Takšno šifriranje je hitro vendar se lahko pojavi problem pri varni izmenjavi ključev. Simetrična kriptografija uporablja namreč zasebni ključ. Naslednji problem predstavljajo komunikacijski kanali. V uporabi sta ponavadi dva takšna kanala. Po enem se izmenjujejo šifrirana sporočila, po drugem pa ključ in zato je potrebno dobro zavarovati te kanale, posebno drugega. Običajno so ključi dolgi od 40 do 160 ali celo 256 bitov, pri tem pa je treba upoštevati, da za varne veljajo ključi od 112 bitov dalje. Po trenutnih raziskavah ter poznavanjem fizike velja 256bitni ključ za nezlomljivega, ker se z vsakim dodatnim bitom čas podvoji. Za lažje razumevanje za 128 bitni ključ bi potrebovali več milijonov let.

Za simetrično kriptografijo so tipični predstavniki naslednji algoritmi:

RC4 - Razvil ga je Ronald Rivest. Ker je bila njegova struktura na začetku anonimna, je nekaj časa veljal kot nezlomljiv. Deluje na osnovi ključni permutacij v dveh fazah. Prva faza je faza vpostavitve ključa, druga pa faza šifriranja. Je izredno hiter algoritem. Je del protokola SSL. Uporablja 128 bitni ključ.

RC5 - Razvil ga je Ronald Rivest. Za razliko od RC 4 ko šifrira bit po bit, jemlje RC5 celotne besede. Uporablja tri rutine. Prva je razširitev ključa, sledi ji enkripcija, na koncu pa je dekripcija. Odlikuje ga manjša poraba pomnilnika ter možnost strojne implementacije in implementacije na pametne kartice.

RC6 – Razvili so ga Ronald Rivest, Sidney in Yin. Nastal zaradi AES (angl. American Encription Standart) zahtev, kjer se je uvrstil tudi med 5 finalistov, vendar ni zmagal. Tudi če ni zmagal, je bil glede ostalih algoritmov daleč najhitrejši. Za delovanje uporablja 4 registre.

DES ali Data Encription Standart – Je eden izmed najbolj obširno uporabljenih algoritmov. Ustvarjen za šifriranje/dešifriranje blokov velikosti 64 bitov s 64-bitnim ključem. 56 bitov je namenjenih šifriranju, 8 bitov pa preverjanju napak. Razvila sta ga NIST in IBM ter je naslednik algoritma Lucifer. Leta 1990 sta Biham in Shamir s svojo diferencialno kriptoanalizo odkrila varnostne luknje v DES-u in tudi drugih algoritmih, ki delujejo na podoben način. Z današnjimi računalniki lahko razbijemo DES enkripcijo v par minutah.

IDEA (angl. International Data Encryption Algorithm): razvila sta ga James L.Massey in Xuejia Lai v Zuerichu in objavila 1990. Uporablja 128 bitov dolg ključ na 64 bitov dolgih blokih. Patent zanj ima Ascom-Tech iz Švice. Če DES uporabljamo s trojnim ključem, je počasnejši od IDEE.



Slika 7: Simetrična kriptologija

Vir: www.google.com




2.3 Asimetrična kriptografijaZaradi problemov s simetrično kriptografijo se je razvila asimetrična kriptografija, ki uporablja javni ključ. Ker je tak postopek šifriranja bolj zahteven za računalnik je asimetrična kriptografija počasnejša kot simetrična vendar pa zagotavlja večjo varnost. Pri pošiljanju preko interneta potuje naše sporočilo po javnih vodih in preko tako imenovanih vozlišč, pri tem pa je velika verjetnost, da se lahko spremeni. Prav zaradi tega se je razvilo podpisovanje sporočil ali overjanje javnih ključev. Glavna naloga podpisovanja je, da je v njem vsebovano, poleg podatkov o ključu še rok veljavnosti sporočila, podatki o lastniku ter čas nastanka sporočila. Za ključe se uporabljajo dolžine od 512 do 2048 bitov. Za osebno uporabo je potrebno imeti vsaj 1024 bitni ključ, za strežnike, ki podpisujejo digitalna potrdila pa 2048 bitni ključ.

Kriptografija z uporabo javnih in zasebnih ključev je asimetričen sistem, ki uporablja par ključev za šifriranje in dešifriranje. Javni ključ se uporablja za šifriranje podatkov, pripadajoči zasebni ključ, imenovan tudi tajni ključ, pa za njihovo dešifriranje. Vsak uporabnik tega sistema, objavi javno svoj javni ključ, medtem, ko zasebni ključ obdrži kot skrivnost. Vsi (tudi neznani pošiljatelji), ki razpolagajo z določenim javnim ključem, lahko zaščitijo informacijo. Ta je na voljo za branje le lastniku ustreznega zasebnega ključa.

Glavna prednost kriptografije z javnim ključem je v tem, da omogoča uporabnikom varno izmenjavo sporočil, brez predhodnega vzpostavljanja varne povezave. Potreba po izmenjavi skrivnih ključev preko varnih kanalov je izključena. Vse komunikacije obsegajo samo javne ključe in noben zasebni ključ ni nikoli prenešen ali deljen z drugo osebo

Asimetrična kriptografija je znana tudi kot kriptografija javnih ključev (PKC). Začetnika v asimetrični kriptografiji sta bila W. Diffie in M. Hellman, ki sta leta 1976 prvi predstavila koncept javne kriptografije. Koncept kriptografije javnega ključa temelji na paru ključev: en ključ je namenjen šifriranju, drugi pa dešifriranju sporočila. Vsak uporabnik ima tako dva ključa: zasebni ključ in javni ključ. Javni ključ se ponavadi nahaja na strežniku in je dostopen vsakomu, zasebni ključ pa je varno shranjen pri njegovem lastniku. Ključa sta matematično sorodna, a se med seboj toliko razlikujeta, da je na podlagi enega ključa nemogoče odkriti drugega. Najpogosteje uporabljen asimetrični kriptografski algoritem je RSA16, ki temelji na zelo velikih praštevilih. V zadnjem času na pomembnosti pridobivajo asimetrični algoritmi na podlagi eliptičnih krivulj. Njihova prednost pred RSA je predvsem večja hitrost ob enaki stopnji varnosti.

Pri asimetrični kriptografiji pošiljatelj zaupno sporočilo šifrira z naslovnikovim javnim ključem. Naslovnik, ki ima edini ustrezen zasebni ključ, lahko dešifrira sporočilo. Če želimo zagotoviti še neokrnjenost sporočila in verodostojnost pošiljatelja, uporabimo postopek digitalnega podpisovanja, ki ga omogoča kriptografija javnih ključev.

Asimetrična kriptografija je mnogo počasnejša od simetrične, zato se v praksi uporablja hibridni pristop. Pri elektronski pošti je celotno sporočilo zašifrirano s pomočjo naključnega simetričnega ključa, nato pa je sam ključ zašifriran še z javnim ključem prejemnika.

Sama uporaba asimetrične kriptografije v infrastrukturi javnih ključev nam zagotavlja celovitost, zaupnost, nezatajljivost sporočila in preverjanje identitete pošiljatelja. Če sporočilo zašifriramo z javnim ključem prejemnika, ga lahko samo ta prejemnik dešifrira s svojim zasebnim ključem. Ravno obratno velja pri digitalnem podpisu, ko pošiljatelj podpiše sporočilo s svojim zasebnim ključem, prejemnik pa na podlagi njegovega javnega ključa preveri, če je to sporočilo res podpisano s strani pošiljatelja in če med prenosom ni bilo spremenjeno (http://www.halcom-ca.si/index.php?section=21 ,3.3.2013).

Prednost kriptosistemov javnih ključev pred simetrično kriptografijo je v enostavnem razpošiljanju ključev. Javni ključ lahko brez kakršnegakoli strahu, da bo ta prestrežen, pošljemo osebam, s katerimi želimo varno komunicirati, ali pa ga le-te preprosto snamejo s posebej za ta namen prirejenih


http://www.halcom-ca.si/index.php?section=21



strežnikov. Slabost asimetričnih kriptosistemov v primerjavi s simetričnimi je predvsem v hitrosti šifriranja in overjanja javnih ključev. Hitrost šifriranja je odvisna od dolžine ključa. Šifriranje in dešifriranje z 1028 bitnim ključem pri RSA, ki zagotavlja podobno stopnjo varnosti kot 72 bitov dolg ključ pri simetričnih algoritmih, je nekajkrat počasnejše. Zaradi te pomanjkljivosti daljša sporočila običajno šifriramo s simetričnimi kriptoalgoritmi, ključe za te algoritme pa zaščitimo z asimetričnimi. Kriptosisteme, sloneče na javnih ključih, tako uporabljamo pri šifriranju večinoma le za razdeljevanje ključev (SET - Secure Electronic Transaction Specification – Bussines Description, 1997).

Za asimetrično kriptografijo se uporabljajo naslednji algoritmi:

RSA – Razvili Ron Rivest, Adi Shamir in Len Adleman na univerziteti MIT v ZDA. Je prvi algoritem za praktično uporabo pri podpisovanju in šifriranju javnih ključev.

DSS ali Digital Signatures Standart – Algoritem se uporablja za digitalno podpisovanje sporočil. Uporablja verige oziroma strune dvojiških števil in digitalni podpis se nato izračuna iz določenega niza števil. Izdali so ga pri FIPS (angl. Federal Information Processing Standarts).

Slika 8: Asimetrične metode

Vir: www.google.com




2.4 Kvantna kriptografijaKvantna kriptografija predstavlja povsem novo področje šifriranja. Nekateri znanstveniki so tudi mnenja, da lahko teoretično zagotavlja stoodstotno varnost podatkov. Celotna teorija kvantnega šifriranja temelji na zamisli 2 genialnih znanstvenikov. Charles Bennett in Gilles Brassard sta pred 25 leti predstavila način šifriranja, kateri deluje na nivoju kvantne mehanike. Ključnega pomena pri tem je tako imenovan Heisenbergov princip nedoločnosti, kateri zagovarja, da je nemogoče izmeriti kvantne informacije brez, da bi jo pri tem zmotili oziroma pustili sledi, to pa zato, ker najmanjši delec informacije ni več bit ampak se v kvantni kriptografiji uporablja qubit, delec kateri se vede po zelo »čudnih« pravilih kvantne mehanike.

Podatki se pošiljajo s pomočjo fotonov in iz njihovih vzorcev se nato naredi tajni ključ za šifriranje. Ta ključ ne more poznati noben, ne da bi se razkril. Če kdorkoli poskuša tajni ključ dešifrirati tako, da bi na nek način prisluškoval prenosu podatkov, se med fotoni pojavi šum in detektorji to takoj zaznajo in prijavijo napad. V tem primeru se celoten sistem zaustavi in onemogoči napadalcu, da bi prišel do podatkov oziroma, da bi razkril ključ s katerim se bi jih dalo dešifrirati.

Kvantna kriptografija ali kvantna distribucija ključa (QKD) uporablja pri zagotavljanju varnosti komunikacije principe kvantne mehanike. Pomembna in obenem unikatna lastnost kvantne kriptografije je možnost razkritja tretje osebe pri poskusu zbiranja informacij o kodirnem ključu. To je direktna posledica dejstva, da kvantna meritev zmoti sistem in onemogoča prisluškovalcu prebrati ključ, ne da bi za seboj pustil merljive anomalije v sistemu. Implementacija komunikacijskega protokola je zasnovana tako, da zagotovi popolno varnost ključa v primeru, ko je “nivo prisluškovanja” pod določeno mejo.

Varnost kvantne kriptografije torej temelji na fundamentalnih lastnostih kvantne mehanike, medtem ko se klasična kriptografija v celotni zanaša na računsko zahtevnost nekaterih matematičnih algoritmov in zatorej ne omogoča razkritja prisluškovalca.

Treba pa je poudariti, da kvantno kriptografijo uporabljamo izključno za distribucijo privatnega kodirnega ključa in ne za pošiljanje sporočil. Ko si uporabnika enkrat lastita ključ, ki je znan samo njima, lahko komunikacija poteka preko standardnega komunikacijskega kanala.

BB84 protokol sta razvila Charles Bennett in Gilles Brassard leta 1984. To je bil prvi kvantno-kriptografski protokol. Pri protokolu navadno uporabljamo polarizacijska stanja fotonov, čeprav ga je mogoče realizirati tudi na drugih konjugiranih stanjih. Za komunikacijski kanal po katerem poteka kvantna komunikacija v primeru fotonov največkrat izberemo kar optično vlakno ali prazen prostor. Poleg kvantnega kanala pa komunikacija teče tudi preko klasičnega javnega kanala (npr. internet). Nobene potrebe ni, da je klasični kanal varen. Protokol je zasnovan tako, da upošteva možnosti prisluškovanja po kateremkoli od obeh kanalov.

E91 protokol (1991), ki ga je predlagal Artur Ekert, temelji na kvantno prepletenih parih delcev (EPR pari). Prepletena fotona (lahko ju oddaja nek centralni izvor, ki je locen od uporabnikov) se loči in razdeli med Ano in Boštjana. Prepletena stanja so popolnoma korelirana. Rezultat posamezne meritve seveda ostaja povsem naključen in posledično nepredvidljiv. Vsakršen poskus prisluškovanja uniči omenjeno korelacijo, kar je mogoče tudi detektirati.

2.5 Varnost in uporaba ključev

2.5.1 Varne komunikacije v omrežju internetPrvi protokoli, ki so jih razvili za prenos podatkov in jih uporabljamo še danes ne zagotavljajo varnosti podatkov, ki se prenašajo po omrežju. Prav tako brez dodatnih mehanizmov ne moremo biti prepričani, ali je prejeto sporočilo res napisal tisti, od katerega smo sporočilo dobili.



Da se izognemo neprijetnim dilemam ali pa težavam "odtekanja" podatkov, ki so osebne ali pa celo zaupne narave uporabljamo identifikacijske postopke (digitalni certifikati in digitalni podpisi), s katerimi preverimo strežnike, o pristnosti podatkov se prepričamo z avtentifikacijskimi postopki in podatke pred nepoklicanimi zavarujemo s tajnopisnimi (kriptografskimi) metodami.

Osnova varne izmenjave podatkov v omrežju internet so torej tajnopisni algoritmi. Na podlagi teh algoritmov so zasnovani protokoli za varno povezovanje računalnikov in varovanje podatkov.

Eden takih je protokol SSL (angl. Secure Socket Layer), ki se uporablja za varovanje podatkov, ki se pretakajo med spletnimi strežniki in odjemalci. V tem primeru se protokol http nadomesti s protokolom https.

Drugi protokol SSH (angl. Secure Shell), je širše zastavljen, saj varuje različne servise na Internetu (telnet, ftp, in ppp na splošno).

Če gornje razmišljanje strnemo ugotovimo, da lahko s pomočjo kriptografije dosežemo dve lastnosti prenesenih podatkov (dokumentov): enkripcijo in digitalni podpis.

2.5.2 EnkripcijaNamenjena je varovanju vsebine podatkov. Poslano sporočil, kodirano po asimetričnem postopku, lahko prebere samo prejemnik. Pošlje pa kdorkoli in se izdaja za nekoga drugega.

2.7 Enkripcija podatkovEncrypt pomeni prikrivalni postopek. Z enkripcijo varujemo podatke, ki jih želimo prenašati po omrežju. Podatki lahko doživljajo dve vrsti napadov – pasivne in aktivne. Pasivni napadi ne spreminjajo podatkov in načeloma ne puščajo sledi. Omejujejo se na prisluškovanje (prestrezanje sporočil). Pri aktivnem napadu pa pride do spreminjanja sporočil, brisanja sporočil in dodajanja sporočil, v katerih poskuša slepar preslepiti naslovnika, da je nekdo drug. Zato uporabljamo tajnopisne metode, ki preprečijo, da bi nepooblaščene osebe prišle do občutljivih podatkov. Splošen tajnopisni sestav sestavljata dva ključa in postopka.

Predstavljamo si, da imamo pripravljeno sporočilo, ki ga ne sme prebrati nepooblaščena oseba. Sporočilo imenujemo odprto sporočilo (plaintext). To sporočilo pošiljatelj s prikrivnim postopkom (enkripcija) in ključem K1 spremeni v prikrito sporočilo (angl. Ciphertext). Sporočilo se prenese po nezavarovanem kanalu, kjer ga lahko prestreže prestrezalnik (Interceptor) in ga poskuša razbiti (pretvoriti nazaj v odprto sporočilo). Če je skrivnopisni sestav dober, mu to ne bo uspelo. Prikrito sporočilo pride do prejemnika, ki ga z razkrivnim postopkom (angl. Decrypt) in ključem K2 spremeni nazaj v odprto sporočilo.

Kaj vse lahko prestrezalnik naredi s sporočilom? Pri navadnem pasivnem napadu ga poskuša le prebrati. Med aktivnim napadom ga lahko poskuša spremeniti, lahko pa poskusi podtakniti novo sporočilo, ki je sprejemniku videti, kakor bi prihajalo od pošiljatelja. Pred takimi napadi nas rešuje digitalno podpisovanje

(http://www1.fov.unimb.si/Studentske_strani/seminarske/enkripcija%20podatkov/default.htm 3.3.2013).

Za digitalno podpisovanje se uporabljajo asimetrični algoritmi.

Mnogokrat dodajamo zaščito v že obstoječe programe, ki jih je težko spremeniti, ali pa hočemo zaščititi naprave, ki jih ne moremo programirati (npr. oddaljene terminale). Takrat posežemo po prikrivanju zveze. Med lokalno napravo in oddaljeni računalnik vstavimo škatlici, ki prikrivata in razkrivata vso komunikacijo. Izboljšano različico take škatlice dobimo tudi kot modul za osebni


http://www1.fov.unimb.si/Studentske_strani/seminarske/enkripcija%20podatkov/default.htm


računalnik. Ta lahko le prikriva podatke, lahko pa ga nadzorujemo tudi programsko. Boljši modeli imajo tudi vhod za priključitev čitalnika pametnih kartic (smart card).

2.7.1 Program za enkripcijo - PGP (Pretty Good Privacy)PGP je aplikacija, ki omogoča storitev zaupnosti (confidentiality) in overjanja (authentication). Te storitve se uporablja za shranjevanje datotek in za zaščito elektronske pošte. PGP uporablja za overjanje obe predhodno omenjeni obliki potrdil. X509v3 je hierarhičen model, kjer nam potrdilo izda priznani overitelj potrdil (CA Certification Authorithy), po drugi strani predstavlja PGP model mrežno zaupanje, kjer vsak uporabnik nastopa v vlogi overitelja in s tem odpade potreba po glavni CA. Mrežno zaupanje uporablja neposredno zaupanje in hierarhično zaupanje. Potrdilu lahko zaupamo neposredno ali pa ima zaupanje nekega člena v verigi, ki je povezan z izvornim overiteljem. Če kdorkoli od uporabnikov podpiše drug ključ, postane ta uporabnik overitelj tega ključa. Z nadaljevanjem tega procesa se vzpostavi mrežno zaupanje. Pri izdelavi PGP potrdila omogoča aplikacija uporabniku izbiro vrste algoritma in velikost šifrirn-ega(ih) ključ-a(ev). PGP potrdilo je bolj primerno za osebno uporabo, X509v3 pa za poslovne sisteme. Uporablja sestav z "javnim ključem" in je softverska aplikacija za MS DOS, Unix, VAX/VMS in ostale računalnike.

Program PGP je eno najbolj znanih komercialnih orodij za šifriranje elektronske pošte ter enkripcijo podatkov na trdem disku računalnika. Njegovi začetki segajo v leto 1991, ko je Phil Zimmerman napisal program, ki je za šifriranje sporočil uporabljal algoritem RSA.

Šifriranje elektronske pošte s programom PGP temelji na principu javnega in zasebnega ključa. če si želita dve osebi izmenjevati šifrirana elektronska sporočila, morata za to imeti vsaka svoj par ključev (sestavljen iz javnega in zasebnega ključa), pri čemer si morata izmenjati javna ključa. Šifriranje sporočil nato poteka tako, da pošiljatelj pri šifriranju sporočila uporabi prejemnikov javni ključ in svoj zasebni ključ. Ko bo prejemnik sporočilo prejel, ga bo s svojim zasebnim ključem lahko dešifriral. Z uporabo dovolj močnega algoritma tretje osebe praktično nimajo možnosti, da bi se seznanile z vsebino šifriranega sporočila. Edina šibka točka je geslo, zato moramo izbrati takšnega, ki ga v razumnem času ni moč uganiti (kombinacija vsaj dvanajstih črk, številk in znakov).

PGP ponuja tudi dve možnosti kriptiranja vsebine trdega diska. Prva možnost je tako imenovani varni kontejner, kjer določimo prostor na disku, ki ga PGP zakriptira. Ta kontejner nato priklopimo kot virtualno particijo, v katero povsem običajno shranjujemo podatke. Ko particijo odklopimo, so vsi podatki na njej kriptirani in varni pred nedovoljenim dostopom. Druga možnost je kriptiranje celotnega sistema vključno z zagonsko particijo. V tem primeru so kriptirani tudi operacijski sistem, vsi nameščeni programi ter nastavitvene in začasne datoteke. Ta možnost ponuja najvišjo stopnjo varnosti, a je za uporabnika tudi najmanj prijazna. Ker mora računalnik neprestano šifrirati/dešifrirati datoteke, se njegovo delovanje nekoliko upočasni. Zato enkripcijo celotnega sistema uporabimo le, kadar imamo opravka s tako občutljivimi podatki, da smo v zameno za njihovo varnost pripravljeni žrtvovati del zmogljivosti.

V program PGP je vključeno tudi orodje za varno brisanje. Ko neko datoteko vržemo v koš, slednjega pa izpraznemo, pravzaprav nismo naredili nič. Operacijskemu sistemu smo zgolj povedali, da omenjene datoteke ne potrebujemo več ter da lahko na mesto, ki ga je zasedala na disku, kdaj kasneje shrani kaj drugega. Vse dokler operacijski sistem na to mesto ne zapiše drugih podatkov, je naša domnevno izbrisana datoteka še vedno tam in jo lahko brez težav prikličemo nazaj. če imamo opravka s pomembnimi podatki, si tega seveda ne želimo. Tukaj se izkaže PGP-jevo orodje za varno brisanje, ki ob izbrisu posamezne datoteke mesto na disku večkrat prepiše z naključnimi podatki. Tako izbrisane datoteke zgolj s programsko opremo ne bomo mogli več obnoviti. Do nje se bodo morebiti lahko dokopali le še forenziki s posebno strojno opremo. (http://dne.enaa.com/Internet-in-programi/Internet/Poznate-PGP.html 3.3.2013).

Prikrivanje sporočila


http://dne.enaa.com/Internet-in-programi/Internet/Poznate-PGP.html


Če želiš sporočilo prikriti z javnim ključem uporabiš ukaz: pgp -e tekstovna datoteka njena_uporabniška identifikacija (pgp -e textfile her_userid). Ta ukaz naredi datoteko čistopisa, ki jo imenujemo: pgp -e pismo.txt Alice (pgp -e letter.txt. Alice ali pgp -e letter) ali pgp -e pismo.txt "Alice S" V prvem primeru nam program preišče datoteko "pubring.pgp", ki vsebuje javne ključe, če katerokoli polje uporabniških identifikatorjev vsebuje niz "Alice". V drugem primeru pa nam bo našel katerikoli uporabniški identifikator, ki vsebuje "Alice S". Program ne razlikuje med velikimi in malimi črkami.

Prikrivanje besedila, ki ga pošiljamo večim osebam

Če želimo poslati isto sporočilo večim osebam, lahko določimo enkripcijo za več prejemnikov. Dodati moramo več uporabniških identifikatorjev v ukazno vrstico. pgp -e pismo.txt Alice Bob Carol. To pismo lahko dešifrirajo Alice ali Bob ali Carol.

Podpis sporočila

Če želiš podpisati sporočilo s skrivnim ključem moraš napisati: pgp -e tekstovna datoteka [-u tvoj _uporabniški identifikator] (pgp -e textfile [-u your userid]) primer:pgp -s letter.txt -u Bob. Tu program preišče datoteko "secring.pgp", ki vsebuje javne ključe, če katerokoli polje uporabniških identifikatorjev vsebuje "Bob". Program ne razlikuje med velikimi in malimi črkami.

Podpisovanje in nato prikrivanje

Če želiš podpisati sporočilo s skrivnim ključem in ga nato prikriti z javnim ključem, uporabiš ukaz: pgp -es tekstovna datoteka njena_uporabniška identifikacija [-u tvoj_uporabniški identifikator] (pgp -es textfile her_userid [-u your_userid]). Preko vaše uporabniške identifikacije (your_userid), se avtomatsko prebere privatni ključ s katerim se pošta podpiše. Njen javni ključ (her_userid) se prav tako avtomatsko prebere iz datoteke javnih ključev s pomočjo njene uporabniške identifikacije. Če v ukazni vrstici ne napišete njene uporabniške identifikacije bo program to zahteval od vas.

Uporaba klasične enkripcije

Če podatkov ne bomo poslali naprej in jih želimo le shraniti, jih lahko zavarujemo le z enim ključem, ker bo ta dokument šifrirala in dešifrirala ista oseba, zato ne rabimo javnega ključa. Za enkripcijo teksta v tem primeru uporabimo ukaz: pgp -c tekstovna datoteka.

Delovanje

Dejansko delovanje PGP aplikacije je sestavljeno iz petih storitev: overjanja, zaupnosti, kompresije, združljivosti elektronske pošte in segmentacije. Overjanje je torej storitev, ki omogoča digitalni podpis sporočila. V primeru overjanja se šifrira povzetek sporočila (dobljen z zgostitvenim algoritmom SHA-1) z avtorjevim tajnim ključem. Šifriran povzetek se nato pripne čistopisu. Zaupnost dosežemo s šifriranjem sporočila. Sporočila šifriramo s simetričnim algoritmom, za vsako sporočilo se generira nov ključ. Na voljo so sledeči algoritmi: CAST (128 bitni), IDEA (128 bitni), 3DES (168 bitni), AES (256 bitni) in Twofish (256 bitni). Simetričen ključ je šifriran s prejemnikovim javnim ključem (RSA ali DSS) in pripet sporočilu.

Overjanje in zaupnost

V praksi se večinoma uporabljata obe storitvi hkrati, pri tem je zelo pomemben vrstni red operacij. Kot prvo se izvede overjanje, saj se mora podpis izračunati iz čistopisa sporočila. V nasprotnem primeru bi prejemnik sporočila potreboval tudi simetrični ključ(Ks) za preverjanje podpisa. Če primerjamo predhodni storitvi na obeh slikah, lahko združimo celotni proces na mestu kompresije (Z) - podpisovanju sledi šifriranje in obratno na mestu dekompresije (Z-1) - dešifriranju sledi preverjanje podpisa.

Kompresija in segmentacija



PGP aplikacija opravi kompresijo sporočila po podpisu sporočila in pred njegovim šifriranjem (na sliki 1 in 2 kompresijo in dekompresijo predstavljata Z in Z-1 ). Podpis se generira pred kompresijo iz dveh razlogov:

ker to zadostuje za shranjevanje navadnega teksta (čistopis) in podpisa, za kasnejšo verifikacijo,

ker PGP kompresijski algoritem ni determinističen; različne izvedbe algoritma dosežejo različne hitrosti in stopnjo kompresije. S šifriranjem sporočila po opravljeni kompresiji povečamo kriptografsko varnost, saj ima kompresirano sporočilo manj redundance, kar oteži kriptoanalizo. PGP avtomatično razdeli sporočila v segmente, ki so dovolj majhni za pošiljanje preko elektronske pošte. Na sprejemni strani se avtomatično izvede ponovna sestava sporočil.

Združljivost elektronske pošte

Mnogo sistemov elektronske pošte dovoljuje uporabo blokov, ki vsebujejo samo ASCII tekst. PGP standard uporablja Radix-64 pretvorbo za pretvarjanje zaporedja v ASCII znakovno obliko, primerno za tiskanje. Šifrirani deli sporočila tvorijo zaporedje 8-bitnih oktetov, dolžina sporočila po pretvorbi preko ACSII.

PGP glavne lastnosti in prednosti

Sama aplikacija se je od prve verzije, (1991) brez grafičnega vmesnika, razvila v aplikacijo z obsežnim grafičnim vmesnikom, ki omogoča uporabniku zelo enostavno upravljanje z vsemi razpoložljivimi funkcijami, poleg same zaščite elektronske pa ima na voljo še dodatne varnostne mehanizme.

PGP aplikacija sestoji iz treh glavnih komponent. PGP Keys (ta komponenta omogoča uporabniku ustvarjanje osebnih ključev ter upravljanje z javnimi ključi drugih oseb), PGP Mail (omogoča šifriranje in dešifiranje sporočil) in PGP Disk (s to komponento lahko šifriramo celoten ali le del trdega diska oziroma USB diska in s tem popolnoma zaščitimo podatke tudi v primeru kraje ali izgube diska). Dodatni varnostni mehanizni omogočajo še zaščito ICQ komunikacij, popolno brisanje datotek brez možnosti povrnitve izbrisanih podatkov in ustvarjanje arhivov, ki se lahko sami dešifrirajo.

Zelo pomenben dejavnik je tudi ta, da je na domači strani (www.pgp.com) na voljo popolna izvorna koda zadnje verzije PGP aplikacije. Namen objave izvorne kode je v tem, da to omogoča zainteresiranim posameznikom pregled celotne kode za pravilnost implementacije (šifriranje s prevedeno izvorno kodo nam mora dati enak šifropis kot šifriranje z originalno aplikacijo), poleg tega se uporabniki lahko prepričajo, da niso vgrajena stranska vrata, ki bi omogočala poznavalcu te bližnjice, enostaven obhod katerekoli zaščite. Za končne uporabnike pomeni to dodatno zagotovilo na področju varnosti PGP aplikacije. Uporabniku so na voljo tri različne verzije aplikacije: PGP Personal, PGP Desktop in PGP Enterprise. PGP Personal je namenjena individualnim uporabnikom in ima vse zgoraj naštete lastnosti. Omogoča integracijo v Outlook Express, Outlook in Eudoro. PGP Desktop je namenjena manjšim skupinam, ki ne potrebujejo administracijske inštalacije in podpore in dodaja integracijo v sisteme elektronske pošte (Miocrosoft Exchange, Lotus Notes in Novell GroupWise). Tretja verzija PGP Enterprise je namenjena večjemu številu uporabnikov (korporacije), ki potrebujejo centralni nadzor, konfiguracijo in upravljanje, kar je omogočeno z dodatno komponento PGP Admin

2.8 Algoritmi z javnim ključem Ob razvoju komunikacij je poslovni svet pričakoval od kriptografije, da bo rešila dva problema. Prvi je potreba po prehodni izmenjavi tajne informacije oziroma ključa, preden se šifrirano komuniciranje lahko začne. Ta potreba pri simetričnem šifriranju je v velikem nasprotju z naravo poslovnega komuniciranja, kjer se pogosto dogodi, da si želita dve osebi varno izmenjati informacije, ne da bi se prej kdaj srečali in izmenjali ključa. Drugi problem je nadomestek ročnega podpisa. Poslovni svet



potrebuje tak nadomestek za potek nekaterih poslovnih dogodkov brez medsebojnih srečanj s potovanji.

Da bi bilo mogoče ta problema rešiti, sta leta 1976 Whitifield Diffie in Martin Hellman opisala kriptografski sistem z javnimi ključi. Ta mora med drugim izpolnjevati pogoj, da se šifriranje razlikuje od dešifriranja. Postopka šifriranja in dešifriranja uporabljata dva različna dela ključa, pri čemer je računsko neizvedljivo iz dela ključa za šifriranje izračunati drugi del, to je del ključa za dešifriranje. Tako je mogoče šifrirni del ključa objaviti, zato se imenuje javni ključ, dešifrirni del ključa pa se obdrži kot skrivnost in se imenuje zasebni ključ. Ker imamo na ta način pravzaprav dva različna ključa, kriptografijo z javnim ključem imenujemo tudi asimetrična kriptografija.

Zanimivo pri najavi asimetrične kriptografije je, da avtorja nista vedela, ali je njene pogoje sploh mogoče izpolniti in nista poznala nobene šifre, ki bi ustrezala opisu. Vendar so se ze naslednje leto začele pojavljati šifre, ki so ustrezale predstavljenim pogojem. Prijetna posledica zastavljenih pogojev je tudi, da ima vsak osebek lahko le en sam ključ. Nasprotno v simetrični kriptografiji potrebujemo v družbi n osebkov po en ključ za vsak par te družbe, kar znese n(n-1) ključev. Prednost pri asimetrični kriptografiji je tudi, da se javni ključi lahko objavljajo podobno kot telefonski imenik. Najbolj primerna mesta za objavo so seveda računalniški strežniki.

Če želimo komu poslati zaupno sporočilo, poiščemo v imeniku njegov javni ključ in z njim šifriramo sporočilo. Samo naslovnik lahko enostavno prebere sporočilo, ker ima zasebni ključ, ki omogoča dešifriranje sporočila, za vse druge, vključno s pošiljateljem, sporočilo ostane šifrirano. Problem pri objavi javnih ključev je, da moramo biti prepričani, da ključ res pripada pravi osebi. Vsiljivec lahko namreč objavi svoj ključ v imeniku pod lažnim imenom in na ta način prebira sporočila, namenjena tistemu, za kogar se predstavlja. Rešitev tega problema mnogi vidijo v agencijah za certificiranje javnih ključev. Globalne rešitve za izmenjavo ključev, njihovih preklicev in drugih informacij med takšnimi agencijami pa so zapletene in včasih okorne. Prava vrednost asimetrične kriptografije pa se pokaze pri drugih vrstah uporabe. Že pobuda za začetek razvoja sistemov z javnim ključem je vključevala zeljo po rešitvi problema nadomestka ročnega podpisa. Ker imamo dva različna ključa, se nam ideja, da njuno uporabo zamenjamo, ponuja sama po sebi. Šifriramo torej z zasebnim ključem. Ker samo mi poznamo zasebni ključ, tega ne more storiti nihče drug. Kdo lahko prebere tako sporočilo? Vsakdo, ki pozna naš javni ključ, torej vsi, ki jih to zanima. Skratka rezultat je podpisano sporočilo, ki ga samo mi lahko podpišemo, ker poznamo zasebni ključ, na drugi strani pa lahko drugi uporabniki podpis preverijo in se tako prepričajo v celovitost sporočila in avtentičnost avtorja sporočila. Tako uporabljeno asimetrično šifriranje za podpisovanje informacij imenujemo digitalno podpisovanje in lahko rabi kot nadomestek ročnega podpisa.

Digitalni podpis je kot oznaka sporočila podoben oznaki MIC, ki jo izdelamo s klasičnimi šifriranimi metodami. Vendar je med njima pomembna razlika, saj lahko digitalni podpis izračuna le imetnik zasebnega ključa, javni ključ pa omogoča prejemniku le preverjanje digitalnega podpisa. Oznako MIC znata izračunati oba, pošiljatelj in prejemnik, ki preverja celovitost. Tako lahko v primeru digitalnega podpisa tretja oseba odloča o njegovi pravilnosti, medtem ko pri oznaki MIC to ni mogoče. Nekatere asimetrične šifre omogočajo, da lahko z njimi informacije tako šifriramo, kot tudi podpisujemo. Pogoj za to je, da je vhodna abeceda šifre enaka izhodni. S takimi šiframi lahko informacijam zagotavljamo tajnost in integriteto hkrati. Pri tem načinu uporabljamo za podpisovanje svoj tajni ključ in javni ključ naslovnika drugega za drugim. Nekatere asimetrične šifre pa so primerne le za šifriranje, druge pa le za tvorbo digitalnih podpisov. Tudi pri ugotavljanju verodostojnosti osebkov so asimetrične šifre zelo priročne. Najbolj znane šifre z javnim ključem so: RSA, ElG-amal, algoritmi z nahrbtniki, McEliece. Kriptografija javnega ključa z digitalnim podpisom še nima enake veljave kot lastnoročni podpis.

Simetrični algoritmi uporabljajo za pretvorbo čistopisa v tajnopis in nazaj isti ključ (tajni ključ). Slabost tega je, da število potrebnih ključev hitro preraste razumne meje, saj za vsakogar, s katerim si želimo izmenjati sporočila potrebujemo svoj tajni ključ. Predstavnik teh algoritmov je Data Encryption Standard (DES).



2.9 RSADanes se najbolj uporablja algoritem RSA, ki ima ime po svojih avtorjih (Ronald Rivest, Adi Shamir, Leonard Adleman) – MIT, 1977. Metoda temelji na predpostavki, da je iz zmnožka dveh velikih praštevil težko ugotoviti, kateri praštevili ga sestavljata. Vzemimo primer s 3–številčnima prašteviloma: 191 x 283 = 54053. Če hočemo faktorizirati to število, ga moramo deliti z vsemi praštevili do 191 oziroma v splošnem do njegovega kvadratnega korena. V praksi pa so ta števila več kot stoštevilčna.

Njena varnost temelji na dejstvu, da je razmeroma lahko najti zelo velika praštevila in zelo težko razstaviti na prafaktorje števila, ki so produkt velikih praštevil (če poznamo samo produkt). V praksi uporabljajo praštevila, ki se dajo zapisati z najmanj petdesetimi desetiškimi ciframi in so torej njihovi produkti dolgi vsaj sto desetiških mest.

Samo težavnost faktoriziranja lahko opazimo celo že pri zelo majhnih številih. Če bi na primer poskusili brez računalnika razstaviti na prafaktorje število 54.053, bi imeli precej več dela, preden bi prišli do rezultata 54.053 = 191 · 283, kot pa ugotovili, da sta 191 in 283 praštevili in ju zmnožili.

Osnovo metode prestavlja naslednji izrek iz teorije števil, ki ga pripisujejo Eulerju: Naj bosta p in q različni praštevili, velja naj tudi ed = 1 mod (p–1)(q–1).

Potem sledi (Te)d = T mod pq.

e predstavlja enkripcijski ključ, d predstavlja dekripcijski ključ, T pa tajnopis.

Če nam B predstavlja blok teksta, ga zašifriramo takole: T = Be mod pq dešifriramo pa: B = Td mod pq. Če označimo n = pq, javni ključ sestavlja p,q ter e, skriti ključ pa p, q in d.

Kako bomo izbrali vrednosti p, q, e in d?

p in q morata biti veliki praštevili – več stomestni števili, razmeroma blizu skupaj. V praksi za e običajno izberemo 3 ali 65537 (216+1). Zdaj izračunamo produkt (p–1)(q–1). Drugo predpostavko iz gornjega izreka lahko izrazimo tudi takole: ed –1 je deljivo s (p–1)(q–1) oziroma v obliki

Diofantske enačbe: ed + k(p–1)(q–1) = 1. Ta pa je rešljiva s celimi števili, če velja, da sta števili e in d tuji proti p –1 in q–1 (nimajo skupnih deliteljev). Izberemo tako število, ki je večje od p+1 oziroma q+1 in manjše od produkta (p–1)(q–1). Zdaj izračunamo število d iz formule ed mod (p–1)(q–1) = 1.

Sporočilo, ki ga želimo šifrirati, najprej razbijemo na bloke, krajše od pq, – danes je to ponavadi 512 ali 1024 bitov. Izračunamo vrednost T = Be mod pq za vsak kos sporočila. Ta števila združimo in dobimo šifrirano sporočilo. Pri dešifriranju spet najprej razbijemo sporočilo na bloke in na vsakem uporabimo formulo B = Td mod pq.

Asimetrični algoritmi se uporabljajo za izmenjavo skupnih ključev in za digitalno podpisovanje.

2.10 ŠifriranjeZaščita podatkov poteka na podlagi dveh temeljnih korakov. Niz znakov je treba sprva obdelati tako, da je rezultat navidezno naključen niz. Ker gre lahko tudi za daljše nize oziroma večje količine podatkov, je asimetrična kriptografija neprimerna, saj bi se proces vlekel v neskončnost.

Problem rešimo s kombinirano uporabo simetričnega in asimetričnega postopka, tako da najprej ustvarimo simetrični ključ za enkratno uporabo (dejansko lahko isti ključ uporabimo tudi večkrat). Niz nato na podlagi ustvarjenega ključa simetrično šifriramo z ustreznim algoritmom. Prejemnik šifriranih podatkov torej potrebuje identifikacijo uporabljenega algoritma in simetrični ključ. Slednjega pred



prenosom zaščitimo z asimetričnim postopkom, torej s prejemnikovim javnim ključem. Ta bo lahko dešifriral simetrični ključ samo z zasebnim ključem.

Pri šifriranju podatkov lahko nastane nevarnost razbijanja zaščite na podlagi ponavljajočih se vzorcev. Če pošiljatelj uporablja vedno iste nize čistopisa (primer polj "from" in "to" v elektronskih sporočilih), lahko nekdo tretji na podlagi znanega dela čistopisa in prestreženega tajnopisa ugotovi vrednost uporabljenega ključa. Zato je smotrno pred samim šifriranjem vključiti spremenljivo nastavitveno vrednost ali t. i. inicializacijski vektor.

Za varno izmenjavo podatkov se moramo torej dogovoriti o uporabljenih algoritmih in zaščititi šifrirne parametre (ključe, inicializacijske vektorje). Kombiniran postopek je neprimerno hitrejši od postopka, pri katerem bi uporabili zgolj asimetrično kriptografijo, saj je simetrični ključ navadno dolg 128 bitov (ali več, odvisno od stopnje varnosti). Seveda se je mogoče razbijanja šifriranega sporočila vedno lotiti, in sicer na dva načina: z razbijanjem asimetrične zaščite, s čimer se dokopljemo do simetričnega ključa, ali pa z neposrednim razbijanjem simetrične zaščite. Da bi se ognili takim napadom, je smotrno uporabljati primerno dolge nastavitve vrednosti, ki bi poizkus zloma zaščite zavlekle v časovno prezahtevno in neracionalno operacijo (http://www.monitor.si/clanek/informacijska-varnost/ 3.3.2013).

Poznamo dva postopka šifriranja in sicer substitucijsko ter transpozicijsko šifriranje. Substitucijsko šifriranje pretvori vsako črko ali besedo z drugo in jo zamaskira ter pri tem ohranja vrstni red črk kot v čistopisu. Prvi zapis uporabe takega šifriranje poznamo iz časa Julija Cesarja, ki je uporabljal zamik abecede za k črk (k je šifrirni ključ). Tako šifriranje je zelo preprosto razbiti, zato so se razvili bolj varni sistemi šifriranja. Eden izmed teh je zamenjava črke z drugo črko iz abecede. Kljub temu, da se sistem šifriranja sliši zelo preprost nam preprosta matematična formula prikaže drugačno stanje. Tisti ki bi želel tak sistem razbiti, bi moral poizkusiti 25! = 1.5 X 1025 možnih ključev (25 črk v slovenski abecedi). V realnosti se ta številko močno zmanjša, saj besedila ponavadi upoštevajo slovnična pravila, nekatere črke se ponavljalo, itd.

Primer Substitucija:

Čistopis A B C Č D E F G H I J K L ….

Šifrirano Q W E R T Z U I O P Š Č H ….

Transpozicijsko šifriranje za razliko od substitucijskega spremeni vrstni red črk in jih ne zamaskira. Eden takih šifrirnih postopkov je prikazan na sliki. Izberemo si ključ – ŠIFRAIRAM, ki ga zapišemo v vrstico. Nato čistopis zapišemo pod njim črko na črko. Ko pridemo do zadnje črke našega ključa preidemo v novo vrstico. Označimo vrstni red ključa po abecedi. Izpišemo stolpce začenši z stolpcem pod črko A, ki je prva v abecedi. Ključ moramo izbrati dovolj velik da zadostuje vsem črkam. S našim ključem lahko šifriramo besedilo dolžine 5X5=25 črk. Ker ima naše besedilo le 22 črk ostanek do 25 zapolnimo za naključnimi črkami. Takemu šifriranju rečemo da je 25 bločno šifriranje.

Primer: Transpozicija

Š I F R A20 10 7 18 6

n a L o ga j E t Ež k A i Nz a B a Vn a Š i Fr a Z X Y

Čistopis: nalogajetežkainzabavnašifraZXY

Šifrirano: GENVFYLEABŠZAJKAAAOTIAIXNAŽZNR


http://www.monitor.si/clanek/informacijska-varnost/


Koda za enkratno uporabo (one-time pad)

Koda za enkratno uporabo je koda, ki se jo ne da razbiti, če se uporablja dovolj dolgo besedilo. Če jo želimo uporabiti potrebujemo dovolj dolg naključen niz, ki predstavlja ključ. Čistopis pretvorimo v binarno obliko, na primer z uporabo ASCII tabele. Nato opravimo XOR operacijo med binarnim zapisom čistopisa in našim naključnim nizom. Ključ mora biti vsaj toliko dolg kot je dolžina čistopisa. Tako šifriran zapis se ne da razbiti. Pri takem šifriranju se moramo držati le enega pravila in sicer, da se ključ uporablja samo enkrat. Problem takega šifriranja je njegova dolžina ključ, katerega morata poznati pošiljatelj in prejemnik.

Bločno in pretočno šifriranje

Bločno šifriranje je enkripcijska shema, kjer sporočilo razdelimo na krajše bloke konstantne dolžine, ki jih nato drugega za drugim šifriramo. Blokovno šifriranje se naprej deli na substitucijsko in transpozicijsko šifriranje.

Pri transpozicijskem šifriranju so simboli ohranjeni, njihova sekvenca pa se spremeni (določa jo ključ).

Pri substitucijskem šifriranju pa se sekvenca ne spremeni , spremenijo pa se simboli.

2.11 StiskanjeV internetu žal v sam protokolni sklad ni vključeno stiskanje (kompresija) podatkov. Stiskanje podatkov je naloga predstavitvenega sloja. V protokolnem skladu TCP/IP morajo te naloge opraviti storitve na aplikacijskem sloju. Poleg stiskanja imamo tudi pakiranje podatkov.

V računalniški in informacijski terminologiji je stiskanje podatkov proces kodiranja podatkov, pri katerem je rezultat manjše število bitov kot jih je imela izvorna informacija. Na primer, če kodiramo besedo Slovenija kot SI. V računalništvu obstaja več metod za stiskanje podatkov.

Pri stiskanju podatkov v komunikacijskih procesih je nujno, da na obeh straneh komunikacijskega kanala (oddajnik in sprejemnik) uporabljamo isto kodirno shemo. Stiskanje podatkov je pomembno, saj nam pomaga zmanjšati stroške. Na disku potrebujemo manj prostora (in zato manjši disk), pri prenosu podatkov potrebujemo manjšo pasovno širino.

S stiskanjem se zmanjša velikost datoteke. Imamo dve vrsti stiskanja brezizgubne in izgubne. Pri brezizgubni se lahko podatke po dekompresiji podatke obnovi v natančno take kot so bili pred kompresijo. Pri izgubni pa se nekateri podatki izgubijo in jih ni mogoče povrniti v prvotno stanje (tipični primer so stiskanje fotografij, na primer JPEG).

Prednost izgubnih metod stiskanja podatkov pred brezizgubnimi je v razmerju stiskanja. Pri izgubnih metodah so datoteke precej manjše. Izgubne metode so uporabne za stiskanje zvoka, slik in videa. Razmerje stiskanja (količnik med velikostjo nestisnjenih podatkov in stisnjenih podatkov) je pri zvočnih datotekah nekje pri 10:1, ne da bi bistveno opazili popačenje. Pri stiskanju video datotek je lahko to razmerje pri majhnem popačenju 300:1.

Eden izmed pomembnih podatkov je vernost (angl. Fidelity) prenesenih podatkov. Resnično vernost zagotavljajo samo brezigubne metode stiskanja. Brezigubno stiskanje podatkov uporablja algoritme, ki omogočajo rekonstrukcijo podatkov v natančno tako obliko, kot so jih imeli pred stiskanjem. Brezigubno stiskanje uporablja mnogo aplikacij. Pogosta oblika so datoteke ZIP in v okolju Unix GZIP.

2.12 MultipleksiranjeNajdražji element v komunikacijskem sistemu je prenosni medij (kabli in vsa ostala strojna oprema, ki zagotavlja prenos signalov). Da bi medij kar se da najbolje uporabili, je potrebno zagotoviti največji



izkoristek pasovne širine kanala. Najboljši izkoristek prenosnega medija omogoča tehnika multipleksiranja, ki združuje več kanalov in jih pošilja preko medija.

Uporaba tehnike multipleksiranja je mogoča, če je kapaciteta kanalov večja kot količina podatkov posameznega podatkovnega vira.

Za primer vzemimo komunikacijski sistem, v katerem so trije podatkovni viri. Vir ima svoj prenosni kanal, ki pa ni v celoti izkoriščen. Ker je kapaciteta oddajanja manjša od enega samega prenosnega kanala, je mogoče uporabiti tehniko multipleksiranja.

Multipleksiranje imenujemo postopek razdeljevanja prenosnega kanala na več kanalov, po katerih potujejo podatki iz različnih virov, tako da ima vsak izvor svoj lastni kanal. Drugače povedano, s pomočjo multipleksiranja lahko uporabimo eno samo komunikacijsko zvezo za prenos večjega števila signalov istočasno ali v hitrem zaporedju.

Telekomunikacijski kanal si lahko predstavljamo kot medij z določenim frekvenčnim območjem, ki je na razpolago v določenem časovnem obdobju. Če vsak signal, ki naj bi bil prenesen, zahteva manjšo kapaciteto od razpoložljive, jo je mogoče razbiti na frekvenčna ali časovna območja. Glede na povedano razlikujemo dva načina razdeljevanja signalov:

časovno porazdeljeno multipleksiranje, pri katerem vsaki enoti pripada prenosni medij le določen časovni interval, in

frekvenčno porazdeljeno multipleksiranje, kjer je prenosni medij razdeljen v ožje frekvenčne pasove, ki so prirejeni posamezni enoti.

2.13 Frekvenčno porazdeljeno multipleksiranjePri frekvenčno porazdeljenem multipleksiranju (angl. Frequency Division Multiplexing, FDM) so signali preneseni v različne frekvenčne pasove in poslani preko medija. Komunikacijski kanal je razdeljen na različne frekvenčne pasove, pri tem vsak pas prenaša signal enega vira.

Pri frekvenčnem multifleksiranju elektronski pretvorniki frekvence (modulatorju - demomodulatorji) zagotavljajo, da posamezen signal zavzame dodeljen kanal. Širina kanalov ni nujno enaka - optimalno je zveza izkoriščena takrat, ko vsak kanal zavzame samo tisti frekvenčni obseg, ki ga potrebuje.

Na primer, trije podatkovni viri oddajajo tri signale. Prvi signal je pretvorjen v prvi frekvenčni pas, drugi signal je pretvorjen v drugi frekvenčni pas, itd. Na prejemnikovi strani se te signale demultipleksira s uporabo filtrov. Prvi signal dobimo, če multipleksiran signal pošljemo skozi filter, ki prepušča samo prvi frekvenčni pas.

Slika 9: Frekvenčno porazdeljenem multipleksiranju

Vir: www.google.com FDM se uporablja pri prenosu signalov kabelske televizije, kjer so signali, ki odgovarjajo različnim televizijskim kanalom, multipleksirani in poslani preko kabla. Z uporabo filtra TV-sprejemnika lahko




izberemo signal določenega TV-kanala. Tudi radijski in TV-prenosi so izvedeni s pomočjo FDM, pri čemer ima vsaka postaja ozek pas v frekvenčnem spektru. Sredinska frekvenca tega pasu se imenuje nosilna frekvenca.

Vsak glasovni kanal obsega pasovno širino 3,4 kHz. Ker je za vsak kanal določena pasovna širina 4 kHz, je drugi glasovni kanal pretvorjen v pas med 4 in 8 kHz, tretji med 9 in 12 kHz, itd. Malce večjo pasovno širino dodelimo kanalom zato, ker je zelo natančne filtre težko izdelati. Zaradi tega obstaja dodatni frekvenčni zaščitni pas, ki ločuje sledeče si kanale.

2.14 Časovno porazdeljeno multipleksiranjePri sinhronem časovno porazdeljenem multipleksiranju (angl. Time Division Multiplexing, TDM) so digitalizirani signali združeni in poslani preko komunikacijskega kanala.

Slika 10: Časovno porazdeljenem multipleksiranju

Vir: www.google.comNa primer, trije podatkovni viri dajejo podatke s 64 kb/s z uporabo pulzno-kodne modulacije (angl. Pulse Code Modulation, PCM). Vsak zapis obsega 8 bitov, časovni presledek med dvema zapisoma znaša 125 mikrosekund. Naloga multiplekserja je zajeti 8 bitov prvega, 8 bitov drugega in nato 8 bitov tretjega kanala. Nato se znova vrne k prvemu kanalu. Ker se ne sme izgubiti noben od signalov, mora multipleksor preiskati vse kanale in doseči 8–bitne vrednosti zapisov v 125 mikrosekundah. Ta združen bitni tok je poslan preko komunikacijskega medija. Multiplekser opravi postopek iskanja, da bi zbral podatke vsakega od podatkovnih virov in zagotovi, da noben podatek ni izgubljen. Ta postopek se imenuje časovno porazdeljeno multipleksiranje.

POVZETEK

Že skozi zgodovino se je kriptografija ukvarjala s problemom, kako neko sporočilo prikriti ozkemu krogu ljudi. Kriptiranje oz. šifriranje je tako proces pretvarjanja berljivega teksta (čistopisa) v neberljivi tekst (tajnopis), ki ga je zelo težko ali celo nemogoče razbrati brez ustreznega ključa. Dekripcija pa je proces pretvarjanja šifriranega teksta spet v berljivo obliko.

V času razvoja javne kriptografije so bili predstavljeni številni algoritmi. Vsi seveda niso bili vedno enako učinkoviti, tako da so odslužene nadomestili novi. V simetrični kriptografiji še danes prevladujejo predvsem IDEA (angl. International Data Encryption Algorithm), DES (angl. Data Encryption Standard) in njegova močnejša izpeljanka 3DES (angl. Tripple DES) oziroma med novejšimi AES (angl. Advanced Encryption Standard). Sam postopek šifriranja in digitalnega podpisovanja določata uporabo specifičnih algoritmov, torej okvir, v katerega so vpeti postopki šifriranja, katerih zamenjavo narekuje razvoj informacijskih sistemov in ugotovljene pomanjkljivosti. Če se s časom izkaže, da kateri izmed algoritmov ni več zanesljiv, ga je treba zamenjati z novim, močnejšim algoritmom. Med uveljavljene asimetrične algoritme danes štejemo DH (angl. Diffie-Hellman), RSA in DSA. Tu velja omeniti še algoritme na podlagi eliptičnih krivulj, katerih dobrodošla




lastnost je neprimerno hitrejše izvajanje. Danes jih v praksi bolj redko srečamo (za kar so med drugim krive tudi patentne zaščite) (http://www.monitor.si/clanek/informacijska-varnost/ 3.3.2013).

V sodobnem elektronskem poslovanju se kriptografija uporablja tudi za ostale varnostne storitve (na primer zagotavljanje, da vsebina originalnega dokumenta ni bila v času ali na poti spreminjana), ne le zagotovitev tajnosti podatkov. Uporablja se tudi pri digitalnem podpisu ali časovnem žigu, pri plačevanju z digitalnim denarjem in na številnih drugih področjih interneta http://www.halcom-ca.si/index.php?section=21 , 3.3.2013).

VPRAŠANJA

1. Naštejte lastnosti dobrega šifrirnega postopka, ki nam bo omogočil varovanje tajnosti sporočila.

2. Kakšna je razlika med simetričnim in asimetričnim šifrirnim postopkom ? 3. Kaj je slabost asimetričnega šifrirnega postopka v primerjavi s simetričnim ? 4. Kaj je mešani postopek šifriranja in zakaj ga uporabljamo? 5. Kaj so enosmerne funkcije in zakaj jih uporabljamo pri šifriranju sporočil ? 6. Kako imenujemo drugače tudi digitalni prstni odtis sporočila ? 7. Kakšne lastnosti mora imeti zgoščevalna funkcija ? 8. Kaj je digitalni podpis? 9. Katere vidike celovitosti pri prenosu sporočila nam zagotavlja digitalni podpis ? 10. V čem je razlika v uporabi zasebnih in javnih ključev in kje lahko nastopijo problemi ? 11. Kako zagotovimo verodostojnost javnih ključev ? 12. Kakšna je razlika med javnim ključem in digitalnim potrdilom ? 13. Kako delimo klasične šifrirne postopke ? 14. V čem je razlika med transpozicijskim in substitucijskim šifriranjem ? 15. Kakšen postopek šifriranja je uporabljal Julij Cezar ? 16. Kako delimo šifrirne postopke glede na dolžino sporočil, ki jih hkrati šifriramo ? 17. Kaj je prednost pretočnih šifrirnih postopkov v primerjavi z bločnimi ? 18. Ali na šifropis vpliva tudi rezultat šifriranja predhodnih blokov (ECB, CBC, CFB, OFB) ? 19. Koliko bitov je najbolj pogosto v enem bloku ? 20. Kakšne so osnovne značilnosti DES algoritma? 21. Kaj je 3DES ? 22. Kakšne verzije 3DES algoritma poznate ? 23. Kaj je značilnost Feistelove šifre ? 24. Kako poteka generacija ključev za več krogov DES algoritma ? 25. Kakšna je razlika med DES šifrirnim in dešifrirnim algorimom ? 26. Naštejte imena vsaj treh simetričnih šifrirnih postopkov ! 27. Kaj je matematična osnova za algoritem RSA ? 28. Razložite postopek generacije RSA ključev ! 29. Kako poteka RSA šifriranje ? 30. Kako poteka RSA dešifriranje ? 31. Z javnim ključem (n=527, e=61) šifrirajte čistopis m=40 ! 32. Čemu služi postopek Diffie-Hellman? 33. Na čem temelji varnost DH algoritma ? 34. Razložite DH algoritem izmenjave ključev ! 35. Kako delimo zgoščevalnih funkcije glede na uporabo tajnega ključa ?36. Kaj nam zagotavlja digitalni podpis ? 37. Do kakšnih problemov lahko pride pri neurejeni distribuciji javnih ključev ? 38. Kaj je slabost sistema modela neposrednega zaupanja (izmenjav javnih ključev parov

uporabnikov )? 39. V čem je razlika med CA in RA ? 40. Katere informacije vsebuje digitalno potrdilo ?





41. Kakšen je standardni format digitalnega potrdila ? 42. Razvrstite protokole za varno komunikacijo po internetu po plasteh od najnižje k najvišji: https,

IPSec, SSL 43. V čem je razlika med transportnim in tunelskim načinom delovanja IPSec ? 44. Kaj je SSL ? 45. Ali je kakšna povezava med SSL in TSL ? 46. SSL omogoča preverjanje identitete :na strani klienta ali na strani strežnika 47. Kaj je MIME in kaj je S/MIME ? 48. Kaj je glavna razlika x.509 in PGP certifikatov? 49. Naštejte varnostne mehanizme v radijskem omrežju GSM ! 50. Opišite postopek avtentikacije mobilnega terminala v omrežje GSM! 51. Za katere namene se uporabljajo šifrirni algoritmi A3, A5 in A8 ?

Vir:

http://www1.fov.uni-mb.si/Studentske_strani/seminarske/enkripcija%20podatkov/kriptografija.htm

http://mms.fov.uni-mb.si/app/Ucbenik/multiplex.htm


http://andrej.mernik.eu/razno/clanki/kriptografija/

http://web.math.pmf.unizg.hr/~duje/kript.html

http://sl.wikipedia.org/wiki/Kriptografija 3.3.2013

http://www.lkn.fe.uni-lj.si/Clanki/2003/alesz%20-%20ERK%202003.pdf 3.3.2013


http://www.lkn.fe.uni-lj.si/Clanki/2003/alesz%20-%20ERK%202003.pdf

http://sl.wikipedia.org/wiki/Kriptografija%203.3.2013

http://web.math.pmf.unizg.hr/~duje/kript.html

http://andrej.mernik.eu/razno/clanki/kriptografija/


http://mms.fov.uni-mb.si/app/Ucbenik/multiplex.htm

http://www1.fov.uni-mb.si/Studentske_strani/seminarske/enkripcija%20podatkov/kriptografija.htm


3. DIGITALNI PODPISIDigitalni podpis je podatkovni niz v digitalni obliki, namenjen zagotavljanju pristnosti in /ali porekla podatkov.

Digitalni podpis je majhna količina podatkov, ki predstavlja povzetek dokumenta narejenega z zgostitvenim (hash) algoritmom šifriran z avtorjevim zasebnim ključem po asimetričnem algoritmu. Pošiljatelj torej izračuna povzetek dokumenta z zgostitvenim algoritmom. Podpis naredi tako, da povzetek šifrira s svojim zasebnim ključem. Nato odpošlje dokument, ki mu priloži podpis. Naslovnik z javnim ključem pošiljatelja dešifrira podpis in dobi povzetek. Nato izračuna povzetek dokumenta z istim zgostitvenim algoritmom kot pošiljatelj. Če se ujemata, pomeni, da je dobil tak dokument, kot ga je pošiljatelj podpisal oz. poslal. Digitalni podpis torej omogoča prejemniku informacije overjanje njenega izvora in celovitosti sporočila. Kljub veliki varnosti, ki jo omogoča tak sistem, se pojavi še en bistven problem. Ali lahko verjamemo, da je pošiljatelj ali pa prejemnik res tisti, za kogar se izdaja? Kako naj vemo, da ni nekdo ponaredil (na primer) javnega ključa našega naslovnika? Ta problem rešujejo digitalna potrdila.

Digitalni podpis je postopek, ki temelji na kombinaciji asimetričnih algoritmov in funkcije zgoščevanja. Ker pri podpisovanju ne gre primarno za zaščito vsebine pred vpogledom, temveč predvsem za povezavo podpisnika z vsebino in zaščito vsebine pred spreminjanjem, sam proces temelji na izdelavi prstnega odtisa podatkov. Pri digitalnem podpisovanju gre torej za dva temeljna koraka. Najprej je treba vhodni niz spustiti skozi zgoščevalno funkcijo, ki nam kot rezultat predloži enoličen prstni odtis. Ta prstni odtis je treba pred pošiljanjem zaščititi z asimetričnim šifriranjem. Prstni odtis torej šifriramo z zasebnim ključem, saj je sam digitalni podpis predmet preverjanja poljubnega prejemnika. To opravimo z uporabo pošiljateljevega javnega ključa. Prejemniku tako pošljemo poleg informacije o uporabljenem algoritmu čistopis (dokument) in šifriran prstni odtis (http://www.monitor.si/clanek/informacijska-varnost/ 3.3.2013).

Namenjen je dokazovanju verodostojnosti sporočila in istovetnosti njegovega avtorja. Prejeto sporočilo je sigurno od podpisanega pošiljatelja. Digitalni podpis je pravno veljaven, kot lastnoročni podpis. Še ene lastnosti sporočila z digitalnim podpisom ne smemo prezreti: prebere ga lahko kdorkoli, ki sporočilo ima.

Slika 11: Digitalni podpis

| 3. DIGITALNI PODPISI 50



Vir: www.google.com Danes se ogromno dokumentov ne prenaša več v tiskani obliki, temveč samo v elektronski. Na dokumentih ni žiga in podpisa. Kako doseči to, kar pripisujemo običajnemu podpisu in pečatu na papirnem dokumentu, za datoteke? Elektronskih dokumentov ni težko kopirati, spreminjati, preimenovati, spremeniti datum nastanka in drugih atributov. Rešitev je digitalni podpis. Digitalni podpis (angl. Digital Signature) mora zagotavljati:

avtentičnost (verjamemo, da je podpisnik res tisti, za kogar se proglaša), podpisa se ne da ponarediti, podpisa se ne da kopirati, podpisanega dokumenta se ne da spremeniti, podpisa se ne da zanikati (podpisnik ne more reči, da ni on podpisal dokumenta).

Digitalni podpis predstavlja mehanizem za ugotavljanje verodostojnosti sporočila in hkrati tudi istovetnosti njegovega avtorja. Avtorju digitalnega podpisa omogoča, da sporočilo lahko opremi z dodatkom - podpisom, ki ga lahko izdela le on. Digitalni podpis se sporočilu lahko samo doda ali pa se vgradi v samo sporočilo.

Zasledimo pojma elektronski in digitalni podpis. Med njima obstaja velika razlika. Elektronski podpis pomeni kakršnekoli oznake, narejene z elektronskimi mediji, z namenom, da označijo nek dokument ali datoteko. Digitalni podpis pa je elektronski podpis, narejen z uporabo kriptografije.

3.1 Izdelava in uporaba digitalnega podpisaZa izdelavo digitalnega ključa običajno uporabljamo asimetrične algoritme – datoteko podpisnik zašifrira s svojim zasebnim ključem. Dešifrira jo lahko vsak, ki pozna njegov javni ključ, in to se šteje kot preverjanje podpisa. Ker pa bi bilo šifriranje dolgih datotek z asimetričnim algoritmom prepočasno, pri digitalnem podpisovanju najprej naredimo povzetek (angl. Hash) datoteke z zgoščevalno funkcijo in samo tega zašifriramo z zasebnim ključem. Prednost tega je tudi to, da tak podpis lahko dodamo nešifrirani datoteki.

Pošiljatelj torej izračuna povzetek dokumenta z zgostitvenim algoritmom. Podpis naredi tako, da ta povzetek zašifrira s svojim zasebnim ključem. Odpošlje dokument, ki mu priloži podpis. Naslovnik z javnim ključem pošiljatelja dešifrira podpis, dobi povzetek. Ponovno izračuna povzetek pisma z istim zgostitvenim algoritmom kot pošiljatelj. Če se ujemata, pomeni, da je dobil tak dokument, kot ga je pošiljatelj podpisal. Poleg tega imamo na izbiro: dokument lahko zašifriramo (z naslovnikovim javnim ključem) ali pa tudi ne.

Slika 12: Delovanje digitalnega podpisa

Vir: www.google.com





Najbolj pogosto se uporablja kombinacija SHA–1 z RSA, kot je to določeno v standardu PKCS#1.

Kadar gre za dokumente, ki se ne smejo večkrat uporabiti (npr. čeke - naslovnik bi jih lahko večkrat unovčil), mora biti del podpisa tudi časovni žig (angl. Timestamp). To omogoča kontrolo kopiranja in lažje razčiščevanje ob morebitnih sporih. Tak podpis lahko nastane samo na računalniku, ki je časovno sinhroniziran z neodvisnim časovnim strežnikom.

Kljub vsemu bi še obstajala možnost, da nekdo ponaredi javni ključ. To možnost pa izključujejo digitalna potrdila javnih ključev. Digitalno potrdilo javnega ključa (angl. Public–Key Certificate) je javni ključ in informacija o njegovem lastniku, ki ju digitalno podpiše oseba ali institucija, ki ji zaupamo.

Rešitev predstavljajo overitelji javnih ključev – certifikatske ustanove (angl. Certification Authorities, CA).

Uporabnik lahko uporablja isti par ključev za podpisovanje in za šifriranje podatkov. Vendar pa to ni dobro iz naslednjih razlogov: zasebni ključ, ki ga uporablja za podpisovanje, sme poznati samo lastnik, saj bi sicer lahko tajil, da je podpisal nek dokument. Torej v nobenem primeru ne sme nihče razen lastnika imeti varnostnih kopij tega ključa. Nasprotno pa je za zasebni ključ, ki ga uporablja za šifriranje, včasih nujno, da ga pozna še kdo drug in da imamo varnostne kopije, saj bi sicer lahko izgubili pomembne podatke.

Javni ključ, ki pripada zasebnemu ključu za podpisovanje, se mora hraniti tudi po tem, ko ni več veljaven, da lahko preverimo podpise na starih dokumentih. Za javni ključ, ki ga uporabljajo njegovi dopisovalci za šifriranje podatkov, pa to ni potrebno. Ko preneha veljati ali se izgubi, tvori in objavi novega. Ni nujno, da imamo za oba para ključev isto obdobje veljavnosti - za par za podpisovanje je to obdobje običajno daljše. Tudi ni nujno, da za oba para uporabimo isti algoritem (za podpis lahko uporabimo algoritem, ki ni primeren za šifriranje).

3.2 Pravni vidik digitalnega podpisaDigitalni podpis je na sodišču enakovreden običajnemu podpisu. Slovenski zakon o elektronskem poslovanju in elektronskem podpisu v 15. členu pravi: Varen elektronski podpis, overjen s kvalificiranim potrdilom, je glede podatkov v elektronski obliki enakovreden lastnoročnemu podpisu ter ima zato enako veljavnost in dokazno vrednost. Varen elektronski podpis je elektronski podpis, ki izpolnjuje naslednje zahteve:

da je povezan izključno s podpisnikom, da je iz njega mogoče zanesljivo ugotoviti podpisnika, da je ustvarjen s sredstvi za varno elektronsko podpisovanje, ki so izključno pod

podpisnikovim nadzorom, da je povezan s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba

teh podatkov ali povezave z njimi.

Postavlja pa se mnogo vprašanj s hrambo ključev, nevarnostni zaradi vdorov v sisteme.

Kdo hrani javne ključe in digitalna potrdila po tem, ko niso več veljavni? Ali je dolžina ključa zadostna, da napredek v računalništvu ni omogočil razbitja ključa? Ali je uporabljeni algoritem varen?

Mediji za hranjenje podatkov se prehitro spreminjajo. Tračnih enot, ki smo jih uporabljali pred nekaj leti, skoraj ni več. Žal pa tudi zapisi na magnetnih medijih po nekem času postanejo neberljivi.

Iz tega sledi, da bo moralo biti poskrbljeno za to, da se bodo dolgoročne pogodbe in pripadajoči digitalni podpisi v nekem časovnem obdobju prepisali na nov medij in dodal digitalni podpis, narejen po takrat najmočnejšem algoritmu – potrebovali bomo "elektronske" notarje in arhive digitalno podpisanih dokumentov.



Eden od korakov k povečanju verodostojnosti elektronsko podpisanih dokumentov pomeni časovno žigosanje. Pri tem postopku dokumentu dodamo digitalni podpis, ki povezuje čas podpisa s podatki v dokumentu. Če tak časovni podpis izvede nek neodvisen strežnik oziroma institucija, ki ni pod kontrolo siceršnjih podpisnikov dokumenta, ob kasnejših preverjanjih ni dvomov o tem, kdaj je bil dokument podpisan in kakšen je bil ob podpisu, če se povzetek dokumenta v žigu ujema s povzetkom, narejenim ob času preverjanja. Tak časovni overovitelj od novembra 2003 deluje tudi na Ministrstvu za javno upravo (naslednik Centra za informatiko Vlade RS) kot del PKI slovenske vlade (http://www.egradiva.net/moduli/upravljanje_ik/17_digitalni_podpis/01_datoteka.html, 3.3.2013).

3.3 Digitalna potrdilaDigitalno potrdilo je digitalni dokument, ki potrjuje povezavo med javnim ključem in osebo, institucijo ali strežnikom. Digitalno potrdilo digitalno podpiše oseba ali institucija, ki ji zaupamo. Pri delu z javnimi ključi morajo uporabniki nenehno paziti na verodostojnost uporabljenih javnih ključev. V okolju javnih ključev je nujno potrebno, da zanesljivo vemo, da javni ključ s katerim šifriramo podatke, pripada predvidenemu naslovniku in da ni ponaredek.

3.3.1 Digitalna potrdila javnih ključev in overiteljiDigitalno potrdilo javnega ključa (angl. Public Key Certificate) je digitalni dokument, ki potrjuje povezavo med javnim ključem in osebo ali institucijo ali strežnikom. Z njim lahko preverimo, komu pripada javni ključ. Potrdilo vsebuje javni ključ in informacijo o njegovem imetniku, ki ju podpiše oseba ali institucija, ki ji zaupamo. Potrdila so objavljena v splošno dostopnih imenikih ali na spletnih straneh. Uporabljamo jih za identifikacijo v elektronskem poslovanju, prav tako kot osebno izkaznico v vsakdanjem življenju.

Digitalno potrdilo predstavlja enolično povezavo med imetnikom in javnim ključem. Zajema vse osnovne podatke o imetniku (ime ali naziv, uporabljene algoritme, namen uporabe ključev itd.) in hkrati tudi sam javni ključ. Digitalna potrdila so navadno javno objavljena (če ne gre za zaprt krog uporabnikov) in omogočajo uporabnikom, da se prepričajo o identiteti podpisnika ter dokopljejo do javnega ključa za potrebe šifriranja ali podpisovanja.

Seveda mora za podatke v potrdilu in povezavo imetnika z javnim ključem jamčiti določena avtoriteta. Taka avtoriteta izdaja potrdila na podlagi zahtev uporabnikov in jih tudi digitalno podpiše, S tem zagotovi verodostojnost samega potrdila. Digitalno potrdilo lahko torej razumemo kot nekakšno osebno izkaznico, ki nas povezuje z osnovnimi kriptografskimi elementi in posledično z našo navidezno identiteto (pri postopkih preverjanja subjektov).

Digitalna potrdila so na voljo v različnih oblikah in formatih. Splošno uveljavljeni standard je X.509v3 (različica 3). Poleg klasičnih potrdil so nam na voljo tudi atributna potrdila, katerih vloga ni več hranjenje javnega ključa, temveč povezovanje imetnika z njegovimi pravicami. Čemu to služi? Gre predvsem za okoliščine, ko je, recimo, posamezniku dodeljena določena funkcija, katere veljavnost s časom preneha. Če bi namreč hoteli uporabniku časovno omejiti določeno vlogo, je nespametno časovno omejiti samo digitalno potrdilo. Problem elegantno rešuje atributno potrdilo, ki je lahko omejeno na točno določen čas ali za določeno funkcijo. Seveda je postopek verifikacije nato vezan na pravo potrdilo, iz katerega vloga uporabnika in časovna omejitev nista razvidni.

Nadalje lahko delimo potrdila na taka z enim in taka z dvema paroma ključev. Dva para ključev sta pomembna predvsem v okoljih, kjer je treba zaradi redundance hraniti tudi uporabnikov zasebni ključ. Ker gre za element, ki je sicer v celoti v lasti posameznika, zasebnega ključa za potrebe podpisovanja pod nobenim pogojem ne bi smeli hraniti drugje kakor pri uporabniku. Ne nazadnje potrebujemo za preverjanje podpisa le uporabnikov javni ključ. Pri šifriranju je drugače, ko so v procesu odšifriranja ključni uporabniški zasebni ključi. Ker se ti lahko tudi izgubijo (izguba pametne kartice, pokvarjen disk in podobno), so lahko šifrirani podatki za vedno izgubljeni (le če se lotimo razbijanja zaščite, a to je navsezadnje preveč zahtevno in dolgotrajno opravilo). Take zagate rešujejo postopki rekonstrukcije


http://www.egradiva.net/moduli/upravljanje_ik/17_digitalni_podpis/01_datoteka.html


zasebnega ključa (key escrow). Potrdila z dvema paroma ključev zato ločijo uporabo ključev glede na namen. Pri paru ključev za podpisovanje je uporabnik edini, ki poseduje zasebni ključ, medtem ko pri paru ključev za šifriranje overitelj hrani tudi rezervno kopijo ali podatke za rekonstrukcijo. Slovenski javni overitelj Sigen-CA, recimo, loči spletna potrdila, taka z enim parom, in osebna potrdila, taka z dvema paroma. Slednja so seveda dražja in zahtevajo uporabo posebne opreme za podpisovanje in šifriranje (http://www.monitor.si/clanek/informacijska-varnost/ , 3.3.2013)

Podobno, kot je nastajal sistem elektronskih naslovov in imen računalnikov, so začele nastajati posamezne infrastrukture javnih ključev (udomačena je kratica PKI za Public Key Infrastructure), ki jih vpeljujejo vlade (Kanada, ZDA, Singapur, nekatere evropske države) ali posebne organizacije (Verisign, Thawte, EuroTrust, ...). Če imata dva overitelja sorodno politiko preverjanja, kompatibilno opremo in si zaupata, lahko skleneta dogovor, da se medsebojno priznavata. Tako se njuni infrastrukturi javnih ključev povežeta in uporabniki obeh lahko varno izmenjujejo podatke. Prvotna ideja je bila, da bi se tako postopoma gradila svetovna PKI obenem z imenikom po standardu X.500. Zdaj takih pričakovanj ni več - PKI bodo ostale omejene na posamezna območja ali aplikacije, znotraj katerih je možno natančno določiti imetnika digitalnega potrdila in namen uporabe potrdila. Potrdilo na ime "Janez Novak" ne pove dovolj, če je oseb s tem imenom več, ključa, kot je EMŠO, za povezavo z različnimi bazami podatkov pa zaradi zakona o varstvu osebnih podatkov ne sme vsebovati. Potrdilo za Janeza Novaka z neko negovorečo enolično identifikacijsko številko mora biti na nek način povezano z zalednimi aplikacijami, katerim je namenjeno - zagotovljena mora biti povezava na običajne identifikatorje (EMŠO, davčna številka, številka bančnega računa itd.). Tudi ugotavljanje veljavnosti digitalnega potrdila je v omejenih področjih lažje rešljivo.

Infrastrukturo javnih ključev določajo postopki in oprema za:

generiranje in hranjenje ključev, overjanje imetnikov ključev in izdajanje digitalnih potrdil javnih ključev,

objavljanje digitalnih potrdil (imeniki),

preklicevanje digitalnih potrdil,

časovno označitev postopkov.

Središčni del predstavlja overitelj javnih ključev (angl. Certification Authority - CA). Vsak overitelj objavi svoj javni ključ in dokument (angl. Certification Policy), ki opisuje postopek, kako in komu podeljuje potrdila ter na kakšen način varuje svoj zasebni ključ.

Glede na zahtevnost postopka preverjanja identitete tistega, ki mu bo izdal digitalno potrdilo, overitelj lahko izdaja digitalna potrdila na različnih nivojih zaupanja. Lahko npr. določi, da se mora posameznik osebno zglasiti in predložiti osebni dokument, lahko pa podeli digitalno potrdilo na osnovi zahtevka, poslanega po elektronski pošti. Jasno je, da je mogoče bolj zaupati digitalnemu potrdilu, podeljenemu po prvem postopku kot po drugem. Poskrbeti mora, da so imetniki digitalnih potrdil enolično določeni (posameznik ima lahko več javnih ključev in torej tudi digitalnih potrdil) in za poseben seznam preklicanih digitalnih potrdil (torej tistih digitalnih potrdil, ki so iz različnih vzrokov neveljavni).

Pomembno je tudi, da overitelj poskrbi za varnost svojega zasebnega ključa, saj bi bila sicer potrdila, ki jih je izdal, brez pomena - še več, lahko bi prišlo do poneverb, ki bi jih prepozno opazili. Hraniti ga morajo na dobro zaščitenem računalniku.

Čeprav je ideja PKI stara že več kot dvajset let, proces izčiščevanja standardov na tem področju ni končan in smemo zaradi tega uporabniki pričakovati le omejeno povezljivost med različnimi produkti. Izhodišče je standard za digitalno potrdilo X.509V3, ki je splošno sprejet (če izvzamemo PGP). V okviru IETF deluje posebna delovna skupina PKIX, ki pripravlja standarde za PKI. Eden od evropskih projektov je bil PKI challenge in v njegovem okviru je bilo pripravljeno priporočilo za uporabo PKI.




Oblika digitalnega potrdila po standardu ISO/IEC X.509V3:

verzija (zdaj do verzije 3) serijska številka (enolična za potrdila posameznega overitelja)

algoritmi in parametri (npr. SHA1 in RSA)

izdajatelj (overitelj javnih ključev)

datuma veljavnosti od -do

prejemnik digitalnega potrdila (njegovo ime, drugi podatki o njem)

podatki o njegovem javnem ključu:

o algoritem

o parametri

o javni ključ

enolična oznaka uporabnika (samo v verzijah 2 in 3)

razširitve (verzija 3)

digitalen podpis teh podatkov, ki je narejen z zasebnim ključem CA.

Kmalu se je pokazalo, da je prvotna oblika (verziji 1 in 2) pomanjkljiva, ker imajo uporabniki lahko več parov javnih ključev, ki jih uporabljajo za različne namene, zato moramo imeti možnost, da jih razlikujemo na čimbolj avtomatiziran način. Tako je nastala verzija 3, kjer je možno dodati več razširitev (število ni eksplicitno omejeno) v obliki:

tip razširitve (registriran kot Object Identifier) kritična/nekritična (če je razširitev označena kot kritična, potem sistem ali aplikacija ne sme

uporabiti nobenega dela digitalnega potrdila, če razširitve ne pozna in je ne zna uporabiti)

vrednost razširitve.

Določili so nabor standardnih razširitev, ki določajo naslednje skupine podatkov:

o ključu in politiki (npr. namen uporabe ključa, čas uporabe privatnega ključa za podpisovanje; ustrezajoča politika drugega overitelja v primerih, ko se medsebojno priznata dva overitelja

o prejemniku digitalnega potrdila in izdajatelju (alternativno ime za enega ali drugega, atributi v imeniku po standardu X.500)

omejitve pri povezovanju dveh infrastruktur.

Če pride do zlorabe, če pozabimo geslo za uporabo svojega zasebnega ključa ali pa se je pokvarila naprava, kjer smo ključ hranili, je treba tvoriti nov par ključev in dobiti novo digitalno potrdilo, staro pa preklicati. Vsa digitalna potrdila, ki so iz različnih razlogov neveljavna, objavljajo overitelji na posebnih seznamih, za katere se je uveljavila kratica CRL (angl. Certificate Revocation List). Ti seznami se objavljajo na spletnih strežnikih overiteljev ali pa v imenikih po standardu X.500, kjer so dostopni prek protokola LDAPv3. Preverjanje CRL mora biti omogočeno neprekinjeno. Da bi bilo dostopanje do CRL čim hitrejše, se je uveljavilo več načinov: ko število preklicanih potrdil preseže neko mejo, se CRL razdelijo na več vstopnih točk v direktoriju; dodatno se objavljajo samo nova preklicana potrdila od nekega časa dalje (delta CRL). V CRL je najavljeno, kdaj bo najkasneje objavljen nov CRL (čez nekaj ur, en dan, en teden, ...). Aplikacija, ki uporablja digitalna potrdila nekega overitelja, mora znati vključiti zadnji veljavni CRL overitelja v ustreznih obdobjih. Overitelj lahko izda nov CRL pred najavljenim



časom, zato morajo aplikacije preverjati veljavnost upoštevanega CRL pogosteje, kot bi sklepali iz objavljenega časa v CRL.

Zaradi problema določanja časa za vključitev CRL in ker so spletne povezave vedno hitrejše, se razvija sistem sprotnega preverjanja veljavnosti digitalnega potrdila: delovna skupina PKIX pri IETF pripravlja OCSP (angl. Online Certificate Status Protocol). Do zdaj je bil izdan RFC 2560. Aplikacija pošlje zahtevo za preverjanje statusa potrdila direktno "pooblaščenemu" strežniku, ki mu pravijo "Certificate Status Responder", in ustavi vse transakcije, dokler ne dobi odgovora. Protokol OCSP že uporabljajo banke, ki so vključene v sistem Identrus.

Od leta 1994 naprej delujejo organizacije, ki podeljujejo potrdila posameznikom in organizacijam z vsega sveta, seveda stroške zaračunajo. Najbolj znana je Verisign, ki po nakupu druge največje take organizacije Thawte obvladuje večino tega trga. Nekateri overitelji imajo dogovor s proizvajalci brskalnikov, da so njihova digitalna potrdila instalirana v seznam overiteljev (npr. kot angl. Trusted Root Certification Authorities). V tem primeru uporabnikov brskalnik avtomatično zaupa takemu overitelju in torej uporabniku njegovega digitalnega potrdila ni potrebno posebej preveriti in vključiti v brskalnik. Za to je potrebno pridobiti revizijsko poročilo Webtrust (http://www.webtrust.org/homepage.html). Potrdila manjših overiteljev niso avtomatično vključena v brskalnike, kar pa je varnostno še bolje - uporabnik se sam odloči, ali bo zaupal potrdilom nekega overitelja. V tem primeru njegovo potrdilo vključi v svoj brskalnik med zaupanja vredne overitelje.

Žal absolutne varnosti ni niti na papirju, kaj šele v praksi. Vedno se ji lahko zgolj približamo in prav to je tudi namen infrastrukture PKI in njenih elementov. Poizkuse zloma zaščite lahko na splošno razdelimo v dve skupini: teoretične in praktične. Teoretični napadi se ukvarjajo z iskanjem nekaterih šibkih točk algoritmov, torej prodiranja v samo jedro algoritma in programske opreme (lep zgled za to je hiba spletnega odjemalca Netscape, ki je v zgodnjih različicah operiral z zelo ozkim naborom naključno generiranih števil) ali iskanjem vrednosti uporabljenih nastavitvenih vrednosti (ključi, inicializacijski vektorji itd.). Princip s preizkušanjem vseh mogočih vrednosti označujemo kot napad s silo (angl. Brute Force Attack). Drugače velja za praktične napade, kjer se poizkuša napadalec tako ali drugače dokopati do zasebnih ključev, oziroma povzroči zmedo med uporabniki z razpošiljanjem ponarejenih ključev.

Težava pri teoretičnih napadih je kompleksnost algoritma in velikost uporabljenih ključev. Simetrični algoritmi operirajo danes s 128 bitnimi ključi. Teh ključev je:

2128 = 340 282 366 920 938 463 463 374 607 431 768 211 456.

Napad s silo je torej praktično težko izvedljiv, saj bi preverjanje vzelo neskončno veliko časa. In četudi bi se izkazalo, da je mogoče v realnem času razbiti simetrično zaščito, lahko uporabimo vedno daljše ključe, kjer časovna spremenljivka eksponentno narašča (http://www.monitor.si/clanek/informacijska-varnost/ 3.3.2013).

Vrste napadov

Cilj napadov na šifrirne sheme je pridobivanje sporočil iz šifriranih sporočil ali celo, pridobitev zasebnega ključa. Večino napadov na šifrirne sheme lahko uporabimo tudi za sheme digitalnih podpisov. V tem primeru je cilj napadov najti zasebni ključ ali pa vsaj ponaredba digitalnega podpisa, tj. izdelati podpis, ki bo sprejet kot podpis neke druge osebe.

Napade nasprotnikov razdelimo v dva razreda:

Pasivni napadi. V tem primeru nasprotnik spremlja le komunikacijske kanale. Pasivni napadalec lahko ogrozi le zaupnost podatkov.




http://www.webtrust.org/homepage.html


Aktivni napadi. V tem primeru nasprotnik želi zbrisati, dodati ali kako drugače spremeniti pretok podatkov po informacijskih kanalih. Aktivni napadalec ogroža poleg zaupnosti še pristnost in celovitost podatkov.

Napadi na šifre

Napad na šifro je poskus kriptoanalize šifre. Pri napadu se predpostavlja, da kriptoanalitik pozna vse podrobnosti šifre (Kerckhoffosova predpostavka) in ima na voljo nekaj šifropisa. Poleg tega lahko kriptoanalitik pozna kakšen par čistopisa in šifropisa, lahko celo izbira čistopis, ki ga hoče šifrirati, in podobno. Glede na možnosti, ki jih ima kriptoanalitik, ločimo več vrst napadov na šifro. Najpomembnejše vrste so:

napad samo s šifropisom, napad z grobo silo (izčrpno iskanje), napad z izbranim čistopisom, napad z izbranim šifropisom in napad z znanim čistopisom.

Napad samo s šifropisom (angl. Ciphertext-Only Attack)

je vrsta napada na šifro, pri katerem ima kriptoanalitik na voljo šifropis več sporočil (iste šifre) in skuša odkriti čim več ustreznega čistopisa ali celo ključ ali ključe, ki so bili uporabljeni pri šifriranju.

Napad z grobo silo (angl. Brute-Force Attack)

je vrsta napada z znanim čistopisom, pri čemer kriptoanalitik pri šifriranju znanega čistopisa preizkuša vse ključe po vrsti in rezultat primerja z danim šifropisom. Če je šifra tako dobra, da je najboljši napad nanjo izčrpno iskanje, mora le imeti dovolj dolg ključ, da je ni mogoče kriptoanalizirati.

Napad z izbranim čistopisom (angl. Chosen-Plaintext Attack)

je vrsta napada na šifro, pri katerem ima kriptoanalitik možnost izbirati čistopis, ki se šifrira ,in dostop do izhoda šifre. Ker lahko izbere kakršenkoli čistopis, ima tako še boljše možnosti za uspeh kot pri napadu z znanim čistopisom. Naloga kriptoanalitika je odkriti ključ ali ključe, ki so uporabljeni pri šifriranju, ali poiskati algoritem za (nelegitimno) dešifriranje bodočih šifropisov, pri katerem so bili uporabljeni isti ključi. Proti tej vrsti napada morajo biti odporne šifre z javnimi ključi, ker ima kriptoanalitik vedno možnost takega napada, saj pozna javni ključ.

Napad z izbranim šifropisom (angl. Chosen-Ciphertext Attack)

je vrsta napada na šifro, pri katerem ima kriptoanalitik možnost, da izbira domnevne šifropise, ki se dešifrirajo, in dostop do rezultata dešifriranja. Naloga kriptoanalitika je odkriti ključ. Tak napad je mogoč na primer s krajo dešifrirne naprave.

Napad z znanim čistopisom (angl. Known-Plaintext Attack)

je vrsta napada na šifro, pri kateri ima kriptoanalitik poleg šifropisa več sporočil na voljo tudi nekaj parov čistopisa in ustreznega šifropisa. Kriptoanalitik si prizadeva odkriti ključe, ki so bili uporabljeni za šifriranje, ali algoritem za (nelegitimno) dešifriranje bodočih šifropisov, pri katerih so bili uporabljeni isti ključi. Ta vrst napada je možna, če je mogoče priti do čistopisa z drugimi sredstvi (sporočilo je dobljeno nezakonito ali je preprosto objavljeno v časopisu).



3.3.2 Protokoli za izmenjavo ključev

3.3.2.1 Izmenjava ključev Diffie-HellmanProtokol Diffie-Hellman key exchange (1976) opisuje varno izmenjavo šifrirnega ključa po nevarnem komunikacijskem kanalu. Tako pridobljeni ključ se lahko kasneje uporabi asimetrično šifriranje sporočil med osebama. Protokol deluje po naslednjem postopku. Oseba A in B si izbereta dve veliki številki n in g, kjer je n preštevilo, (n-1)/2 je prav tako praštevilo. Podobni pogoji veljajo tudi za število g.

Številki ni potrebno skrivati, saj to ni njun namen. Številki sta lahko javno objavljeni, saj njeno poznavanje še ne predstavlja tveganja za varnost protokola. Oseba A si izbere veliko številko, ki naj ima vsaj 512 bitov in jo skrije. Prav tako si oseba B izbere številko in jo obdrži zase. Oseba A začne vzpostavljati izmenjavo ključev tako, da osebi B pošlje (n, g, gx mod n). Oseba B odgovori osebi a s (gy mod n) sporočilom. Oseba A izvrši operacijo (gy mod n)x mod n. Oseba B izvrši operacijo (gx mod n)y mod n. Obe operaciji nam vrneta isti rezultat gxy mod n, ki predstavlja skrivni simetrični ključ.

Napadalec, ki želi ugotoviti skrivni ključ, ima na voljo le podatke, ki se prenašajo preko komunikacijskega kanala. Podatki s katerimi razpolaga so n,g, gx mod n in gy mod n. Če bi poznal x ali y bi lahko razbil protokol. Ker je napadalcu informacija o x dana samo v obliki gx mod n iz nje ne more izluščiti x, saj ne obstajajo praktični algoritmi, ki bi to omogočali.

Podobno velja za y.

Slika 13: Izmenjava ključev Diffie-Hellman

Vir: www.google.com Protokol ima napako, saj je lahko podvržen man-in-the-middle napadu. Oseba A ne ve ali se pogovarja z osebo B ali s kakšno tretjo osebo, saj protokol ne vsebuje avtentifikacije. Napadalec lahko to izkoristi in izvede napad. Izbere si številko z, ki ustreza pogojem x in y. Napadalec prestreže sporočilo osebe A osebi B in jo zamenja s svojim sporočilom. Osebi A in B se ne zavedata za napadalca in vzpostavita skrivni ključ z napadalcem. Vsaka komunikacija med osebo A in B tako poteka preko napadalca, ki lahko sporočila prebere in spreminja. Protokol ima še eno slabost. Če poznamo veliko oseb s katerimi potrebujemo varno povezavo, moramo za vsako imeti svoj ključ (http://www.lkn.fe.uni-lj.si/Seminarji/m_pucko.pdf 3.3.2013).

3.3.3 Uporaba distribucijskega centra DC za izmenjavo varnostnih ključevUporaba DC za izmenjavo simetričnih ključev

Uporaba distribucijskega centra (DC) poenostavi komuniciranje s veliko osebami. Potrebujemo le en varni ključ, s katerim se pogovarjamo s DC. Avtentikacijo in upravljanje s sejnim ključem opravlja DC.

Oseba A želi varno komunicirati s osebo B. Oseba A si izbere sejni (šifrirni) ključ KS in pošlje zahtevo DC, da želi komunicirati z osebo B z uporabo ključa KS. Sporočilo osebo A šifrira s ključem, katerega poznata le A in DC. DC dešifrira sporočilo osebe A in preveri njegovo vsebino. DC nato skonstruira


http://www.lkn.fe.uni-lj.si/Seminarji/m_pucko.pdf



novo sporočilo, ki vsebuje sejni ključ in identiteto osebe A. Sporočilo DC šifrira s skrivnim ključem osebe B in jo pošlje osebi B. Ko oseba B dobi sporočilo, ga dešifrira in iz njega izlušči informacije. Sporočilo vsebuje informacijo o osebi A, katera želi z njim komunicirati in sejni ključ, s katerim naj oseba B direktno komunicira s osebo A. Avtentikacija se v tem primeru vrši na DC, saj DC ve da je sporočilo osebe A lahko prišlo le od osebe A, ker nihče drug ne pozna ključa osebe A.

Protokol ima napako, saj je občutljiv na replay-attack. Oseba A želi bančno nakazilo za osebo N in jo pošlje osebi B, ki dela z bančnimi nakazili. Napadalec (N) lahko kopira sporočilo, katero je poslano osebi B in sporočilo, ki temu sledi in predstavlja bančno nakazilo. Napadalec oba sporočila večkrat ponovi in si pridobi neupravičena denarna sredstva.

Proti replay-attack napadi se borimo z časovnimi žigi (timestamps) in naključnimi števili (nonce). Časovni žigi preprečujejo ponovitev sporočila v daljših obdobjih. Na kratke čase se na časovni žig ne moremo zanašati, saj vsi računalniki niso časovno sinhronizirani in tako obstaja interval, ko je protokol ranljiv. To luknjo v varnosti zapolnimo s naključnim številom, ki ga dodamo sporočilu. Če bi prišlo do ponovitve sporočila v kratkem času, bi sprejemnik napad preprosto ugotovil, saj bi se naključno število prehitro ponovilo (http://www.lkn.fe.uni-lj.si/Seminarji/m_pucko.pdf 3.3.2013).

Needham-Scroeder protokol za izmenjavo simetričnih ključev z uporabo DC

Needham-Scroeder protokol (1978) uporablja za izmenjavo ključev DC, obenem pa protokol upošteva časovni žig in naključno število. Oseba A želi komunicirati z osebo B. Svojo namero sporoči DC v sporočilu, ki vsebuje identiteto osebe A, osebe B in veliko naključno število RA. DC odgovori osebi A s sporočilom šifriranim s ključem A, ki vsebuje RA, sejni ključ KS in vstopnico (ticket) KB(A, KS), ki predstavlja dovoljenje za komunikacijo z B. Bistvo RA je v tem, da oseba A ve, da je odgovor na sporočilo sveže in ne gre za kakšno ponovitev starega sporočila. V sporočilu osebe A je vključena informacija o osebi B, tako da napadalec ne more spremeniti sporočilo s svojo identiteto in prepričati DC da šifrira vstopnico s KN namesto s KB. Vstopnica je zapisana znotraj šifriranega sporočila KB da se ga ne more zamenjati s drugo vstopnico.

Oseba A pošlje novo sporočilo osebi B, ki vsebuje vstopnico KB(A, KS) in novo naključno število RA2, katero šifriramo s sejnim ključem KS. Oseba B pošlje nazaj KS(RA2 -1) in RB in s tem potrdi svojo identiteto osebi A. Če bi B poslal nazaj KS(RA2) s tem ne bi dokazal svoje identitete, saj bi napadalec lahko sporočilo kopiral iz prejšnjega sporočila. Oseba A nato pošlje nazaj sporočilo KS(RB-1) in s tem potrdi osebi B, da komunicira s osebo A in da ne gre za ponovitev starega sporočila.

Protokol ima napako, in sicer če napadalec dobi v roke star sejni ključ v čistopisu, lahko vzpostavi novo sejo z osebo B tako, da ponovi sporočilo KB(A, KS), KS(RA2) osebe A. S tem lahko napadalec N prepriča osebo B da je oseba A (http://www.lkn.fe.uni-lj.si/Seminarji/m_pucko.pdf 3.3.2013).

Otway-Rees protokol izmenjave simetričnih ključev z uporabo DC

Protokol, kateri je odporen na vse do sedaj opisane napade se imenuje Otway-Rees protokol (1987). V tem protokolu oseba A generira naključni števili R in RA. Ko oseba B sprejme sporočilo, ustvari novo sporočilo iz šifrirnega dela sporočila osebe A in iz dela, ki predstavlja osebo B. Sporočilo predstavlja identiteto osebe A in B. DC preveri vsebino sporočila in preveri naključna števila, ki se morajo ujemati. V nasprotnem primeru DC ve da je sporočilo spremenjeno od tretje osebe. Če je sporočilo veljavno, DC ustvari sejni ključ in ga pošlje obema udeležencema v sporočilu, ki je šifriran s posameznikovim ključem. Po tem koraku imata oseba A in B sejni ključ, ki ga lahko uporabita za varno komuniciranje.

Izmenjava javnih ključev z uporabo DC

Postopek izmenjave ključev, kjer nastopajo javni ključi. Avtentikacijo omogoča uporaba distribucijskega centra, kateremu vsi udeleženi zaupajo. Protokol izmenjave ključev poteka po naslednjem vrstnem redu. Oseba A za komunikacijo z osebo B potrebuje javni ključ osebe B. Oseba A





dobi informacijo o ključu od centralnega organa, ki poseduje vse javne ključe. Distribucijski center pošlje osebi A certifikat X.509, ki vsebuje javni ključ osebe B. Oseba A preveri podpis sporočila in preveri njegovo veljavnost. Oseba A nato uporabi javni ključ osebe B in z njim šifrira sporočilo, ki vsebuje identiteto A in naključno število RA. Oseba B sprejme sporočilo in ga dešifrira s svojim privatnim ključem. V tem trenutku oseba B ne ve od koga je dobila sporočilo. Zato v naslednjem koraku pošlje sporočilo DC, v katerem ga prosi za javni ključ osebe A. DC odgovori na zahtevo in pošlje informacijo o javnem ključu osebe A osebi B. Oseba B uporabi to informacijo in pošlje sporočilo osebi A šifrirano s javnim ključem osebe A. Sporočilo vsebuje naključno število RA, katero je prejel od osebe A, novo naključno številko RB, katero si izmisli sam in sejni ključ KS, katerega predlaga za varno povezavo. Oseba A dešifrira sporočilo s svojim privatnim ključem. Ker sporočilo vsebuje KA, oseba A ve da je sporočilo dobila od osebe B. Oseba A sprejme predlagani sejni ključ osebe B. Oseba A nato pošlje osebi B sporočilo, katerega šifrira s dogovorjenim sejnim ključem KS in vsebuje naključno število osebe B. Oseba B sprejme sporočilo šifrirano s sejnim ključem in vsebuje njegovo RB število. S tem sporočilom se postopek dogovora in identificiranja konča, nadaljnje komuniciranje poteka s sejnim ključem KS.

Kerberos

V današnjem času se v veliko sistemih (npr. OS Windows 2000) uporablja protokol Kerberos V4, ki temelji na protokolu Needham-Schroeder. Kerberos je bil iznajden na inštitutu M.I.T. za varen dostop delovnih postaj do mrežnih virov. Obstajajo tudi novejše različice tega protokola, vendar se V4 masovno uporablja v industriji. Kerberos poleg klientov predpisuje uporabo treh dodatnih strežnikov:

Authentication Server (AS): preverja uporabnike med prijavljanjem v omrežje Ticket-Granting Server (TGS): obravnava in dodeljuje vstopnice za omrežje Server: strežnik, ki dejansko opravlja naloge, katere si je klient zaželel

AS ima podobno vlogo kot distribucijski center, saj vzpostavlja varno povezavo s vsakim uporabnikom. TG izdaja vstopnice, s katerimi se klient identificira strežniku. Za vzpostavitev varne seje oseba A pošlje svojo identifikacijo (uporabniško ime) v čistopisu AS strežniku. AS odgovori s sporočilom šifriranim s ključem KA, ki vsebuje sejni ključ KS in vstopnico KTGS (A, KS). Po prejetju sporočila se osebo A vpraša za geslo, s katerim se generira KA, katerega oseba A uporabi da dešifriranje sporočila. V trenutku, ko se ustvari KA se geslo osebe A prepiše oziroma spremeni. Če bi se napadalec želel identificirati kot oseba A, bi ga AS strežnik zavrnil, saj bi napadalec uporabljal neveljavno, staro geslo. Osebe A nato želi dostopati do strežnika B in pošlje TGS strežniku vstopnico KTGS(A, KS), identifikacijo strežnika B in časovni žig, katerega šifrira s sejnim ključem KS.

Ključni element sporočila je vstopnica, s katerim se oseba A identificira strežniku TGS. Strežnik TGS ustvari nov sejni ključ KAB, kateri bo omogočal varni komunikacijo med osebo A in strežnikom B. TGS odgovori s sporočilom, ki je sestavljen iz dveh delov. Prvi del vsebuje ključ KAB in je šifriran s ključem KS, katerega zna dešifrirati oseba A. Drugi del vsebuje ključ KAB in je šifriran s ključem KB, katerega zna dešifrirati strežnik B. Napadalec je tukaj brez moči, saj sporočilo osebe A strežniku TGS vsebuje časovni žig, katerega napadalec ne zna dešifrirati in spremeniti. Če napadalec ponovi to sporočilo dovolj hitro, ko časovni žig pade v interval tolerance, ne doseže nič, saj le sprejme sporočilo strežnika TGS, ki ga prav tako ne zna dešifrirati. Oseba A pošlje strežniku B sporočilo šifrirano s ključem strežnika B, ki vsebuje identiteto in varni ključ dodeljen tej seji KAB, ter časovni žig šifriran s ključem KAB. Strežnik B dešifrira sporočilo in dobi informacijo o ključu dodeljenem tej seji KAB. Strežnik B nazadnje pošlje sporoči osebi A, kateri je dokaz, da oseba A komunicira s strežnikom B. Sporočilo je šifrirano s sejnim ključem KAB in vsebuje časovni žig povečan za ena. Po tem koraku lahko oseba A in strežnik B varno komunicirata s uporabo ključa KAB. V primeru, da želi oseba A dostop do drugih virov omrežja, mora ponoviti postopek pridobivanja sejnega ključa pri strežniku TGS. Oseba A lahko



na tak način varno dostopa do vseh vsebin na mreži. Njeno geslo se nikoli ne prenaša po komunikacijskem kanalu (http://www.lkn.fe.uni-lj.si/Seminarji/m_pucko.pdf 3.3.2013).

3.4 Kako je z uporabo digitalnih potrdil v SlovenijiUporaba digitalnih potrdil za strežnike za to, da se omogoči zašifrirana povezava z brskalnikom po protokolu SSL, je uveljavljena pri praktično vseh, ki se ukvarjajo s prodajo po internetu. S tem dosežemo to, da podatkov, ki jih je vtipkal uporabnik, ne more kdo prestreči, ker je povezava zašifrirana, poleg tega pa uporabnik lahko preveri digitalno potrdilo strežnika in iz tega sklepa, ali se je priključil na pravi strežnik.

Uporabo potrdil v brskalnikih za overjanje svojih komitentov sta prvi začeli uporabljati NLB (1999) v aplikaciji Klik in SKB v aplikaciji SKBNet. Vsaka banka ima svojo službo za izdajanje digitalnih potrdil in tako potrdilo je uporabno samo za dostop do bančnih aplikacij ustrezne banke. Je pa možno nekatera potrdila, ki so jih izdale banke, uporabljati za dostop do aplikacij državne uprave (npr. potrdilo NLB za oddajo dohodnine).

Overitelj digitalnih potrdil (pogosto označen s TTP: angl. Trusted Thirth Party) na MPJU je overitelj kvalificiranih digitalnih potrdil, za katere velja najvišja stopnja varovanja in načela t.i. močne enkripcije in deluje v skladu z Zakonom o elektronskem poslovanju in elektronskem podpisu (ZEPEP) in objavljenimi Politikami delovanja. Overitelj je bil ustanovljen leta 2001 na tedanjem Centru Vlade RS za informatiko (CVI). Po reorganizaciji leta 2004 je Center Vlade Republike Slovenije za informatiko (Uradni list RS, št. 132/2004) prešel pod okrilje novoustanovljenega Ministrstva za javno upravo RS z vsemi pristojnostmi. Overitelja na MPJU sestavljata dva izdajatelja digitalnih potrdil:

SIGEN-CA izdaja kvalificirana digitalna potrdila za fizične osebe in za poslovne subjekte. SIGOV-CA izdaja kvalificirana digitalna potrdila za državne organe. SI-TSA izdaja varne časovne žige (http://www.si-ca.si/kripto/kr-cert.htm 3.3.2013).

Izdajatelja SIGOV-CA in SIGEN-CA sta mednarodno registrirana, medsebojno priznana ter tehnološko in zakonsko enakovredna in enako veljavna.

Digitalna potrdila SIGEN-CA in SIGOV-CA so namenjena:

za upravljanje s podatki javne uprave, za dostop in izmenjavo podatkov, s katerimi upravlja javna uprava, za varno elektronsko komuniciranje med imetniki kvalificiranih digitalnih potrdil overitelja na

MPJU in za storitve oz. aplikacije, za katere se zahteva uporaba digitalnih potrdil overitelja na MPJU.

Varni časovni žigi overitelja na MPJU so namenjeni:

zagotavljanju, da je bil dokument podpisan z veljavnim digitalnim potrdilom v določenem časovnem trenutku in sicer na način, da povezuje datum in čas podpisa ter podatke v elektronski obliki na kriptografsko varen način,

za druge potrebe, kjer je potrebno dokazati časovne lastnosti transakcij in drugih storitev.


http://www.si-ca.si/kripto/kr-cert.htm



Overitelj na MPJU deluje v skladu z Zakonom o elektronskem poslovanju in elektronskem podpisu (ZEPEP - Uradni list RS, št. 57/2000; ZEPEP-A - Uradni list RS, št. 25/2004) in Uredbo o pogojih za elektronsko poslovanje in elektronsko podpisovanje (Uradni list RS, št. 77/2000 in 2/2001) ter drugimi veljavnimi predpisi in zakoni.

Overitelj na MPJU seveda predstavlja šele tehnološki pogoj za legitimnost e-poslovanja oz. e-komuniciranja tako interno v državni oz. javni upravi kot širše, na nivoju storitev, ki jih javna uprava nudi državljanom in pravnim osebam. Šele zavedanje prednosti, ki jih nudi e-komuniciranje v najširšem pomenu besede, bo porok k globalnemu pristopu po formalizaciji in posodabljanju notranjih in zunanjih postopkov in čim hitrejšemu in uspešnejšemu prehodu iz klasičnega v e-poslovanje.

Od junija 2006 deluje v sklopu Overitelja na MPJU tudi izdajatelj digitalnih potrdil CSCA-SI, ki izdaja digitalna potrdila izključno za sisteme za podpisovanje podatkov za biometrične potne listine.

SIGEN-CA SIGOV-CA SI-TSA CSCA-SI.

3.5 Digitalno potrdiloDigitalno potrdilo (angl. Digital Certificate) je sodobna alternativa klasičnim osebnim identifikatorjem (osebna ali zdravstvena izkaznica, potni list, bančna kartica, ...), s specifičnim namenom - zagotavljanju varnega in legitimnega e-poslovanja. Predstavljen kot računalniški zapis vsebuje podatke o imetniku (ime, e-naslov, enolična številka,...), njegov javni ključ, podatke o overitelju oz. izdajatelju digitalnega potrdila ter obdobje veljavnosti digitalnega potrdila, ki je digitalno podpisan z zasebnim ključem izdajatelja potrdila (SIGOV-CA oz. SIGEN-CA).

Digitalno potrdilo predstavlja enolično povezavo med imetnikom in javnim ključem. Zajema vse osnovne podatke o imetniku (ime ali naziv, uporabljene algoritme, namen uporabe ključev itd.) in hkrati tudi sam javni ključ. Digitalna potrdila so navadno javno objavljena (če ne gre za zaprt krog uporabnikov) in omogočajo uporabnikom, da se prepričajo o identiteti podpisnika ter dokopljejo do javnega ključa za potrebe šifriranja ali podpisovanja.

Digitalna potrdila so na voljo v različnih oblikah in formatih. Splošno uveljavljeni standard je X.509v3 (različica 3). Poleg klasičnih potrdil so nam na voljo tudi atributna potrdila, katerih vloga ni več hranjenje javnega ključa, temveč povezovanje imetnika z njegovimi pravicami. Čemu to služi? Gre predvsem za okoliščine, ko je, recimo, posamezniku dodeljena določena funkcija, katere veljavnost s časom preneha. Če bi namreč hoteli uporabniku časovno omejiti določeno vlogo, je nespametno časovno omejiti samo digitalno potrdilo. Problem elegantno rešuje atributno potrdilo, ki je lahko omejeno na točno določen čas ali za določeno funkcijo. Seveda je postopek verifikacije nato vezan na pravo potrdilo, iz katerega vloga uporabnika in časovna omejitev nista razvidni.

Potrdila delimo na takšna z enim in z dvema paroma ključev. Dva para ključev sta pomembna predvsem v okoljih, kjer je treba zaradi redundance hraniti tudi uporabnikov zasebni ključ. Ker gre za element, ki je sicer v celoti v lasti posameznika, zasebnega ključa za potrebe podpisovanja pod nobenim pogojem ne bi smeli hraniti drugje kakor pri uporabniku. Ne nazadnje potrebujemo za preverjanje podpisa le uporabnikov javni ključ. Pri šifriranju je drugače, ko so v procesu odšifriranja ključni uporabniški zasebni ključi. Ker se ti lahko tudi izgubijo (izguba pametne kartice, pokvarjen disk in podobno), so lahko šifrirani podatki za vedno izgubljeni (le če se lotimo razbijanja zaščite, a to je navsezadnje preveč zahtevno in dolgotrajno opravilo). Take zagate rešujejo postopki rekonstrukcije zasebnega ključa (angl. Key Escrow). Potrdila z dvema paroma ključev zato ločijo uporabo ključev glede na namen. Pri paru ključev za podpisovanje je uporabnik edini, ki poseduje zasebni ključ, medtem ko pri paru ključev za šifriranje overitelj hrani tudi rezervno kopijo ali podatke za rekonstrukcijo. Slovenski javni overitelj Sigen-CA, recimo, loči spletna potrdila, taka z enim parom, in



osebna potrdila, taka z dvema paroma. Slednja so seveda dražja in zahtevajo uporabo posebne opreme za podpisovanje in šifriranje.

Digitalna potrdila so sestavni del tehnoloških rešitev, ki nudijo dve osnovni možnosti za zasebnost v elektronskem poslovanju in komuniciranju:

šifriranje podatkov, ki zagotavlja zaupnost, in digitalni podpis, ki predstavlja sodobno alternativo klasičnemu podpisu, zagotavlja pa:

o identiteto imetnika digitalnega potrdila

o nezatajljivost lastništva poslanih e-podatkov, in

o celovitost (integriteto) sporočila, kar pomeni, da samo dela podatkov ni mogoče spremeniti ali drugače popraviti brez (vednosti) podpisnika.

Overitelj tako predstavlja ustanovo, kateremu zaupajo njegovi komitenti - imetniki digitalnih potrdil. S tem ga tudi pooblaščajo, da upravlja z njihovimi digitalnimi potrdili. Sledeča slika prikazuje princip zaupanja med lastniki digitalnih potrdil preko tretje osebe - overitelja (več o namenu overitelja na MPJU).

Slika 14: Princip zaupanja med lastniki digitalnih potrdil preko tretje osebe – overitelja

Vir: www.google.com Podobno je overitelj ustanova, ki ji lahko zaupajo tudi ostali overitelji ali posamezniki in posredno s tem tudi lastnikom vseh digitalnih potrdil, ki jih je overitelj izdal in potrdil. Tako se lahko različni overitelji povezujejo na različne načine, bodisi horizontalno, kjer se medsebojno overijo in s tem omogočijo varno in zanesljivo komunikacijo med lastniki digitalnih potrdil obeh ustanov (npr. podobno kot pri medsebojnem priznanju potnih listov med državama) ali vertikalno, ko nek overitelj pooblasti neko drugo ustanovo za izdajanje digitalnih potrdil v njegovem imenu, kar je seveda potrebno pri upravljanju z velikim številom digitalnih potrdil, poleg tega pa se z medsebojnim priznavanjem veča nabor e-storitev, ki so možne s posameznimi digitalnimi potrdili.



http://www.ca.gov.si/namen.php

http://www.ca.gov.si/namen.php


Slika 15: Ustanova

Vir: www.google.com

3.6 Osnovne lastnosti digitalnih potrdil SIGOV-CA in SIGEN-CADigitalna potrdila so namenjena tako za interno e-poslovanje oz. komuniciranje v javni upravi (SIGOV-CA) kot za storitve, ki jih nudi javna uprava državljanom in pravnim osebam na elektronski način (SIGEN-CA). Zato obstajajo med obema vrstama digitalnih potrdil - posebnimi in spletnimi - nekatere specifične razlike, pogojene z namenom uporabe. Le-to omogoča posebna tehnologija in specifične lastnosti programske opreme ter infrastrukture.

Medtem ko pripada spletnim digitalnim potrdilom en par ključev (javni in zasebni), pripadajo posebnim digitalnim potrdilom dva ločena para ključev - za digitalno podpisovanje oz. overjanje ter za šifriranje oz. dešifriranje. Vsak par sestavljata zasebni in javni ključ. Pri tem javnost ključa pomeni, da je le-ta javno dostopen oz. objavljen v t.i. javnem imeniku, zasebnost pa, da ima dostop do tega ključa samo imetnik digitalnega potrdila.

Slika 16: Para ključev za podpisovanje

Vir: www.google.com

Par ključev za šifriranje/dešifriranje sestavljata:

zasebni ključ za dešifriranje ter javni ključ za šifriranje.

Par ključev za podpisovanje/overjanje sestavljata:

zasebni ključ za podpisovanje ter javni ključ za overjanje podpisa.

Oba para ključev sta prikazana na prejšni sliki.





Slika 17: Postopek šifriranja in dešifriranja

Vir: www.google.com Postopek šifriranja in dešifriranja je shematsko prikazan na sliki. A želi poslati B šifrirano sporočilo. Uporabi B-jev javni ključ za šifriranje, ki se nahaja v imeniku javne uprave. A nato pošlje šifrirano sporočilo B-ju. Ko le-ta prejme šifrirano sporočilo, ga s svojim zasebnim ključem dešifrira. Pod pogojem, da je A izbral B-ja kot edinega naslovnika njegovega sporočila, ga lahko edino le-ta dešifrira.

Postopek digitalnega podpisovanja je prikazan na sledeči sliki. A digitalno podpiše svoje sporočilo. Digitalni podpis je narejen tako, da se najprej po posebnem postopku naredi t.i. "seštevek" sporočila - zgoščena vsebina (ki zagotavlja, da sporočila kasneje ni mogoče spremeniti, saj bi ta seštevek ne bil več isti), to število pa je potem zašifrirano z zasebnim ključem podpisnika (A). Ker svoj zasebni ključ pozna izključno A, je to jamstvo, da je podpis res A-jev. Digitalno podpisano sporočilo, ki ga prejme B, sestavljajo čistopis, šifrirana zgoščena vsebina in A-jev javni ključ za overjanje podpisa.

Slika 18: Postopek digitalnega podpisovanja

Vir: www.google.com Ko želi B preveriti A-jev digitalni podpis - postopek prikazuje sledeča slika - B najprej z A-jevim javnim ključem dešifrira zgoščeno vsebino. Ponovno izračuna povzetek sporočila iz čistopisa z istim zgostitvenim algoritmom, kot ga je uporabil A. Če se zgoščeni vsebini ujemata, pomeni, da je poslano sporočilo res podpisal A.





Slika 19: Preverjanje digitalnega podpisa

Vir: www.google.com Podpisano elektronsko sporočilo lahko bere vsakdo, vendar pa ne more spreminjati njegove vsebine, ne da bi se spremembe zabeležile. Glede na dejstvo, da pozna svoj zasebni ključ samo in izključno podpisnik (imetnik digitalnega potrdila), pa je zagotovljeno, da je on dejansko tudi podpisal sporočilo.

Dva para ključev pri posebnih digitalnih potrdilih omogočata dostop oz. dešifriranje šifriranih podatkov tudi v primerih, ko digitalno potrdilo, s katerim so podatki zašifrirani, ni več veljavno oz. ni mogoča normalna uporaba tega digitalnega potrdila zaradi različnih vzrokov. To omogoča dostop (berljivost) e-podatkov tudi v nepredvidenih in nezaželenih primerih, kot npr. izguba gesla za dostop do zasebnega ključa za dešifriranje podatkov, poškodovanje pametne kartice, na kateri je shranjen zasebni dešifrirni ključ, ... . Pri tem se zasebni ključ za dešifriranje podatkov po posebnem režimu varno hrani znotraj infrastrukture overitelja na MPJU in se izdaja izključno na zahtevo imetnika digitalnega potrdila, predstojnika (v primeru službenih digitalnih potrdil ali digitalnih potrdil za pravne osebe) ali na zahtevo pristojnega sodišča, sam postopek izdaje zasebnega ključa za dešifriranje podatkov pa je natančno določen s Politikami delovanja SIGOV-CA in SIGEN-CA. Na osnovi omenjenih značilnosti so posebna digitalna potrdila v prvi vrsti namenjena službeni uporabi (za javno upravo in za pravne osebe), spletna digitalna potrdila pa za državljane.

Druga bistvena razlika med posebnimi in spletnimi digitalnimi potrdili je v veljavnosti in obnavljanju njihovih ključev. Medtem ko je veljavnost ključev pri posebnih digitalnih potrdilih za podpisovanje, šifriranje in dešifriranje največ tri leta ter za overjanje pet let, je veljavnost spletnih digitalnih potrdil pet let. Pri tem se ključi posebnih digitalnih potrdil avtomatično obnavljajo pred pretekom veljavnosti, pri spletnih pa obnavljanje ne poteka avtomatsko, ampak je potrebno vsakič ponoviti postopek pridobitve digitalnega potrdila (http://www.si-ca.si/tehnicne_osnove.php 3.3.2013).

3.7 Kvalificirana digitalna potrdila za fizične osebeS standardnim kvalificiranim digitalnim potrdilom lahko dostopate do svoje elektronske banke, oddajate napoved za odmero dohodnine, uporabljate storitve e-uprave ali denimo dostopate do e-redovalnice. Digitalno potrdilo naročite kot posameznik. Halcom-CA izdaja dve vrsti kvalificiranih digitalnih potrdil za fizične osebe:

Standardno kvalificirano digitalno potrdilo Je potrdilo, ki vsebuje en par RSA ključev, ki se uporablja za podpisovanje, šifriranje in dešifriranje podatkov, za vzpostavljanje varnih omrežnih povezav ter za prijavo v spletne aplikacije ali informacijske sisteme. To potrdilo s pripadajočim zasebnim ključem je shranjeno na disku v osebnem računalniku imetnika ali na kakem drugem podobnem mediju.

Napredno kvalificirano digitalno potrdilo Je potrdilo, ki vsebuje dva para RSA ključev. En par ključev se uporablja za šifriranje in dešifriranje podatkov, vzpostavljanje varnih omrežnih povezav ter za prijavo v spletne aplikacije ali informacijske sisteme. Drugi par ključev pa je zaradi varnosti namenjen izključno podpisovanju elektronskih dokumentov, s čimer se poskrbi


http://www.si-ca.si/tehnicne_osnove.php



za t.i. nezatajljivost (angl. "non-repudiation") digitalnega podpisa. To potrdilo je skupaj z obema paroma RSA ključev shranjeno na pametni kartici, ki je trenutno najvarnejša tehnologija zaradi naslednjih dejstev:

o Generiranje tajnih ključev in podpisovanje se vrši v mikroprocesorju na samem čipu pametne kartice, zato tajni ključ ni nikoli in nikjer dostopen izven čipa.

o Mikroprocesor na kartici samodejno zaklene kartico pri večkratnem napačnem vpisu gesla za aktiviranje ključa (PIN kode).

3.7 Osnove varnih časovnih žigov Časovni žig (angl. Time Stamp, TS) je posebna izpeljanka digitalnega podpisa. Tak podpis poleg drugih informacij vključuje tudi natančen čas ustvarjanja podpisa. Seveda je treba čas črpati iz natančnega in verodostojnega časovnega vira (atomska ura).

Časovni žig je pomemben predvsem takrat, kadar gre za dokazovanje obstoja določenega dogodka na časovni premici (recimo natančen čas oddaje napovedi za dohodnino). Ker gre za avtoriziran postopek, ostaja časovno žigosanje navadno v domeni ponudnika overiteljskih storitev. Protokol, ki izvaja časovno žigosanje (angl. Time Stamp Protocol, TSP), temelji na posebnih žetonih ali zahtevkih za časovno žigosanje. Tak zahtevek vsebuje prstni odtis zapisa (dokumenta namenjenega časovnem žigosanju), ustvarjen na strani odjemalca, in druge relevantne podatke o uporabniku. Overitelj prstnemu odtisu priloži natančen čas in vse skupaj podpiše.

Časovno žigosanje ne temelji zgolj na principu digitalnega podpisovanja. Alternativni sistemi predvidevajo uporabo kompleksnih shem povezovanja prstnih odtisov (angl. Hash Linking). Gre za postopke, pri katerih so prstni odtisi med seboj povezani v nekakšno drevo. Korenski prstni odtis lahko ustvari ponudnik časovnega žigosanja v določenem času in vsi nadaljnji odtisi temeljijo na vrednosti predhodnega odtisa dejanskega niza, ki je predmet žigosanja ter dejanskega časa žigosanja. Povezovanje prstnih odtisov je lahko zelo kompleksno in je ponekod tudi zaščiteno s patenti (http://www.monitor.si/clanek/informacijska-varnost/ 3.3.2013).

V splošnem je varni časovni žig digitalni zapis, ki zagotavlja podpis dokumenta z veljavnim digitalnim potrdilom v določenem časovnem trenutku in sicer na način, da povezuje datum in čas podpisa ter podatke v elektronski obliki na kriptografsko varen način.

Ko želimo v neki aplikaciji časovno žigosati nek elektronski dokument oziroma podatke, pošljemo strežniku TSA z zgostitveno funkcijo narejen "povzetek" (hash) dokumenta oziroma podatkov. To je niz bitov fiksne dolžine (običajno 160 bitov), ki enolično določa dokument. Strežnik temu povzetku dopiše čas in vse skupaj podpiše s svojim zasebnim ključem - to je časovni žig. S tem je dokazano, da je elektronski dokument obstajal pred časom, navedenim v časovnem žigu, poleg tega pa se da preveriti, da se od časa žigosanja ni spremenil (naredimo ponovni povzetek dokumenta in se mora ujemati s tistim, ki je del časovnega žiga). Postopek je opisan v RFC 3161: Internet X.509 Public Key Infrastructure - Time-Stamp Protocol (TSP).




Slika 20: Postopek časovnega žigosanja

Vir: www.google.com Časovno žigosanje SI-TSA deluje kot spletna storitev (angl. Web Service). To pomeni, da si aplikacija in strežnik za časovno overjanje izmenjujeta zahtevke v XML po protokolu SOAP prek http oziroma https. Opis storitve je v obliki WSDL. Na voljo je testna aplikacija, ki jo razvijalci aplikacij lahko uporabijo kot vzorec za vključitev zahtevkov za časovno žigosanje in preverjanje časovnih žigov. Časovni strežnik deluje v zaščitenem okolju po strogo določenih postopkih. Časovno je sinhroniziran s svetovnimi časovnimi strežniki.

Strežnik za časovno žigosanje je del infrastrukture javnih ključev (PKI). Ko želimo v neki aplikaciji časovno žigosati nek elektronski dokument oziroma podatke, pošljemo strežniku z zgostitveno funkcijo narejen "povzetek" (hash) dokumenta oziroma podatkov. To je fiksen niz bitov, ki enolično določa dokument. Strežnik temu povzetku dopiše čas in vse skupaj podpiše s svojim zasebnim ključem - to je časovni žig. S tem je dokazano, da je elektronski dokument obstajal pred časom, navedenim v časovnem žigu, poleg tega pa se da preveriti, da se od časa žigosanja ni spremenil (naredimo ponovni povzetek dokumenta in se mora ujemati s tistim, ki je del časovnega žiga).

3.8 Podpis XMLGre za interpretacijo podpisa z uporabo oznak jezika XML in je nastal kot odgovor na vprašanje o varnosti spletnih storitev. Sporočila v formatu XML tako ni potrebno spreminjati, ampak podpis preprosto dodamo kot dodaten nabor oznak in vrednosti. Informacije o uporabljenih algoritmih, javnem ključu, prstni odtis in sam podpis postanejo tako del dokumenta.

Razširjena izpeljanka podpisa XML (angl. XML Advanced Electronic Signature, XAdES), kot ga predpisuje evropsko standardizacijsko telo ETSI, temelji na osnovni sintaksi XMLDsig. Tej je dodan še širok nabor razširitev, ki vključujejo politiko podpisovanja, komplementaren podpis, kraj ustvarjanja podpisa, vlogo podpisnika, reference za preverjanje veljavnosti potrdila in verige potrdil ali pa kar celotno verigo potrdil, časovni žig dokumenta ter časovni žig referenc in podpisa. XAdES tako že rešuje nekatere probleme časovne omejitve veljavnosti podpisa na podlagi časovnega žigosanja. Ta podaljšuje življenjsko dobo digitalnega podpisa in je temelj elektronskega arhiviranja (elektronsko podpisanih) dokumentov.

3.9 Zgostitveni algoritmi Zgostitveni algoritmi preslikajo poljubno dolg niz znakov v blok konstantne dolžine, ki je nekakšen prstni odtis oziroma povzetek vhodnega niza (angl. Message Digest). Od zgostitvenega algoritma pričakujemo, da je nemogoče najti dve različni sporočili, ki bi ju preslikali v isti blok in da zgostitveni algoritem vedno preslika isto sporočilo v enak blok. Poleg tega iz zgostitvenega bloka ni mogoče




restavrirati sporočila (od tu ime ¨Oneway Hash Function¨). Vsaka sprememba v sporočilu povzroči spremembo zgostitvenega bloka. Rezultat mora torej enolično identificirati datoteko. Zaradi te lastnosti so povzetki postali nepogrešljivi pri digitalnem podpisovanju. Ne smemo pa teh algoritmov zamenjevati s kompresijskimi postopki (zip, rar, itd.), kjer lahko vedno iz zgoščene datoteke dobimo nazaj prvotno datoteko.

Najbolj znani zgostitveni algoritmi so:

MD5, SHA (angl. Secure Hash Algorithm).

Do leta 1996 se je večinoma uporabljal MD5, zdaj prevladuje uporaba SHA-1.

POVZETEK

Za poslovanje z državnimi organi na elektronski način je potrebno pridobiti digitalno potrdilo. Digitalno potrdilo (angl. Digital Certificate) je sodobna alternativa klasičnim osebnim identifikatorjem (osebna ali zdravstvena izkaznica, potni list, bančna kartica, ...), s specifičnim namenom - zagotavljanju varnega in legitimnega e-poslovanja. Izdajajo jih overitelji (angl. Certification Authorities).

Digitalno potrdilo je računalniški zapis, ki vsebuje podatke o imetniku (ime, e-naslov, enolična številka,...) in njegov javni ključ, poleg tega pa še podatke o overitelju oz. izdajatelju digitalnega potrdila ter obdobje veljavnosti digitalnega potrdila. Zapis je digitalno podpisan z zasebnim ključem izdajatelja potrdila, da se ga ne da ponarediti. Digitalna potrdila so sestavni del tehnoloških rešitev, ki nudijo dve osnovni možnosti za zasebnost v elektronskem poslovanju in komuniciranju:

šifriranje podatkov, ki zagotavlja zaupnost, in digitalni podpis, ki predstavlja sodobno alternativo klasičnemu podpisu, zagotavlja pa:

identiteto imetnika digitalnega potrdila nezatajljivost lastništva poslanih e-podatkov, in celovitost (integriteto) sporočila, kar pomeni, da samo dela podatkov ni mogoče spremeniti

ali drugače popraviti brez (vednosti) podpisnika.

V Sloveniji deluje več izdajateljev digitalnih potrdil, med njimi je tudi SIGEN-CA – izdajatelj na Ministrstvu za javno upravo.

VPRAŠANJA

1. Kaj je digitalni podpis?2. Katere algoritme uporabljamo za izdelavo digitalnega ključa?3. Zahteve varnega elektronskega podpisa?4. Kaj je digitalno potrdilo?5. Kdo v Sloveniji izdaja digitalna potrdila?6. Kaj je digitalno potrdilo?7. Kaj je varnostni žig?

Viri:

http://www.ca.gov.si/pravnapojasnila.php


http://e-uprava.gov.si/e-uprava/dogodkiPrebivalci.euprava?zdid=780&sid=244


http://e-uprava.gov.si/e-uprava/dogodkiPrebivalci.euprava?zdid=780&sid=244


http://www.ca.gov.si/pravnapojasnila.php


4. LOKALNA OMREŽJARačunalniška omrežja so uvrščena v eno od skupin v odvisnosti od velikosti, od funkcije in od tehnologije prenosa podatkov. Lokalno omrežje (LAN) je osnovni gradnik vsakega računalniškega omrežja. Lokalno omrežje lahko sega od enostavnega (dva računalnika, ki sta povezana preko medija) do kompleksnega (na stotine povezanih računalnikov in perifernih enot).

Značilnost lokalnih omrežij je v tem, da so to zasebna omrežja, ki se nahajajo znotraj neke stavbe ali območja na razdalji nekaj kilometrov. Običajno imajo enotno administracijo. V lokalnih omrežjih je tudi malo napak pri prenosu podatkov.

Večinoma se uporabljajo za skupno rabo datotek in tiskalnikov. Pogosto pa tudi za skupno administracijo (domena), za zaščito pred zunanjim omrežjem, sporočanjem (http://www.egradiva.net/moduli/upravljanje_ik/21_lan/01_datoteka.html 3.3.2013).

4.1 Lokalno omrežje LanLokalna omrežja (LAN) morajo biti zanesljiva in visoko prepustna ter sposobna izvajati napredne poslovne aplikacije. Ker je takih aplikacij v današnjem času veliko (internet, telefonija itn.) in ker so za nemoteno delo velikokrat ključne, je sorazmerno velik tudi pomen omrežja. Izgradnja omrežja LAN, ki ustreza sodobnim poslovnim procesom, zahteva več kot samo povezovanje kablov.

Majhna in srednja omrežja LAN

Lokalna omrežja za manjša in srednje velika podjetja so na prvi pogled zelo enostavna. V večini primerov jih sestavljata samo dostopni in jedrni del. Taka omrežja morajo biti sposobna zagotavljati vse sodobne storitve ter biti primerno varna in zanesljiva.

Velika omrežja LAN

V večjih podjetjih zahteva izgradnja ali nadgradnja omrežja podrobnejšo analizo in razumevanje omrežnih storitev. Razlog je v bolj strukturirani zgradbi omrežja, ki je sestavljeno iz več sklopov. Vsak zahteva svoje načrtovanje, saj so funkcionalnosti sklopov zelo odvisne od poslovnih procesov in uporabniških zahtev.

Omrežja LAN imajo predvsem funkcijo podpore delovnim procesom. Zanesljivih omrežij se zato največkrat niti ne zavedamo, ker – preprosto – delujejo.

Poleg zanesljivosti in učinkovitosti zato dobro načrtovano lokalno omrežje omogoča podjetjem hitro in enostavno vzpostavljanje novih storitev. IT-oddelku se ni treba ukvarjati z odpravljanjem težav, ampak se lahko posveča aplikacijam in storitvam, ki izboljšujejo poslovne procese in učinkovitost podjetja.

Omrežje tako ni samo skupek naprav, priključenih na skupno topologijo, ampak vitalen del poslovnih procesov. Pomen omrežja za poslovanje izhaja iz velikega števila storitev in aplikacij, ki so odvisne od njega. Med najbolj aktualne sodijo:

IP-telefonija, video konferenčni sistemi, video nadzorni sistemi, krmilne in registrirne naprave, spremljanje na daljavo v medicini (Telemedicina), upravljanje v energetiki, razpršeni izobraževalni sistemi, mobilno delovno mesto,

| 4. LOKALNA OMREŽJA 70

http://www.egradiva.net/moduli/upravljanje_ik/21_lan/01_datoteka.html


brezžični sistemi.

Slabo načrtovana omrežja lahko zato hitro naletijo na oviro, ki zavira razvoj in poslovanje oddelka ali celotne organizacije. Takšna omrežja so poslovno škodljiva, najbolj pogosto pa naletimo na naslednje težave (http://www.nil.si/resitve/celovito-omrezje-lan/tehnicne-informacije/ 3.3.2013):

dolgotrajno reševanje težav in nepravilnosti, pogosti slabi odzivi pri različnih aplikacijah, nekontrolirani izpadi omrežja, nezadovoljni uporabniki, težave pri uvajanje novih storitev, visoki stroški pri nadgrajevanju storitev.

Lokalno omrežje LAN angl. (Local Area Network) je sistem, ki poveže več računalnikov med seboj. S tem omogočimo, da več računalnikov:

uporablja skupno strojno opremo (tiskalniki, diski, modemi...), uporablja skupno programsko opremo (določeni programski paketi so nameščeni le na enem

računalniku), uporablja skupne podatke (npr. pri prodaji vstopnic), komunicira med sabo (pošiljanje sporočil in datotek) in drugo.

Značilnosti lokalnih omrežij so naslednje:

običajno so lastniška (last podjetja, institucije), so lokalno omejena (večinoma na področje znotraj podjetja, institucije,...), omogočajo velike hitrosti prenosa podatkov (med 10 Mbit/s do nekaj Gbit/s), število je pogosto omejeno na nekaj deset do nekaj tisoč računalnikov in so mednarodno standardizirana.

Osnovne zahteve uporabnikov in administratorjev lokalnih omrežij so:

transparentnost (uporabnikom ni potrebno vedeti kako omrežje deluje), enostavna in hitra povezljivost v omrežje, prepustnost (kratki odzivni časi), zagotavljanje kakovosti storitev za vse vrste aplikacij (podatkovne, govorne in za prenos

videa), minimalna količina nekoristnega prometa, mobilnost uporabnikov, zanesljivo delovanje (odpornost na izpad posameznih komponent) in varnost (varnost podatkov tako pred napadalci od zunaj kot od znotraj).

Osnovni gradniki lokalnih omrežij

Lokalna omrežja navadno sestojijo iz naslednjih gradnikov:

DTE (angl. Data Terminal Equipment) - terminalska oprema (npr. osebni računalnik), NIC (angl. Network Interface Card) - omrežni vmesnik (npr. omrežna kartica), prenosni medij (npr. neoklopljena parica) in naprave za povezovanje (npr. koncentrator, obnavljalnik, preklopno stikalo).


http://www.nil.si/resitve/celovito-omrezje-lan/tehnicne-informacije/


4.2 EthernetEthernet je najpopularnejši protokol za lokalna omrežja. Ta industrijski standard so prevzeli mnogi proizvajalci omrežne strojne opreme. Danes mnogi problemi, ki bi lahko nastali zaradi nezdružljivosti strojne opreme različnih proizvajalcev, pri ethernetu praktično ne obstajajo. Danes omrežja ethernet delujejo s hitrostmi 10, 100 in 1.000 Mb/s (1 Gb/s), kar omogoča uporabo od domačih in malih poslovnih omrežij do visoko zmogljivih omrežnih hrbtenic.

4.3 Izvor ethernetaV poznih šestdesetih letih 20. stoletja je Havajska univerza razvila WAN, ki ga je poimenovala ALOHA. WAN predstavlja prostorsko razširitev tehnologije LAN. Površina ozemlja univerze je velika, imajo pa dosti razpršenih računalnikov, ki so jih želeli med seboj povezati. Ena ključnih lastnosti tega omrežja, ki so ga ustvarili, je bila uporaba pristopne metode CSMA/CD.

To omrežje je bilo osnova za današnji ethernet. V Xeroxovem raziskovalnem centru Palo Alto Research Centre (PARC) sta si leta 1972 Robert Metcalfe in David Boggs izmislila način za skupno uporabo tiskalnikov preko omrežnega medija. Leta 1975 sta predstavila izdelek – ethernet. Prvotna različica etherneta je imela hitrost prenosa 2,94 Mb/s, omogočala je povezavo preko 100 računalnikov s kablom dolžine do en kilometer.

Xerox ethernet je bil tako uspešen, da so Xerox, Intel Corporation in Digital Equipment Corporation izdelali standard za 10 Mb/s Eternet. Ta standard je znan kot DIX ethernet, debeli ethernet, Thicknet ali 10Base5. Danes je ta specifikacija samo ena izmed metod za povezavo računalnikov in datotečnih sistemov med seboj in skupno rabo medija.

4.4 Standardizacija ethernetaLeta 1978 je Mednarodna organizacija za standardizacijo (angl. International Organization of Standardization, ISO) objavila skupino standardov za povezovanje različnih naprav. Ta skupina standardov je poznana kot referenčni model OSI (angl. Open Systems Interconnection). Specifikacija etherneta ima iste funkcije kot fizični sloj in sloj podatkovne povezave OSI modela. Pravila določajo način povezovanja strojne opreme in pretok informacij v strojni opremi računalnika. V osemdesetih letih je IEEE je objavila projekt 802. Ta projekt določa standarde za projektiranje in združljivost strojnih komponent, ki delujejo na fizičnem sloju in sloju podatkovne povezave OSI modela. Standard IEEE Projekt 802, ki se nanaša na ethernet, je specifikacija 802.3. V letu 1995 je IEEE sprejela standard 802.3u, ki vključuje 100 Mb/s Fast ethernet, 802.3ab pa opisuje 1000 Mb/s Gigabit ethernet.

Standard IEEE 802.3 se nekoliko razlikuje od standarda DIX ethernet. Standard IEEE vsebuje dodatna pravila za fizični sloj, obstaja pa tudi majhna razlika v zgradbi okvirja. Danes se pod pojmom ethernet v resnici misli na standard IEEE 802.3, za razliko od izvornega etherneta pa se ga poimenuje kot ethernet II. V resnici je od prvotnega etherneta do danes ostala samo zgradba paketa, ki vsebuje polje Ethertype, ki služi protokolom na omrežnem sloju.

4.5 Lastnosti etherneta

4.5.1 Fizični slojStandardi fizičnega sloja standarda ethernet opisujejo tipe kablov, iz katerih se lahko zgradi omrežje, določa topologijo, največjo dolžino kabelskega segmenta in število obnavljalnikov, ki se jih lahko uporabi. Pomembno je upoštevati standarde, saj je mehanizem CSMA/CD občutljiv na presluh in atenuacijo.

4.5.2 UTP ethernetVse ostale fizične topologije etherneta uporabljajo topologijo zvezde, pri kateri vsak segment povezuje računalnik z zvezdiščem. Najpopularnejši kabel v današnjem ethernetu je neoklopljena parica (UTP).



Omogoča povezavo s hitrostmi 10 Mb/s, 100 Mb/s in 1000 Mb/s. 10BaseT uporablja samo dve parici, eno za sprejem in eno za oddajo.

Hitri ethernet (IEEE 802.3u) opisuje dve specifikaciji, ki prav tako dovoljujeta največjo dolžino segmenta 100 metrov. 100BaseTX zahteva kable kategorije 5, ki imajo boljši prenos signalov. 100BaseT4 pa omogoča nadgradnjo omrežja s kabli kategorije 3. 100BaseT4 uporablja vse štiri parice.

Večina standardov za Gigabit ethernet predpisuje optične kable, toda obstaja tudi možnost uporabe UTP po standardu IEEE 802.3ab. Standard 1000BaseT opisuje možnost nadgradnje obstoječega omrežja s kabli kategorije 5 (še bolje je, če so kabli po novih, strožjih, kriterijih pogosto označenih kot 5E). 1000BaseT doseže večje hitrosti z uporabo vseh štirih paric in uporabo pulzno aplitudne modulacije PAM–5.

Slika 21: Uporaba UTP eterneta

Vir: www.google.com

Slika 22: Razširitev UTP-eterneta

Vir: www.google.com

4.5.3 Ethernet po optičnih vlaknihŽe zelo zgodaj se je pojavila možnost uporabe optičnih vlaken v ethernetu. Pravila Fiber Optic Inter–Repeater Link (FOIRL) so bila del standarda DIX ethernet in IEEE 802.3 standard je vseboval specifikacije 10BaseFL, 10BaseFB in 10BaseFP, ki so se uporabljali za razširitev različnih vrst omrežij. Nobena izmed teh možnosti ni bila kaj prida uporabljena, saj je hitrost 10 Mb/s za optična vlakna strašno nizka. Konkurenčen standard Fiber Distributed Data Interface (FDDI) je deloval s hitrostjo 100 Mb/s in se je uporabljal za hrbtenice omrežij. Kasneje je ethernet dovoljeval hitrosti 100 Mb/s, vendar je standard 100BaseFX imel omejitev v dolžini segmenta na 412 metrov.





Gigabit ethernet je najnovejši ethernet, ki omogoča hitrost prenosa 1000 Mb/s. Gigabit ethernet omogoča prenos po različnih optičnih kablih in lahko prenaša signale na dolge razdalje. Tako se lahko uporabi tudi za hrbtenice mestnih omrežij.

4.5.4 Zgradba okvirja ethernetEna izmed poglavitnih nalog protokola ethernet je pridobivanje podatkov, ki jih dobi iz omrežja v paketu in ga pripravi za prenos po celotnem omrežju. Okvir je sestavljen iz glave in noge in podatkov, ki so še dodatno razdeljeni na polja, ki vsebujejo informacije za prenos podatka do njegovega cilja.

Naloge posameznih polj, kakor si sledijo:

Preambula (7 bajtov)

To polje vsebuje 7 bitov ničel in enic, ki jih komunikacijski sistem uporablja za sinhroniziranje ure sistema, ki prejema podatke. Ta sistem mora uskladiti svojo uro z uro oddajnega sistema.

Začetek okvirjevega delimetra (1 bajt)

To polje vsebuje 6 bitov ničel in enic, katerim sledita dve enici, ki sta signal prejemniku da se bo začel prenos okvirja.

Ciljni naslov (6 bajtov)

To polje vsebuje 6–bajtni naslov omrežnega vmesnika v lokalnem omrežju, ki je paket namenjen. Naslov je običajno zapisan v šestnajstiškem sestavu z 12 števkami.

Naslov izvora (6 bajtov)

To polje vsebuje 6–bajtni naslov omrežnega vmesnika, ki je generiral paket.

Tip etherneta/dolžina (2 bajta)

V okvirju DIX ethernet, to polje vsebuje kodo identifikacije protokola omrežnega sloja, ki je podatek v paketu namenjen. V IEEE 802.3 okvirju to polje določa dolžino podatkovnega polja (razen zapolnitve).

Podatki in zapolnitev (od 46 do 1.500 bajtov)

To polje vsebuje podatke omrežnega protokola izvornega sistema, ki bodo poslani na isti protokol končnemu sistemu. Ethernet okvirji (tudi glava in noga, razen preambule in začetnega delimetra okvirja) morajo biti dolgi najmanj 46 bajtov tako, da v primeru, da je poslani podatek krajši od 46 bajtov, mu sistem doda zapolnjevalne bajte (angl. Pad) tako, da paket dobi minimalno zahtevano dolžino.

Pregledovanje okvirja (4 bajte)

Rep okvirja je samostojno polje za pregled nedotaknjenosti paketa (angl. Frame Check Sequence), ki vsebuje 4–bajtno pregledovalno vrednost za celoten paket. Pošiljatelj naredi to vrednost in jo vstavi v okvir. To naredi tudi prejemnik in s primerjanjem obeh vrednosti lahko ugotovi, ali je paket prišel nepoškodovan.



4.6 Naslavljanje v ethernetuTako naslov cilja in izvorni naslov uporabljata strojni naslov dolžine 6 bajtov, ki je kodiran v omrežni vmesnik, ki služi za identifikacijo sistema v omrežju. Vsak omrežni pretvornik ima unikaten strojni naslov (imenuje se tudi naslov MAC). IEEE dodeli neki organizaciji 3 bajte naslova (OUI), 3 bajte pa nato določi organizacija sama. Naslovi so običajno zapisani kot število v šestnajstiškem sestavu.

Ethernet, kot tudi vsi drugi protokoli podatkovne povezave, je narejen za prenašanje paketov do drugega sistema v lokalnem omrežju. Če je končen cilj paketa drug sistem v omrežju, potem polje ciljnega naslova vsebuje naslov tega sistema v omrežju. Če je paket namenjen sistemu, ki se nahaja v drugem omrežju, potem polje ciljnega naslova vsebuje naslov usmerjevalnika, ki dostopa do tega omrežja. Potem je naloga omrežnega protokola, da oskrbuje z drugačnimi naslovi (kot recimo internet protokol z naslovom IP) za sistem, ki je zadnja postaja paketa (http://www.egradiva.net/moduli/upravljanje_ik/22_eternet/01_datoteka.html , 3.3.2013).

4.7 Mehanizmi overjanja v lokalnih ethernet omrežjih

4.7.1 IEEE 802.1X IEEE 802.1X je protokol 2. plasti OSI referenčnega modela in določa nadzorovan dostop do omrežja zasnovan na ravni vrat. Dejanska uveljavitev protokola 802.1X je bila dosežena z nadzorovanim dostopom do omrežja na ravni vrat, ki temelji na mehanizmu nadzorovanega porta ter na filtriranju MAC naslovov. Poudariti je potrebno, da sam protokol 802.1X ne zagotavlja overjanja. Overjanje uporabnikov in naprav se izvaja s protokolom EAP. Protokol 802.1X pri tem poskrbi za prenos EAP avtentikacijskih sporočil med odjemalcem in overiteljem v omrežjih IEEE 802 (ethernet, brezžični ethernet, obroč z žetonom itd.). Tako moramo na protokola 802.1X in EAP gledati kot celoto, saj se med seboj dopolnjujeta. Standard IEEE 802.1X določa naslednje gradnike:

dostopovno entiteto PAE overitelja (authenticator) odjemalca (supplicant) avtentikacijski strežnik nadzorovan/nenadzorovan port.

Dostopovna entiteta (PAE) je logična entiteta protokola 802.1X na overitelju in odjemalcu. Nanaša se na posamezen LAN port.

Overitelj (Authenticator) je LAN port, ki uporabnikom in napravam, ki želijo dostopati do omrežnih resursov preko tega porta vsiljuje predhodno overjanje. V brezžičnem ethernet omrežju je overitelj logičen LAN port na 802.1X brezžični dostopovni točki, v žičnem ethernet omrežju pa je to fizičen port na 802.1X podprtem stikalu.

Odjemalec (supplicant) je logičen LAN port na omrežni kartici, ki zahteva dostop do storitev dostopnih preko overitelja. Glede na način povezave (brezžična ali žična) sta odjemalec in overitelj med seboj povezana z logičnim ali fizičnim točka-točka LAN segmentom.

Avtentikacijski strežnik overja poverilnice odjemalca, ki jih posreduje overitelj in nato odgovori overitelju ali ima odjemalec pooblastilo za dostop do overiteljskih storitev. Avtentikacijski strežnik se lahko nahaja na samem overitelju (brezžična dostopovna točka, stikalo) ali pa je ločena enota (samostojni AAA/RADIUS avtentikacijski strežnik). V slednjem primeru overitelj posreduje odjemalčevo zahtevo po overjanju do avtentikacijskega strežnika.

Nadzorovan/nenadzorovan port: na vsakem 802.1X portu overitelja ustvari overitelj dve navidezni vstopni točki – nadzorovan in nenadzorovan port. Nenadzorovan port zagotavlja prenos le EAPOL


http://www.egradiva.net/moduli/upravljanje_ik/22_eternet/01_datoteka.html


okvirjev. Prenos ostalega prometa med overiteljem in ostalimi napravami v lokalnem omrežju preko nenadzorovanega porta ni mogoč.

Nadzorovan port omogoča prenos podatkov med odjemalcem in LAN omrežjem le, če je odjemalec pooblaščen (avtoriziran) za dostop v LAN omrežje. Pred overjanjem je navidezno stikalo odprto in noben okvir se ne prenaša med odjemalcem in LAN omrežjem. Po uspešni overitvi odjemalca se navidezno stikalo sklene in prenos okvirjev med odjemalcem in LAN omrežjem se prične.

Overitelj je zgolj posrednik v komunikaciji med odjemalcem in avtentikacijskim strežnikom, saj EAP avtentikacijskih sporočil ne interpretira ampak le posreduje do njiju. Prenos EAP avtentikacijskih sporočil preko omrežij IEEE 802 med odjemalcem in overiteljem zagotavlja protokol 802.1X. IEEE 802.1X določa standardizirano metodo ovijanja EAP avtentikacijskih sporočil v ethernet okvirje- EAPOL4. Prenos EAP avtentikacijskih sporočil med overiteljem in avtentikacijskim strežnikom (RADIUS5) poteka preko protokola RADIUS (RFC 3579).

EAP avtentikacijska sporočila se prenašajo med odjemalcem in overiteljem v obliki koristne vsebine okvirja 802.1X.

RADIUS protokolna sporočila lahko poleg EAP koristne vsebine prenašajo tudi parametre politike dostopa v obliki atributov - A V (RFC 3580).

Standard 802.1X definira naslednje tipe EAPOL okvirjev:

EAP-Packet EAPOL-Start EAPOL-Logoff EAPOL-Key

4.7.2 EAP – razširljivi avtentikacijski protokol Extensible Authentication Protocol (EAP) je standardiziran razširljiv avtentikacijski protokol, ki je bil sprva namenjen razširjenemu overjanju v protokolu PPP6. Ob vedno večji potrebi po overjanju naprav in uporabnikov v lokalnih ethernet omrežjih je EAP bil izbran za avtentikacijski mehanizem protokola 802.1X. Vzrok temu se skriva v njegovi prožnosti, ki se kaže v prenosu poljubnih avtentikacijskih informacij. EAP tako ni omejen zgolj na današnje metode overjanja (gesla, certifikati, žetonske kartice, biomtrika itd.) ampak se lahko zlahka prilagodi prihodnjim potrebam.

EAP protokol se ovija v spodaj ležeče protokole: PPP, 802.1X, RADIUS. Ločimo naslednje tipe EAP avtentikacijskih sporočil: Identity, Notification, Nak, MD5-Challenge, One-Time Password in Generic Token Card. EAP avtentikacijsko sporočilo sestavljajo naslednja polja:

Koda: Request, Response, Exchange, Success, Failure Identifikator: namenjen razločevanju med odgovori (responses) posameznih zahtev

(requests) Podatki: format podatkovnega polja določa koda EAP sporočila

Sam protokol EAP zagotavlja le standardiziran format za prenos EAP avtentikacijskih sporočil. Pri razširjenem avtentikacijskem protokolu EAP je zato potrebno izbrati tudi metodo EAP overjanja. EAP metode overjanja lahko zaobjamemo v naslednje skupine:

Metode overjanja na podlagi »pozivov-odzivov« (challenge-response):

o EAP-MD5: metoda overjanja na podlagi MD5 šifriranih pozivovodzivov (challenge-response)



o LEAP8: metoda overjanja na podlagi uporabniških imen in gesel

o EAP-MSCHAPv29: metoda overjanja na podlagi uporabniških imen in gesel

Metode overjanja na podlagi digitalnih certifikatov:

o EAP-TLS10: metoda overjanja z digitalnimi certifikati; metoda uporablja x.509v3 certifikate in TLS mehanizem za overjanje.

Metode tuneliranja EAP avtentikacijskih sporočil:

o PEAP11: zaščiten EAP; prenaša EAP avtentikacijska sporočila različnih EAP metod znotraj šifriranega tunela; ena izmed priljubljenih različic EAP je PEAP/EAP-MSCHAPv2.

o EAP-TTLS12: zagotavlja izvedbo drugih EAP metod overjanja znotraj šifriranega tunela EAP-TLS

Druge metode:

o EAP-OTP13: metoda overjanja na podlagi enkratnih gesel

o EAP-GTC14: metoda overjanja na podlagi žetonskih kartic

Standardizirane so tri metode EAP overjanja:

EAP-MD5 - MD5 kodirana uporabniška imena/gesla EAP-OTP - uporablja enkratna gesla EAP-TLS - temelji na močnih kriptografskih mehanizmih z overjanjem s certifikati.

Bistvena odlika protokola EAP je prav njegova prožnost, ki zagotavlja podporo raznolikim metodam overjanja in možnost uporabe prihodnjih metod. Danes je zaradi svoje relativno preproste izvedbe in močne zaščite priljubljena metoda overjanja PEAP/EAP-MSCHAPv2.

Za razliko od protokola PPP, kjer se metoda overjanja (PAP ali CHAP) določi v fazi vzpostavitve povezave, se v primeru EAP izbere metodo overjanja v fazi avtentikacije. Pogajanje za EAP metodo overjanja poteka med končnima entitetama v EAP procesu overjanja – med odjemalcem in avtentikacijskim strežnikom. Potem, ko je dogovorjena EAP metoda overjanja, se med odjemalcem in avtentikacijskim strežnikom odpre komunikacijski kanal preko katerega si izmenjujeta EAP avtentikacijska sporočila. Dolžina in vsebina EAP komunikacije je odvisna od izbrane EAP metode overjanja.

4.7.3 EAP-MD5 EAP-MD5 je avtentikacijska metoda, ki temelji na geslih. V brezžičnih omrežjih ta metoda ni zaželena zaradi odkritih varnostnih pomanjkljivosti. To metodo uspešno zamenjuje metoda overjanja PEAP-MSCHAPv2. Bistveni pomanjkljivosti metode EAP-MD5 sta naslednji:

overjanje na podlagi gesel; ker overjanje poteka preko nešifriranega kanala je ta metoda ranljiva na napade z uporabo slovarja (dictionary attack),

ne zagotavlja medsebojne overitve (mutal authentication), kar pomeni, da se lahko odjemalec poveže v sleparsko omrežje (rogue network).



4.7.4 LEAP V pomanjkanju primernih standardiziranih pristopov, ki bi olajšali težave v zvezi z varnostjo v omrežjih 802.11, je Cisco predstavil LEAP (angl. Lightweight Extended Authentication Protocol). LEAP ne podpira TLS sheme. Namesto tega ponuja močno avtentikacijo (močnejšo od EAP-MD5), vendar ji še vedno primanjkuje TLS podpora za zaščito med koncema. To pomeni, da so avtentikacijske poverilnice podvržene napadom z uporabo slovarja. Poleg tega LEAP odjemalec ne overi avtentikacijskega strežnika, kar ima lahko za posledico prijavljanje na sleparko brezžično dostopovno točko oz. sleparsko omrežje.

Avtentikacijska metoda LEAP ni standardizirana, kar je ena njenih večjih pomanjkljivosti. Njeno delovanje je podprto večinoma le v produktih proizvajalca Cisco.

4.7.5 EAP-TLS Metoda overjanja EAP-TLS temelji na overjanju z digitalnimi certifikati. Izmenjava avtentikacijskih sporočil na podlagi protokola EAP-TLS zagotavlja medsebojno overjanje (angl. Mutual Authentication), celovitost prenesenih sporočil in varno izmenjavo zasebnih ključev. EAP-TLS omogoča najmočnejšo metodo overjanja. Protokol je opisan v dokumentu RFC 2716.

V praksi se najpogosteje uporablja različico protokola EAP-TLS, ki za overjanje uporablja uporabniške in računalniške digitalne certifikate shranjene v registru računalnika (registry-based). Prednosti takega načina overjanja so naslednje:

izognemo se vpisovanju uporabniških gesel, overjanje uporabnikov in naprav poteka avtomatično in je praktično nevidno za

uporabnike, poraba digitalnih certifikatov velja za trenutno izredno močno avtentikacijsko shemo,

EAP-TLS temelji na kriptografiji javnega ključa in ni ranljiv na napade z uporabo slovarja (angl. Dictionary Attacks),

V EAP-TLS avtentikacijskem procesu se medsebojno določi potreben material za generiranje ključev potrebnih za šifriranje podatkov in digitalno podpisovanje.

1. asociacija in zahteva po identifikaciji

Kadar se odjemalec (računalnik, IP telefon ipd.) povezuje v omrežje preko stikala (žično), prične s postopkom overjanja stikalo samo. Postopek prične s predhodnim pošiljanjem paketa »EAP-Request/Identity« odjemalcu. Ta paket vsebuje zahtevo za identifikacijo odjemalca.

Začetek overjanja pa se malo razlikuje v primeru, ko se odjemalec priključuje preko brezžične dostopovne točke. V kolikor je odjemalec že asociran z brezžično dostopovno točko (povezan preko radijskega medija), prične proces overjanja uporabnik sam s pošiljanjem paketa »EAP-Start« brezžični dostopovni točki.

2. EAP-Response/Identy

V kolikor na odjemalca ni prijavljen noben uporabnik, odjemalec pošlje paket »EAPResponse/Identity«, v katerem je vsebovana identiteta same fizične naprave (računalnika) preko katere se uporabnik povezuje v omrežje.

3. RADIUS pošlje »EAP-Request« (pričetek TLS komunikacije)

RADIUS strežnik pošlje RADIUS sporočilo »Access-challenge«, ki vsebuje avtentikacijsko sporočilo »RADIUS EAP-Request« s tipom EAP (EAP-Type) nastavljenim na EAP-TLS. To sporočilo aktivira avtentikacijski proces TLS.



4. Odjemalec pošlje »EAP-Response« (TLS Client Hello)

Odjemalec odda sporočilo »EAP-Response« s tipom EAP nastavljenim na EAP-TLS. To sporočilo je odjemalčev pozdrav avtentikacijskemu strežniku. Overitelj (stikalo, brezžična dostopovna točka) posreduje EAP sporočilo do RADIUS strežnika v obliki sporočila »RADIUS Access-Request«.

5. RADIUS pošlje »EAP-Request« (Certifikat RADIUS strežnika)

RADIUS strežnik odda RADIUS sporočilo »Access-Challenge«, ki vsebuje sporočilo »EAP-Request« s tipom EAP nastavljenim na EAP-TLS ter digitalni certifikat RADIUS strežnika. Overitelj (stikalo, brezžična dostopovna točka) nato posreduje to sporočilo do odjemalca (PC, brezžična dostopovna točka, stikalo ipd.).

6. Odjemalec pošlje »EAP-Response« (Certifikat odjemalca)

Odjemalec odda sporočilo »EAP-Response« s tipom EAP nastavljenim na EAP-TLS, ter svoj digitalni certifikat. Overitelj posreduje to sporočilo do RADIUS strežnika v obliki sporočila »RADIUS Access-Request«.

7. RADIUS pošlje »EAP-Request« (šifrirni material, zaključek TLS)

RADIUS strežnik odda sporočilo »EAP-Request« z EAP tipom nastavljenim na EAPTLS ter šifrirni material. S tem sporočilom RADIUS strežnik sporoči odjemalcu, da je izmenjava TLS avtentikacijskih sporočil zaključena.

8. Odjemalec odgovori z »EAP-Response«

Odjemalec pošlje RADIUS strežniku »EAP-Response« z EAP tipom nastavljenim na EAP-TLS. Overitelj nato posreduje to sporočilo do RADIUS strežnika v obliki sporočila »RADIUS Access-Request«.

9. RADIUS pošlje »EAP-Success«

Kadar se odjemalec priključuje v preko brezžične dostopovne točke, mora v tem koraku RADIUS strežnik izračunati še šifrirne ključe za odjemalca. Šifrirne ključe izračuna iz šifrirnega materiala, ki ga je pridobil v fazi overjanja.

4.7.6 PEAPPEAP (angl. Protected Enhanced Authentication Protocol) je ena izmed različic razširljivega avtentikacijskega protokola EAP. Njegov razvoj je bil v domeni treh podjetij, Cisco, Microsoft in RSA. Značilnost protokola PEAP je vnaprejšnja vzpostavitev varnega kanala, ki zagotavlja šifriranje in celovitost podatkov med odjemalcem (supplicant) ter avtentikacijskim strežnikom. Varen kanal je vzpostavljen po protokolu EAP-TLS.

V mnogih pogledih je PEAP bolj prožen od EAP-TLS, saj ne zahteva vzpostavitve drage infrastrukture javnega ključa (PKI15). Vzpostavitev varnega kanala temelji na predhodnem overjanju avtentikacijskega strežnika s strani odjemalca. Avtentikacijski strežnik se odjemalcu overi z digitalnim certifikatom. Po vzpostavitvi varnega TLS kanala pa je možno uporabiti katerokoli standardizirano EAP avtentikacijsko metodo. PEAP-MSCHAPv2 je ena izmed uveljavljenih metod overjanja, saj vsebuje pravšnjo kombinacijo varnosti, medsebojne obratovalnosti, prožnosti in preprostosti izvedbe.

PEAP proces avtentikacije je sestavljata dve fazi:



Faza1: odjemalec najprej overi avtentikacijski strežnik; s tem se izogne povezovanju v t.i. sleparska omrežja (rogue networks). TLS vzpostavi robusten in šifriran kanal med odjemalcem in avtentikacijskim strežnikom.

Faza2: TLS kanal ščiti izmenjavo avtentikacijskih sporočil med odjemalcem in avtentikacijskim strežnikom (http://www.lkn.fe.uni-lj.si/Seminarji/g_modrijan.pdf , 3.3.2013).

POVZETEK

Ethernet je najbolj priljubljena in najbolj razvita omrežna tehnologija, njegova naloga pa je prenos podatkov v lokalnem omrežju od enega do drugega sistema, deluje pa na sloju podatkovne povezave. Ethernet definira razne standarde za napeljavo omrežnih medijev in signaliziranje in uporablja skupni formata naslavljanja. Brez dobro izdelanih mehanizmov naslavljanja omrežna komunikacija ne bi bila mogoča. Za uspeh Etherneta in prenehanje uporabe ostalih LAN standardov oziroma tehnologij (na primer Žetonski obroč ali Token Ring, FDDI in ARCNET) je bila ključna pravočasna standardizacija, v katero so bile vključene razne organizacije za standardizacijo. Ethernet je standardiziran kot standard IEEE 802.3 in spada pod družino standardov IEEE 802.

V omrežjih Ethernet mehanizem naslavljanja uporablja naslov za omrežno kartico, s katerim se lahko identificira napravo oziroma omrežni vmesnik, ki je v tej napravi. Ta naslov se imenuje fizični naslov ali MAC naslov. Vsaka samostojna naprava priklopljena na Ethernet omrežje ima (oziroma mora imeti) svoj unikaten MAC naslov. Ko je MAC naslov dodeljen določeni napravi v omrežju, je ta naprava enkratno prepoznavna (oziroma določljiva) med vsemi drugimi napravami v omrežjih širom po svetu, kar zagotavlja, da bo poslani paket podatkov prišel do svojega cilja (do naslovnika) znotraj nekega omrežja. MAC naslov je torej edinstven identifikator, ki je dodeljen omrežnim karticam in se uporablja v MAC protokolu, ki je ena od dveh podplasti (druga podplast je LLC protokol) sloja podatkovne povezave. MAC naslov je dolžine 6 bajtov (ali 48 bitov) in je razdeljen na dva bloka. Prvi blok sestoji iz 3 bajtov in se imenuje OUI, drugi blok pa sestoji iz preostalih 3 bajtov in se imenuje IAB. MAC naslov je sestavljen iz šestih skupin (ali oktetov) po dve šestnajstiški števki, ki so med seboj ločeni z vezajem ali dvopičjem; tak 6 bajtni naslovni prostor pa vsebuje potencialno 2ˇ48 ali 281.474.976.710.656 unikatnih MAC naslovov.

Napredna lokalna omrežja (ang. Local Area Network, LAN) zajemajo storitve in opremo, ki poslovnim sistemom omogočajo načrtovanje in izgradnjo komunikacijske infrastrukture. Pri zasnovi rešitev je posebna pozornost namenjena visokim zahtevam po razpoložljivosti in visoki zanesljivosti omrežja. Sodobna omrežja LAN so namenjena tako prenosu podatkov kot tudi prenosu govora, slik in videa. Z namenom zagotavljanja pravilnega delovanja aplikacij in storitev, ki tečejo v realnem času ali pa so občutljive z vidika zahtev po pasovni širini, je pri vseh rešitvah mogoča podpora funkcionalnosti zagotavljanja kakovosti storitev.

Osnovni gradniki LAN omrežij so večslojna ethernet stikala, ki omogočajo hitro posredovanje paketne komunikacije. Obstoječa stikala z 10 ali 10/100 megabitnimi vmesniki sedaj zamenjujejo stikala z 10/100/1000 Mbit in 10 Gbitnimi vmesniki, ki omogočajo priključevanje strežnikov in delovnih postaj. Pri tem nova stikala omogočajo najenostavnejši prehod na zmogljivejše strežniške sisteme in priključevanje zahtevnih uporabnikov. Za vsa novejša stikala je skupna lastnost prilagodljivost na prenosni medij, kot so enorodovna in večrodovna optična vlakna, kakor tudi bakreni medij, različnih prenosnih kapacitet. Pri izbiri ethernet stikal posebno pozornost namenjamo:

visoki prepustnosti omrežja, redundanci tako na nivoju strojne opreme, kot uporabi hitrih redundančnih protokolov, razširljivosti in nadgradljivosti opreme, implementaciji protokolov, ki skrbijo za omejevanje in preprečevanje neželenega prometa, kontroli dostopa uporabnikov v lokalno omrežje,


http://www.lkn.fe.uni-lj.si/Seminarji/g_modrijan.pdf


implementaciji naprednih funkcionalnosti (avtomatiziranost omrežij, podpora virtualnim strežniškim sistemom, hitri konvergenčni protokoli) ter

upravljanju in konfiguriranju (http://www.smart-com.si/resitve/komunikacijski-sistemi-v-poslovnih-omrezjih/lokalna-omrezja 3.3.2013).

VPRAŠANJA

1. Elementi Lan omrežja?2. Značilnosti usmerjevalnikov3. Značilnosti omrežja uporabnik/strežnik?4. Kaj je Ethernet?5. Zgradba Ethernet okvirja?6. Kateri so mehanizmi overjanja v ethernet omrežjih?

Viri:


http://www.smart-com.si/resitve/komunikacijski-sistemi-v-poslovnih-omrezjih/lokalna-omrezja




http://www.smart-com.si/resitve/komunikacijski-sistemi-v-poslovnih-omrezjih/lokalna-omrezja


http://www.smart-com.si/resitve/komunikacijski-sistemi-v-poslovnih-omrezjih/lokalna-omrezja%203.3.2013

http://www.smart-com.si/resitve/komunikacijski-sistemi-v-poslovnih-omrezjih/lokalna-omrezja%203.3.2013


5. BREZŽIČNE TEHNOLOGIJE IN NAPRAVEVzporedno k ožičenim omrežjem obstajajo različne tehnologije, ki omogočajo prenos informacije med odjemalci brez fizičnih povezav s kabli. Te tehnologije s skupnim imenom imenujemo brezžične.

Brezžične tehnologije koristijo elektromagnetne valove za prenos informacije med napravami. Elektromagnetni valovi predstavljajo enak prenosni medij kot se uporablja za prizemni prenos radijskih signalov (prenos po zraku). Elektromagnetni spekter je slikovni prikaz signalov, ki jih ločimo glede na njihove frekvence. Razčlenjen je na t.i. frekvenčne pasove v katere so razvrščeni signali za prenos radijskih in TV signalov, vidna svetloba, rentgenski in gama žarki, itn.

Nekateri tipi elektromagnetnih valov niso primerni za prenos podatkov. Nekateri deli spektra so upravljani s strani držav in se jih oddaja v najem različnim organizacijam za specifične aplikacije. Vsako frekvenčno področje je upravljano s strogimi pravili najema oz. uporabe.

Določeni deli elektromagnetnega spektra so namenjeni javni uporabi in ne pogojujejo registracije oz. dovoljenj ustrezne državne ustanove. Področje označujemo tudi kot nelicenčno frekvenčno področje.

Najbolj pogoste valovne dolžine signalov (frekvence), ki se uporabljajo za javne brezžične komunikacije členimo na t.i. infrardeče frekvence - IR področje (področje frekvenc nad spektrom rdeče barve v vidnem spektru) in področje radijskih frekvenc - RF področje.

Slika 23: Elektromagnetni spekter

Vir: www.google.com

5.1 Infrardeče področjeSignali v IR področju so večinoma signali z majhno močjo, ki ne zmorejo preboja skozi stene objektov in drugih prostorskih ovir. Navkljub temu je njihovo področje uporabe omejeno znotraj prostorov in se

| 5. BREZŽIČNE TEHNOLOGIJE IN NAPRAVE 82



pogosto uporabljajo za povezovanje in prenos podatkov med napravami kot so npr. osebni digitalni pomočnik (angl. Personal Digital Assistant - PDA) in med osebnimi računalniki.

Posebna komunikacijska vrata - IrDA (angl. Infrared Direct Access) temeljijo na IR področju frekvenc za izmenjavo informacij med napravami. IR omogoča zgolj individualne povezave med točkami (angl. one-to-one). Uporablja se za daljinske upravljalnike, brezžične miške in tipkovnice, mobilne telefone, itn. Sicer so povezave možne zgolj na kratke razdalje, vendar lahko s pojavom odboja in uporabo zgornjih frekvenc tega spektra, domet povezav bistveno povečamo.

5.2 Področje radijskih frekvencRadijske frekvence oz. radiofrekvenčni spekter – RF (angl. Radio Frequency) predstavlja frekvenčno področje pod področjem IR, posledično z večjo valovno dolžino. Omogoča bistveno večji doseg kot IR področje, saj nosilni signal lažje prehaja skozi stene in ostale ovire.

Določena področja RF frekvenčnega pasu so rezervirana za neregistrirane naprave npr. brezžične LAN, brezžične telefone in računalniško periferijo. Ta frekvenčna področja so na območjih 900 MHz, 2,4 GHz in 5 GHz. Navedena frekvenčna področja so znana tudi kot področja za brezžično komunikacijo v industriji, znanosti in medicini - ISM (angl. Industry Scientific and Medical).

Naslednja zelo razširjena brezžična tehnologija v RF področju je tehnologija Bluetooth. Bluetooth omogoča hkratno komunikacijo z več napravami za brezžično komunikacijo na krajše razdalje in je v primerjavi z IR bolj primerna za komunikacijo z napravami kot so npr. slušalke, dlančniki, mobilni telefoni, tiskalniki, osebni računalniki ali tipkovnice.

Ostale brezžične tehnologije v RF področju 2,4GHZ in 5 GHz so sodobne brezžične naprave LAN po standardu 802.11. V primerjavi s tehnologijo Bluetooth oddajajo z veliko večjo močjo, kar zagotavlja povezljivost na bistveno daljših razdaljah (http://www.egradiva.net/moduli/upravljanje_ik/40_brezzicna/02_datoteka.html, 3.3.2013).

5.3 WLANKratica WLAN (angl. Wireless Local Area Network) pomeni brezžično lokalno radijsko omrežje, ki ga predstavlja skupek različnih standardov, ki izkoriščajo spekter ISM. Spekter ISM predstavlja nelicenčno frekvenčno območje, katerega lahko vsakdo prosto uporablja, seveda ob upoštevanju nekaterih točno določenih pravil, kot so maksimalna oddajna moč, vrsta modulacij, katera se uporablja ob modulaciji radijskih signalov, število preskokov... Kratica ISM (angl. Industrial, Scientific, Medicine) pa predstavlja namen uporabe takšnega frekvenčnega pasu za industrijske, znanstvene in medicinske naprave, ki s svojimi majhnimi močmi pokrivajo omejena lokalna področja (od tu tudi oznaka lokalno v prevodu kratice WLAN). Kot taka, predvsem zaradi svoje nelicenčne lastnosti, pa prinaša prednosti predvsem za končnega uporabnika, kajti v ceni same naprave ni všteta licenčnina, katero bi v nasprotnem primeru morali plačati ob nakupu izdelka za njegovo uporabo.

ISM pasove lahko srečamo na več frekvenčnih področjih, v zadnjem času pa se največ uporablja pas na 2.4 Ghz. Na tem področju „prevladujejo“ predstavniki brezžičnih lokalnih in osebnih omrežij, kjer prevladujejo brezžični LAN – standard IEEE 802.11.

5.3.1 Osnove delovanja WLAN-aBrezžične lokalne mreže delujejo, kot že omenjeno, po standardu IEEE 802.11. kateri tip standarda pa uporabljamo, pa je odvisno tudi od opreme, katero za brezžični radijski dostop uporabljamo. Za delovanje s stani uporabnika potrebujemo ustrezno uporabniško terminalno opremo. V bližini potrebujemo še neko dostopno točko (AP – Access point, „base station“). Komunikacija poteka na frekvenci od 2.4 do 2.485 Ghz. Domet takšne opreme znaša v zagradbah nekako med 35 do 100m, prenosna hitrost pa dosega 11Mb/s (pri standardu 802.11b) oz. Do 54Mb/s (pri standardu IEEE 802.11g). Brezžične mreže so s svojim razvojem postale cenovno ugodne in dostopne, ker ni kablov in


http://www.egradiva.net/moduli/upravljanje_ik/40_brezzicna/02_datoteka.html


s tem povezanih stroškov morebitne instalacije, vsekakor so pa manj varne, saj je možno prisluškovanje.

5.4 Standardi brezžičnih lokalnih omrežij - WiFiObstaja množica standardov za učinkovito komunikacijo brezžičnih naprav. Določajo uporabljen RF spekter, podatkovne hitrosti, specifikacijo načina oddaje informacije - modulacijsko tehniko, itn. Krovna organizacija za razvoj brezžičnih standardov LAN je IEEE (angl. Institute of Electrical and Electronics Engineers).

Standard IEEE 802.11 določa brezžično LAN komunikacijo. Obstajajo štiri dopolnila k prvotnemu standardu.

802.11a, 802.11b, 802.11g in 802.11n.

5.4.1 Zgodovina in razvoj standarda IEEE802.11Standard IEEE 802.11 je nastal kot radijski podaljšek Ethernet 802.3 omrežij v začetku 90-ih let, v začetku poimenovan tudi kot OpenAir standard, z dodajanjem modulacije signala za radijski prenos. Za prenos je bil, prav tako, kot je še danes, uporabljen razširjeni spekter s frekvenčnim skakanjen na frekvenčnem pasu 2.4GHz. V začetku je bil kot tak zelo nezanesljiv, saj so se zaradi brezžičnosti kaj kmalu začele pojavljati težave, uporaba načina CSMA/CD (angl. Carrier Sense Multiple Access/Collision Detection) namreč ni bila učinkovita, prihajalo je do prevelikega števila trkov (angl. Collision Detection – CD), do problemov slišnosti, vendar bolj pa se je pojavljalo tudi vprašanje pomanjkljive varnosti zaradi pomanjkanja zaščite.

V juniju 1997 pa je bil razvit nov standard, IEEE 802.11, v katerem je bila specificirana enota plast MAC (Medium Access Control), katera je skrbela in uravnavala krmiljenje in nadzor dostopa do medija (določa tehniko za preprečevanje in ugotavljanje trkov, skrbi za kontrolo napak). Vendar je bil razvoj standarda IEEE 802.11 le začetek, kajti do danes poznamo že več kot deset različnih IEEE 802.11x standardov, od katerih je trenutno najbolj razširjen in uporabljan standard IEEE 802.11b, sledi mu standard IEEE 802.11g, vedno več pa je tudi naprav, ki uporabljajo standard IEEE 802.11a. Poleg teh pa se je razvijajo tudi standardi, kot so IEEE 802.15 (bolj znan pod imenom WPAN – Wireless Personal Area Network) ter IEEE 802.16 (WirelessMan – Wireless Metropolitan Area Networks), vendar pa sta še bolj kot ne v začetkih razvoja.

5.4.2 Arhitektura standarda IEEE 802.11Standard IEEE 802.11 določa naslednje nivoje:

nivo LCC (Logical Link Control) nivo MAC (Media Access Control) nivo PHY (Psysical)

Vsak izmed tek nivojev skrbi za nek določen segment pri prenosu podatkov iz omrežja do uporabnika in obratno. Nivo LCC tako skrbi za logični prenos podatkov in nadzor napak, nivo MAC skrbi za določanje zaporedja postaj in za reševanje trkov paketov, nivo PHY pa zagotavlja radijski oz. optični prenos. Potrebo pa je vedeti, da je standard IEEE 802.11 postavil temelje za vse ostalo, kasneje razvite standarde. Prav tako je tudi arhitektura ostalih IEEE 803.xx standardov bolj ali manj podobna (razlike se pojavljajo le pri uporabi različnih tehnik razpršenosti signala in/ali v uporabljenem kodiranju...).

5.4.2.1 Nivo LLC | 5. BREZŽIČNE TEHNOLOGIJE IN NAPRAVE 84


Med osnovne naloge prav gotovo spada izmenjava podatkov v lokalnem omrežju z souporabo spodnje MAC plasti. Obenem skrbi za naslavljanje in nadzor poteka podatkovne povezave. Storitve, ki jih zaradi svoje osnovnosti ta nivo zagotavlja so:

nepovezane storitve brez potrdila (brez nadzora napak in pretoka, za zanesljivost skrbi višji sloji),

povezavo orientalne storitve (nadzor napak in pretoka s CRC, podpora le za unicast), nepovezane storitve s potrditvami (uporaba signala ACK).

5.4.2.2 Nivo MAC

Osnovna naloga MAC nivoja je nadzor dostopa do medija. Zagotavlja logični prehod zgoraj ležečih nivojev (enota PDU) do fizičnega medija, pri čemer pride do segmentacije na MAC enote – MSDU (MAC Service Data Unit). Za nadzor dostopa uporablja t.i MAC naslov (oddaja identifikacijo opreme), ki uporabniku omogoča izvajanje avtentifikacije in zagotavlja zasebnost. Vendar pa, kot se je izkazalo v praksi, za avtentifikacijo le ni tako zelo primeren, saj je indentifikacijsko opremo moč prosto slišati in ponarediti. Za dostop do kanala lahko uporabljamo bodisi porazdaljeno funkcijo koordinacije (DCF – Distributed Coordination Funciton). V tem nivoju je lahko poskrblejno za odpravo težav, omejenih na začetku – v DCF koordinaciji se namsto CSMA/CD uporablja CSMA/CA z izogibanjem trkov (ravno v ta namen se ob uporabi CSMA/CA uporablja tudi protol RTS/CTS – Request To Send/Clear To Send), pri PCF koordinaciji pa že sama dostopna točka nadzoruje dodeljevanje medija (tako dostopamo do medija brez sporov pri dostopu samem). Pri DCF koordinaciji na ta način pri koordinaciji dostopa do medija sodelujejo vse postaje, pri PDF koordinaciji pa se nadzor odvijanja prometa dogaja le na eni točki. PCF koordinacijo uporabljamo predvsem v primernih časovnih kritičnih aplikacijah, kot so prenos zvoka ali videa, „real-time“ aplikacije.

5.4.2.3 Nivo PHY

Gre za fizični nivo, katerega predstavljajo različne tehnike prenosa preko fizičnega medija.

3.1.1.3.1 Tehnika razprševanja signala

FHSS (Frequency Hopping Spread Spectrum) – uporabljena pri standardu IEEE 802.11 DSSS (Direct Seqency Spread Spectrum) – uporabljena pri standardu IEEE 802.11b OFDM (Orthogonal Frequency Division Multiplex) – uporabljena pri standardu IEEE 802.11g

FHSS (Frequency Hopping Spread Spectrum)

S pravili je določeno minimalni število kanalov, kateri se uporabljajo za skakanje (v Evropi 20, v ZDA 75). prav tako je določen tudi minimalni razmik med dvema zaporedno izbranima frekvencama, kateri znaša minimalno 6 kanalov. Zaporedje je skakanje po določa že standard IEEE 802.11. logični kanal pa je v primeru FHSS algoritmov definiran z zaporedjem skakanja – v primerjavi z binarno FSK, kjer imamo na voljo le dva frekvenčna nosilca, lahko tukaj z različnima kombinacijama dosežemo tudi do 2*1020 različnih možnih sekvenc.

Tehnika razprševanja signala FHSS se je izkazala kot izjemno učinkovita, saj zaradi lastnosti svojega delovanja zmanjšuje interferenco z ostalimi signali. Motnji ozkopasovnega nosilca je namreč podvržena le v primeru uporabe enake frekvence v istem trenutku. Tudi v primeru, da pride do interference na določenem kanalu, lahko oddajnik pošlje enako informacijo na naslednjem zaporednem skoku, ki se nahaja na drugi frekvenci. FHSS obenem nudi tudi boljšo varnost in izboljšano imunost proti šumu in motnjam kot DSSS, vendar pa je zaradi svoje specifike delovanja omejena na nižje prenosne hitrosti. Z vpeljavo novih postopkov razdiranja (DSSS, OFDM), pa je tehnika razpršenosti FHSS nekoliko izgubila na svojem pomenu.



DSSS (Direct Sequency Spread Spectrum)

Širjenje kanala z uporabo DSS se izvaja z množenjem radijskega nosilca in psevdo.šuma (PN). Psevdo-šum pa predstavlja generirano uravnoteženo zaporedje enic in ničel.

Postopek širitve osnovnega spektra na način DSSS

DSSS oddajnik pretvarja podatkovni niz v niz simbolov. Najprej se koda PN modulira na informacijski signal z uporabo modulacijskih tehnik. Zmoduliran signal se nato v mešalniku zmnoži z RF nosilcem fiksne frekvence. Ta proces povzroči nadomeščanje RF signala s signalom večje pasovne širine (podatki so na ta način razpršeni preko kanala pasovne širine 22 Mhz), katerega je spekter je enak spektru šumnega signala. V praksi to pomeni, da je v 2.4 Ghz ISM pasu tako mogoč obstoj le treh istoležnih sistemov. Kljub prekrivanju pa je v Evropi definiranih 13, v ZDA pa 11 frekvenčnih pasov (od 2.422 do 2.462 Ghz v razmaku po 5 Mhz).

OFDM (Orthogonal Frequency Division Multiplex)

Pri tehnični razpršenosti OFDM se za prenos signala uporablja več nosilcev hkrati. V idealnem kanalu je idealni odziv namreč pravokoten (ni frekvenčno odvisen), v dejanskem pa imajo robne frekvence manjše razmerje signal/šum in s tem tudi manjšo prenosno hitrost. OFDM tehnika razpršenosti izkorišča ravno to prednost; robne frekvence nosijo namreč manjšo hitrost. Gre za tehniko seštevanja posameznih diskretnih nosilcev, pri čemer prekrivanje posameznih frekvenčnih spektrov ne moti sprejemnika (frekvenčni vzorci se namreč ujemajo samo z vrhnjimi vrednostmi posameznih nosilcev).

Ozkopasovne OFDM kanale pojmujemo tudi z oznako „toni“. OFDM modulacija pa več-tonalna modulacija. Uporablja se namreč 52 diskretnih tonov, od tega 48 za prenos podatkov in štirje za upravljanje. Vsak „ton“ pa lahko pri OFDM tehnični razpršenosti za dosego različnih skupnih hitrosti uporablja različno modulacijo (BPSK, QPSK, 16-QAM ter 64-OAM).

Uporaba različnih modulacij:

GFSK, 4-GFSK BPSK, QPSK, DBPSK, DQPSK 16-QAM, 64-QAM

Uporaba različnih prenosnih hitrosti:

1 Mb/s 2 Mb/s 5,5 Mb/s 11 Mb/s 54 Mb/s 108 Mb/s

Uporaba različnega kodiranja:

Barkerjevo zaporedja uporaba kode CCK (Complementary Code Keying).

5.5 Standard IEEE 802.11

5.5.1 IEEE 802.11Prvotni standard za brezžični prenos je nastal l. 1997. Definiran je na frekvenčnem področju 2,4 GHz za brezžično komunikacijo v industriji, znanosti in medicini (ISM) in podpira dve bitni hitrosti - 1Mb/s in 2Mb/s z dodatnim vnaprejšnjim popravljanjem napak (angl. Forward Error Correction). Podprte so tri



alternativne tehnologije fizične plasti OSI: z razpršenim IR spektrom pri 1Mb/s, analogni način s frekvenčnim skakanjem (angl. Frequency-Hopping) in razpršenim spektrom pri 1Mb/s in 2Mb/s ter digitalni način z DSSS (angl. Direct Sequence Spread Spectrum). V podatkovno povezovalni plasti (OSI L2) oz. plasti za krmiljenje dostopa uporablja CSMA/CA (angl. Carrier Sense Multiple Access/Collision Avoidance), ki izboljša zanesljivost podatkovnega prenosa.

5.5.2 IEEE 802.11aStandard IEEE 802.11a uporablja enak podatkovno povezovalni protokol z enako strukturo okvira kot prvotni standard IEEE 802.11. Definiran je na frekvenčnem področju 5 GHz z drugačno tehnologijo fizične plasti OSI - ortogonalnim frekvenčnim multipleksiranjem oz. OFDM (angl. Ortogonal Frequency Domain Multiplexing). Omogoča nazivne podatkovne hitrosti do 54Mb/s, dejanska podatkovna hitrost pa je nekje za polovico manjša, predvsem zaradi protokola podatkovno povezovalne plasti CSMA/CA. IEEE 802.11a ni kompatibilen s standardi IEEE 802.11 b/g/n oz. ne podpira frekvenčnega področja 2,4 GHz. Zaradi zasedenosti frekvenčnega področja 2,4 GHz z ostalimi brezžičnimi protokoli predstavlja standard 802.11a sicer dobro alternativo. Slabost 802.11a v primerjavi z ostalimi WiFi standardi je manjši doseg. V primerjavi s standardoma 802.11b/g je doseg 802.11a pribl. zgolj 1/3 (zaradi krajše valovne dolžine in posledično slabšega preboja skozi ovire). V primerjavi z ostalimi brezžičnimi tehnologijami je 802.11a dražja tehnologija, prav tako pa je na tržišču težje najti kompatibilno opremo.

5.5.3 IEEE 802.11bIEEE 802.11b je Wi-Fi standard za frekvenčno področje ISM na 2,4 GHz. Predstavlja nadgradnjo prvotnega standarda IEEE 802.11 in uporablja sorodne modulacijske tehnike ter enak način krmiljenja dostopa do medija kot prvotni IEEE 802.11. Največja bitna hitrost prenosa znaša 11 Mb/s, zaradi redundance protokola CSMA/CA pa je efektivna prepustnost IEEE 802.11b pribl. 6-7Mb/s. Zaradi zaznavno boljše prepustnosti v primerjavi s prvotnim standardom in cenovno konkurenčnih komponent, se je tehnologija hitro uveljavila. Kot njeno slabost moramo izpostaviti interferenčno občutljivost oz. občutljivost na motenje ostalih naprav, ki delujejo v ISM območju 2,4GHz npr. mikrovalovne pečice, naprave s tehnologijo Bluetooth, brezžični telefoni in ostale brezžične naprave za zasebno uporabo.

5.5.4 IEEE 802.11gStandard IEEE 802.11g je izšel l. 2003. Definiran je v področju ISM na frekvenci 2,4GHz kot IEEE 802.11b, vendar uporablja enako tehniko prenosa kot IEEE 802.11a in sicer OFDM (angl. Orhogonal Frequency Division Multiplex). Podprte teoretične hitrosti prenosa fizične plasti OSI za IEEE 802.11g so 6, 9, 12, 18, 24, 36, 48 in 54 Mbit/s, z efektivno prepustnostjo pribl. 22 Mb/s pri nazivnih 54Mb/s. IEEE 802.11g je navzdol kompatibilna s standardom IEEE 802.11b, vendar se prepustnost za odjemalce 802.11b dodatno zmanjša. Zaradi uporabljene tehnike prenosa OFDM iz IEEE 802.11a je prenos odjemalcev 802.11b z IEEE 802.11g vseeno hitrejši od izvornega prenosa s standardom IEEE 802.11b (http://www.egradiva.net/moduli/upravljanje_ik/40_brezzicna/03_datoteka.html, 3.3.2013).

5.6 Komponente brezžičnih lokalnih omrežij

5.6.1 Brezžični odjemalecBrezžični odjemalec je katerakoli stacionarna ali mobilna naprava, ki je povezana v brezžično omrežje. Večino naprav, ki jih lahko priključimo v LAN lahko z ustrezno strojno opremo (brezžični vmesnik) in pripadajočo programsko opremo priključimo tudi v WLAN. Tipični brezžični odjemalci so prenosni računalniki, dlančniki, tiskalniki, projektorji, zunanje pomnilniške naprave in prenosne igralne konzole.

5.6.2 Dostopovna točkaDostopovna točka (Acess Point) je brezžična omrežna naprava, ki nadzira dostop brezžičnih naprav med ožičenim in brezžičnim omrežjem. Odjemalcem v brezžičnem lokalnem omrežju omogoča dostop


http://www.egradiva.net/moduli/upravljanje_ik/40_brezzicna/03_datoteka.html


do brezžičnih odjemalcev in obratno. Je v vlogi pretvornika Ethernet okvirjev iz ožičenega LAN v okvire komplementarne z IEEE 802.11 preden se posredujejo v WLAN. Enak proces poteka tudi v obratni smeri - dostopovna točka sprejema okvire 802.11 iz brezžičnega omrežja in jih ustrezno pretvori v Ethernet okvire za ožičeno omrežje LAN. Dostopovna točka omogoča brezžične povezave v nekem omejenem območju, ki ga označujemo tudi z izrazom celica oz. območjem osnovnega nabora storitev - BSS (angl. Basic Service Set).

Dostopna točka omogoča razširitev dosega brezžičnga omrežja, naprednejše povezovanje, povezavo z ožičenim omrežjem in je zelo priporočljiv nakup v kolikor postavljate brezžično omrežje – brezžično omrežje lahko sicer postavite zgolj z uporabo brezžičnih omrežnih kartic oz. vmesnikov. Dostopno točko se nastavlja preko spletnega brskalnika. Pri nastavitvah so v veliko pomoč tako imenovani čarovniki, tako da ponavadi nastavitve ne povzročajo preglavic. Dostopne točke se med seboj razlikujejo predvsem po dodatnih nastavitvah, nekatere, predvsem cenejše imajo anteno integrirano, dražje imajo zunanjo anteno nekatere dostopne točke pa omogočajo tudi, da obstoječo anteno zamenjate z drugo močnejšo, ter tako razširite domet.

Slika 24: Primer brezžične dostopne točke v LAN (Cisco Aironet) in v industrijskem okolju (Neteon)

Vir: www.google.com

V kolikor pa postavljamo neko dostopno točko, je potrebno upoštevati normative in regulative, kot so: strojna in programska oprema mora omogočati združljivost z enim ali večim WLAN standardi, omogočena mora biti podpora protokola IAPP za povezavo med AP različnih proizvajalcev, vsebovati mora programsko opremo az diagnostiko in oddaljen nadzor, vsebovati mora priključno mesto za lokalno upravljanje (RS-232), vsebovati mora priključna mesta za priključitev na hrbtenično omrežje, omogočena mora biti določitev imena omrežja (SSID), omogočena mora biti možnost izbire uporabe kanala oz. režima delovanja, omogočena mora biti možnost določitve vrste kodiranja (enkripcije) oz. zaščite.

5.6.3 Brezžični mostičBrezžični mostič (angl. Wireless Bridge) je naprava, ki povezuje dve WLAN omrežji prek brezžične povezave. Omogoča povezave od točke do točke na večje razdalje z uporabo nelicenčnega RF frekvenčnega območja (prib. 40km).

5.6.4 AnteneAntene se uporabljajo na dostopovnih točkah, brezžičnih mostičih in omrežnih karticah. Nastopajo v več vlogah in zanje je značilno naslednje:

uporabljajo se za povečanje izhodne moči brezžične naprave, sprejemajo brezžične signale drugih naprav, povečanje izhodne moči antene izrazimo s simbolom G (W). Ojačanju obratni simbol

predstavlja slabljenje, ki ga označujemo s simbolom A, večja je moč antene daljši je ponavadi njen domet.




Antene razvrščamo glede na njihov sevalni diagram - smer v katero oddajajo signal. Usmerjene antene usmerijo moč signala zgolj v eno smer. Vsesmerne antene (angl. Omni-Directional) pa signal oddajajo v vse smeri enakomerno. Usmerjene antene odlikuje večji doseg in se ponavadi uporabljajo pri mostičenju omrežja (brezžični mostič), vsesmerne antene pa srečujemo v dostopovnih točkah, ki jih odlikuje večja pokritost področja z manjšim dosegom (http://www.egradiva.net/moduli/upravljanje_ik/40_brezzicna/04_datoteka.html 3.3.2013).

Slika 25: Primer sevalnega diagrama usmerjenega in neusmerjenega snopa oddajne antene (tloris)

Vir: www.google.com

5.6.5 Kartica za brežično povezavo

Brezžičnih omrežnih kartic je na tržišču na voljo kar nekaj, največ jih je na voljo v obliki PC Card (za vstavitev v režo PCMCIA), saj brezžično omrežje v celoti izkoristi svoj pomen v navezi s prenosnim računalnikom. Prenosniki s Centrino tehnologijo imajo že vdelano brezžično omrežno kartico in sicer po standardu 802.11b. Prav tako imajo brezžično omrežno kartico po standardu 802.11b vgrajeno tudi nekateri modeli dlančnikov.

Na voljo so še brezžične omrežne kartice na PCI vodilu, ki se jih enostavno vgradi v prosto PCI razširitveno mrežo v osebnem računalniku. Tovrstne kartice imajo povečini vse zunanjo anteno, PC Card omrežne kartice pa imajo zaradi praktičnosti anteno integrirano v ohišje kartice.

Obstajajo tudi brezžični mrežni vmesniki na USB vodilu, katere se enostavno vstavi v prosto USB mesto. USB brezžične omrežne kartice so skrajno praktične v kolikor v osebnem računalniku nimate proste PCI reže oz. če imate v prenosniku že zasedeno PCMCIA režo. Težava je edinole v tem, da so povečini vse USB brezžične omrežne kartice oz. vmesniki na voljo po standardu 802.11b, ker USB 1.1 ne prepušča večje količine podatkov kot enajst megabitov na sekundo. Prepustnost štiriinpetdeset megabitov na sekundo po standardu 802.11g omogoča USB 2.0, ki je sicer že sila razširjen, vendar je 802.11g USB omrežnih vmesnikov trenutno na tržišču bolj malo.

5.6.6 Brezžični usmerjevalnik – Wireless Router

Širokopasovne povezave v splet kot sta ADSL in kabelski internet sta botrovala veliki priljubljenosti brezžičnih usmerjevalnikov (Wireless Routerjev) med domačimi uporabniki, saj se tako lahko v splet poveže več uporabnikov. Brezžični usmerjevalnik sestavlja klasični širokopasovni usmerjevalnik, stikalo (switch) – ta dva dela sta namenjeni klasični žični povezavi, širokopasovni usmerjevalnik ima ponavadi štiri prosta razširitvena mesta, tako da lahko na klasičen način z UTP kabli povežete do štiri računalnike. V usmerjevalnik pa je vgrajena tudi dostopna točka, ki omogoča brezžično povezovanje v splet. Dostopne točke, ki so vgrajene v usmerjevalnike danes nudijo vse nastavitve in kvaliteto kot



http://www.egradiva.net/moduli/upravljanje_ik/40_brezzicna/04_datoteka.html%203.3.2013


samostojen model dostopne točke, včasih pa so bile to bolj okrnjene različice. Nekateri modeli brezžičnih usmerjevalnikov imajo vgrajen tudi tiskalniški strežnik (printserver), tako da lahko iz več računalnikov tiskate na isti tiskalnik, skratka brezžičnost prinaša vrhunec udobja pri delu. Glede na čedalje nižje cene so klasičnim usmerjevalnikom šteti dnevi, saj brezžični usmerjevalnik lahko deluje tudi kot klasični usmerjevalnik, poleg tega pa nudi še možnost brezžičnega povezovanja. Nastavitve se izvajajo preko spletnega brskalnika z vpisom IP-ja usmerjevalnika, sama nastavitev je izjemno preprosta saj poleg spremljajo navodila in t.i. Wizardi oz. čarovniki, ki še olajšajo delo z nastavitvami.

5.7 Uporaba WLAN-a

Pasovna širina dostopnih tehnologij, ki se je v preteklih letih izkazala kot ozko grlo za razmah prenosa multimedijskih vsebin, je v zadnjih letih postala dovolj velika, da je prek medmrežja mogoč prenos visoko kvalitetnega zvoka in videa, kar povečuje popularnost aplikacijam, ki potrebujejo za svoje delovanje multimedijsko podporo. Zaradi vseh prednosti, ki pa jih uporabnikom prinaša mobilnost, pa je večji prodor tovrstnh aplikacij že bilo mogoče začutiti ob prihodu tretje generacije mobilne telefonije in brezžičnih lokalnih omrežij, še bolje pa ob hitrem nadaljnem razvoju le-teh v zadnjih nekaj letih. Ti dve tehnologiji namreč omogočata večje prenose hitrosti pri brezžičnih povezavah terminalov v mobilnih in brezžičnih omrežjih.

Brezžično lokalno omrežje tako že predstavlja hitro, enostavno, cenovno dostopno in tudi zmogljivo tehnologijo dostopa do medmrežja. Zaradi svojih omejitev (prost spekter, omejitev oddajnih moči, nesistematična postavitev in pokrivanja širšega področja prebivastva) pa ne predstavlja dejanske konkurence tretji generaciji mobilne telefonije (UMTS – Universale Mobile Telecomminications System), ampak se pojavlja zgolj kot dopolnitev lokalno omejenega mobilnega dostopa.

WLAN na ta način predstavlja tudi primerno dostopno omrežje za večpredstavne storitve. Med slednje spada video na zahtevo („video-on-demand“), prenos video vsebin v živo („žive“ kamere), video nadzor. V razmah po vsem svetu pa je v zadnjem času opaziti predvsem izgradnje t.i javnih omrežij, katera omogočajo javni dostop, vsem uporabnikom, kateri uporabljajo WLAN uporabniške terminale in opremo.

Tudi v Slovenijo imamo razvito t.i javno omrežje, katero sta skupaj postavili in zgradili SIOL in Mobitel, imenovano NeoWLAN.

5.8 NeoWLAN

NeoWLAN omogoča svojim uporabnikom brezžično povezavo z internetom s hitrostmi do 11 Mb/s. Podjetje SIOL in Mobitel s postavitvijo omrežja NeoWLAN, v skladu s standardom IEEE 802.11b (imenovan tudi Wi-Fi), zaokružuje svojo ponudbo brezžičnih tehnologij, saj se področje uporabe tehnologije WLAN iz zaprtega poslovnega okolja, hitro širi tudi na širši krog uporabnikov.

Vstopne točke, t.i „hotspots“, so pokrite s signalom NeoWLAN. Uporabniki,kateri imajo prenosnik ali dlančnik in pravilno nameščeno WLAN kartico oz. Kartični mobitel, lahko v dosegu signala hitro in preprosto brezžično dostopajo do interneta in e-pošte.

Območje signala je na lokacijah ustrezno označeno, doseg signala pa je odvisen od prostorske ureditve lokacije (od 30 m do 100 m). Ob zagonu internetni brskalnik samodejno poišče slovensko brezžično javno omrežje NeoWLAN in na zaslonu se prikaže vstopna stran. Sistem prepoznavanja zagotavlja preprost dostop in avtentifikacijo:

uporabniki Mobitel GSM/UMTS po vpisu svoje GSM številke preko SMS-a pridobijo enkratno uporabniško geslo, ki jim omogoči prijavo v omrežje NeoWLAN.

SiOLovi uporabniki se lahko prijavijo s svojim SiOL uporabniškim imenom in geslom. Ostali uporabniki pa za prijavo v omrežje NeoWLAN izberejo NeoWLAN vrednostno kartico.



5.9 Načini namestitev in identifikacija brezžičnih lokalnih omrežij

5.9.1 Identifikacija brezžičnih lokalnih omrežijZa brezžične odjemalce je pomembno, da se priključijo v želeno brezžično lokalno omrežje. WLAN identificiramo z identifikatorjem nabora storitev - SSID (ang. Service Set Identifier). SSID je alfanumerični niz dolžine 32 znakov, ki razlikuje med malimi in velikimi črkami pri vnašanju gesla. Ugnezdi se v vseh glavah razposlanih okvirov brezžičnega omrežja in določa pripadnost brezžičnih odjemalcev WLAN omrežju v katerem lahko med seboj komunicirajo. Vse naprave v skupnem brezžičnem omrežju morajo biti konfigurirane z enakim SSID.

5.9.2 Načini namestitev WLANNajpogostejši sta dve obliki namestitev WLAN: infrastrukturni način in provizorični način (ad-hoc). Oba načina lahko izberemo pri namestitvi brezžičnega omrežja v programskem vmesniku brezžične kartice končnega odjemalca.

5.10 Provizorični način namestitve (Ad-Hoc)Najpreprostejši način povezave odjemalcev v brezžično omrežje je način z neposredno povezavo dveh ali več brezžičnih odjemalcev s soležno arhitekturo (ang. peer to peer). Brezžično omrežje s soležno arhitekturo odjemalcev ne potrebuje dostopovne točke. Vsi odjemalci v provizoričnem omrežju s soležno arhitekturo so enakovredni. Območje, ki ga pokriva na tak način nameščeno omrežje označujemo tudi z neodvisnim naborom storitev - (ang. Independent Basic Service Set). Takšna omrežja so primerna za izmenjavo informacij in datotek med odjemalci z minimalnimi stroški.

5.11 Infrastrukturni način namestitveInfrastrukturni način se najpogosteje uporablja v zasebnih in poslovnih okoljih. Čeprav so provizorična omrežja zadostna za manjše število odjemalcev, pogojujejo večja omrežja uporabo centralne krmilne naprave, ki nadzira komunikacijo med odjemalci. To vlogo prevzame ponavadi brezžična dostopovna točka. Dostopovna točka odloča kdaj in kdo lahko komunicira v brezžičnem lokalnem omrežju. Vsak brezžični odjemalec mora za komunikacijo pridobiti dovoljenje dostopovne točke, ki nadzira celotno komunikacijo v brezžičnem omrežju in zagotavlja »enakovreden« dostop vsakemu izmed odjemalcev.

5.12 Razširjanje dosega brezžičnih lokalnih omrežijObmočje, ki ga označujemo tudi z izrazom celica oz. območje BSS, predstavlja najmanjši osnovni gradnik WLAN. Območje dosega dostopovne točke glede na uporabljeno tehnologijo 802.11 je omejeno. Za pokritje širšega območja z brezžičnim dostopom potrebujemo t.i. distribucijski sistem - hrbtenično omrežje. S hrbteničnim omrežjem povezujemo dostopovne točke med seboj (npr. s tehnologijo Ethernet). Več na tak način med seboj povezanih dostopovnih točk tvori t.i. razširjeni nabor storitev - ESS (ang. Extended Service System). Za zagotavljanje uspešnega prehoda uporabnikov med posameznimi celicami (BBS) se morajo le-te prekrivati najmanj 10%. Če želimo implementirati še lokacijske storitve (npr. RFID) mora biti to prekrivanje večje.

5.13 Brezžični kanaliNe glede na način po katerem poteka komunikacija brezžičnih odjemalcev znotraj BSS, IBSS ali ESS se mora le-ta nadzirati. Eden načinov nadzora komunikacije v brezžičnem obrežju so ločeni frekvenčni kanali.



Slika 26: Nosilne frekvence možnih kanalov standarda IEEE 802.11b

Vir: www.google.com Ločeni frekvenčni kanali se ustvarijo z razčlenitvijo obstoječega RF frekvenčnega spektra na ožje frekvenčne pasove. Vsak frekvenčni pas predstavlja ločen komunikacijski kanal. Podobno kot pri prenosu TV kanalov po skupnem prenosnem mediju (frekvenčno multipleksiranje). Vsak kanal prenaša drugo komunikacijo. Več dostopovnih točk lahko deluje blizu skupaj, če uporabljajo drugi nabor kanalov. Izbor nabora kanalov je lahko samodejen ali ročen. Ponavadi je komunikacija ločena po kanalih, novejše tehnologije pa omogočajo tudi združevanje kanalov za povečanje prepustnosti.

V brezžičnem okolju zaznavanje trkov med podatkovnimi enotami (angl. Protocol Data Unit - PDU) ni mogoče. Uporabiti se mora tehnika za preprečevanje trkov. Brezžične tehnologije uporabljajo tehniko sodostopa do prenosnega medija z zaznavanjem nosilca in izogibanjem trkom - CSMA/CA (angl. Carrier Sense Multiple Access/Collision Avoidance). CSMA/CA uporablja metodo rezervacije frekvenčnega kanala za določeno komunikacijo oz. komunikacijski kanal. Ko dostopovna točka z rezervacijo za določen kanal uspe, potem nobena druga brezžična naprava ne more komunicirati po tem kanalu. Trkom se na tak način izognemo.

Kako pravzaprav poteka procedura rezervacije kanala? Naprava, ki želi zaseči določen kanal v območju BBS mora dobiti dovoljenje dostopovne točke. Le-to zahteva s sporočilom RTS (angl. Request to Send). Če je zahtevani kanal na voljo bo to dostopovna točka potrdila s poročilom CTS (Clear to Send). Sporočilo CTS se posreduje vsem odjemalcem v območju BBS. S tem se vsem sporoči, da je zahtevani kanal oddan in ni več na voljo. Ko naprava, ki je zahtevala kanal le-tega ne potrebuje več, to sporoči dostopovni točki s sporočilom ACK (angl. Acknowledgement). ACK se posreduje razpršeno, torej vsem napravam v dosegu BBS. Na tak način se vse odjemalce obvesti o ponovni razpoložljivosti kanala. Dostopovna točka lahko sproščeni kanal dodeli drugemu odjemalcu.

5.14 Konfiguracija dostopovne točkeVečina usmerjevalnikov za zasebno uporabo, omogoča povezovanje ožičenih odjemalcev kot tudi brezžičnih odjemalcev v lokalno omrežje (usmerjevalniki z integriranim žičnim/brezžičnim dostopom). Brezžični usmerjevalniki za zasebno rabo vsebujejo stikalo, ki povezuje ožičene odjemalce in dostopovno točko, ki povezuje brezžične odjemalce. Usmerjevalnik poskrbi za združljivost obeh omrežij in usmerjanje prometa v Internet s preslikavo zasebnih IP naslovov, ki se dodelijo odjemalcem v ožičenem/brezžičnem delu lokalnega omrežja (NAT) v javni IP naslov, ki ga uporabniku dodeli ponudnik storitev.

Postopek osnovnih nastavitev kot so npr. gesla, IP naslovi odjemalcev ali DHCP je za obe omrežji podoben. Osnovni konfiguracijski koraki dostopovne točke morajo biti izvedeni še pred njeno aktivacijo. Najprej nastavimo geslo, identifikacijo brezžičnega omrežja - SSID (zaradi varnosti jo je bolje prikriti) in podprtost Wi-Fi različic. Prav tako lahko izberemo nabor frekvenčnih kanalov. To je pomembno v primeru prekrivanja z bližnjo dostopovno točko oz. v primeru prekrivanja BBS.




Slika 27: Primer dveh scenarijev širokopasovne povezave v Internet z uporabljenimi brezžičnimi tehnologijami v lokalnih omrežjih

Vir: www.google.com

5.15 Brezžična omrežja in varnost

Pri fizičnih omrežjih je za vdor v omrežje kritična samo točka, v kateri se podjetje povezuje v svet, pri brezžičnem omrežju pa tovrstnega fizičnega nadzora ni. Vsakdo, ki je dovolj blizu brezžičnemu omrežju, lahko sprejema signale, ki jih omrežje oddaja. Kupci brezžične omrežne opreme velikokrat zmotno menijo, da je domet omrežja zelo majhen. V resnici pa postane signal z oddaljenostjo le toliko šibak, da ga majhne antene v prenosnem računalniku ne zaznajo več. Z boljšo anteno (yagi, parabolična..) pa je signal mogoče spremljati tudi na daljši razdalji. Vdiranje v »odprta« brezžična omrežja ali njihovo izkoriščanje je v tujini tako popularno, da je hitro dobilo kar svoje ime: wardriving.

Večina proizvajalcev brezžične opreme ponuja različne možnosti varovanja omrežja. Osnovna zaščita je uporaba ključa WEP, ki šifrira pakete v brezžičnem omrežju. Vendar je to osnovno zaščito zelo preprosto prebiti. V internetu je mogoče najti kup orodij, ki omogočajo nepovabljenim odkritje ključa WEP, če je omrežje dovolj dolgo dosegljivo.

Eno pomembnejših vprašanj pri postavitvi WLANa bi morala biti varnost. Neuki ali hiteči uporabniki jo vse preradi zanemarijo, kar ima lahko izjemno neprijetne posledice. Omrežje wifi je namreč v svoji najbolj osnovni obliki nezavarovano in se lahko vanj poveže kdorkoli. Tako vam premeten sosed brez težav krade internetno povezavo, si kopira ali celo spreminja datoteke na disku, po omreženem tiskalniku spušča neokusna sporočila... Kaj torej storiti, da boste domačo mrežo uporabljali samo vi ali natanko določeni odjemalci? Prvi korak je vklop geselne zaščite, ki se ji reče WEP - Wired Equivalency Protocol. Gre za najbolj preprosto obliko protekcije, kjer na usmerjevalniku določite številčno kombinacijo, ki jo mora poznati vsaka naprava, ki se hoče povezati z njim. Šifra je lahko različne moči, od 64 do 256 bitov, priporočam pa rabo vsaj 128-bitne. WEP je minimalna stopnja varnosti, brez katere ne bi smelo biti nobeno brezžično omrežje. Ustavila bo tečne sosede in mimovozeče radovedneže (wardriverje). No, izvežbanih vdiralcev pa ne. Z nekaj prosto dosegljive opreme in ustreznim programjem je WEP-ključ zlahka moč dobiti in ga razvozlati. Zato se nemara splača premisliti o WPAju (Wi-Fi Protected Access-u), ki je mnogo trši oreh. Oddajnik in sprejemnik v tem primeru izmenjata skupno geslo le na začetku seanse, nakar je vsak paketek zavit v drug dinamično ustvarjen šifrirni ključ. Zlobneži si tako ne morejo pomagati s prestreženimi informacijami, razen če gre za skrivne agente kamniške obveščevalne agencije, znane po svojih naprednih metodah. WPA je na voljo v več oblikah, vendar je za povprečne domače uporabnike primerna le ena, in sicer WPA-PSK (WPA Pre-Shared Key) oziroma ponekod WPA Personal. Druge so enostavno prezahtevne za pravilno namestitev.




Wardriverji imajo sloves pobalinov, ki prežijo za zastonjskim dostopom do neta in izkoriščajo slabo varovane WLANe. V resnici je početje nastalo iz mnogo plemenitejših razlogov.

Ultimativna oblika brezžične varnosti pa je filtriranje naslovov MAC (Media Access Control). Vsaka komunikacijska naprava, od routerja do integrirane mrežne kartice, je označena z unikatno šestnajstiško številko MAC. Svoje omrežje lahko nastavite tako, da dopušča priklop le določenemu naboru MAC-naslovov, s čemer izločite vse nezaželene zunanje vplive. Nastavitev take zaščite ni zahtevna, saj gre le za vpisovanje številk v tabelo, vendar zna biti nepraktična. Če se k vam primaje kak kolega z novim prenosnikom, wifi-dlančnikom ali PSPjem, ne bo mogel na splet, dokler ga ročno ne dodate v usmerjevalnikovih nastavitvah.

Prav tako sprememba privzetega uporabniškega imena in gesla za administracijo routerja. Večina proizvajalcev svoje modele opremi z generičnim, javno znanim passwordom (recimo administrator / password, administrator / administrator ali admin / 123456). Glede na to, da obstajajo aplikacije, ki zaznajo natančen model usmerjevalnika v WLANu, si lahko mislite, da to ni dober porok za varnost. Kak barabin bi se lahko priklopil na vaš router, vklopil zaščito WPA, spremenil geslo in vas tako zaklenil iz lastnega omrežja. In še en uporaben namig: izklopite javno oddajanje imena omrežja oziroma Service Set Identifierja (SSID). Priklop raznih naprav bo sicer malce težji, saj mreže ne bodo zaznale samodejno, temveč jo boste morali vtipkati sami. Toda brez namenskih programov nihče ne bo vedel, da sploh posedujete WLAN.

Varnost brezžičnega omrežja je najbolje preverjati z orodji, ki bi jih uporabili nepovabljeni gosti. Teh orodij je v internetu mogoče najti kar veliko. Med bolj popularnimi so Netstumbler, Aerosol, Kismet, WEPCrack in WEP_Tools. Programi, kot je Netstumbler, se znajo povezati tudi z napravo GPS, združljivo z NMEA, in shraniti tudi geografske podatke o lokaciji, kjer je nahaja brezžično omrežje. Iz nezaščitenega brezžičnega omrežja pa pridobijo naslov MAC dostopne točke, jakost signala, ime omrežja, SSID, kanal, na katerem je omrežje in ime proizvajalca opreme.

Ali je torej brezžično omrežje lahko varno?

Odgovor je absolutno da, vendar moramo za to kaj narediti. Še najbolje je, da po namestitvi omrežje preizkusimo z različnimi orodji. Pozneje občasno preverimo, ali obstajajo novejša orodja za preizkušanje varnosti brezžičnih omrežij in ustrezno ukrepamo. Zavedati se je treba, da je varovanje brezžičnega omrežja proces in največkrat ni končano z namestitvijo opreme.

5.16 Uvod v varnost brezžičnih omrežijBrezžično omrežje uporablja kot svoj prenosni medij prostor okolice - eter. Le-ta je porazdeljen, skupen in ga nikakor ne moremo omejevati če želimo, da je pokritost odjemalcev dovolj dobra znotraj določenega področja. Posledica tega je, da lahko pri prenosu podatkov prisluškuje kdorkoli in kadarkoli. Nepooblaščeni lahko na tak način uporabijo ali zlorabijo podatke. Posledica tega je bil razvoj šifrirnih in avtentikacijskih mehanizmov, ki poskušajo zavarovati prenesene podatke, hkrati pa odjemalca enolično identificirati ter s tem zmanjšati možnost nepooblaščenega dostopa do prenešenih vsebin.

5.16.1 Osnovne metode avtentikacijeAvtentikacija je postopek, s katerim se ugotavlja identiteta udeleženca v komunikaciji oz. se preverja, če je udeleženec, s katerim se komunicira, resnično tisti, za katerega se predstavlja. Poznamo tri osnovne skupine avtentikacijskih postopkov, in sicer:

avtentikacija, zasnovana na uporabniškem imenu in geslu, avtentikacija, ki temelji na simetrični kriptografiji in avtentikacija, ki sloni na asimetrični kriptologiji.

Avtentikacija zasnovana na uporabniškem imenu in geslu



Da bi se uspešno opravil postopek avtentikacije, je potrebno pravilno vpisati kombinacijo uporabniškega imena in gesla. Uporabniško ime je javni podatek, medtem ko je tajnost gesla zelo pomembna. Kdor pozna uporabniško ime in geslo, lahko prevzame identiteto uporabnika.

Avtentikacija, ki temelji na simetrični kriptografiji

Sistem in uporabnik si delita skupno skrivnost (tajno geslo). Pomembno je, da se to geslo nikoli ne prenaša preko telekomunikacijskega sistema, temveč sistem izzove uporabnika tako, da mu pošlje neko naključno sporočilo. Uporabnik odgovori tako, da šifrira to sporočilo s tajnim geslom, in ga pošlje nazaj. Sistem, ki pozna tajni ključ, šifrira svoje sporočilo in ga primerja s sporočilom, ki ga je prejel od uporabnika. Če sta enaka, je identiteta uporabnika potrjena.

Avtentikacija, ki sloni na asimetrični kriptografiji

V tem primeru je avtentikacija možna s pomočjo digitalnega podpisa, ki je predstavljen v prejšnjem poglavju. ˝V določenih primerih ne zadošča, da sistem zgolj preveri identiteto uporabnika, ampak mora biti poskrbljeno tudi za to, da kasneje uporabnik ne more zanikati sporočil, ki jih je poslal, ker za ta sporočila tudi odgovarja. Tak primer je elektronsko bančništvo. To, da uporabnik z digitalnim podpisom podpisanih sporočil ne more zanikati, je mogoče zagotoviti samo , če uporabnik prej podpiše dogovor, v katerem potrjuje veljavnost svojega digitalnega podpisa (overi svoj javni ključ) in prevzame odgovornost za uporabo svojega digitalnega podpisa, to je uporabo tajnega ključa, ki je par overjenemu javnemu ključu.˝ (http://www.lkn.fe.uni-lj.si/Clanki/2003/Varnost%20v%20telekomunikacijah.pdf 3.3.2013).

Kljub kratkemu razvojnemu času varnostnih mehanizmov namenjenih brezžičnim omrežjem je razvoj šel skozi več generacij avtentikacijskih mehanizmov. Avtentikacijske metode, ki so opisane v nadaljevanju, so postale za podjetja neprimerne in ostajajo domena domačih uporabnikov, ki ne potrebujejo najvišjega nivoja varnosti, vendar jih omenjamo zaradi boljšega razumevanja vsebin, ki sledijo.

5.16.2 Odprta avtentikacijaOdprta avtentikacija predstavlja enostavno izmenjavo sporočil, kjer odjemalec običajno pošlje sporočilo na katerega dobi odgovor od dostopovne točke, ki je lahko bodisi uspešen bodisi neuspešen z razlogom.

Odprta avtentikacija ne omogoča nobenih varnostnih mehanizmov, kar pomeni, da potrebujejo vsi odjemalci, ki skušajo vzpostaviti pridružitev na določena dostopovna točka le informacijo o SSID (angl. Service Set Identifier). Prednost takšnega pristopa je predvsem v enostavnosti pridružitve odjemalca in dostop do omrežja, zato je takšen način predvsem primeren za javna mesta, kot so kiber kavarne, hoteli, ipd. Uporabniki lahko naknadno vzpostavijo IPSec tunel do internega omrežja, kar predstavlja zadovljiv mehanizem varovanja podatkov, ki jih odjemalec oddaja in sprejema. Težava se lahko pojavi kadar računalnik, ki vzpostavlja tunel sam ni primerno zavarovan in lahko služi kot vstopna točka v korporativno omrežje v primeru, da neavtoriziran uporabnik pridobi dostop do računalnika. Računalnik je najbolje zavarovati s požarnim zidom ali IPS (Intrusion Prevention System) programsko opremo, ki raje kot sam promet nadzira vzorec dogodkov in sklepa na morebitne napade/vdore na/v računalnik.

5.16.3 Avtentikacija na podlagi MAC naslovovDostopovna točka ima notranjo tabelo MAC naslovov, katerim omogoči ali onemogoči dostop do omežja. V primeru da MAC naslov obstaja v tabeli je integriteta odjemalca potrejena in se predpostavlja, da je oseba za računalnikom avtorizirana za dostop do omrežja. Sam avtentikacijski mehanizem ni opisan znotraj IEEE 802.11, zato lahko implementacije varirajo od proizvajalca do proizvajalca, kar pomeni, da lahko določena dostopovna točka dovoli pridružitev odjemalca vendar


http://www.lkn.fe.uni-lj.si/Clanki/2003/Varnost%20v%20telekomunikacijah.pdf

http://www.lkn.fe.uni-lj.si/Clanki/2003/Varnost%20v%20telekomunikacijah.pdf


blokira promet, druga pa zavrača že samo pridružitev odjemalca, v primeru da je avtentikacija neuspešna.

Težava, ki se tukaj pojavlja je, da potrebujemo pri večjem omrežju administratorja, ki ročno vnaša MAC naslove v tabelo dostopovne točke, kar predstavlja izjemno zamudno in težavno delo na področju podpore in vzdrževanja omrežja.

V smislu varnosti se pojavlja še večja težava, saj so MAC naslovi odjemalcev enostavno dosegljivi in vidni. S pomočjo orodij za sleparjenja fizičnih naslovov (MAC spooffing tools) ali celo samo s podporo gonilnika mrežne kartice, lahko enostavno spremenimo izvorni MAC naslov znotraj paketa, kar pomeni, da bo takšen paket enostavno dosegel svoj cilj, saj je s tem potrjena identiteta uporabnika.

5.16.4 Avtentikacija z deljenim ključemAvtentikacija na podlagi deljenega ključa deluje na podlagi infrastrukture mehanizma žično ekvivalentne zasebnosti - WEP (angl. Wired Equivalent Privacy). Protokol ne ugotavlja identiteto posameznega odjemalca, temveč temelji na dejstvu, da si odjemalec in dostopovna točka delita isti skrivni ključ. Avtentikacija odjemalca (pa čeprav ne čisto ta prava, pa jo bomo v nadaljevanju vseeno tako imenovali) poteka na principu izziva, in je sestavljena iz 6 korakov:

1. zahtevek odjemalca za avtentikacijo,2. dostopovna točka izda nalogo, ki je v nešifrirani tekstovni obliki,3. odjemalec šifrira tekst s pomočjo WEP algoritma in skritega ključa,4. odgovor na izziv,5. preverjanje sprejetega šifriranega sporočila in6. uspešna/neuspešna avtentikacija uporabnika.

Slika 28: Postopek avtentikacije

Vir: www.google.com Zaradi težavne implementacije različnih deljenih ključev za različne skupine uporabnikov je običajno deljeni ključ samo eden, kar vodi v težavo skupnega lastništva ključa in izmenjave. Ključ tako postane skupna last in ni več pod strogim varnostnim nadzorom in postane spretnemu neavtoriziranemu uporabniku enostavno dostopen.




5.17 WEP (Wired Equivalent Privacy)WEP je del standarda IEEE 802.11 od leta 1999 in za šifriranje podatkov uporablja simetrični algoritem RC4, za preverjanje integritete pa CRC32. Da bi lahko razumeli težave WEP je potrebo najprej razumeti njegovo delovanje.

Slika 29: Proces šifriranja sporočila

Vir: www.google.com Proces šifriranja se vedno začne z nešifriranim sporočilom nad katerim WEP izvede najprej 32 bitno ciklično preverjanje vsote (CRC32), ki služi preverjanju integritete sporočila in se doda na konec sporočila. V naslednjem koraku se doda skriti ključ na konec inicializacijskega vektorja (vektor je dolg 24 bitov in ni zakodiran ter se naključno generira). Na tak način tvorjen podatek spustimo skozi psevdonaključni generator števil RC4 PRNG (angl. Pseudo Random Number Generator), ki generira zaporedje bitov uporabljenih kot ključ v koraku XOR primerjave in je po dolžini ekvivalenten dolžini prvotnega sporočila s CRC. Rezultat operacije je kodirano sporočilo in preden se sporočilo odda se na začetek sporočila pripne inicializacijski vektor (IV).

Začetne implementacije so uporabljale 40 bitni ključ, kar je skupaj z IV dalo 64 bitni ključ. V naslednjih implementacijah je bil ključ zaradi varnostnih razlogov povečan na 104 bite, ki jih je uporabnik običajno vnašal v obliki 26 hexadecimalnih znakov, kar je skupaj z IV zneslo 128 bitov.

Težave so se sprva pojavljale v obliki nefleksibilnosti upravljanja uporabljenih ključev med uporabniki, kar je administratorjem povzročalo preglavice pri varovanju skrivnosti. Prav tako se je pojavljala težava z implementacijo RC4 algoritma, saj sama definicija IV ni bila specificirana znotraj IEEE 802.11 in je ostala na izbiro samim proizvajalcem, ki so ga velikokrat implementirali kar kot naključno število. V primeru, da se je IV v določenem primeru ponovil (pojavu pravimo trk šifer in je enostavno prepoznaven saj je IV nekodiran na začetku sporočila in ga po specifikacijah IEEE 802.11 dostopovna točka ne sme zavrniti) lahko uporabimo množico napadov, ki temeljijo na pojavu trkov.




Slika 30: Primer trka šifer

Vir: www.google.com Sama nevarnost trkov je toliko bolj očitna, kadar izvemo da je možno ugotoviti ključ s pomočjo dveh prenosnih računalnikov z brezžično podporo in ustreznimi programskimi orodji, v manj kot 30 minutah.

Naslednja vrsta napada na WEP je s surovo silo (napad s poskusi) in ugotavljanje ključa, kar je po matematični plati sprva izjemno težko, vendar je Tim Newsham, specialist s področja računalniške varnosti ugotovil, da večina proizvajalcev ponuja možnost naključne generacije ključa od katerih večina deluje na enakem algoritmu. G. Newsham je odkril pomanjkljivost implementiranega algoritma generacije naključnega ključa, ter dokazal, da se lahko 40-bitni šifrirni ključ odkrije v zelo kratkem času (60 s).

Vrst napadov je veliko več, vendar je dejstvo, da obstajajo, že dovolj, da se podjetja ne smejo nepremišljeno odločati za WEP šifriranje v primeru, da želijo varno brezžično omrežje.

5.18 TKIPTKIP, kot izboljšava WEP je bil razvit z dvema ciljema v mislih. Potrebno je bilo poskrbeti za višjo stopnjo varnosti in obdržati strojno podporo odjemalcev, ki so do takrat bili na tržišču. TKIP tako mora obdržati osnovne mehanizme WEP, kot so IV, RC4 algoritem in preverjanje integritete sporočila. Problematika WEP je predvsem v ponovni uporabi ključev pri šifriranju sporočila (trki IV). Odgovor težavi je bila zamenjava ključa za vsako oddano sporočilo. TKIP vključuje 3 osnovne elemente za izboljšanje šifriranja:

uporaba različnih ključev za vsak paket, vpeljavo MIC (angl. Message Integrity Code) algoritma Michael, izboljšan IV.




Slika 31: Delovanje TKIP

Vir: www.google.comOdjemalec za šifriranje uporablja dva ključa od katerih je eden 128 bitni šifririni ključ (začasni ključ) in drugi 64 bitni ključ za preverjanje podatkovne integritete(MIC ključ), ki ga pridobi v času 802.1x avtentikacije. Najprej se nad odjemalčevim MAC naslovom in začasnim ključem izvede operacija ekskluzivni ali, ki tvori ključ prve faze oziroma vmesni ključ. Le-tega s pomočjo operacije mešanja ključev in zaporedja paketov pretvorimo v ključ druge faze. Takšen ključ je uporabljen za WEP šifriranje kot standardni 128 bitni ključ (ključ +IV). Nadalje se izvajajo standardne operacije WEP šifriranja.

Prednost TKIP je v uporabi različnih ključev za vsakega odjemalca, saj je vrednost ključa pogojena z fizičnim MAC naslovom odjemalca (faza 1). Algoritem Michael uporablja enosmerno zgoščevalno funkcijo ki kot vhod sprejme MIC ključ, MAC naslov oddajnika, MAC naslov sprejemnik in tekst sporočila. Tako je zgoščena vrednost kljub enakemu sporočilu lahko različna glede na odjemalca, ki sporočilo posreduje in pridobimo način MAC avtentikacije uporabnika.

Problem IV trkov TKIP naslovi na tak način da je povečal velikost IV iz 24 na 48 bitov, ter vpeljal števec IV, ki naraščajo od 0 naprej, ter ne dopuščajo paketov, ki ne ustrezajo zaporedju paketov.

5.19 Brezžična WiFi omrežja Brezžična WiFi omrežja so s poplavo pametnih telefonov in tablic za večino uporabnikov postala primaren način dostopa do spleta, tako doma kot na delovnem mestu. Wi-Fi nikakor ni več le nišna tehnologija, uporabna izključno za dostop na splet v konferenčnih dvoranah. Po podatkih raziskovalne skupine Gartner Group, 64% poslovnih okolij na določenih delih že uporablja brezžično tehnologijo. Dve od treh podjetij z obstoječim WLAN omrežjem, uporablja brezžični dostop kot nadomestilo za žične Ethernet povezave, medtem ko ga četrtina uporablja tudi za podporo osnovnim poslovnih procesov, kot so nadzor in upravljanje zalog ter pri avtomatizaciji proizvodnje. Vse bolj je prisoten tudi trend BYOD (angl. Bring Your Own Device), pri katerem uporabniki tudi na delovnem mestu za izvajanje službenih nalog uporabljajo lastne naprave (pametni telefoni, tablice), ki za dostop do medmrežja potrebujejo zmogljivo WiFi omrežje. V času globalizacije in stalne mobilnosti, vedno več zaposlenih dostopa do Intraneta in poslovnih aplikacij svojih podjetij in ustanov preko javnih dostopnih točk (angl. Hot Spot), v hotelih, letališčih, bencinskih črpalkah, postajališčih. Tudi preživljanje prostega časa je vedno bolj prežeto z neprestanim dostopom do spletnih storitev. V prihodnjih letih se obeta




nadaljevanje neverjetne rasti števila nameščenih Hot Spot točk, saj si uporabniki življenja brez WiFi dostopa na javnih mestih ne morejo več zamisliti.

Glavne zahteve so:

velik domet in pokritost velika propustnost, robustnost, stabilnost in zanesljivost brezpogojna varnost podpora prenosom multimedijskih vsebin (glas in slika) preprosta namestitev, razširljivost in upravljanje možnost vključitve v obstoječe žično in brezžično infrastrukturo sprejemljiva cena

Trenutno se brezžična tehnologija v poslovnih okoljih v veliki meri uporablja le za prenos podatkov (elektronska pošta, dostop do spleta). A uporabniki postajajo pri brezžičnih omrežjih vse zahtevnejši. Podpora prenosu govora in video vsebin je postala samoumevna (video nadzor, video konference, IPTV, VoWiFi (Voice over WiFi) in FMC (angl. Fixed Mobile Convergence). Za zadostitev teh zahtev je potrebna postavitev zmogljive in zanesljive brezžične WiFi infrastrukture.

V okoljih malih in srednje velikih podjetij (SME) in na javnih mestih, kot so hoteli, restavracije, učilnice, trgovine, športne in konferenčne dvorane ter sorodni objekti, morajo biti rešitve brezžičnega dostopa preproste za namestitev in uporabo, a obenem zanesljive, varne ter cenovno sprejemljive. Upraviteljem omrežij je dana možnost izbire med cenenimi in nezanesljivimi standardnimi dostopnimi točkami, ki ponujajo zelo malo naprednih lastnosti, ter ne omogočajo centralnega upravljanja. Tako niso primerne za implementacijo profesionalnega WiFi omrežja v okoljih z velikim številom uporabnikov in pri aplikacijah, ki so občutljive na časovne zamike. (http://www.telos.si/resitve/WLAN_brezzicna_poslovna_omrezja.htm, 3.3.2013)

VPRAŠANJA

1. Katere vrste računalniških omrežij poznate (glede na oddaljenost)?2. Opišite brezžično lokalno omrežje?3. Katere standarde poznamo v brezžičnih omrežjih?4. Naštejte komponente brezžičnih lokalnih omrežij?

Vir:

http://www.egradiva.net/moduli/upravljanje_ik/01_datoteka.html



http://www.telos.si/resitve/WLAN_brezzicna_poslovna_omrezja.htm


6. OMREŽNI STANDARDIOmrežne dejavnosti zajemajo tudi prenos podatkov iz enega računalniškega sistema na drugega. Ta zapleten postopek je lahko razdeljen na sledeče si naloge. Računalnik, ki pošilja mora:

prepoznati podatke, razdeliti podatke v obvladljive gruče, vsakemu podatku dodati informacije o njegovi lokaciji in prepoznavanju prejemnika podatkov, dodati informacije o sinhronizaciji in za preverjanje napak, dati podatke v omrežje in poslati na želen cilj.

Programska oprema omrežnega odjemalca deluje na mnogih različnih slojih znotraj oddajnega in sprejemnega računalnika. Vsak od teh slojev predstavlja enega ali več protokolov. Ti protokoli ali pravila obnašanja so običajne specifikacije oblikovanja in prenosa podatkov. Ko računalnik, ki pošilja in tisti, ki sprejema, delujeta z istimi protokoli, je komunikacija zanesljiva. Zaradi razslojene strukture temu pogosto pravimo protokolni sklad.

Zaradi hitrega razvoja omrežne strojne in programske opreme je bil pomemben nastanek standardnih protokolov, ki bi omogočali strojni in programski opremi različnih izdelovalcev medsebojno komunikacijo. Nastali sta dve osnovni vrsti standardov, referenčni model OSI in njegova modifikacija, imenovana Projekt 802. Razumevanje pomena standardov v omrežjih je prvi in pomemben korak k razumevanju, kako v tehnološkem smislu omrežje sploh deluje.

6.1 Referenčni model OSILeta 1983 je mednarodna organizacija za standardizacijo ISO izdala dokument, ki so ga imenovali Osnovni referenčni model za odprte sistemske povezave (angl. The Basic Reference Model for Open Systems Interconnection). OSI je doživel popravek in dopolnitev leta 1985. V tem modelu so računalniške omrežne funkcije deljene. Originalno je bila struktura teh sedmih slojev model za novi protokolni sklad, toda to se nikoli ni uveljavilo. Namesto tega je model OSI bil uporabljen z obstoječimi protokoli za referenčno orodje in učenje omrežnih komunikacij.

Referenčni model OSI je najbolj znan in najbolj uporabljan model omrežnih okolij. Proizvajalci upoštevajo OSI referenčni model, ko oblikujejo svoje omrežne izdelke. OSI vsebuje opis, kako naj strojna in programska oprema delujeta skupaj v omrežni komunikaciji, ki je razdeljena na sloje. Model prav tako pomaga pri odpravljanju težav, ker v določenih okvirih določa, kako naj bi komponente delovale.

Referenčni model OSI prikazuje omrežne procese in je bil razdeljen na sedem različnih slojev. Ta teoretična zgradba omogoča lažje razumevanje in učenje. Na vrhu modela je aplikacija, ki uravnava dostop do omrežja, na dnu pa je samo omrežni medij. Ko se podatek premakne navzdol skozi sloje modela, nanj delujejo različni protokoli, ga pripravijo in pakirajo za prenose preko omrežja. Ko podatek pride do pravega cilja, se premakne navzgor skozi sloje na prejemnem sistemu, kjer isti protokoli pretvorijo podatke v enakih procesih v nasprotni smeri.

Pri izdelavi referenčnega modela so upoštevali:

Sloj je uveden, če je potrebna ločena predstavitev funkcij. Vsak sloj mora imeti natančno določene naloge. Naloge posameznega sloja morajo uporabljati mednarodno sprejete standardizirane

protokole. Sloji naj kar najmanj komunicirajo s protokoli na drugih slojih.

| 6. OMREŽNI STANDARDI 101


Število slojev mora biti tako veliko, da različne funkcije niso na istih slojih in hkrati jih mora biti čim manj, da je arhitektura pregledna.

Večina protokolov, ki se danes uporabljajo, je še iz časa, ko še ni bilo modela OSI in nimajo strukture teh sedmih slojev. V večini primerov en sam protokol kombinira funkcije, ki so na dveh ali več slojih v modelu. Funkcije protokolov se tudi točno ne skladajo s funkcijami v OSI modelu. Vseeno ta model ostaja najboljše orodje za učenje omrežnih procesov in profesionalnih napotkov za izdelavo protokolov z določenimi nalogami, ki so povezane z določenimi sloji.

6.2 Slojevita zgradba ISO/OSI aplikacijski sloj predstavitveni sloj sejni sloj transportni sloj omrežni sloj sloj podatkovne povezave fizični sloj.

Referenčni model OSI deli omrežno komunikacijo v sedem slojev. Vsak sloj pokriva različne omrežne dejavnosti, opremo ali protokole. Slika kaže razslojeno arhitekturo referenčnega modela OSI. Referenčni model OSI predpisuje, kako vsak sloj komunicira in deluje z ostalimi sloji nad in pod njim. Na primer, sejni sloj komunicira in deluje s predstavitvenim in transportnim slojem.

Referenčni model ISO/OSI je sestavljen iz sedmih plasti. Na vsaki plasti so določene posamezne omrežne funkcije. Model je bil razvit leta 1984 in velja za osnovni arhitekturni model za komunikacijo med računalniki. Model OSI je sistematičen in konceptualno zasnovan, vendar je le referenčni model, ki v celoti ni nikoli zaživel.

7. APLIKACIJSKA PLAST

6. PREDSTAVITVENA PLAST

5. PLAST SEJE

4. PRENOSNA PLAST

3. MREŽNA PLAST

2. POVEZAVNA PLAST

1. FIZIČNA PLAST



Slika 32: Referenčni model ISO/OSI

Vir: www.google.si

6.3 Fizična plastFizična plast definira električne in mehanske lastnosti vodnikov in konektorjev. Definirane so prenosne frekvence in napetostni nivoji, načini kako se še zapisujejo podatki v obliko, ki je primerna za prenos po izbranem mediju.

Mediji: bakreni vodniki (koaks, utp. optika...)

Konektorji: BNC, RJ45...

Najnižji sloj referenčnega modela OSI je fizični sloj. Ta sloj prenaša nezgrajene, nepredelane bitne toke preko fizičnega posrednika (kot so omrežni kabli). Fizični sloj je čisto strojno usmerjen in se ukvarja z vsemi vidiki ustanavljanja in vzdrževanja fizične povezave med komuniciranjem računalnikov. Fizični sloj tudi prenaša signale, ki prenašajo podatke, ki jih ustvarjajo vsi zgornji sloji.

Slika 33: Fizični sloj OSI določa konektorje

Vir: www.google.si

Fizični sloj je na dnu modela OSI in kot že ime pove, nadzoruje omrežno strojno opremo, na primer katero omrežno kartico/vmesnik naj omrežje uporablja, kako je omrežje nameščeno, in vrsto signalov, ki se prenašajo preko omrežja. Ta sloj nam tudi pove kakšne vrste morajo biti kabli in pa kakšna zvezdišča (stikala) naj omrežje uporablja. Fizični sloj je neposredno pod slojem podatkovne povezave. Ko se izbira protokole na sloju podatkovne povezave, je potrebno gledati tudi na to, da bo ta protokol podpiral tudi določen fizični sloj.


http://www.google.si/



Na primer, ethernet je protokol na sloju podatkovne povezave, ki podpira več različnih medijev na fizičnih slojih. Z ethernetom lahko uporabljamo le dve vrsti koaksialnega kabla, več vrst paričnega kabla ali pa optični kabel. Specifikacije vsebujejo veliko število natančnih informacij o zahtevah fizičnega sloja kot so tipi kablov, konektorji, dolžina kablov, število razdelilnikov in še veliko število drugih činiteljev. Te specifikacije so potrebne za pravilno delovanje omrežja. Na primer, če je dolžina segmenta predolga, se v Ethernetu ne morejo zaznati trki in tako so podatki izgubljeni.

Slika 34: Fizični sloj OSI določa strojno opremo, foto MW

Vir: www.google.si

Čeprav je večina lastnosti fizičnega sloja določena s protokoli sloja podatkovne povezave, je veliko značilnosti dodanih še v drugih standardih. Ena od najbolj pogostih specifikacij je Commercial Building Telecommunications Cabling Standard, ki so jo izdali pri American National Standards Institute (ANSI), Electronics Industry Association (EIA) in Telecommunications Industry Association (TIA) kot EIA/TIA 568A. Ta dokument vključuje podrobno opisane postopke za namestitev kablov za delovanje podatkovnega omrežja, vključuje zahtevane razdalje od elektromagnetnih izvorov in druga pravila. Izdelava omrežja LAN se lahko zaupa strokovnjakom, ki poznajo standard EIA/TIA 568A.

Drug komunikacijski element, ki deluje na fizičnem sloju, je poseben tip signalizacije, uporabljen za prenos podatkov preko omrežnega medija. Za bakrene žice je to električna napetost, za optične kable pa svetlobni pulz. Drugi tipi lahko uporabljajo tudi radijske signale, infrardeče signale in/ali še katerega drugega izmed številnih. Na vrsto signalov pa vliva še oblika in zaporedje signalov, ki jih ustvari računalnik. Ta shema je zaporedje, ki ga računalnik uporablja in ga sosednji razume. Tako se ne pojavljajo napake. Eternet sistemi uporabljajo vrsto kodiranja, imenovano Manchester encoding, sistemi token ring pa uporabljajo kodirno shemo Differential Manchester.

6.4 Povezovalna plastPovezovalna plast skrbi za:

določanje enote sporočil (znake, bloke, pakete), način ugotavljanja napak med dvema sosednjima vozliščema, odpravo napak, omrežno topologijo, mehanizme dostopa do prenosnega medija, kontrolo pretoka.

Protokoli: Ethernet, FDDI, PP; MAC, LLC

6.5 Mrežna plastMrežna plast skrbi za pravilno potovanje paketov različnih dolžin in po različnih poteh. Zagotavlja pravilno fagmentacijo in defragmentacijo, pravilen vrstni red pošiljanja in prejemanja paketov. Zagotavljanje kvalitete servisa je prav tako naloga te plasti.




Slika 35: Omrežna plast

Vir: www.google.com Protokoli: IP, IPX, DecNet

6.6 Prenosna plastTransportna plast zagotavlja višje ležečim plastem povezavo med končnima računalnikoma. Na prenosni poti poskrbi za pravilen in zanesljiv prenos podatkov. Med drugim določa:

razstavljanje dolgih sporočil na pakete (fragmentacija) ob oddajanju in sestavljanje sporočil iz paketov (defragmentacija) ob sprejemanju. Pri tem je pomembna urejenost zaporedja paketov, saj lahko paketi prispejo v drugačnem vrstnem redu, kot so bili poslani;

odkrivanje in odpravljanje napak: transportna plast odkriva napake in o tem obvesti plast, na kateri je do napake prišlo.

6.7 Plast seje Plast seje določa:

vzpostavitev, vzdrževanje in prekinitev seje, to je komunikacije med končnimi računalniki; vrsto komunikacije:

o enosmerna (Simplex): na eni strani je postaja, ki oddaja sporočilo, na drugi strani pa ena ali več postaj, ki sporočilo sprejemajo;

o izmenično dvosmerno (Half Duplex): postaja lahko sprejema in oddaja podatke, vendar jih lahko istočasno samo oddaja ali samo sprejema

o dvosmerno (Full Duplex): postaja lahko istočasno sprejema in oddaja podatke.

6.8 Predstavitvena plastPredstavitvena plast skrbi za uskladitev različnih načinov predstavitve podatkov:

kompresijo in dekompresijo podatkov (kodiranje ali zamenjava pogostih funkcij ali besed z zelo kratko kodo, z namenom povečanja učinkovitosti prenosa);

nabor znakov in kod (ASCII, EBCDIC), šifriranje podatkov za potrebe zaščite podatkov, ki so v ta namen ob prenosu kodirani, da jih

lahko razume le uporabnik, kateremu je sporočilo namenjeno,




podatkovne formate, ki omogočajo uporabo standardnih predstavitvenih, zvočnih in video formatov za potrebe uporabe aplikacij na različnih računalniških sistemih.

6.9 Aplikacijska plastAplikacijska plast je vmesnik med uporabnikom in komunikacijskim omrežjem. Določa protokole, ki omogočajo elektronsko pošto, izdelavo predstavitvenih strani, prenašanje datotek in podobno. Skladno z razvojem OSI modela so se razvijale tudi aplikacije OSI, ki pa se niso širše uveljavile. Primeri: File Transfer, Access and Management (FTAM), Virtual Terminal Protocol (VTP).

6.10 Sedemslojni referenčni model OSIVsak sloj opravi neko delo oziroma dejanje, da pripravi podatke za prenos preko omrežja na drugi računalnik. Najnižja sloja, prvi in drugi, določata omrežne fizične medije in sorodne teme, kot je pošiljanje podatkovnih bitov na omrežne vmesne vmesnike (NIC) in kable. Najvišji sloji definirajo kakšen dostop imajo aplikacije komunikacijskih uslug. Višji je sloj, bolj zapletene so naloge, ki jih opravlja. Sloji so med seboj ločeni z ločnicami, imenovanimi mejne ploskve ali vmesniki.

6.10.1 Odnosi med sloji referenčnega modela OSIVsak sloj zagotavlja usluge naslednjemu višjemu sloju in ščiti zgornji sloj pred podrobnostmi. V istem času se vsak sloj pojavlja v neposredni komunikaciji z istoležnim slojem na drugem računalniku. To omogoča logično ali virtualno komunikacijo med enako ležečimi sloji, kot je pokazano na sliki. V resnici prava komunikacija med sosednjima slojema poteka le na enem računalniku. Na vsakem sloju programska oprema zagotavlja omrežne funkcije glede na skupek protokolov.

Preden so podatki poslani iz enega sloja v drugega, so razbiti na pakete ali enote informacij, ki so potem kot celota poslane iz ene naprave v omrežju na drugo. Omrežje pošilja pakete iz enega programskega sloja v drugega v enakem vrstnem redu, kakor se dogaja pri strojnih slojih. Na vsakem sloju programska oprema doda podatkom obliko in naslov, kar je potrebno, da se podatek uspešno prenese po omrežju. Ko se podatek sprejema, gre skozi sloje po obratnem vrstnem redu. Programska oprema na vsakem sloju prebere informacije paketa in odstrani ostale nepotrebne informacije in pošlje paket naslednjemu višjemu sloju. Ko je paket poslan do aplikacijskega sloja, so naslovne informacije odstranjene in je paket v originalni obliki, kakršni je bil odposlan, in ga lahko prejemnik prebere.

6.11 TCP/IPTransmission Control Protocol/internet Protocol (TCP/IP) je standardiziran protokolni sklad, ki poskrbi za komunikacijo v heterogenem (narejenem iz neenakih elementov) okolju. V internet se lahko priključijo računalniki z različnimi operacijski sistemi. Vendar imajo vsi ti sistemi kljub temu eno skupno stvar — med seboj komunicirajo z istim omrežnim protokolom, ki se imenuje TCP/IP. Poleg tega TCP/IP poskrbi za administratorski omrežni protokol in dostop do interneta in njegovih virov. Zaradi svoje popularnosti je protokolni sklad TCP/IP postal standard, ki je poznan kot medomreževanje, komunikacija v omrežju, sestavljenem iz več manjših.

6.11.1 Predstavitev TCP/IPTCP/IP je pričel svoje življenje v letu 1973, vendar je postal standardni protokolni sklad, uporabljen za komunikacijo med različnimi vrstami računalnikov, šele leta 1983. Tega leta so ga uporabili tudi v predhodniku interneta, omrežju ArpaNet. Večina dela je bilo opravljenega na University of California at Berkeley.

Na začetku se je uporabljal na njihovi različici operacijskega sistema Unix. Za svojo rast se ima zahvaliti odprtosti standarda, saj posamezni proizvajalci ne smejo dodajati svojih dodatkov. To je glavna prednost protokolov v skladu TPC/IP. Danes skoraj vsa omrežja podpirajo protokolni sklad TPC/IP, ta pa omogoča tudi usmerjevanje in je pogosto uporabljen kot protokol za povezovanje omrežj.



TPC/IP je bil narejen, da bi povsem zadovoljeval potrebe po zmogljivosti, robustnosti in nadzoru. V razvoj se je vključilo ministrstvo za obrambo Združenih držav Amerike in ga uporabilo kot nabor protokolov za prostrana omrežja (WAN). Njihov namen je bil vzdrževanje komunikacijskih povezav med lokacijami tudi v primeru atomske vojne. Odgovornost za celotno razvijanje protokolnega sklada TCP/IP je danes v celoti na ramenih internetne skupnosti. TPC/IP potrebuje veliko znanja in izkušenj pri uporabniku, da ga lahko namesti in konfigurira.

Uporaba protokolnega sklada TPC/IP prinaša veliko prednosti, kot so:

Je standard de facto.

Standard je povsem odprt, kar pa pomeni, da ga ne nadzoruje eno samo podjetje, zato ni podvržen napakam pri združljivosti.

Vsebuje veliko pripomočkov za povezovanje različnih operacijskih sistemov.

Povezljivost med dvema računalnikoma ni odvisna od omrežnega operacijskega sistema, uporabljenega na posameznih računalnikih.

Uporablja razširljivo arhitekturo odjemalec–strežnik.

TCP/IP se lahko razširi (ali skrči), da zadovolji prihodnje potrebe ali pogoje. Uporablja vtičnice, ki naredi operacijski sistem neviden drugim.

Vtičnica je identifikacija za določeno storitev na določenem omrežju ali vozlišču. Vtičnica (angl. socket) je sestavljena iz naslova vozlišča (računalnika) in številke vrat, ki identificira storitev.

V zgodovini je TPC/IP imel dve glavni pomanjkljivosti: velikost in hitrost. TPC/IP je relativno zelo velik protokolni sklad, ki lahko povzroča probleme odjemalcem na 16–bitnih operacijskih sistemih, kot je na primer MS–DOS. Vendar, glede na sistemske zahteve, pri modernih operacijskih sistemih z grafičnimi vmesniki, kot so Windows NT/XP, Windows 95/98 ali Linux, velikost ni pomembna.

6.12 Standardi TCP/IPStandardi TCP/IP so objavljeni v zbirki dokumentov, imenovanih Requests for Comment (RFC). Njihov glavni namen je, da priskrbijo informacije ali opišejo delo v teku. Čeprav najprej niso bili narejeni kot standardi, se štejejo k pravim standardom.

Internetni razvoj temelji na konceptu odprtih standardov. To pomeni, da lahko sodeluje pri razvoju standardov vsak, ki to želi. Internet Architecture Board (IAB) je komite, odgovoren za omogočanje in objavo RFC na internetu. IAB dovoljuje vsakemu, da odobri ali oceni RFC. To vključuje katerokoli idejo o spremembi ali novem standardu. Po razumni dolžini časa, namenjeni za diskusijo, lahko nova ideja postane standard ali ne.

6.12.1 Sloji v TCP/IP Protokolni sklad TCP/ IP se popolnoma ne ujema z referenčnim modelom OSI. Namesto sedmih slojev uporablja le štiri. Pogosto je imenovan tudi kot internetni protokolni sklad. Protokolni sklad TCP/ IP je razdeljen na naslednje štiri sloje:

sloj omrežnega vmesnika (angl. Network Interface Layer), internetni sloj (angl. Internet Layer), transportni (prenosni) sloj (angl. Transport Layer), aplikacijski sloj (angl. Application Layer).

Vsak od teh slojev približno ustreza eni ali več slojem OSI referenčnega modela



6.12.2 Sloj omrežnega vmesnikaSloj omrežnega vmesnika (angl. Network Interface Layer) ustreza fizičnemu sloju in sloju podatkovne povezave referenčnega modela OSI, komunicira neposredno z omrežjem. Je vmesnik med omrežno arhitekturo (kot je na primer token ring ali ethernet) in internetnim slojem. Sam protokolni sklad TCP/IP ne standardizira teh slojev in prav to je njegova velika prednost. Na sloju omrežnega vmesnika je veliko protokolov lokalnih omrežij (npr. Ethernet, token ring in FDDI), ki jih je TCP/IP zmožen povezati v prostrano omrežje s svojimi protokoli na višjih slojih.

6.12.3 Internetni slojNa internetnem sloju protokoli enkapsulirajo okvirje protokolov lokalnih omrežij v internetne datagrame in zaženejo vse potrebne usmerjevalne algoritme. Štirje protokoli so najpomembnejši na internetni sloju:

Internet Protocol (IP), Address Resolution Protocol (ARP), Internet Control Message Protocol (ICMP) in Internet Group Management Protocol (IGMP).

IP je predvsem odgovoren za naslavljanje in usmerjanje paketkov med računalniki in omrežji. ARP služi za povezavo med strojnimi in logičnimi (IP) naslovi strojne opreme računalnikov in drugih sistemov v istem fizičnem omrežju. ICMP pošilja sporočila in sporoča napake glede pošiljanja paketa. IGMP uporabljajo računalniki IP, da sporočajo imena skupine za oddajanje več sistemom (angl. Multicast), to je računalnikom in usmerjevalnikom.

6.12.4 Transportni slojTransportni protokoli zagotavljajo komunikacijsko sejo med računalniki. Dva transportna protokola sta Transmission Control Protocol (TCP) in User Datagram Protocol (UDP). Izbira transportnega protokola je odvisna od privzete metode pošiljanja podatkov.

TCP skrbi za povezavne komunikacije, zanesljive komunikacije za aplikacije, ki ponavadi pošiljajo veliko število podatkov naenkrat. Uporablja se tudi za potrditev pošiljanja podatkov.

UDP skrbi za nepovezavno komunikacijo in tako ne zagotavlja, da se bodo poslani podatki prispeli. Aplikacije, ki ponavadi uporabljajo UDP, pošiljajo majhno količino podatkov naenkrat. Za zanesljivo pošiljanje podatkov je odgovorna aplikacija.

6.12.5 Aplikacijski slojNa vrhu modela TCP/IP je aplikacijski sloj. To je sloj, kjer imajo aplikacije dostop do omrežja. Obstaja veliko standardnih orodij TCP/IP in storitev v aplikacijskem sloju, kot so splet, e–pošta, FTP, Telnet, SNMP, DNS.

Ker obstaja veliko standardnih orodij TCP/IP in storitev v aplikacijskem sloju je verjetno to razlog, da je danes več prostranih omrežij s protokolnim skladom TCP/IP, to je de facto internet. Pravzaprav je danes postal internet sopomenka za prostrano omrežje, čeprav to ni.

6.12.6 Omrežni slojOmrežni sloj, tretji od spodaj v modelu ISO/OSI, je odgovoren za naslavljanje sporočil in prevajanje logičnih naslovov in imen v fizične naslove. Ta sloj določi tudi pot od izvornega do ciljnega računalnika, četudi se ne nahajata v istem omrežju. Določi, katero pot naj bi podatki izbrali glede na omrežne pogoje, prioriteto storitev, in druge faktorje. Nadzoruje tudi prometne probleme v medomrežju, kot so zamenjave in usmerjanje paketov in nadzoruje gruče podatkov.



Če omrežni vmesnik na usmerjevalniku ne more prenesti podatkov v enem kosu kot so odposlani na izvornem računalniku, potem jih omrežni sloj na usmerjevalniku nadomesti z razdeljenimi podatki v manjših enotah. Na ciljnem naslovu, omrežni sloj ponovno sestavi podatke. Internet Protocol (IP) in Internetwork Packet Exchange (IPX) sta primera protokolov na omrežnem sloju.

Na prvi pogled se zdi, da omrežni sloj ponavlja nekatere funkcije sloja podatkovne povezave. Toda to ni tako, ker so protokoli omrežnega sloja odgovorni za prenose med končnima točkama, medtem ko protokoli omrežnega sloja delujejo samo v lokalnih omrežjih. To pomeni, da je protokol omrežnega sloja odgovoren za celotno potovanje paketa od sistema, ki ga je ustvaril pa do končnega cilja.

Odvisno od narave omrežja sta lahko izvorni in ciljni sistem v istem lokalnem omrežju, na različnih lokalnih omrežjih v isti zgradbi ali pa tudi v lokalnih omrežjih, ki so zelo oddaljeni. Na primer, ko se na internetu povežemo na strežnik, paketi, ki jih naš računalnik ustvari, lahko potujejo skozi ducate različnih omrežij, preden pridejo do svojega cilja. Protokol sloja podatkovne povezave, se lahko velikokrat spremeni, da ustreza tistemu ducatu omrežij, toda protokol omrežnega sloja ostane nedotaknjen skozi vse potovanje.

Internetni protokol (IP) je "temeljni kamen" protokolnega sklada TCP/IP in najbolj uporabljen protokol omrežnega sloja. Novell NetWare ima svoj protokol omrežnega sloja, ki se imenuje Inter–Network Packet Exchange (IPX – medomrežna paketna izmenjava). Protokol NetBIOS Extended User Interface (NetBEUI) je pogosto uporabljen v majhnih omrežjih Microsoft Windows. Večina pripadajočih funkcij k omrežnem sloju je osnovanih na sposobnostih IP.

Tako kot protokol sloja podatkovne povezave, protokol omrežnega sloja zahteva glavo za podatke, ki jih prejme od sloja, ki je nad njim. Protokol omrežnega sloja ustvari enoto podatkov, imenovano datagram, ki se sestoji iz transportnega sloja podatkov in omrežne glave.

6.13 NaslavljanjeGlava protokola omrežnega sloja vsebuje naslov (angl. Address) vira in naslov cilja, prav tako kot protokol podatkovnega sloja. Vendar je v tem primeru naslov cilja paketova zadnja postaja, kar je lahko drugače od ciljnega naslova v glavi protokola sloja podatkovne povezave. Na primer, ko v internetnem brskalniku vtipkamo naslov spletne strani, paket, ki ga naš računalnik proizvede, vsebuje naslov spletnega strežnika, cilj omrežnega sloja. Vendar je cilj sloja podatkovne povezave naslov usmerjevalnika v našem lokalnem omrežju, ki nam omogoča internetni dostop.

IP ima svoj sistem naslavljanja, ki je popolnoma ločen od naslovov podatkovnega sloja. Vsakemu računalniku administrator ali avtomatični servis dodeli 32–bitni naslov IP. Ta naslov identificira dvoje omrežnih vrednosti: naslov omrežja v katerem se nahaja računalnik in računalnik sam, tako da lahko en naslov unikatno identificira oz. prepozna katerikoli računalnik. IPX po drugi strani uporablja ločene naslove, da identificira omrežje, na katerem se računalnik nahaja, in računalnik v omrežju (uporablja kar strojne naslove). NetBEUI identificira računalnike z uporabo imen NetBIOS, ki so dodeljena vsakemu sistemu med namestitvijo.

6.14 FragmentiranjeDatagrami omrežnega sloja morajo preiti skozi veliko različnih omrežij na poti k njihovemu cilju. Protokoli sloja podatkovne povezave, ki jih datagrami srečajo, imajo lahko različne lastnosti in omejitve. Ena teh omejitev je največja dovoljena velikost paketa, ki jih določajo protokoli. Na primer, okvirji token ringa so lahko veliki do 4500 bajtov (podatkovni del), toda okvirji etherneta so lahko veliki le do 1500 bajtov (podatkovni del). Ko je velik datagram, ki je bil narejen v omrežju token ring, usmerjen v omrežje ethernet, ga mora protokol omrežnega sloja razdeliti na dele, od katerih ni vsak večji od 1500 bitov. Ta proces se imenuje fragmentiranje.



V tem procesu protokol omrežnega sloja razdeli datagrame na toliko manjših delov, kot je potrebno za prenos z uporabo protokola podatkovnega sloja. Vsak tak del postane sam datagram, ki nadaljuje pot do destinacije omrežnega sloja. Deli se ponovno združijo, ko vsi dosežejo končni sistem. V nekaterih primerih so lahko datagrami fragmentirani, njihovi deli se lahko ponovno fragmentirajo oz. delijo ponavljajoče, preden dosežejo svoj cilj.

6.15 UsmerjanjeUsmerjanje (angl. Routing) je proces vodenja datagrama od njegovega vira, skozi medomrežja do njegove končne destinacije, z uporabo najbolj zmogljive poti. Pri kompleksnih medomrežjih (npr. internet ali drugo prostrano omrežje) je pogosto veliko možnih poti do ciljnega sistema. Ustvarjalci omrežja ustvarijo redundantne (odvečne) povezave tako, da v primeru napake na enem izmed usmerjevalnikov v omrežju, promet lahko vseeno najde pot do ciljnega sistema.

Posamezna lokalna omrežja so povezana v medomrežja z usmerjevalniki. Funkcija usmerjevalnika je, da sprejme prihajajoč promet iz enega omrežja in ga odda določenemu cilju v drugem omrežju. V medomrežne komunikacije sta vpletena dva tipa sistemov: končni sistemi (angl. End Systems) in pa vmesni sistemi (angl. Intermediate Systems). Končni sistemi so viri posameznih paketov, prav tako pa njihov končni cilj, to so običajno računalniki. Usmerjevalniki so vmesni sistemi. Končni sistemi izkoriščajo vseh sedem plasti modela OSI, medtem ko paketi, ki prihajajo po vmesnih sistemih, gredo do višine omrežnega sloja. Usmerjevalnik nato paket obdela in ga pošlje nazaj dol skozi sklad, da je lahko prenesen do naslednjega sistema.

6.15.1 Identificiranje protokola transportne plastiTakoj, ko glava podatkovnega sloja določi protokol omrežnega sloja, ki povzroči, da se podatki prenesejo, glava omrežnega sloja prepozna protokol transportnega sloja, od katerega prejme podatke, ki se prenašajo. S to informacijo lahko sistem, ki sprejema, poda prihajajoči datagram do pravega protokola transportne plasti.

6.16 Internetni sloj Internetni sloj (angl. Internet Layer) v TCP/IP referenčnem skladu je primerljiv z omrežnim slojem v referenčnem modelu ISO/OSI. Zadolžen je za pošiljanje podatkov med virom in določenim računalnikom, torej za usmerjanje in pošiljanje podatkov med omrežji. Internetni sloj tako sprejme podatek od transportnega sloja (angl. Transport Layer) in mu omogoči prehod v sloj omrežnega vmesnika (angl. Network Interface Layer).

Naloge internetnega sloja so:

Pošiljanje podatkov v sloj omrežnega vmesnika. Usmerjanje sporočil določenemu ciljnemu sistemu. Ta sloj poskrbi za pošiljanje paketov po

najhitrejši poti, če je seveda več možnih poti. Na primer, če ima pot, po kateri hočemo poslati podatek določene težave, ta sloj izbere drugo pot.

Internetni sloj, skladno z omrežnim slojem OSI referenčnega modela, uporablja različne protokole za usmerjanje in pošiljanje paketkov. Usmerjevalniki so odvisni od protokolov. Ti so dejavni v tem sloju modela OSI in se uporabljajo za pošiljanje paketkov iz enega odseka omrežja v drugega. Kar nekaj protokolov deluje znotraj samega internetnega sloja, osnovni je IP.

Glavni protokoli na internetnem sloju so:

Interent Protocol (IP), Internet Control Message Protocol (ICMP), Internet Group Management Protocol (IGMP), Address Resolution Protocol (ARP),



Routing Interent Protocol (RIP).

6.17 Internet ProtocolInternetni protokol (angl. Internet Protocol, IP) je najbolj svetovno znan protokol odprtih sistemov (angl. Open–System Protocol), saj se lahko uporablja v raznih omrežjih, tako za LAN kot tudi za WAN komunikacijo.

Internet protokol so razvili sredi leta 1970, ko se je DARPA (angl. Defense Advanced Research Projects Agency) začela zanimati in nato osnovati omrežje za preklapljanje paketov, ki bi koristilo pri delovanju novega računalniškega sistema. Tako je DARPA skupaj s Stanford University in BBN razvila leta 1970 Internet Protokol. IP je dokumentiran v RFC 791. IP ima osnovne naloge:

naslavlja informacije, zagotavlja povezavo, omogoča najboljšo dano povezavo podatkov skozi medomrežje, omogoča fragmentacijo podatkov in tako podpira podatkovno povezavo omrežij z različno

maksimalno povezovalno velikostjo (angl. Maximum Transmission Unit, MTU).

IP je protokol, ki preklaplja med paketi in opravlja naslavljanje in izbiro poti. Ko so paketki poslani, ta protokol pripne glavo k paketu tako, da ko se pošilja po omrežju, uporablja dinamične usmerjevalne tabele. IP je nepovezavni omrežni protokol in pošilja pakete brez čakanja, da odjemalec sporoči potrdilo o prejetju paketa.

Vsak paket IP je zgrajen iz naslova pošiljatelja in naslovnika, prepoznave višjega protokola, preverjanja vsebine (angl. Cheksum) in TTL (angl. Time To Live). TTL pove vsakemu usmerjevalniku v omrežju med izvorom in ciljem, kako dolgo bo paket obstajal v omrežju. Deluje kot odštevalnik ali ura. Ko paket potuje skozi usmerjevalnik, usmerjevalnik odbije eno enoto (eno sekundo) časa, ki je paketu dodeljen za pošiljanje. Na primer, če ima paket TTL 128, lahko v omrežju ostane 128 skokov (vsaka zaustavitev ali usmerjevalnik na njegovi poti odšteje en skok). Namen TTL je, da ne bi nastala izguba ali poškodba podatkovnih paketkov (kot manjkajoče e–poštno sporočilo) kot neskončno potovanje po omrežju. Če TTL doseže vrednost nič, se paket odstrani iz omrežja.

6.18 IP na usmerjevalnikuKo usmerjevalnik sprejme paket IP, naredi naslednje:

1. IP zmanjša vrednost TTL za 1 (ali več, če se paket zadrži dalj časa).

2. Če je TTL nič, paket zavrže in s tem prepreči neskončno potovanje paketa po medomrežju.

3. Če je IP zaradi MTU prevelik, potem paket fragmentira (razbije) paket v manjše pakete.

4. Če je paket fragmentiran, IP ustvari novo glavo (angl. Header) za vsak nov paket.

5. IP izračuna novo kontrolno vsoto podatkov (angl. Checksum).

6. IP pridobi ciljni fizični naslov naslednjega usmerjevalnika.

7. IP posreduje paket.

Pri naslednjem gostitelju (host) paket preide na skladu do višjega protokola, ki je TCP ali UDP. Ta celoten proces se ponavlja na vsakem usmerjevalniku, dokler paket ne doseže končnega cilja. Ko paket prispe na končen cilj, IP sestavi kose v originalen paket.

VPRAŠANJA



1. Opišite referenčni model OSI?



7. INTERNET PROTOCOL, V6Naslavljanje z uporabo 4. različice protokola IP (IPv4) je bilo zasnovano v letih 1980, ko so računalniško opremo in komunikacijsko infrastrukturo uporabljale predvsem akademske in izobraževalne ustanove ter vojska. Eksponentna rast števila naprav, povezanih v internet, je povzročila, da se po desetih letih pojavi vprašanje pomanjkanja naslovov IP.

Zdajšnji 32-bitni naslovni prostor omogoča štiri milijarde naslovov IP. To se nam lahko zdi veliko, vendar bodo telekomunikacijsko infrastrukturo uporabljali tako v industriji, npr. pri nadzoru in vodenju naprav, kot v svetu zabavne elektronike, kjer se bo npr. vse več radijskih in televizijskih programov prenašalo preko interneta, uporabljal se bo v domovih npr. za nadzor ogrevanja, hlajenja in drugo.

Kot smo spoznali je celotni naslovni prostor zgolj teoretično takšne velikosti. Mnogo naslovov "izgubimo" pri razdeljevanju omrežij in medomrežnih povezavah. Problem je bil delno rešen z uporabo zasebnih naslovov IP, NAT in drugih tehnologijah.

Širitev interneta na različna področja narekuje potrebo po zamenjavi sedanjega naslavljanja IPv4 v IPv6. Nov način naslavljanja že uporabljajo v razvojno-raziskovalnih ustanovah. Eno od eksperimentalnih omrežij z naslovi Ipv6 je 6bone. Zakaj ni IPv5? Razvit je bil protokol IPv5, vendar je predvideval 64-bitni naslovni prostor, ki se je še pred vpeljavo izkazal za premajhnega.

7.1 NaslavljanjeStruktura naslavljanja IPv6 je 128-bitna, kar sicer pomeni ogromno število naslovov, ki si jih je še težje zapomniti, kot sedanje 32-bitne naslove IPv4. Zaradi lažjega pomnjenja in večje preglednosti, se namesto desetiškega uporablja šestnajstiški zapis. Zapis omogoča odstranjevanje nepotrebnih ničel, pike zamenjuje z dvopičji. Poljuben naslov je predstavljen z osmimi sklopi štirih šestnajstiških števil:

ABFC:BEFE:0000:0000:0000:0075:00B4:F023

Zapis lahko poenostavimo. Vodilne ničel v sklopu lahko izpustimo. Prav tako lahko izpustimo same ničle v sklopu ali več zaporednih sklopov ničel in jih zamenjamo z dvopičjem (::), vendar le enkrat v določenem naslovu IPv6. Tako dobimo zgornji naslov IPv6 v naslednji obliki:

ABFC:BEFE::75:B4:F023.

7.2 UsmerjanjeInternetni protokol novega rodu nam ponuja večje zmogljivost naslavljanja, naprednejše usmerjanje in tudi prilagodljivost različnim omrežnim okoljem, tako stacionarnim kot mobilnim. Glava paketa IPv6 je zelo poenostavljena in skrajšana na polovico v primerjavi z glavo IPv4. S tem se je skrajšala obdelava paketov v vozlišču in hkrati prepustnost omrežja. Zahtevo po odstranitvi odvečnih polj je narekovala predvsem mobilna tehnologija, ki ima velike omejitve pri doseganju želene prepustnosti omrežja.

Glavi IPv6 se je velikost polj naslovnega prostora prejemnika in pošiljatelja sicer povečala z 2x32 bitov na 2x128 bitov, vendar je to tudi edina povečava števila bitov. Pri IPv6 se pošilja le informacija o dolžini tovora (angl. Payload Length), medtem ko se pri IPv4 vodi tako dolžina glave kot tudi tovora. Namesto polja TTL (določevanje časa obstoja paketa na vozliščih) ima IPv6 odštevalnik - polje Hop Limit, ki omejuje število vozlišč na poti od prejemnika do pošiljatelja.

V paketu IPv6 ni več polja za preverjanje napak (angl. Header Checksum), saj se napake odpravljajo na višjih plasteh.

| 7. INTERNET PROTOCOL, V6 113


IPv6 omogoča novo vrsto naslavljanja, imenovano anycast. Omogoča še naslavljanja unicast in multicast.

7.3 IPv6 in kvaliteta storitevV "dobrih starih časih", ko se je internet uporabljal predvsem za elektronsko pošto in FTP, ni nihče kaj dosti razmišljal o prioriteti prenosa podatkov. Če elektronska pošte ne prispe v treh minuta, lahko prispe v treh minutah ali mogoče celo v eni uri. Nikogar pravzaprav ne skrbi o času za prenos sporočila. Nasprotno pa je pri prenosu videa na zahtevo ali drugih aplikacijah, ki se odvijajo v realnem času. Samo ena majhna zakasnitev lahko povzroči uničenje dela ali celo celotnega sporočila.

V prihodnosti bo mogoča razvrščanje prometa IP glede na zahtevan čas dostave. Datagrami z videom bodo na vrhu prioritetne lestvice, medtem, ko bo datagram z elektronsko pošto čakal na prosto linijo.

IPv6 je narejen za podporo diferenciranja storitev. To omogočata polji za razred prometa (angl. Traffic Class) in kontrolo pretoka (angl. Flow Label). Seveda novi polji v glavi datagrama nimata nobene funkcionalnosti dokler ne bodo izdelani novi usmerjevalniki, ki bodo prepoznali ti polji in bili sposobni usmerjati glede na nove parametre usmerjanja. Glede na razred oziroma prioriteto se v vozliščih paketi z višjo prioriteto (najvišja je prioriteta 15) obdelajo prej.

7.4 RazširitevMed glavo in tovorom oziroma dejanskimi podatki so tako pri IPv4 kot pri IPv6 rezervirana polja za morebitne razširitve. Te razširitve so pri naslavljanju IPv4 omejene na 40 bitov, medtem, ko pri protokolu IPv6 ni omejitev. Večina razširitvenih lastnosti se ne nanaša na vozlišča, zato se tam ne obdelujejo, kar zagotavlja hitrejšo obdelava paketov v vozlišču. Razširitveni atributi so namenjeni hitrejšemu, zanesljivejšemu in varnejšemu prenosu paketov.

7.5 ZdružljivostOb prehodu iz ene v drugo obliko naslavljanja moramo zagotoviti, da bosta vsaj nekaj časa razpoznavni obe obliki naslavljanja. Pretvorba iz IPv4 v IPv6 temelji na ovijanju klasičnega 32-bitnega naslova.

Poglejmo primer:

naslov IPv4: 194.3.197.4

zapišemo v obliki naslova IPv6:

0000:0000:0000:0000:0000:0000:194.3.197.4 ali krajše ::194.3.197.4

7.6 VarnostV "dobrih starih časih" so bili uporabniki interneta res samo dobri in o nevernostih se sploh ni razmišljalo. Razširitve protokola IP omogočajo avtentikacijo, vernost in nedotakljivost podatkov. Razširitve bodo omogočale enkripcijo podatkov celotnega datagrama, ki se mu doda kot ovojnica neenkriptirani datagram.

7.7 Usmerjanje in usmerjevalni protokoliInternet lahko obravnavamo kot omrežje vseh omrežij. Da se v množici povezav med stotimi in več omrežji poišče najboljša pot do ciljnega omrežja odjemalca, morajo medomrežne naprave poznati zemljevid poti do omrežij ali vsaj smer, ki jo mora ubrati paket na poti do cilja.

Usmerjanje je pojem, ki se nanaša na postopek izbire povezav med posameznimi omrežji Interneta za posredovanje omrežnega prometa. Usmerjanje se uporablja tudi med sateliti v vesolju. Usmerjevalniki zmorejo usmerjati IP pakete med sateliti na podoben način kot na zemlji kar zmanjša zakasnitve in



poveča fleksibilnost omreženja. Vloga usmerjevalnikov ni zgolj v posredovanju paketov. Usmerjevalniki omogočajo množico drugih storitev. Npr. omogočajo:

1. zagotavljanje dosegljivosti omrežij z izbiro nadomestnih povezav, v primeru odpovedi primarnih povezav,

2. zagotavljanje integrirane podatkovne, video in govorne storitve v ožičenih/brezžičnih omrežjih. Usmerjevalniki in stikala uporabljajo pri tem nastavitve kakovosti storitev - QoS (angl. Quality of Service) s čimer poskrbijo za ustrezno prioriteto določenega paketa in zagotavljajo, da realno-časovni promet kot sta govor, video in drugi časovno kritični podatki niso zakasnjeni ali odvrženi.

3. omejevanje vpliva črvov, virusov in drugih napadov na omrežja z zavračanjem posredovanja dvomljivih paketov.

Povezave oz. smeri do omrežij so povezane z napotki usmerjevalnika pri posredovanju paketov od odjemalca v izvornem omrežju do odjemalca/gostitelja v ciljnem omrežju.

Informacijo o smereh do različnih omrežij lahko usmerjevalniki izmenjujejo bodisi samodejno s podporo usmerjevalnih protokolov - dinamično usmerjanje bodisi jim to informacijo doda administrator ročno - statično usmerjanje. Administrator izbere usmerjevalni protokol z upoštevanjem različnih faktorjev:

velikost omrežja, pasovna širina razpoložljivih povezav (b/s), zmogljivost strojne opreme usmerjevalnika (procesna moč in razpoložljivi pomnilnik), proizvajalec in model usmerjevalnika, protokoli uporabljani v omrežjih.

7.8 UsmerjevalnikiUsmerjevalnik je medomrežna povezovalna naprava, ki omrežja med seboj povezuje/ločuje in usmerja promet med njimi. Glavna naloga usmerjevalnika je posredovati pakete do odjemalca v ciljnem omrežju po najboljši možni poti.

Za vsak tip omrežja mora imeti usmerjevalnik nameščen ustrezen vmesnik. Le-ti so lahko nameščeni že v samem procesu proizvodnje ali naknadno v obliki modulov, ko gre za modularne različice usmerjevalnikov.

Za učinkovito posredovanje paketov morajo usmerjevalniki čim bolje poznati zemljevid poti oz. obstoječe povezave med omrežji. Usmerjevalnik je torej neke vrste kažipot med omrežji. Učinkovitost omrežja je v veliki meri odvisna od uspešnosti usmerjevalnikovega posredovanja paketov. Usmerjevalniki so sestavljeni iz namenske strojne opreme in operacijskega sistema. Tipično strojno opremo v usmerjevalnikih, lahko najdemo tudi v ostalih računalnikih:

centralna procesna enota - CPU, pomnilnik z naključnim dostopom - RAM, bralni pomnilnik - ROM, vodila in napajalnik.

Nekatere komponente strojne opreme pa so značilne zgolj za usmerjevalnike:

večje število vmesnikov LAN/WAN (čeprav so LAN vmesniki značilni tudi za osebne računalnike),

obstojni pomnilnik (NVRAM), bliskovni pomnilnik (angl. Flash) in



namenski integracijski modul za razbremenitev CPU pri procesorsko zahtevnih operacijah kot npr. šifriranje.

Vsako omrežje povezano z usmerjevalnikom ponavadi pogojuje ločen omrežni vmesnik na usmerjevalniku (izjema so npr. logični vmesniki za virtualna omrežja). Hkrati predstavlja ta vmesnik privzeti prehod za omrežje kateremu pripada. Vmesniki na usmerjevalnikih povezujejo tako lokalna omrežja - LAN, kot prostrana omrežja - WAN. WAN povezave so ponavadi označene s posebno obliko in barvo vmesnika povezave. Tipični WAN vmesniki so serijski vmesniki, tipični LAN vmesniki so Ethernet vmesniki.

VPRAŠANJA:

1. Kaj je IPv4?2. Kaj je IPv6?3. Kaj je naslavljanje?4. Kaj je usmerjanje?



8. UVOD V RAČUNALNIŠKA OMREŽJAV najbolj preprostem primeru računalniško omrežje predstavljata dva računalnika, ki sta povezana en z drugim preko medija, ki omogoča izmenjavo podatkov. Vsa računalniška omrežja, ne glede na to kako visoko so razvita, temeljijo na tem enostavnem principu. Ideja, povezati dva računalnika preko medija, se mogoče ne zdi nič posebnega. Vendar je izkušnja dokazala, da je to eden največjih dosežkov v komunikacijah.

Slika 36: Samostojno okolje

Vir: www.google.si

Računalniška omrežja nastajajo kot odgovor na potrebo po izmenjavi podatkov. Osebni računalniki so močna orodja, ki lahko hitro obdelajo in upravljajo z velikimi količinami podatkov hitro, vendar ne dopuščajo, da bi se podatki učinkovito izmenjavali. Preden so izumili omrežja, so uporabniki morali dokument natisniti ali kopirati na medij, da so ga lahko posredovali drugim. Če so drugi želeli spremenili dokument, ni bilo enostavne poti, da bi vsi imeli najaktualnejšo različico dokumenta. Takšno okolje je bilo in še vedno je znano pod imenom samostojno okolje.

Slika 37: Ali je to omrežje?

Vir: www.google.si

Kopiranje podatkov na diskete ali CD in dajanje le-teh drugim z namenom, da bi si ti kopirali podatke na svoj računalnik, je bilo nekdaj znano pod vzdevkom sprehajalno omrežje (angl. Sneakernet). Ta zgodnja oblika računalniškega omrežja še vedno obstaja in še danes se veliko uporablja. Mogoče bo komu priklicala kakšen prijeten spomin.

Ta sistem deluje dobro v določenih situacijah in ima svoje prednosti, saj se lahko ustavimo na kavi ali se pogovorimo s prijateljem, ko si ta presnemava podatke. Vendar je ta sistem izjemno počasen in neučinkovit, da bi bil v koraku s potrebami današnjih uporabnikov računalnikov. Velikost prenesenih podatkov in razdalj, ki naj bi jih prepotovali, presega kapacitete takšnih omrežij.

Kljub razvoju računalniških omrežij pa je pošiljanje magnetnih in optičnih medijev z "navadno" pošto še vedno najcenejše in najzanesljivejše pri pošiljanju več terabajtov podatkov. V kocko s stranico 60 cm lahko vstavimo 1000 magnetnih trakov s kapaciteto 300 GB. To pomeni skupaj 300 TB ali 2400 Tb. S

| 8. UVOD V RAČUNALNIŠKA OMREŽJA 117




hitro pošto lahko pošljemo te trakove in v 24 so verjetno že na cilju. V tem primeru je potekal prenos s hitrostjo 27 Gb/s, česar ne zmore nobeno računalniško omrežje. Zavarovalnice morajo shranjevati varnostne kopije iz varnostnih razlogov na več mestih in prenos kasete je pogosto bolj učinkovit kot pošiljanje po omrežju.

Slika 38: Enostavno računalniško omrežje

Vir: www.google.si

Če prenašamo podatke po klasični pošti, merimo čas prenosa v urah in minutah in ne v milisekundah. Pogosto je potrebna čim manjša zakasnitev pri prenosu podatkov. Če že ne prenašamo velikih količin podatkov, je verjetno boljša rešitev povezava računalnika z drugimi računalniki s prenosnim medijem. Potem bi lahko izmenjevali podatke z drugimi računalniki in pošiljali dokumente tiskalniku. Te povezave med računalniki skupaj s povezava do drugih naprav imenujemo računalniška omrežja, koncept povezanih računalnikov, ki izmenjuje vire, se imenuje omreževanje.

8.1 Koncept omreževanjaPretekla tri desetletja so zaznamovale tri dominantne tehnologije. V osemnajstem stoletju je bilo obdobje mehanskih strojev, ki so nastali v industrijski revoluciji. Devetnajsto stoletje je bilo obdobje električne energije. Dvajseto stoletje je zaznamovala informacijska tehnologija. Razvila so se telefonska omrežja, sledila je iznajdba radia in televizije in na koncu računalniška industrija, ki je povezala računalnike s kabelskimi in satelitskimi omrežji.

Računalniško omrežje lahko definiramo kot sistem med seboj neodvisnih računalnikov, ki so povezani za izmenjavo podatkov in delitev perifernih enot, kot trdi diski ali tiskalniki. Ključni besedi v definiciji sta izmenjava in deljenje. Izmenjava je namen računalniških omrežij. Računalniško omrežje sestavljajo tako strojne kot tudi programske komponente. Zmožnost učinkovite izmenjave informacije je tisto, kar daje računalniškim omrežjem svojo moč in privlačnost. In ko pride do izmenjave informacij, smo ljudje v mnogih pogledih podobni računalnikom. Kot so računalniki nekaj več kot zbirke informacij, ki so jim bile podane, tako smo mi, v velikem delu, zbirka izkušenj, ki so nam dane. Če si želimo razširiti znanje, raztegnemo naše izkušnje in zbiramo več informacij. Na primer, da se naučimo več o računalnikih, se ali obrnemo na prijatelje, ki so v računalniški industriji, ali gremo v šolo in se tam izobražujemo ali pa se sami izobražujemo preko knjig in spleta, kot je v tem primeru. Vseeno je katero rešitev izberemo, če iščemo informacije in svoje znanje in izkušnje delimo z drugimi, kakor tudi drugi z nami, se na nek način omrežujemo.

Računalniško omrežje omogoča delitev svojih virov. Vsakemu uporabniku ni potrebno kupiti svojega tiskalnika, saj ga ne potrebuje ves čas. Zadostuje že, da je v omrežju en tiskalnik, ki si ga uporabniki med seboj delijo. Če se želi preveriti, da je neka knjiga v knjižnici, ni potrebno iti v knjižnico. Dovolj je, da z računalnikom v obrazcu izvršimo poizvedbo v zbirki podatkov knjižnice in preverimo, ali nam je knjiga na voljo.

8.1.1 Zakaj uporabiti računalniško omrežje?Zaradi velike učinkovitosti in procesorske moči današnjih osebnih računalnikov se bo morda kdo vprašali, zakaj so omrežja sploh potrebna. Od najzgodnejših omrežij do današnjih izjemno močnih osebnih računalnikov je odgovor ostal enak: omrežja zvišujejo učinkovitost in zmanjšujejo stroške.




Računalniška omrežja dosegajo te prednosti v treh osnovnih točkah:

izmenjava informacij (ali podatkov), izmenjava programske in strojne opreme, centralizacija administracije in pomoči.

Bolj določeno, računalniki, ki so del omrežja, lahko izmenjujejo:

dokumente, poštna sporočila, ilustracije, slike in avdio-video datoteke, avdio-videokonference, tiskalnike, faksirne naprave, modeme, pogone CD, pogone DVD in vse ostale enote, kot so disketniki in pogoni zip, trde diske.

In še več možnosti obstaja. Zmožnosti omrežji se enakomerno razširjajo kot nove možnosti za izmenjavo in komunikacijo preko navadnih računalnikov.

Slika 39: Računalniško omrežje

Vir: www.iskratel.si

8.1.2 Izmenjava informacij (ali podatkov)Zmožnost hitre in poceni izmenjave informacij je dokazano ena od najbolj priljubljenih omrežnih storitev. Dokazano je bilo, da je elektronska pošta ena izmed najbolj pomembnih razlogov, da ljudje uporabljajo internet. Veliko podjetij je investiralo v omrežja, ki se uporabljajo za elektronsko komunikacijo (elektronska sporočila, skupinsko delo), ki temelji na omrežjih.

S tem, ko spravimo informacije v obliko za izmenjavo, lahko omrežja znižajo potrebo po "papirni" komunikaciji, zvišajo učinkovitost, in naredijo katerokoli informacije ali podatke dosegljive skoraj istočasno vsem, ki jih potrebujejo. Menedžerji uporabljajo informacijsko komunikacijsko tehnologijo, da hitro in učinkovito komunicirajo z velikim številom ljudi in da organizirajo in planirajo srečanja z ljudmi.


http://www.iskratel.si/


Danes je to precej bolj enostavno, kot je bilo nekoč.

8.2 Delitev programske in strojne opreme

Slika 40: Tiskalnik v samostojnem okolju

Vir: www.google.si

Pred izumom računalniških omrežij so uporabniki računalnikov morali imeti lastne tiskalnike, risalnike in druge periferne naprave. Edini način, kako so si uporabniki lahko delili tiskalnik, je bil, da so izmenjujoče sedeli za računalnikom, ki je bil povezan z eno samo napravo. Slika prikazuje tipično samostojno okolje z računalnikom, na katerega je priključen tiskalnik.

Slika 41: Delitev tiskalnika v omrežju

Vir: www.google.si

Omrežja so omogočila veliko ljudem izmenjavo podatkov in hkratno delitev perifernih enot. Če več uporabnikov želi uporabljati tiskalnik, ga lahko vsi uporabljajo, če je vsem na voljo v omrežju. Slika prikazuje tipično omrežje, v katerem si več računalnikov deli en tiskalnik.

Omrežje se lahko uporablja za delitev in standardizacijo aplikacij, kot razni urejevalniki besedila, zbirke podatkov in drugo, za zagotovitev, da vsak v omrežju uporablja aplikacijo, ki ustreza istemu standardu. To dovoljuje, da se dokumenti hitro in enostavno izmenjujejo in zagotavlja večjo učinkovitost – uporabnike je enostavneje specializirati se za en urejevalnik besedila, kot da jih poznajo več (in običajno slabo).

Centralizirana administracija in pomočZa tehnično osebje je enostavneje je podpirati eno različico operacijskega sistema in aplikacij in postaviti vse računalnike v isti način, kot pa podpirati več različnih sistemov in platform.

8.3 Sestavni deli omrežjaRačunalniška omrežja se med seboj razlikujejo po velikosti, po namenu uporabe, po vrsti operacijskega sistema in še po drugem. Za omrežja pa so značilni določeni sestavne deli, določene funkcije in lastnosti. Računalniška omrežja sestavljajo:

Strežniki. To so računalniki, na katerih so v skupno rabo dani viri za uporabnike v omrežju.

Odjemalci. To so računalniki, ki dostopajo do virov, ki so v skupni rabi.





Mediji. To so kabli in druga strojna oprema, ki omogočajo fizično povezavo delov omrežja.

Dokumenti v skupni rabi. To so dokumenti, ki so dani v skupno rabo na strežnikih in so na voljo v omrežju.

Tiskalniki in ostale periferne naprave v skupni rabi. To so dodatne naprave, ki so dane v skupno omrežno rabo.

Viri. To je katera koli storitev ali naprava, kot recimo datoteke, tiskalniki, ali drugačne naprave, ki so bile omogočene za uporabo uporabnikom v omrežju.

Slika 42: Običajni elementi v omrežju

Vir: www.google.si

Kljub temu da imajo omrežja skupne značilnosti, pa so omrežja razdeljena v dve široki skupini, kot je prikazano na sliki:

omrežja vsak z vsakim (angl. Peer-To-Peer Network), strežniška omrežja (angl. Server Based Network).

8.3.1 Omrežja vsak z vsakim

Slika 43: Omrežje vsak z vsakim

Vir: www.google.si

V omrežjih vsak z vsakim, ni posebnih računalnikov za strežnike ali odjemalce in tudi ni nobene hierarhije računalnikov. Vsi računalniki so enakovredni. Vsak računalnik je po svoji funkciji tako strežnik kot tudi odjemalec, zato tudi ni administrativnih nalog za celotno omrežje.

Vsak uporabnik na svojem računalniku določa, kateri viri so v skupni rabi in na voljo drugim uporabnikom v omrežju. Slika prikazuje omrežje vsak z vsakim, v katerem računalniki delujejo kot strežniki in odjemalci.





Slika 44: Komunikacija med računalnikoma

Vir: www.google.si

V omrežjih vsak z vsakim ni hierarhije, zato lahko vedno komunicirata katerakoli sistema med seboj. Za medsebojno komunikacijo ne potrebujeta nobenega posrednika ali dovoljenje tretjega.

8.3.2 Lastnosti omrežij vsak z vsakim Velikost Omrežja vsak z vsakim imenujemo tudi delovne skupine (angl. workgroups).

Izraz delovna skupina se uporablja za majhno skupino ljudi. Običajno je v omrežju vsak z vsakim 10 ali manj računalnikov.

Cena Omrežja vsak z vsakim so po svoji zgradbi zelo enostavna. Ker vsak računalnik deluje kot strežnik in odjemalec, ni potreben zmogljiv centralni strežnik. Omrežja vsak z vsakim so lahko cenejša kot strežniška omrežja.

Operacijski sistem V omrežju vsak z vsakim omrežni programi ne potrebujejo istih standardov, zmogljivosti in stopnje varnosti kot programi za namenske strežnike. Namenski strežniki delujejo samo kot strežniki in ne kot odjemalci.Omrežja vsak z vsakim je možno zgraditi z različnimi operacijskimi sistemi. V takih primerih ni potrebne nobene dodatne strojne ali programske opreme za vzpostavitev omrežja vsak z vsakim. Večina današnjih operacijskih sistemov dopušča omrežja vsak z vsakim (na primer Windows XP, Linux).

Delitev virov Vsak uporabnik lahko deli svoje vire na kakršen koli način želi. Ti viri vsebujejo datoteke, deljene imenike, tiskalnike in drugo.

Zahteve strežnikov V okolju vsak z vsakim mora vsak računalnik uporabiti visok odstotek svojih virov za uporabnika na računalniku, ki mu pravimo lokalni uporabnik (angl. Local User). Prav tako mora uporabiti dodatne vire, kot so prostor trdem disku ali prostor v pomnilniku za podporo uporabnikom, ki dostopajo do virov po omrežju, tem uporabnikom pravimo oddaljeni uporabniki (angl. Remote User).

Varnost V računalniškem omrežju pomeni varnost ustvariti geslo na viru, na primer na določenem imeniku, ki je v skupni rabi v omrežju. Vsi omrežni uporabniki vsak z vsakim nastavijo svojo varnost in viri, ki so v skupni rabi, se lahko nahajajo na vseh računalnikih in ne samo na centralnem računalniku; pravzaprav je centraliziran nadzor zelo težko vzpostaviti. Ta varnostna luknja je zelo velikega pomena v omrežni varnosti, saj določeni uporabniki ne poskrbijo dovolj za varnost in lahko druge uporabnike v omrežju. Če je varnost potrebna, je strežniško omrežje boljša odločitev.

ImplementacijaV običajnih omrežjih vsak z vsakim so naslednje ugodnosti:

računalniki se nahajajo na mizah uporabnikov, uporabniki se obnašajo kot administratorji na svojih računalnikih in sami odločajo o svoji

varnosti, računalniki v omrežju so povezani z vidnim kablom.




Omrežja vsak z vsakim so dobra izbira v naslednjih situacijah:

Kadar je 10 ali manj uporabnikov. Kadar si uporabniki delijo določene datoteke in tiskalnike, vendar ne obstajajo namenski

strežniki. Kadar varnost ni pomembna. Kadar se ne predvideva rast omrežja.

AdministracijaOmrežna administrativna dela vsebujejo:

upravljanje z uporabniki in varnostjo, upravljanje z viri v skupni rabi, upravljanje z aplikacijami in podatki, namestitev in nadgradnja aplikacij in operacijskega sistema.

V tipičnem omrežju vsak z vsakim ni nihče administrator celotnega omrežja. Namesto tega je vsak uporabnik administrator na svojem računalniku.

Slika 45: Omrežja vsak z vsakim in strežniška omrežja

Vir: www.google.si

8.4 Strežniška omrežjaStrežniki so računalniki, ki dajo v skupno rabo svoje vire za vse uporabnike v omrežju. Pomembno v tej definiciji je, da lahko samo strežniki dajo svoje vire v skupno rabo in da jo dajo v skupno rabo vsem odjemalcem.




Slika 46: Strežniško omrežje

Vir: www.google.si

V okolju z več kot 10 uporabniki bi bilo omrežje vsak z vsakim brez pomena. Zato ima večina omrežij strežnik. Namenski strežnik deluje samo kot strežnik in se ne uporablja kot odjemalec ali delovna postaja. Strežniki so označeni kot namenski, ker niso odjemalci in zato ker so optimizirani, da hitro ustrežejo odjemalcem in poskrbijo za potrebno varnost datotek in imenikov. Strežniška omrežja so postala standardni model omrežij.

Slika 47: Komunikacija med računalnikoma

Vir: www.google.si

V strežniških omrežjih ne moreta med seboj komunicirati katerakoli sistema. Komunicirata lahko samo strežnik in odjemalec. Dva odjemalca potrebujeta za medsebojno komunikacijo posrednika – strežnik. Ko omrežja naraščajo (število priključenih računalnikov v omrežje, fizična razdalja med njimi in naraščajoč promet med njimi), je potreben več kot samo en strežnik.

8.5 Specializirani strežnikiStrežniki morajo opravljati različna in kompleksna opravila. Strežniki za velika omrežja so postali specializirani, da lahko zadovoljijo potrebe posameznih uporabnikov. Načrtovanje specializiranih strežnikov postane pomembno pri naraščajočih omrežjih. Načrtovalec mora upoštevati možnost naraščanja omrežja tako, da omrežje ne bo moteno, če pride do menjave strežnikov. Sledijo primeri različnih tipov specializiranih strežnikov vključenih v velika omrežja.

Slika 48: Strežniki podjetja IBM

Vir: www.google.si

Datotečni in tiskalniški strežniki Datotečni in tiskalniški strežniki omogočajo uporabnikom






dostop do datotek in tiskalnikov. Na primer, če uporabljate aplikacije za delo z besedilom, se te aplikacije zaganjajo na vašem računalniku. Dokument, ki je shranjen na datotečnem ali tiskalniškem strežniku, lahko naložite v pomnilnik računalnika in ga nato lokalno urejate. Datotečni in tiskalniški strežniki se torej uporabljajo za shranjevanje podatkov.

Aplikacijski strežniki Aplikacijski strežniki so odgovorni za strežniško stran v aplikacijah odjemalec/strežnik, kot tudi podatke, ki so dosegljivi za odjemalce. Na primer, strežniki shranjujejo goro podatkov, ki je organizirana tako, da lažje dobimo te podatke. Aplikacijski strežnik se razlikuje od datotečnega in tiskalniškega strežnika po tem, da datotečni in tiskalniški strežniki naložijo podatke na računalnik, aplikacijski strežniki pa sami izvedejo operacije, tako ostane baza podatkov na strežniku in se odjemalcu se pošlje samo rezultat zahteve.

E–poštni in faksirni strežniki E–poštni strežniki delujejo kot aplikacijski strežniki, ker so ločene strežniške in odjemalske aplikacije. Odjemalec selektivno naloži podatke s strežnika. Faksirni strežniki upravljajo s faksirnim prometom v omrežju in upravljajo s skupno rabo enega ali več faks modemov.

Domenski strežniki

Slika 49: Specializirani strežniki

Vir: www.google.si

Domenski strežniki omogočajo uporabnikom, da varno shranjujejo in lokalizirajo informacije v omrežju. Uporabniki so razdeljeni v logične skupine, ki dovoljujejo uporabnikom dostop do določenih virov v omrežju.

8.6 Vloga programske opreme v strežniških omrežjihStrežnik in operacijski sistem delujeta skupaj kot celota. Ni pomembno, kako močan je lahko strežnik, brez operacijskega sistema nič ne koristi. Določeni operacijski sistemi so narejeni tako, da iztisnejo najboljše iz strojne opreme strežnika.

8.6.1 Prednosti strežniškega omrežjaČeprav ga je težje namestiti, konfigurirati, in upravljati ima strežniško omrežje več prednosti pred omrežji vsak z vsakim.

Skupna raba virov

Strežniki so načrtovani zato, da omogočajo dostop do mnogih datotek in tiskalnikov in pri tem zagotavljajo ustrezno varnost. Podatki v strežniku, ki jih le–ta da v skupno rabo, so centralno upravljani in bolje nadzorovani. Ker so dokumenti v skupni rabi centralizirano locirani, jih lahko lažje najdemo in z njimi oskrbujemo posamezne računalnike.

Varnost




Slika 50: En administrator upravlja z omrežno varnostjo

Vir: www.google.si

Varnost je primarni razlog za odločitev za strežniško omrežje. V strežniškem omrežju, en administrator skrbi za varnost celotnega omrežja in določa pravila za vsakega uporabnika v omrežju. Slika prikazuje skrb za varnost v omrežju.

Varnostne kopije

Varnostne kopije se lahko ustvarijo večkrat na dan, enkrat na mesec, pač odvisno od pomembnosti podatkov. Strežniške varnostne kopije, se lahko naredijo avtomatično, tudi če se strežnik nahaja na drugih delih omrežja.

Redundanca

Poleg uporabe varnostnih kopij se uporabljajo tudi redundantni sistemi. Podatki na enem strežniku se kopirajo na drugega in tam tudi ostanejo. Tudi če se karkoli zgodi primarni hrambi datotek, se lahko uporabi varnostna kopija in podatki se lahko obnovijo.

Število uporabnikov v omrežju

Strežniško omrežje lahko vsebuje tisoče uporabnikov. Takšen tip omrežja bi bilo nemogoče upravljati, če bi bilo to omrežje vsak z vsakim, ampak določeni programi omogočajo delo s strežniškimi omrežji pri tako velikem številu.

Strojna oprema

Računalniki odjemalcev imajo manjše strojne zahteve, saj ne potrebujejo dodatnega pomnilnika in trdih diskov, za strežniške namene.

Strežniška omrežja so dobra izbira:

Kadar je v omrežju 10 ali več uporabnikov. Kadar si uporabniki delijo določene datoteke in tiskalnike, ki jih lahko shranimo na

strežnik. Kadar je varnost pomembna in se zahteva centralizirana administracija. Kadar se predvideva rast omrežja.

8.7 Računalniška omrežja po velikostiRačunalniška omrežja so uvrščena v eno od skupin v odvisnosti od velikosti, od funkcije in od tehnologije prenosa podatkov. Pogosta delitev je na lokalna (LAN), mestna (MAN) in prostrana (WAN), pojavljajo pa se še delitve na šolska omrežja (CAM, angl. Campus Area Network), globalna (svetovna) omrežja (GAM, angl. Global Area Network) in druga.




8.7.1 Lokalna omrežja

Slika 51: Lokalno omrežje

Vir: www.google.si

Lokalno omrežje (LAN) je osnovni gradnik vsakega računalniškega omrežja. Lokalno omrežje lahko sega od enostavnega (dva računalnika, ki sta povezana preko medija) do kompleksnega (na stotine povezanih računalnikov in perifernih enot). Značilnost lokalnih omrežij je v tem, da so to zasebna omrežja, ki se nahajajo znotraj neke stavbe ali območja na razdalji nekaj kilometrov. Običajno imajo enotno administracijo. V lokalnih omrežjih je tudi malo napak pri prenosu podatkov. Večinoma se uporabljajo za skupno rabo datotek in tiskalnikov. Pogosto pa tudi za skupno administracijo (domena), za zaščito pred zunanjim omrežjem, za sporočanje.

Slika 52: Primer lokalnega omrežja

Vir: www.google.si

8.7.2 Prednosti računalnikov povezanih v lokalna omrežja Računalniki, ki so povezani v omrežja, imajo veliko prednosti v primerjavi z izoliranimi otočki, s katerimi lahko primerjamo samostojne računalnike. Povezani računalniki imajo dostop do skupnih datotek in zbirk podatkov, uporabljajo lahko omrežni tiskalnik in lahko si neposredni izmenjujejo datoteke. V zadnjem času lahko omrežje rabi tudi že za prenos zvočnih in videoposnetkov – videokonference. Poleg tega pa z povezovanjem v omrežja in z vpeljavo omrežnega strežnika povečamo tudi varnost. Namreč, če se vsi podatki nahajajo na enem mestu, ima omrežni opravitelj veliko več možnosti jih zaščititi.

8.7.3 Zahteve za lokalno omrežje Za povezavo dveh ali več računalnikov potrebujemo ne glede na vrsto omrežja mrežno kartico, ki jo vgradimo v vsak računalnik, kable za povezavo, ki so različni glede na vrsto omrežja (UTP, KOAKSIAL) in pa za UTP omrežja še HUB, ki predstavlja povezovalni člen med računalniki.





Slika 53: Izvedba z koaksialnimi kabli (T členi, terminatorji)

Vir: www.google.si

Slika 54: Izvedba z UTP kabli (HUB)

Vir: www.google.si

8.8 Mestna omrežja Mestna omrežja (angl. Metropolitan Area Network, MAN) se uporabljajo v večjih mestih ali širšem območju. Najboljši primer mestnega omrežja je omrežje kabelske televizije, ki je na razpolago v mnogih mestih. Ta sistem je zrasel iz skromnih skupnih anten, ki so se uporabljale za sprejem slabih televizijskih signalov. V takšnem sistemu se je na vrhu hriba nahajala antena, ki je nato signal peljala do posameznih gospodinjstev.

To so bili običajno na hitro narejeni in lokalno načrtovani sistemi. Ko so se začeli nekateri ukvarjati s tem poslom, so se omrežja razširila na celotna mesta. Naslednji korak so bili posebni programi, ki so bili emitirani v določenem kabelskem sistemu. Običajno so bili kanali specializirani, npr. za šport, politiko, kuhanje, aerobiko in podobno. Do leta 1990 so se uporabljali samo za TV–signale.

Slika 55: Mestno omrežje pogosto temelji na CATV

Vir: www.google.si

Ko je internet privabil širše množice, so operaterji kabelske televizije pričeli z izdelavo sprememb v omrežju, ki je omogočal dvosmerni promet in neuporabljen spekter so uporabili za povezavo z internetom. V tem trenutku so se distribucijski TV-sistemi začeli spreminjati v mestna omrežja. Tipične






storitve mestnih omrežij so prenos datotek, videa, TV in radijskega signala, telefonija.

8.9 Prostrana omrežjaProstrano omrežje, lahko tudi globalne omrežje WAN (angl. Wide Area Network) je omrežje računalnikov, ki se razprostira na velikih razdaljah. Nekatere povezave na prostranih omrežjih potekajo po telefonskih linijah ali celo preko satelitov. Prostrana omrežja pogosto povezujejo več lokalnih omrežij v eno samo.

Slika 56: Prostrano omrežje

Vir: www.google.si

Ko se omrežje razširi in preraste eno samo stavbo oziroma kraj, postane prostrano omrežje. Kdaj LAN postane WAN, ni popolnoma jasno določeno, toda prostrana ponavadi temeljijo na zunanjem telefonskem sistemu ali prenosu podatkov prek satelitov in povezujejo več lokalnih omrežij istega podjetja. Nekaj prostranih omrežij se razprostira preko vse zemeljske oble.

Prostrana omrežja so za nekatera podjetja zelo pomembna, saj povezujejo oddaljene pisarne in skrbijo za sproten pretok svežih informacij. Zamislimo si banko, ki ima sedež v Ljubljani, podružnice pa po vsej Sloveniji, finančne in posojilne pisarne pa po vsem svetu. Pisarna v Hongkogu bi bila brez prostranega omrežja odrezana od dnevnih odločitev, sprejetih na centrali banke, saj je izmenjava informacij prek telefona in telefaksa precej bolj neučinkovita. S povezavo vseh pisarn v prostrano omrežje lahko podjetje prepreči, da bi se napake enega dela podjetja pojavljale tudi v drugih delih.




Slika 57: WAN omrežje (komunikacija poteka po telefonskih žicah in preko satelitov in povezuje lokalna omrežja)

Vir: www.google.si

8.10 Omrežna topologija

8.10.1 Načrtovanje omrežne topologijeIzraz topologija, bolj natančno omrežna topologija, se nanaša na ureditev ali fizično postavitev računalnikov, kablov in drugih omrežnih komponent ter njihovih povezav v omrežju. Topologija je standardni izraz, ki ga največ omrežnih strokovnjakov uporablja, ko govorijo o načrtovanju omrežij. Namesto izraza topologija se uporabljajo tudi fizična ureditev, razporeditev, oblika omrežja.

Slika 58: Topologija zvezde

Vir: www.google.si

Razlikovati pa je potrebno med izrazoma logična in fizična topologija. Fizična se nanaša na fizično postavitev postaj in medija, logična pa na pot paketov po omrežju. Omrežna topologija vpliva na lastnosti omrežja. Izbira ene izmed topologij vpliva na:

tip strojne in programske opreme, ki jo omrežje potrebuje,





zmožnosti te opreme, razširitev omrežja, upravljanje omrežja.

Z razvijanjem občutka, kako različne omrežne topologije delujejo, lahko najlažje razumemo zmožnosti različnih omrežij.

Preden lahko računalniki začnejo deliti vire ali drugače komunicirati, morajo biti povezani. Največ omrežij uporablja za povezavo kable. Vendar pa je omrežje več kot samo povezava računalnikov s kabli. Različne vrste kablov se kombinirajo z različnimi vrstami omrežnih kartic, z različnimi omrežnimi operacijskimi sistemi in še z drugimi komponentami. Za vsako kombinacijo potrebujemo različno rešitev. V računalniških topologijah imamo dve možnosti povezave sistemov:

vse postaje si delijo medij, povezave so iz točke v točko.

V primeru, da si postaje delijo medij, si vse priklopljene postaje delijo isti komunikacijski kanal v omrežju. Paket, ki je namenjen točno določenemu sistemu, prejmejo tudi vsi ostali sistemi v omrežju. Po sprejemu paketa mora programska oprema računalnika razpoznati naslov in nato obdelati ali pa ignorirati. V primeru povezave iz točke v točko pa obstaja individualna povezava med sistemoma. Sprejemni sistem lahko sprejme in obdela paket, lahko pa ga posreduje dalje.

Za dobro delovanje poskrbi omrežna topologija. Na primer, določena topologija lahko odloča ne le o vrsti kablov, temveč tudi kako povezave potekajo po tleh, stropih in stenah. Topologija lahko tudi določi kako računalniki komunicirajo po omrežju. Drugačne topologije potrebujejo drugačne komunikacijske metode.

Vse omrežne oblike so sestavljene iz štirih osnovnih omrežnih topologij:

vodilo (angl. Bus), zvezda (angl. Star), obroč (angl. Ring), polna (angl. Mesh).

Topologija vodila je sestavljena iz naprav, povezanih na skupen kabel, ki si ga računalniki delijo. Povezava računalnikov iz ene same točke je omejena na topologijo zvezda. Povezava računalnikov s kablom tako, da se oblikuje zanka, se nanaša na postavitev topologije obroča. Polna topologija povezuje v omrežju vsak računalnik z vsemi ostalimi. Te štiri osnovne topologije lahko kombiniramo v različnih bolj zapletenih sestavljenih topologijah.

8.10.2 Izbira topologijeObstaja več činiteljev, ki vplivajo na odločitev o izbiri topologije, ki je najprimernejša za organizacijo. V tabeli so navedene nekatere značilnosti posameznih topologij.

TOPOLOGIJA PREDNOSTI SLABOSTI

Vodilo

uporaba kablov je ekonomična,

medij je poceni in lahko je rokovati z njim,

sistem je enostavno postaviti,

omrežje je enostavno

prenos se upočasni pri velikem prometu,

napake je težko odkriti, prekinitev na enem

mestu prenosnega medija povzroči izpad omrežja.



razširiti

Obroč

sistem zagotavlja enakovreden dostop za vse postaje,

s povečanjem števila uporabnikov, se obremenitev ne poveča,

zagotavlja veliko zanesljivost prenosa

napaka na enem računalniku ali kablu zaustavi celoten promet,

napake je težko odkriti, razširitev omrežja je

možna samo s prekinitvijo prometa.

Zvezda

enostavno je priključevanje novih postaj,

možen je centraliziran nadzor in upravljanje,

napaka na enem računalniku ali kablu ne vpliva na ostale.

če se poruši centralna točka, se poruši celotno omrežje,

potrebno je veliko kablov.

Polna sistem deluje zanesljivo zaradi redundantnih povezav.

sistem je drag zaradi velikega števila kablov.

Slika 59: Prednosti in slabosti topologij

Vir: www.google.com

8.11 VodiloOmrežna topologija vodila je najbolj enostavna in poceni vrsta omrežja (ponavadi je to eternet), za katero je značilno, da so vse naprave priključene na en sam skupen medij po katerem poteka prenos podatkov vseh priključenih naprav. Povezane so pogosto v ravni liniji, zato je topologija omrežja večkrat prikazana kot linearna. Medij je pogosto koaksialen kabel. Naprave (periferija, računalniki) so priključene na vodilo preko posebnih enot za oddajanje in sprejemanje. Zaradi delitve skupnega medija (vodila) lahko samo ena postaja naenkrat oddaja v celotnem omrežju.

Slika 60: Omrežna topologija vodila

Vir: www.google.si

8.11.1 Komunikacija na vodiluRačunalniki v topologiji vodila komunicirajo z naslavljanjem podatkov na določen računalnik in pošiljanjem le–teh po kablu kot električne signale. Za razumevanje, kako računalniki komunicirajo po vodilu, moramo biti seznanjeni s tremi izrazi:

pošiljanje signala, odboj signala,





zaključni člen (angl. Terminator).

8.11.2 Pošiljanje signalaOmrežni podatki so v obliki električnih signalov poslani vsem računalnikom, vendar jih sprejme le tisti, ki se mu ujema naslov v omrežnem vmesniku računalnika s tistim v podatkovnem paketu. Vsi ostali računalniki podatke zavrnejo. Naenkrat lahko pošilja podatke le en računalnik. Ker lahko pošilja naenkrat le en računalnik, lahko njihovo večje število zmanjša omrežno zmogljivost. Več kot je računalnikov priključenih v omrežje, več jih bo čakalo na pošiljanje podatkov in posledično bo omrežje počasnejše.

Slika 61: Zaključni člen

Vir: www.google.si

Ko eden izmed računalnikov v omrežju oddaja podatke, potuje signal po kablu v obe smeri, doseže vse računalnike. Vodilo ima vedno svoja konca, ki ju moramo zaključiti z zaključnima členoma (angl. Terminator). Namen člena, ki vsebuje upor, je preprečiti odboj signala nazaj v kabel. Če zaključnega člena ne bi bilo, bi odbiti signal povzročil trk v omrežju. Okvara ali nedelovanje posameznega računalnika ne vpliva na delovanje omrežja, razen v primeru, če je okvara računalnika takšna, da v omrežje pošilja nezaželene signale.

Slika 62: Prekinitev omrežja

Vir: www.google.si

Največji problem v topologiji vodila je, da lahko en sam pokvarjen konektor, zaključni člen, poškodovan ali prekinjen kabel onesposobi celotno omrežje. Signal ne more priti mimo točke okvare. Povrhu vsega pa predstavlja prekinitvena točka nezaključen kabel. V delu omrežju se bo signal sicer prenašal, vendar se bo na koncu kabla odbil. Ker gre signal po celotnem kablu, je težko določiti točko, kjer je nastala v omrežju okvara. To je glavni razlog, zakaj se danes takšna omrežja več ne postavljajo.

Prednosti topologije vodila so:





enostavno za postavitev, omrežje je relativno poceni, uporablja manj kablov kot pri drugih topologijah, ponavadi samo enega.

Slabosti topologije vodila so:

težavno zamenjava medija in prestavljanja omrežja, mala toleranca pri težavah, zaradi majhne napake se lahko celotno omrežje poruši, težavno odkrivanje napak, omejena komunikacija naprav hkrati (več naprav ustvari upočasnitev), preveč konektorjev lahko povzroči izgubo signala.

8.11.3 Razširitev omrežja

Slika 63: Pasivno podaljševanje

Vir: www.google.si

Ko se velikost omrežja povečuje, se lahko omrežje razširi na enega izmed sledečih načinov. S podaljševalnim konektorjem se poveže dva kosa kabla in nastane daljši segment. Takšen način se lahko uporablja samo začasno in za manjše razdalje. Pogosto se ga uporablja namesto izločene postaje. Uporaba prevelikega števila podaljševalnih členov, poslabša signal. V tem primeru je potrebno zamenjati segmentiran kabel z enim kosom ali pa uporabiti obnavljalnik.

Slika 64: Aktivno podaljševanje

Vir: www.google.si

Z napravo, imenovano obnavljalnik (angl. Repeater), se lahko povežeta dva kabla. Obnavljalnik regenerira signal, preden ga odda na izhod. Obnavljanje pomeni, da bo signal ponovno imel takšno obliko kot jo je imel na izhodu pošiljatelja. Na ta način bodo signali tudi na daljše razdalje pravilno sprejeti.





8.12 Zvezda

Slika 65: Prenos paketov

Vir: www.google.si

Danes je topologija zvezde najbolj razširjena oblika lokalnih omrežij. Pri tej topologiji so vse postaje povezane v osrednje vozlišče ali zvezdišče. Zvezdišče podatke, ki jih po kablu prejme od enega računalnika, pošlje vsem drugim, ne glede na to, ali so jim namenjeni ali ne. Odločitev glede tega prepusti omrežni kartici. Prednost te omrežne topologije je enostavnost, saj so usmerjevalni postopki nepomembni. Zvezdna topologija je zelo občutljiva na izpad središčne točke, saj v primeru izpada zvezdišča ne more komunicirati noben par računalnikov v omrežju. Zaradi tehnoloških omejitev zvezdišče z velikim številom postaj postane počasno. Topologija zvezda ni primerna za večja omrežja. V bolj izpopolnjenih konfiguracijah centralna točka (v tem primeru stikalo, angl. Switch) prejema podatke in jih posreduje samo določeni komponenti.

Slika 66: Izpad uporabnika ne predstavlja posledic za ostale

Vir: www.google.si

Prednosti topologije zvezda so:

namestitev je enostavna, vsaka naprava potrebuje le kabel, ki je povezan med njim in zvezdiščem,





omrežje je prilagodljivo, napravo lahko dodamo ali odvzamemo med delovanjem omrežja, ne da bi vplivali na ostale komponente omrežja,

o večina omrežnih storitev, težav in sprememb ožičenja se izvaja na centralnem mestu,

o v primeru, da se prekine povezava do določene komponente, lahko ostale komponente nemoteno komunicirajo med seboj,

o hitrost prenosa podatkov se giblje od 10 Mb/s do 1.000 Mb/s,o odkrivanje napak je enostavnejše kot v drugih topologijah.

Slika 67: Izpad zvezdišča onemogoči vso komunikacijo

Vir: www.google.si

Slabosti topologije zvezda so:

V omrežju je potrebno veliko kablov. Če se centralna točka pokvari, z njo priključene naprave ne delujejo in s tem

posledično celotno omrežje.

8.13 ObročV omrežju topologije obroč je vsak računalnik priključen neposredno na sosednja računalnika v omrežju. Vendar računalnik dobiva podatke samo od enega izmed njiju. Drugemu pa podatke pošilja. Z logičnega stališča ima topologija videz obroča.

Slika 68: Omrežje obroč

Vir: www.google.si

Podatki potujejo od enega računalnika do drugega le v eno smer, kot kaže slika. Dobra stvar pri tem





načinu je, da je polaganje kablov zelo preprosto, slabost pa ta da omrežje preneha z delovanjem pri vsaki prekinitvi stika na kateremkoli kablu. Omrežje se prekine tudi pri vsakem dodajanju novega računalnika. Še ena slabost pa je tudi ta, da je omrežje z novo delovno postajo tudi zelo težko preoblikovati, ne da bi celotno omrežje zrušili. Zaradi teh razlogov je to omrežje redko uporabljeno.

Slika 69: Omrežje zvezda – obroč

Vir: www.google.si

Omrežje obroč je v resnici zelo podobno omrežju topologije zvezda. Kabli za to omrežje v obliki zvezde so priključeni na centralno točko, imenovano zvezdišče. Omrežje obroč uporablja posebno vrsto zvezdišča, imenovanega večdostopna enota (angl. Multistation Access Unit, MAU), ki prejema podatke skozi en vhod, skozi drugega pa jih pošlje naprej. Ta postopek se nadaljuje, dokler MAU ne pošlje vseh podatkov od enega računalnika do drugega v omrežju obroč. Če bi odstranili žice iz kablov, bi dobili omrežje, ki poteka od MAU do vsakega računalnika posebej in spet nazaj do MAU, kot prikazuje slika.

S tem omrežjem je povezano nekaj razlogov za in več razlogov proti. Pozitiven razlog je ta, da je takšno omrežje zelo lahko vzpostaviti, zelo lahko je tudi odkrivanje napak. Računalnik bo takoj vedel, če je prišlo do prekinitve toka, saj ne bo več prejemal podatkov od drugih računalnikov. Na drugi strani pa je takšno omrežje zelo drago, saj je za priključitev vsake delovne postaje potrebno veliko kablov, zelo težko ga je preoblikovati, predvsem pa ni tolerance pri napakah. Že najmanjša napaka lahko poruši celotno omrežje.

Kar se tiče prenosa signalov, je omrežje obroč kot vodilo, v katerem je vsak računalnik logično priključen na naslednjega. Edina razlika je v tem, da v omrežju obroč ni konca vodila, ker sta "konca" povezana. To omogoča signalu, ki izvora iz enega mesta v omrežju, da potuje do vsakega drugega računalnika in na koncu pride tudi nazaj.

Omrežja, kot so omrežja z žetonom, ki uporabljajo za pošiljanje podatkov žeton, so povezana z uporabo obročne topologije. Najpomembnejša stvar pri razumevanju te topologije je ta, da ta obroč obstaja le teoretično. Obroč obstaja le v povezavi žic, ne pa kako so povezani kabli.

8.14 Multistation access unitOblika fizične topologije zvezda, uporabljene pri logični topologiji obroč, omogoča omrežju, da deluje, čeprav kakšen kabel ali priključek ne deluje. MAU vsebuje posebno vezje, ki odklopi delovno postajo (računalnik), ki ne deluje, iz omrežja. Na primer omrežje, ki bi bilo povezano le s kabli in ne bi imelo MAU, bi le manjša napaka povzročila zastoj celotnega omrežja.




Slika 70: Multistation access unit

Vir: www.google.si

8.15 Token ringToken ring (angl. Token Ring) je podoben eternetu, je lokalno omrežje, ima določena pravila za fizični sloj in sloj podatkovne povezave, pravila dostopa do medija. IBM je token ring prvič predstavil v letu 1984 kot del njegove rešitve za celoten nabor računalnikov IBM in drugih računalniških okolij, ki vključujejo:

osebne računalnike (PC), računalnike srednje velikosti (angl. Mid-range computers), okolja Mainframe in Systems Network Architecture (IBM).

Cilj IBM-ove različice token ringa je bil uporaba preprostih kabelskih struktur, kot je parični kabel, ki bi povezovale računalnik v omrežje do centralne točke. Leta 1985 je arhitektura IBM token ring postala standard ANSI/IEEE (angl. Institute of Electrical and Electronics Engineers). ANSI je organizacija, ki je bila ustanovljena 1918 za razvoj in sprejetje tržnih in komunikacijskih standardov v ZDA; ANSI je ameriški predstavnik v ISO.

8.15.1 Značilnosti arhitekture token ringOmrežje token ring je implementacija standarda IEEE 802.5. IEEE 802.5 ne predpisuje topologije (token ring uporablja logično topologijo obroč in fizično zvezda) niti kablov (token ring predpisuje parične kable). Uporablja žetone za prenos podatkov. Omrežje se v načinu delovanja ne razlikuje od drugih obročnih arhitektur.

Tipična arhitektura omrežja token ring se je začela s fizičnim obročem. Danes so praktično vsa omrežja v fizični obliki zvezde. Vsi računalniki so povezani na centralno točko. Logična topologija predstavlja obroč. Obroč je fizično realiziran znotraj centralne točke, imenovane MAU. Žeton potuje po omrežju od enega računalnika do drugega.

Slika 71: Omrežje token ring

Vir: www.google.si





8.15.2 Osnove token ringa

ArhitekturaOmrežje token ringa ima naslednje značilnosti:

logična topologija obroča, ki je zasnovana na zvezdasti priključitvi, uporablja žetonsko metodo za prenos podatkov, podatki se prenašajo po paricah UTP ali STP, hitrosti prenosa sta 4 in 16 Mb/s, prenos v osnovnem pasu (baseband, prenos, ki uporablja digitalne signale), standard 802.5.

8.15.3 Zgradba paketa token ringOsnovna zgradba paketa token ring je prikazana na spodnji sliki. Podatkovno polje predstavlja večji del okvirja.

Slika 72: Zgradba paketa token ring (velikost delov je v bajtih)

Vir: www.google.si

Ime polja Opis

začetni delimiter (angl. Start Delimiter)

označuje začetek paketa

nadzor dostopa (angl. Access Control)

pregleda in določi, ali je okvir žeton ali podatkovni paket

nadzor okvirja (angl. Frame Control) vsebuje informacijo o naslovu MAC, ali je paket za določeno postajo ali za vse v omrežju

naslov prejemnika (angl. Destination Address)

označuje naslov računalnika, ki paket prejme

naslov pošiljatelja (angl. Source Address)

označuje naslov računalnika, ki paket pošilja

podatki (angl. Data) podatki, ki jih je pošiljatelj poslal

FCS (angl. Frame Check Sequence)

preverja nedotaknjenost paketa

končni delimiter (angl. End Delimiter)

označuje konec paketa

status okvirja (angl. Frame Status)pove, če je bil paket prepoznan, kopiran in če je naslovnik veljaven

Slika 73: Zgradba token ring paketa




Vir: www.google.si

ŽetonŽeton ima samo tri polja podatkovnega paketa:

začetni delimiter (angl. Start Delimiter) nadzor dostopa (angl. Access Control) končni delimiter (angl. End Delimiter)

8.15.4 Delovanje omrežja token ringSamo en žeton je lahko aktiven v omrežju in lahko kroži samo v eni smeri naokrog. V kateri smeri pa žeton potuje? V smeri urinega kazalca ali obratno? Odgovor v resnici sploh ni pomemben. Pot žetona je odvisna od dejanske fizične poti, logično pa tako ali tako ni razlik. Nekaj zmede povzročajo standardi, IEEE obravnava smer poti žetona v smeri urinega kazalca, IBM pa v nasprotni smeri. Pot žetona je točno določena in ne more priti do trkov. Ker vsak računalnik sprejme in odda paket, opravlja nalogo obnavljalnika.

8.15.5 Nadzorovanje sistemaPrvi računalnik, ki se prijavi v omrežje, je zadolžen za nadzor omrežne aktivnosti. Nadzorni računalnik se prepriča, da so okvirji dostavljeni in prejeti pravilno. To dela tako, da preverja okvirje, ali so obroču več kot en obhod in zagotovi, da je samo en žeton v omrežju. Proces nadzora se imenuje opozorilna postaja. Aktivni monitor pošlje opozorilni signal vsakih 7 sekund. Signal potuje od računalnika do računalnika po celotnem obroču. Če postaja ne prejme pričakovanega oznanila od soseda, poskuša obvestiti omrežje o izostanku povezave. Pošlje sporočilo, ki vsebuje njegov naslov, naslov soseda, ki se ne odziva in način opozorila. Iz te informacije obroč poskuša ugotoviti problem in ga popraviti brez prekinitve celotnega omrežja.

Slika 74: Token ring

Vir: www.google.si

8.15.6 Strojne komponenteStrojna oprema arhitekture omrežja token ring je povezana v centralno točko. Omrežje token ring ima lahko več MAU. MAU (angl. Multistation Access Unit) je naprava, na katero se priključujejo računalniki v omrežju token ring.





Slika 75: Notranji obroč v MAU

Vir: www.google.si

Centralne točke so kot pri eternetu vezane linearno. Razlika je v tem, da je konec omrežja na začetku vozlišča. Več vozlišč nanizamo drugo za drugim v obroč. Usmerjevalni postopki so nekoliko bolj zapleteni, med vsakim parom vozlišč sta možni dve poti. Omrežje je bolj trdoživo, saj so ob izpadu vozlišča prizadeti le lokalni uporabniki. Ob izpadu dveh vozlišč lahko omrežje razpade na dva dela. Pogosto srečamo omrežja, kjer topologija obroča povezuje lokalna zvezdna omrežja.

standard IEEE 802.5

topologija zvezda–obroč

tip kablov oklopljene ali neoklopljene parice

impendanca (Ω) 100 – 120 Ω UTP, 150 Ω STP

največja dolžina kabelskega segmenta

od 45 – 200 m; odvisna od vrste kabla

najmanjša razdalja med računalniki 2,5 m

največje število povezovalnih elementov

33 MSAU

največje število računalnikov na MAU

neoklopljeni kabli 72 računalnikov na MAU, oklopljeni 260 računalnikov na MAU

8.16 Polna topologijaPolna (angl. Mesh) omrežna topologija ponuja veliko redundanc (dodatnih povezav, ki niso nujne za delovanje omrežja) in je zato zanesljiva. V polni topologiji je vsak računalnik povezan z vsemi ostalimi računalniki s posebnim kablom.




Slika 76: Polna topologija ima redundantne povezave

Vir: www.google.si

Ta konfiguracija zagotavlja redundantne poti skozi omrežje. Če en kabel odpove, se lahko promet preusmeri na drugega. Lahko je odkriti napako v omrežju, kar je nedvomno največja odlika te topologije. Ima pa tudi veliko pomanjkljivost – zaradi velikega števila kablov, je zelo draga.

Povzetek

Računalniško omrežje lahko definiramo kot sistem med seboj neodvisnih računalnikov, ki so povezani za izmenjavo podatkov in delitev perifernih enot, kot trdi diski ali tiskalniki. Ključni besedi v definiciji sta izmenjava in deljenje. Izmenjava je namen računalniških omrežij. Računalniško omrežje sestavljajo tako strojne kot tudi programske komponente. Zmožnost učinkovite izmenjave informacije je tisto, kar daje računalniškim omrežjem svojo moč in privlačnost.

VPRAŠANJA ZA RAZMISLEK IN PREVERJANJE ZNANJA

1. Kaj je računalniško omrežje? Kakšne vrste računalniških omrežij poznate?2. Na osnovi česa so zasnovane brezžične povezave? Naštejte vrste brezžičnih povezav!3. H katerim brezžičnim povezavam prištevamo mobilno tehnologijo?4. Katere vrste brezžičnih povezav prenašajo valove med postajami, ki so med seboj oddaljene

100 km?5. Naštejte področje uporabe infrardečih povezav! Katere so prednosti in slabosti infrardečih

povezav?6. Opišite sestavo infrardeče povezave!7. V katerih omrežjih uporabljamo satelitsko povezavo?8. Narišite in opišite omrežno hierarhično strukturo! Naštejte omrežne naprave!




9. PROTOKOL ZA PREVEDBO NASLOVOV

9.1 Address Resolution Protocol (ARP)Vsak računalnik v internetu mora imeti vsaj en naslov IP. Vendar pa je naslov IP na sloju podatkovne povezave nepomemben podatek, saj protokoli na tem sloju ne razumejo teh naslovov. Lokalna omrežja razumejo samo naslove lokalnih omrežij (MAC ali strojne naslove). Postavlja se vprašanje, kako naj se IP paket zapakira v okvir eternet ali token ring. Uporabiti moramo način za prevedbo naslovov.

ARP je odgovoren za pridobivanje strojnih naslovov gostiteljev TCP/IP v lokalnem omrežju, ki temeljijo na razpršenem oddajanju (angl. Broadcast). ARP uporablja razpršeno oddajanje ciljnega naslova IP, da bi pridobil strojni naslov ciljnega računalnika ali usmerjevalnika. Preden lahko paket IP pošljemo naprej do drugega računalnika, mora biti poznan strojni naslov naprave ali računalnika, ki mu je paket namenjen. ARP določa strojne naslove (naslove MAC), ki so povezani z naslovom IP. Če ARP ne vsebuje naslova v svojem lastnem pomnilniku, oddaja zahtevo po naslovu. Vsi gostitelji v omrežju procesirajo zahtevo, in če imajo ustrezni naslov, ga pošljejo nazaj do tistega, ki je le–to zahteval. Paket je nato poslan na pot, nova informacija o naslovu se shrani v tabelo ARP (v pomnilnik).

Pripomoček za Address Resolution ProtocolAddress Resolution Protocol (ARP) je del protokolnega sklada TCP/IP (Transmission Control Protocol/Internet Protocol). Uporablja se za pretvarjanje naslovov IP (ki se uporabljajo v TCP/IP) v naslove MAC (Media Access Control) z uporabo razpršenega pošiljanja (ang. broadcast). Če računalnik uporablja TCP/IP in želi vedeti, kateri računalnik v omrežju eternet uporablja določen naslov IP. Zato pošlje razpršen paket ARP, ki bo dejal: »Povej kdo ima ta naslov IP xxx.xxx.xxx.xxx?« Računalnik, ki ima natančno takšen naslov, bo odgovoril s svojim naslovom MAC. Računalnik, ki opravi zahtevano, bo tudi sam v svojo tabelo ARP shranil naslov IP in naslov MAC pošiljatelja.

Običajno se izraz ARP nanaša na pripomoček v operacijskih sistemih Windows 95/98 in NT/XP za ogled tabele ARP na lokalnem računalniku.

Tabela ARPTabela ARP je seznam naslovov IP in njihovih povezanih fizičnih naslov MAC. Tabela ARP je shranjena v pomnilniku. Računalniku tako ni potrebno izvršiti zahteve ARP, če želi večkrat izvedeti za določen naslov IP, pogosto se povšrašuje po naslovih strežnikov in usmerjevalnikov. Vsaka vknjižba vsebuje ne le naslov IP in naslov MAC, ampak tudi vrednost za Time to Live (TTL), ki določa kako dolgo vsaka vknjižba ostane v tabeli ARP. Običajno je ta vrednost 10 minut.

Tabela ARP vsebuje dva načina vknjižbe vnosa parov naslovov:

dinamično (ang. Dynamic), statično (ang. Static).

Dinamična vknjižba se ustvari, kadarkoli računalnik pošlje ARP povpraševanje oziroma zahtevo in MAC naslov ni najden v tabeli ARP. ARP zahteva je razpršeno pošiljanje v lokalnem omrežju. Ko je naslov MAC zahteve naslova IP najden, to informacijo doda v tabelo ARP. Dinamična vknjižba v tabelo ARP je počiščena, ko poteče TTL. S tem se zagotavlja, da vnosi ustrezajo tekočemu stanju v omrežju. Statična vknjižba služi enakemu namenu kot dinamična vknjižba, le narejena je ročno z orodjem za ARP. Običajno jo uporabljamo za vnos naslovov strežnikov in usmerjevalnikov.

| 9. PROTOKOL ZA PREVEDBO NASLOVOV 143


Pripomoček za ARPZa vklop pripomočka za ARP v sistemu Windows kliknemo na ukaz za priklic ukaznega pozivnika (DOS v starejših različicah in CMD v novejših). V ukazni vrstici nato napišemo ARP. Ko se vpiše samo ARP, se pojavi pomoč oziroma seznam možnosti ukaza in pravilna oblika vpisa, da se lahko pripomoček za ARP pravilno izvede.

Orodje za ARP se uporablja predvsem za reševanje problema dvojnih naslovov IP. Na primer, neka delavna postaja prejme naslov IP od strežnika DHCP (angl. Dynamic Host Configuration Protocol), nato pa se dodeli enak naslov neki drugi delovni postaji. Ko se poskuša povezati to drugo postajo, se ne odzove. Računalnik poskuša ugotoviti naslov MAC, toda ga ne more, saj imata dva računalnika hkrati enak naslov IP. Za reševanje tega problema se lahko uporabi orodje za ARP tako, da se pregleda lokalne tabele ARP in se ugotovi kateri TCP/naslov IP pripada določenemu naslovu MAC.

9.2 Reverse Address Resolution Protocol (RARP)Računalniki, ki nimajo trdih diskov in se zaganjajo iz pomnilnika na omrežni kartici, nimajo naslova IP. Imajo pa strojni naslov, saj je le–ta enolično določen z omrežno kartico. Naslov IP dobi iz RARP strežnika. RARP strežnik ohranja zbirko podatkov iz številk naprav v obliki tabele ARP (ali pomnilnika), ki jo ustvari sistemski administrator. V nasprotju z ARP, RARP protokol ponuja IP številko za napravo, ki zahteva strojni naslov. Ko RARP strežnik sprejme zahtevo po IP številki od vozlišča v omrežju, odgovori tako, da preveri svojo usmerjevalno tabelo za številko naprave vozlišča, ki jo je zahtevalo, in pošlje primerno IP številko nazaj do vozlišča ki jo je zahtevalo. Microsoftov TCP/IP ne podpira obratne naslovne pretvorbe. Danes se v te namene namesto RARP uporablja večinoma protokol DHCP, ki nudi še druge možnosti.

9.2.1 Prevedba lokalnega naslova IPPreden se lahko komunikacija med dvema računalnikoma oziroma gostiteljema prične, se mora naslov IP vsakega računalnika pretvoriti v strojni naslov. Ta postopek vsebuje zahtevo ARP in odgovor ARP kot to prikazuje primer:

Slika 77: Pregled tabele ARP

Vir: www.google.com Zahteva ARP se zažene vedno, ko želi nek računalnik komunicirati z drugim računalnikom. Ko IP določi, da je naslov IP v lokalnem omrežju, izvorni gostitelj preveri v svoji tabeli ARP, če ima strojni naslovnega gostitelja oziroma računalnika.




Slika 78: Razpršeno pošiljanje paketa

Vir: www.google.comČe ne najde naslova, ARP sestavi zahtevo z vprašanjem "Kdo ima ta naslov IP in kakšen je njegov strojni naslov?" IP in strojni naslov izvornega računalnika sta vsebovana v zahtevi ARP. Zahteva ARP je poslana z razpršenim oddajanjem (ang. Broadcast) tako, da jo lahko sprejmejo in obdelajo vsi gostitelji.

Slika 79: Primerjanje naslov IP

Vir: www.google.com Vsak gostitelj v omrežju prejme zahtevo ARP in preveri svoj naslov IP. Če gostitelj ne najde enakosti prezre zahtevo.

Slika 80: Pošiljanje strojnega naslova povpraševalcu

Vir: www.google.com Naslovni gostitelj ugotovi, da se zahtevani naslov IP ujema z njegovim lastnim, zato pošlje odgovor ARP neposredno do izvornega gostitelja (oziroma računalnika, vozlišča) skupaj z svojim strojnim naslovom. Nato posodobi svoj ARP pomnilnik z naslov IP in strojnim naslovom izvornega računalnika. Komunikacija se zaključi, ko izvorni računalnik prejme odgovor.






Pretvorba naslovov je proces, ki nekemu naslovu IP poišče pripadajoč strojni naslov. Prevedba naslovov temelji na dveh sporočilih: povpraševanju ARP in odgovoru ARP. Vnosi v tabelo ARP so lahko dinamični ali statični. Statični so shranjeni, dokler se jih ne izbriše ali ponastavi računalnik; dinamični pa so v tabeli določen čas.

9.3 User Datagram ProtocolNa transportnem sloju sklada TCP/IP omogoča nepovezovalne storitve nepovezovalni protokol UDP (angl. User Datagram Protocol). V primerjavi z TCP, ki deluje na istem sloju, ni zanesljiv in tudi ne vzpostavlja povezave. UDP ima enako nalogo kot TCP, toda nima nikakršnih postopkov, ki bi zagotovili, da je paket prišel do prejemnika. Podatke poskuša poslati in preveriti ali jih je oddaljeni računalnik sprejel. UDP prav tako ne številči paketov in zato ni v stanju prejete pakete razvrstiti nazaj v pravilno zaporedje. Način prenosa UDP je zlasti primeren za pošiljanje manjših datotek in sicer takšnih, pri katerih ni potrebne garancije za sprejetje. UDP pri komunikaciji tudi uporablja vrata (angl. Port) kot TCP, vendar ni potrebno usklajevanje številke vrat in tako ne prihaja do nepotrebnih neprijetnosti. Tudi UDP, tako kot TCP, se prenaša znotraj datagrama IP.

UDP je določen v RFC 768. Kar ne zagotavlja za dostave podatkov in ne skrbi za kontrolo prenosa, je le–ta precej enostavnejši kot TCP. Ne samo da je glava UDP manjša v primerjavi z glavo TCP, prav tako nima ločenih kontrolnih sporočil, kot recimo za vzpostavitev in prekinitev povezave. UDP povezava sestoji samo iz dveh sporočil, iz zahteve in iz odgovora. Zato morajo biti podatki dovolj majhni, da gredo v eno sporočilo.

Slika 81: Vrata so programski vmesnik do aplikacij

Vir: www.google.com Glava paketa se sestoji iz štirih delov. Polji izvorna vrata in naslovna vrata v glavi UDP in TCP opravljata isto funkcijo – določa protokol na aplikacijskem sloju. Številki vrat, ciljna in izvorna, sta 16–bitni. Polje za dolžino določa, koliko podatkov se prenaša v sporočilu paketa UDP. Zadnje polje je tudi 16–bitno in v njem se nahaja kontrolna vsota (angl. Checksum). Standard protokola UDP ne predpisuje obvezne uporabe kontrolne vsote. Če se ne uporabi, se polje kontrolne vsote zapolni z ničlami. Veliko razprav je bilo, ali naj se kontrolna vsota uporablja v UDP. RFC 768 zahteva, da vsi sistemi UDP lahko ugotovijo napake s pomočjo kontrolne vsote in večina implementacij že vsebuje kontrolno vsoto. Kot je iz opisa razvidno, je protokol izredno enostaven. Poiščite kje, kako je narejen TCP in ju primerjajte.




Slika 82: Usmerjanje z UDP je na nivoju paketov

Vir: www.google.comDa je protokol nepovezovalen pomeni, da ni potrebna predhodna vzpostavitev povezave z oddaljenim računalnikom (kot je na primer s protokolom TCP), ampak se podatki takoj pošljejo drugemu oddaljenemu računalniku. Prav tako ni zagotovljeno, da že poslani paketi prispejo do prejemnika in tudi ne, da bodo le–ti prišli v enakem zaporedju kot so bili poslani. Tudi potrditev, da so podatki prispeli pri tem protokolu ni predvidena. Zaradi tega prejemniki podatkov ne morejo ugotoviti, če so prispeli vsi njemu poslani podatki ali pa so se na poti do njega izgubili. Lahko se tudi zgodi, da se paketi podvojijo.

Ker je UDP nezanesljiv protokol, je potrebno majhno število dodanih informacij v glavi paketa. Zato se UDP uporablja za omrežno upravljanje. SNMP (angl. Simple Network Management Protocol) se prenaša po UDP. Prav tako se uporablja za protokole z zagotavljanjem prenosa v realnem času (zvok in video), ker je velikost dodanih podatkov majhna. Prav tako je smiselno uporabljati UDP v primeru enosmernega oddajanja (angl. Simplex), ker v tem primeru ni mogoče potrjevati dostave paketov.

9.4 Transportni slojTransportni sloj, nudi dodatno povezavo pod sejnim slojem. Transportni sloj zagotovi zanesljivost prenosa. Paketi so dostavljeni brez napak, v pravilnem zaporedju, brez izgub ali podvajanja in po ugodni ceni. Na pošiljateljevem računalniku ta sloj razvrsti sporočila, dolga sporočila deli na več paketkov in zbere manjše paketke v en paket. Ta proces zagotovi, da so paketi uspešno preneseni preko omrežja. Na sprejemnem računalniku transportni sloj odpre paket, ponovno sestavi originalno sporočilo in pošlje potrdilo, da je bilo sporočilo sprejeto. Če prispe podvojen paket, ga ta sloj prepozna in ga zavrže.

Transportni sloj nudi kontrolo pretoka, išče napake in odpravlja probleme povezane s prenosom in sprejemom paketov. Transmission Control Protocol (TCP) in Sequenced Packet Exchange (SPX) sta primera protokolov na transportnem sloju. S potrjevanjem se doseže zanesljivost povezave

Transportni sloj uporabljamo za prenos podatkov in je dopolnjevanje storitvam, ki jih nudi omrežni sloj. To je vidno v primeru TCP/IP. Ti protokoli vključujejo TCP, ki poganja transportni sloj, ter IP, ki se uporablja v omrežnem sloju. Večina protokolnih skladov zagotavlja dva ali več protokolov na transportnem sloju, ki zagotavlja različne povezovalne storitve. Alternativa TCP je UDP. Protokolni sklad IPX zagotavlja izbiro na transportni plastni med protokoloma NCP (angl. NetWare Core Protocol) in SPX (angl. Sequenced Packed Exchange).

Na 4. sloju prevladujejo povezavni protokoli

Razlika med protokoli v transportni plasti nekega protokolnega sklada je, da nekateri zagotavljajo povezavne in nekateri nepovezavne storitve. Povezavno orientiran protokol je takrat, če




komunikacijska sistema pred izmenjavo sporočil vzpostavita povezavo. To zagotavlja, da so sistemi vedno aktivni in pripravljeni za zamenjavo sporočil. TCP je primer je povezavno orientiranega protokola. Če uporabimo spletni brskalnik za povezavo na želeni spletni strežnik, brskalnik in strežnik najprej vzpostavita povezavo. Samo, če je povezava vzpostavljena, lahko brskalnik prenaša podatke z želenega spletnega naslova. Ko je prenašanje datotek končano, sistem prekine povezavo.

Povezavno orientirani protokol zagotavlja dodatne storitve, kot je potrjevanje prejetih paketov, kontrolo pretoka, zaznavanje in odpravljanje napak pri prenosu. Sistem v splošnem uporabi to vrsto protokolov za prenos relativno velike količine informacij. Te storitve zagotavljajo verodostojno prenašanje datotek. Povezovano orientirani protokoli so zanesljivi, saj se potrjuje prejetje paketa brez napak. Slabost tega protokola pa je, da potrjevanje povzroča dodaten promet v omrežju. Še dodaten promet pa je potreben za vzpostavitev in porušitev povezave. S pomočjo povezavnih storitev lahko zagotovimo v zanesljiv prenos podatkov po nezanesljivem omrežju.

Nepovezavni protokol je tisti, ki ne vzpostavi predhodne povezave med dvema končnima sistemoma pred prenosom podatkov. Pošiljatelj preprosto pošlje podatke proti ciljnemu naslovu, ne da bi vedel, ali je končni sistem pripravljen sprejeti podatke ali sploh obstaja. Sistemi v splošnem uporabljajo nepovezavne protokole, kot je na primer UDP za hiter prenos malih količin podatkov.

Povezavni in nepovezavni protokoli niso omejeni na transportni sloj. Na omrežnem sloju so običajno nepovezavni protokoli, saj je zanesljivost prenosa naloga transportnega sloja.

9.4.1 Transportni sloj TCP/IP V skladu s pravili transportnega sloja v modelu OSI so protokoli transportnega sloja odgovorni za vzpostavljanje in vzdrževanje povezave med dvema končnima gostiteljema. Transportni cilj poskrbi za potrditve uspešnega prenosa, kontrolo pretoka in pravilni vrstni red paketov. Upravlja tudi ponovno pošiljanje paketov. Transportni sloj v TCP/IP lahko uporablja protokol TCP ali UDP, odvisno od zahtev in potreb pošiljanja.

Protokolni sklad TCP/IP je dobil ime po kombinaciji protokolov TCP in IP, ki skupaj zagotavljata storitve, ki upravlja z večino prometa v omrežju TCP/IP. Internetne aplikacije, kot spletni brskalniki, odjemalci FTP in pregledovalniki elektronske pošte so vsi odvisni od protokola TCP, ki prenaša velike količine podatkov brez napak. TCP je definiran v dokumentu RFC (angl. Request For Comments) 793, ki je objavila IETF (angl. Internet Engineering Task Force) leta 1981.

9.4.2 TCPTransmission Control Protocol (TCP) je protokol transportnega sloja in se uporablja za zanesljiv pretok podatkov med gostitelji in omrežji. TCP podatke razdeli na koščke, jim nato doda informacije, ki so potrebne, da podatki najdejo pot do destinacije in nato koščke ponovno sestavi na koncu povezave. Koščki se imenujejo datagrami. TCP doda k podatkom aplikacijskega sloja v datagram glavo, ki vsebuje informacije, ki so potrebne zato, da podatki pridejo do mesta, na katerega so bili poslani. Najpomembnejše informacije v glavi so: številka vrat, začetno število datagrama in kontrolna vsota (angl. Checksum).

9.4.3 TCP uporablja virtualni kanalTCP je odgovoren za zanesljive prenose podatkov od pošiljatelja do sprejemnika. Je povezovalni protokol, ki vzpostavlja povezave (imenovane tudi seja ali navidezni kanal) med dvema strojema, preden so podatki poslani. Da lahko postavi zanesljivo povezavo, TCP uporablja metodo trosmernega usklajevanja (angl. Three-Way Handshake).

Ker je TCP povezavni protokol, se najprej vzpostavi povezava med odjemalcem in pošiljateljem. Pri povezavi je določen odjemalčev naslov IP in vrata, ter pošiljateljev naslov IP in vrata, na katerih posluša storitev strežnika. Naslov IP povezan z določenimi vrati tvori vtičnico (angl. Socket) in par



odjemalčeve in pošiljateljeve vtičnice tvorita povezavo TCP, ki je edinstveno določena. Glava (angl. Header) paketa TCP vsebuje izvorni naslov IP in vrata, ciljni naslov IP in vrata, zaporedno številka paketa, številka potrditve in kontrolne zastavice.

Izvorna in končna številka vrat poskrbita, da so podatki poslani s pravim procesom, ki teče na računalniku. Začetna številka dovoli datagramom, da se ponovno združijo v pravilnem vrstnem redu v sprejemajočem računalniku in kontrolna vsota omogoča protokolu, da pregleda, če so poslani podatki enaki tistim ki so bili prejeti. To stori tako, da sešteje vsebino datagrama in vnese to številko v glavo. Ko je glava enkrat v datagramu, TCP poda slednjega IP, da ga le–ta vodi do končnega cilja. Sprejemajoči računalnik nato postori enake izračune in če se ti ne izidejo, se je nekje datagram okvaril in se le–ta ponovno pošlje.

9.4.4 Vrata in vtičniceTako TCP in UDP s specifikacijo številk vrat (angl. Port) identificirata protokol ali proces, ki generira podatke ali jih nosi. Številke vrat so objavljene v RFC 1700 skupaj s seznamom največkrat uporabljenih vrat v TCP/IP. Tako kot naslov IP identificira naslov gostitelja omrežja, tako naslov vrat identificira aplikacijo transportnemu sloju in tako poskrbi za povezavo ene aplikacije na prvem gostitelju do druge na drugem. Aplikacije in storitve, lahko konfigurirajo do 65.536 vrat.

Ko sistem TCP/IP naslovi promet na drugega, uporabi kombinacijo naslova IP in številke vrat. To se imenuje vtičnica (angl. Socket). Da bi vtičnico specificirali v URL moramo najprej napisati naslov IP, nato pa mu sledimo s številko vrat. Tako na primer vtičnica 192.168.2.10:21 naslavlja vrata 21 na sistemu s tem naslovom IP. Ker ima FTP številka vrat 21, ta vtičnica naslavlja FTP strežnik, ki teče na tem računalniku.

9.4.5 Vrata so programski vmesnik do aplikacijTipične aplikacije in storitve TCP/IP običajno uporabljajo prvih 1023 vrat. To so tako imenovana dobro poznana vrata. Na primer, spletni strežnik uporablja vrata 80, strežnik DNS vrata 53. TCP in UDP imata vsak svoj seznam teh vrat. FTP uporablja TCP vrata 21 in 20. Ker FTP uporablja le TCP na transportnem sloju, lahko druga aplikacija uporablja iste vrata na drugih aplikacijskih slojih s protokolom UDP. Aplikacije ostala vrata uporabljajo dinamično.

Običajno ni potrebno določiti številko vrat, ko vpisujemo URL, ker program ki ga uporabljamo sklepa, da se želimo povezati v dobro znane vrste vrat. Na primer, spletni brskalnik naslovi vse URL, ki jih vpišemo na vrata 80, HTTP protokol vrata spletnega strežnika, razen če administrator ne določi drugače. IANA številke vrat so priporočila, ne pravila. Spletni strežnik lahko konfiguriramo tako, da uporablja druga vrata kot 80 in veliko administratorjev strežnikov dodeli alternativna vrata zato, da jih lahko dosežejo le uporabniki, ki poznajo pravo številko vrata. Ustvarimo lahko srednje skrito spletišče tako, da številko vrat nastavimo na 81. Tako moramo za dostop napisati na primer: www.mojnaslov.com:81.

Storitve in aplikacije uporabljajo vtičnice, da vzpostavijo povezave z drugimi gostitelji. Če morajo aplikacije zagotoviti dostavo podatkov, potem vtičnica uporabi povezavno orientirano storitev (TCP). Če ne potrebuje potrditve dostave podatkov, pa uporabi nepovezavno storitev (UDP).


http://www.mojnaslov.com:81/


9.5 Prenos podatkov s TCP

Vzpostavljanje povezave

Slika 83: Vzpostavitev povezave s TCP

Vir: www.google.com TCP je povezavno usmerjen protokol, kar pomeni, da se mora vzpostaviti povezava med dvema sistemoma, preden lahko izmenjujeta podatke. Ta povezava poskrbi, da sta oba računalnika prisotna in delujeta pravilno ter sta pripravljena na sprejemanje podatkov. TCP povezava ostane aktivna skozi ves proces izmenjave podatkov.

V večini primerov povezava TCP obstaja za čas izmenjave datoteke. Na primer, ko spletni brskalnik vzpostavi povezavo s strežnikom v internetu, najprej vzpostavi povezavo nato sprejme podatke, ki so zahtevani v URL.

Ko je datoteka enkrat prenesena, sistem poruši povezavo. Ko brskalnik procesira preneseno datoteko lahko zasledi povezave do slik, avdio izsekov ali drugih datotek potrebnih za prikaz spletne strani. Brskalnik nato vzpostavi povezavo do strežnika za vsako datoteko, ki je povezana, jih pridobi in jih prikaže kot del spletne strani. Zato lahko ena sama spletna stran potrebuje ducate povezav TCP do strežnika za prenos datotek.

Proces vzpostavljanje povezave sestavlja izmenjava treh sporočil. Nobeno od sporočil ne vsebuje podatkov aplikacijskega sloja. Namen teh sporočil je, razen ugotavljanja prisotnosti drugega računalnika, predvsem v izmenjavi začetnih številk s katerimi bodo računalniki označevali poslane podatke.

Vsak sistem, ki sprejme podatke, pošlje svoj odgovor. Ko enkrat strežnik dobi odjemalčevo potrditev, je povezava vzpostavljena in sistemi so pripravljeni, da izmenjujejo sporočila, ki vsebujejo aplikacijske podatke. Zato je povezava TCP v bistvu sestavljena iz dveh ločenih enosmernih povezav, ki tečeta v nasprotni smeri, zato je TCP polno dvosmeren protokol.

Pomembno je imeti v mislih, da je povezava vzpostavljena med TCP sistemoma le logična povezava. Posamezna TCP sporočila so še vedno nošena v datagramih IP in uporabljajo nepovezavne storitve IP. Sporočila lahko uporabijo različne poti do cilja in lahko celo prispejo v drugačnem vrstnem redu kot




so bile poslane. TCP je narejen tako, da računa na vse te možnosti in segmente datoteke spravi v pravilen vrstni red.

9.6 Prenos podatkovPotem ko je povezava vzpostavljena, ima vsak računalnik vse informacije, ki jih potrebuje, da TCP prične s prenosom aplikacijskih podatkov. Če bo uporabnik sprejel podatke, je odvisno od narave aplikacije. Prenos med brskalnikom in strežnikom se prične s odjemalčevim pošiljanjem določenega URL strežniku, tipično je to domača stran spletišča. Druga aplikacija bo začela s prenosom podatkov iz strežnika k odjemalcu.

TCP uporablja drseče okno za prenos podatkov med gostitelji. Nadzoruje koliko informacij se lahko pošlje preko TCP povezave, preden mora sprejemni gostitelj poslati potrdilo. Vsak računalnik ima okno za pošiljanje in okno za sprejemanje. Tako je proces komuniciranja veliko bolj učinkovit. Drseče okno dovoljuje sprejemniku, da sprejema pakete, ki niso prispeli po vrstnem redu in jih uredi medtem, ko čaka na nove. Pošiljajoče okno pa zbira podatke o informacijah, ki so bile poslane in če ne dobi potrdila o sprejemu v določenem roku te podatke ponovno pošlje.

Slika 84: Zakasnjeno porjevanje

Vir: www.google.com Ko odjemalec enkrat začne prejemati podatke iz strežnika, je zadolžen tudi za potrjevanje prejema. TCP uporablja sistem imenovan zakasnjena potrditev, kar pomeni, da sistemi ne tvorijo ločenih potrditvenih sporočil za vsako sporočilo, ki ga sprejmejo. Intervali, v katerih sistemi ta sporočila tvorijo, so odvisni od posamezne implementacije TCP. Vsako potrditveno sporočilo, ki ga odjemalec pošlje v odgovor strežnikovim podatkovnim sporočilom ima ACK zastavico in vrednost polja potrditvene številke odseva število bajtov v sekvenci ki jo je odjemalec uspešno sprejel.

Če odjemalec dobi sporočilo, da je preverjanje paketa ugotovilo, da ne more sprejeti nekaterih segmentov v sekvenci, signalizira strežniku te napake z uporabo potrditvenega polja v sporočilu ACK. Vrednost potrditvene številke vedno odseva število bajtov od začetka sekvence od katere je ciljni sistem prejel brez napak. Če se na primer sekvenca sestoji iz desetih segmentov in so vsi prejeti pravilno razen segmenta številka 7, bo prejemnikovo potrditveno sporočilo vsebovalo vrednost potrditvene številke le za število bajtov v prvih šestih segmentih. Segmenti 8 do 10 morajo biti ponovno poslani skupaj s sedmim segmentom, čeprav so bili morebiti prejeti pravilno. Ta sistem imenujemo pozitivno potrjevanje in ponovno pošiljanje, ker ciljni sitem potrdi le sporočila ki so bila poslana pravilno.

Protokol, ki uporablja negativno potrditev, bi sklepal, da so vsa sporočila bila poslana pravilno razen tistega za katerega ciljni sistem posebej določa za okvarjenega.




Izvirni sistem vzdržuje vrsto sporočil, ki jih je poslal in izbriše tista, za katera dobi potrditev, da so prispela. Za sporočila, ki ostanejo v vrsti izvirnega sistema za preddoločeno količino časa, se sklepa da so bila izgubljena ali izbrisana in sistem jih ponovno pošlje.

9.7 Zaznavanje napakV bistvu obstajata dve zadevi, ki lahko gresta narobe med izmenjavo podatkov s TCP. Ali sporočila pridejo v pokvarjenem stanju ali pa sploh ne pridejo. Ko sporočilu spodleti prihod, izostanek potrditve povzroči, da se sporočila znova pošljejo. Če nastanejo resne omrežne težave, ki preprečujejo dvema sistemoma izmenjavo sporočil, bo TCP povezava sčasoma zastarala in ves proces se bo moral ponoviti.

Ko sporočila prispejo na cilj, jih sprejemni sistem pregleda opravi enake izračune za kontrolo podatkov kot jih je pošiljatelj pred pošiljanjem in primerja rezultate. Če se vrednosti ne ujemata, sistem uniči sporočilo. To je kritično mesto protokola TCP, ker je to edino preverjanje med uporabnikoma, ki je opravljeno na podatkih aplikacijskega sloja. IP vključuje obojestransko kontrolo, vendar le na glavi podatka. Protokoli kot so eternet in token ring vsebujejo CRC, vendar odkrivajo napake v posameznem okvirju.

Kontrola, ki jo izvede TCP, je nenavadna saj ni izračunana le na vsej TCP glavi in aplikacijskih podatkih pač pa tudi na psevdoglavi. Psevdoglava je sestavljena iz naslova IP vira glave, cilja naslova IP, protokola, polj dolžine, polnila, kar znese končno število bajtov na najmanj 12. Vključevanje psevdoglave zagotovi da bodo dostavljeni datagrami na pravi računalnik in na pravi transportni sloj na tem računalniku.

9.8 Kontrola pretokaKontrola pretoka je proces, s katerim ciljni sistem v TCP povezavi priskrbi izvornemu sistemu informacije, kar omogoči, da izvorni sistem nadzoruje hitrosti prenosa podatkov. Vsak sistem ima omejeno količino medpomnilniškega prostora (ang. buffer), v katerega shranjuje prihajajoče podatke. Podatki tam ostanejo dokler sistem ne generira potrditvenih sporočil. Če bi izvorni sistem pošiljal podatke prehitro, bi se lahko nalagalni prostor ciljnega sistema zapolnil in povzročil brisanje podatkov. Prejemni sistem uporablja okensko polje, da s potrditvenimi sporočili obvesti izvorni sistem o tem, koliko nalagalnega prostora še ima.

Slika 85: TCP uporablja za kontrolo pretoka drseče okno

Vir: www.google.com Ta vrsta nadzora pretoka je imenovan tehnika drsečega okna. Ponujeno okno je zaporedje bajtov, za katere je ciljni sistem dovolil izvornemu, da jih pošlje. Ko ciljni sistem potrdi prispele bajte, se leva stran okna pomakne desno in ko sistem poda potrditvene bajte skozi proces na aplikacijski sloj, ki ga določa številka ciljnega vhoda, se desna stran okna pomakne v desno. Tako lahko rečemo, da okno drsi v smeri prihajajočega toka, od leve proti desni.

9.9 Rušitev povezaveKo sistemi, vključeni v izmenjavo podatkov s TCP, zaključijo s prenosom, porušijo povezavo z uporabo kontrolnega sporočila, podobnega tistemu, ki ga uporabljajo v trosmernem potrjevanju, ki je vzpostavi povezavo.

Vir:








10 ZAKAJ VAROVATI SVOJO INFORMACIJSKO ZASEBNOST?Posameznik je čedalje bolj vpet v obsežno digitalno omrežje, ki ga ne sestavljajo več le v internet povezani računalniki, pač pa tudi prenosni telefoni in druge digitalne naprave. V trendu vsesplošne digitalizacije in vse cenejše RFID (radijsko frekvenčne) tehnologije se v nekakšen „internet stvari“ povezujejo tudi čisto vsakdanji predmeti. Tako se pred našimi očmi riše podoba novega sveta, kjer nič več ne bo zunaj digitalnega omrežja.

Čeprav takšno vsesplošno povezovanje prinaša številne koristi, ni odveč poudariti, da se hkrati pojavljajo tudi številne nevarnosti, ki ogrožajo posameznikovo zasebnost. Vse tiste zasebne informacije, ki jih s pomočjo elektronskih naprav in povezav (računalnika, elektronske pošte, prenosnih telefonov) delimo s svojimi bližnjimi, v resnici niso tako zelo zaupne in zavarovane pred nepoklicanimi očmi, kot to pogosto (in žal tudi naivno) upamo.

Ne gre le za to, da je informacije, ki se pretakajo prek digitalnih omrežij, mogoče zakonito ali nezakonito prestrezati. Ne, najbolj nevarno je pravzaprav recimo temu „normalno delovanje“ spleta in drugih digitalnih omrežij, in sicer zato, ker nas po eni strani zapelje v lažen občutek varnosti in anonimnosti, po drugi strani pa zato, ker je funkcija samodejnega nadzora že vgrajena v zakonite storitve (spletne strani, trgovine, iskalnike), ki jih internet nudi.

Ob tem pomisleku marsikdo preprosto (še vedno) skomigne z rameni, češ, ničesar nimam skrivati. Pa je res tako? Kaj pa naša zasebna elektronska pošta? Si želimo, da bi se z vsebino intimnih pisem seznanile tudi tretje osebe? Kaj pa telefonski pogovori z zaupniki? In naše na videz varno spravljene informacije na trdih diskih računalnikov? Nam je res vseeno, kdo vse ve, katere spletne strani, kdaj in kje si jih ogledujemo?

Če se nam ob vseh teh pomislekih še vedno zdi, da nimamo ničesar skrivati, je tu še vedno zelo realna nevarnost, da nas spletni nepridipravi oberejo za težko prigaran denar. Vsakdo, ki kupuje prek spleta ali uporablja storitve spletnega bančništva, tvega, da ga bodo zaradi brezbrižnosti, nepazljivosti ali lahkovernosti goljufi nekoč opetnajstili. Že zgolj ta finančni razlog zadostuje (ali bi vsaj moral zadostovati), da tehtno razmislimo o varovanju svoje informacijske zasebnosti – še posebej, ker je takšna varnost pogosto lahko kar brezplačna. Naj poudarimo, da naš namen ni odvračanje od interneta in internetnih trgovin, naš namen je, da vas opozarjamo, kako tehnologije, ki so nam na razpolago, varno uporabljati.

Če ne želimo biti izključeni iz informacijske družbe, smo žal pogosto primorani uporabljati različne storitve in naprave, ko moramo skorajda slepo zaupati v pošteno in zakonito ravnanje cele verige podjetij, od proizvajalcev naprav, prek ponudnikov komunikacijskih poti, do ponudnikov storitev. Ne glede na navedeno, pa lahko za svojo zasebnost marsikaj postorimo tudi sami. Namen pričujočih smernic je ravno ta – prikazati nekaj uporabnih orodij, s katerimi lahko skrb za svojo zasebnost vzamemo v svoje roke. Osveščeni in tehnično podkovani uporabniki sodobnih tehnologij jih že poznajo, zakaj jih ne bi tudi vi? Večina teh orodij je namreč povsem preprostih za uporabo.

10.1 Na kratko o nevarnostih, ki prežijo na našo informacijsko zasebnostZ množico podatkov, ki so bolj ali manj varno shranjeni (tako vsaj upamo!) na trdih diskih, pametnih karticah, DVD-jih, USB ključkih in drugih podatkovnih medijih, pa se s podatki, ki se pretakajo med pošiljanjem elektronske pošte, brskanjem po spletu in kramljanjem po telefonu, v resnici lahko zgodi marsikaj neprijetnega. Zaradi napak v strojni in komunikacijski opremi se podatki lahko popačijo ali celo izbrišejo. Podobno se lahko zgodi v primeru, če je posredi zlonameren posameznik, le da takrat

| 10 ZAKAJ VAROVATI SVOJO INFORMACIJSKO ZASEBNOST? 154


obstaja precejšnja možnost, da se podatki ne le uničijo ali poškodujejo, ampak da se z njimi seznani nekdo drug. Posledice so večinoma odvisne od vrednosti takšnih informacij. Če gre za zlorabo digitalnih potrdil in gesel za uporabo e-bančništva, pa je škoda lahko tudi zelo oprijemljiva. Na naše bolj ali manj dragocene podatke torej prežijo številne nevarnosti. Med širšo javnostjo so zaradi medijske odmevnosti najbolj znane tiste, ki so povezane z vdori v informacijske sisteme in s spletnimi goljufijami. Pri tem gre za kazniva dejanja, ki jih zlonamerni posamezniki (hekerji oziroma bolj točno, krekerji, pa tudi goljufi) izvajajo z namenom uresničevanja različnih ciljev: zaradi finančne koristi, potrjevanja pred vrstniki, maščevanja, preizkušanja svojih sposobnosti, idr.

Zlonamerni posamezniki svoje napade izvajajo tako, da iščejo ranljivosti v našem informacijskem sistemu ali celo v nas samih. V tem drugem primeru gre za izkoriščanje zaupanja in naivnosti, takšen napad pa je bolj znan kot socialni inženiring. Proti tej nevarnosti se je mogoče boriti tako, da sistematično vzdržujemo neko „zdravo“ mero nezaupanja in občutljivih informacij (zlasti gesel) ne posredujemo neznancem. Proti napadom na informacijski sistem, ki potekajo z izkoriščanjem ranljivosti v aplikacijah in operacijskem sistemu, pa se borimo predvsem tako, da operacijski sistem redno posodabljamo z varnostnimi popravki, da uporabljamo požarni zid in dobro protivirusno zaščito, ki jo moramo prav tako redno posodabljati. Poleg tega je zelo koristna metoda varovanja podatkov šifriranje (enkripcija) podatkovnih medijev, posebej trdih diskov in USB ključkov, ki pride najbolj do izraza takrat, ko računalnik ali USB ključek izgubimo ali nam ga ukradejo. Če je podatkovni medij kriptiran z močnim algoritmom in zavarovan s kompleksnim geslom, smo lahko dokaj brez skrbi, saj je možnost, da se nepridipravi dokopljejo do naših podatkov, majhna. V nasprotnem primeru, torej če podatkov ne kriptiramo, pa se hitro lahko zgodi, da se bo srečni najditelj z njimi seznanil in jih v najslabšem primeru izkoristil nam v škodo.

Poleg teh najbolj očitnih nevarnosti na uporabnike spleta in drugih omrežij prežijo številne druge manj opazne nevarnosti. Ko obiščemo spletno stran, ta stran oziroma tisti, ki z njo upravlja, pridobi od našega računalnika ali prenosnega telefona podatke o tem, katero spletno stran smo obiskali prej, kakšen jezik uporabljamo, IP naslov in s tem tudi približno geografsko lokacijo, kjer se trenutno nahajamo, pa operacijski sistem, resolucijo zaslonske slike in še kaj. Poleg tega številne spletne strani uporabljajo t.i. piškotke, to je programske paketke, ki se med brskanjem po spletu namestijo na naš računalnik in sledijo naši dejavnosti na internetu – katere spletne strani smo obiskali, kaj smo iskali, kaj kupili, kaj nas zanima ali ne zanima, s kom se družimo na facebooku in drugih spletnih socialnih omrežjih, idr. Takšni piškotki torej sledijo našemu spletnemu življenju na takšni ravni, da si jo pravzaprav kar težko predstavljamo! Na srečo pa se je takšnemu samodejnemu in v splet vgrajenemu nadzoru mogoče v veliki meri izogniti z nekaterimi prijemi, kot na primer z uporabo ustreznih nastavitev v spletnem brskalniku, s povezovanjem v virtualna zasebna omrežja in seveda z razvijanjem pametnih navad.

10.2 Prvi varnostni obroč: Posodabljanje operacijskega sistema, požarni zidovi in protivirusna zaščitaZlonamerni programi (virusi, črvi, druga škodljiva programska koda) iščejo varnostne luknje v operacijskih sistemih, saj jim te, če jih odkrijejo, pogosto omogočajo, da prevzamejo nadzor nad našim računalnikom ali mobilnim telefonom. Zato je zelo pomembno, da je naš operacijski sistem vedno posodobljen z najnovejšimi varnostnimi popravki, ki odpravljajo kritične ranljivosti oziroma „krpajo varnostne luknje“. Takšen varnostni ukrep sicer ni popoln, je pa vsekakor prvi in najmanj zapleten korak pri zagotavljanju višje stopnje varnosti in s tem tudi informacijske zasebnosti.

10.3 Požarni zidoviKomunikacija z računalniki ali mobilnimi telefoni, ko so enkrat povezani na internet, je praviloma dvosmerna. Komunikacija po eni strani omogoča uporabniku, da prek svoje elektronske naprave dostopa do podatkov, ki so shranjeni na oddaljenih strežnikih, kamor sodi tudi branje elektronske pošte in brskanje po spletnih straneh. Vendar to po drugi strani pomeni, da lahko v določenih



okoliščinah tudi drugi (zlonamerni) posamezniki dostopajo do podatkov, ki so shranjeni na našem računalniku ali prenosnem telefonu. Ker si praviloma (izjema je oddaljena tehnična podpora) takšnega nepooblaščenega stikanja po naših dragocenih podatkih, s tem pa tudi poseganja v informacijsko zasebnost ne želimo, je pomembno, da imamo operacijski sistem na računalniku ali prenosnem telefonu zaščiten s t.i. požarnim zidom. Če si naš računalnik predstavljamo kot srednjeveško mesto, potem je požarni zid obzidje z mestnimi vrati in stražo, ki odloča, kdo (kateri paket podatkov) lahko gre v mesto ali iz njega, kdo pa ne. V osnovi gre za nekakšno filtriranje povezav po vnaprej postavljenih pravilih, kar bistveno otežuje nepooblaščen dostop do našega računalnika, večinoma pa otežuje tudi morebitnim zlonamernim programom, ki so že nameščeni na našem sistemu, da bi se povezali na neke oddaljene lokacije.

Lahko namestite tudi kakšen drug požarni zid. Nekateri alternativni požarni zidovi omogočajo bolj učinkovit, pa tudi naprednejši sistem nadzora nad povezavami med našim računalnikom in omrežjem, spet tretji omogočajo celo nadzor nad sumljivimi notranjimi procesi, ki tečejo na računalniku. Vendar pa za običajnega uporabnika osnovni požarni zidovi (npr. tisti, ki je že vgrajen v novejše različice operacijskega sistema Windows) zadostujejo.

Ob tem si velja zapomniti, da praviloma namestimo in uporabljamo le en požarni zid. Hkratna uporaba dveh ali več požarnih zidov pogosto privede do kopice težav, najpogostejša je upočasnjeno delovanje celotnega sistema, v zameno pa ne ponudijo bistveno višje stopnje varnosti.

10.4 Protivirusna zaščitaŠkodljiva programska koda - sem sodijo virusi, trojanski konji, vohunski programi, črvi, idr., predstavlja eno najbolj pogostih nevarnosti, ki prežijo na običajnega uporabnika. Škodljiva programska koda lahko povzroči škodo na naši programski (v nekaterih primeri celo strojni!) opremi ali/in na shranjenih podatkih. V nekaterih primerih pa napadalcu celo omogoči, da prevzame nadzor nad našim računalnikom, prenosnim telefonom ali drugo v omrežje povezano elektronsko napravo. Še posebej so nevarni t.i. trojanski konji, ki se (kakor pove že ime) pod krinko običajnega programa ali datoteke namestijo na računalnik in napadalcu omogočijo, da prevzame nadzor. S tem nič hudega sluteči uporabnik v enem zamahu izgubi nadzor nad svojo elektronsko napravo in nad podatki, ki so shranjeni v njej.

Te vrste nevarnosti je možno zelo zmanjšati z uporabo protivirusne zaščite. Na trgu je veliko protivirusnih programov, nekateri so plačljivi, drugi brezplačni. Ko uspešno namestimo protivirusni program, je zelo pomembno, da ga redno posodabljamo. Škodljiva programska koda se hitro razvija, zato zastarela protivirusna zaščita ni več dovolj učinkovita – z rednim posodabljanjem pa zagotovimo, da smo v koraku s časom in se tako izognemo nevarnostim, ki prežijo na nas. Prav tako je zelo pomembno, da celoten sistem (računalnik, tablico, prenosni telefon) redno pregledujemo s protivirusnim programom. To je dobro storiti enkrat tedensko, vsekakor pa vsaj enkrat mesečno.

Tako kot za požarne zidove tudi v tem primeru velja, da je en kakovosten in redno posodobljen program boljša izbira kot sočasna uporaba različnih protivirusnih programov. Takšna hkratna uporaba zelo pogosto privede do opazne upočasnitve celotnega sistema. Izjemo predstavljajo specializirani protivirusni programi, ki jih je prav tako priporočljivo namestiti kot dopolnilo klasični protivirusni zaščiti.

10.5 Drugi varnostni obroč: Kriptiranje podatkov in anonimno sprehajanje po spletu Podatki, ki jih imamo shranjene na trdih diskih v računalnikih, na spominskih karticah v prenosnih telefonih, na USB ključkih, DVD-jih in drugih medijih, so največkrat v nešifrirani obliki. To pomeni, da se lahko zlonamerni ali zgolj radovedni posameznik brez težav seznani z njihovo vsebino, ko jih enkrat dobi v roke. Zelo priporočljiv varnostni ukrep, ki v veliki meri ščiti tudi našo informacijsko zasebnost, je šifriranje (kriptiranje) podatkov. S šifriranjem zagotovimo, da nepooblaščene osebe ne bodo znale prebrati naših zaupnih sporočil ali podatkov. Kriptiramo lahko že shranjene podatke, torej vse tisto, kar



je shranjeno na našem računalniku, pametnem telefonu ali USB ključku. Prav tako pa lahko kriptiramo tudi podatke, ki se prek komunikacijskega kanala prenašajo iz ene lokacije na drugo, tako kot npr. elektronska pošta.

Čeprav je kriptiranje v svojem bistvu precej zapleten matematičen proces, je uporaba aplikacij za enkripcijo podatkov zelo enostavna. Preprosto poiščemo ustrezen program za kriptiranje, ga namestimo na naš računalnik ali pameten telefon, sledimo navodilom, izberemo nekaj pomembnih parametrov (šifrirni algoritem, podatke, ki jih želimo kriptirati), geslo (naj bo čim bolje izbrano: glej priporočila za izbiro gesel!), in počakamo, da program kriptira podatke.

Pogosto se dogaja, da posameznik izgubi prenosnik, mobilni telefon, USB ključek ali pa mu ga ukradejo. Če podatki niso kriptirani, se lahko kdorkoli brez večjih težav seznani z njihovo vsebino. In če gre pri tem za občutljive osebne podatke ali celo tajne podatke, lahko zelo hitro nastane medijski škandal, če ne celo kaj hujšega. S kriptiranjem po drugi strani to nevarnost odpravimo oziroma bistveno zmanjšamo. Kriptirani podatki so namreč brez poznavanja ustreznega gesla nekoristni, saj ne predstavljajo za človeka berljivih informacij (tako kot nekriptirani podatki), pač pa le naključno zaporedje alfanumeričnih znakov. Če izgubite ali vam ukradejo računalnik, kjer so podatki kriptirani, je skrb odveč – izgubili ste nekaj sto evrov vredno opremo, toda po drugi strani se vsaj s podatki najverjetneje nihče ne bo mogel seznaniti.

Kriptiramo lahko celoten disk ali drug podatkovni medij, lahko pa to storimo le s posamezno datoteko. Kriptiranje celotnega diska je bolj zanesljivo, saj so na ta način zavarovani vsi podatki, ki so shranjeni na disku. V tem primeru je vsekakor potrebno redno delanje varnostne kopije pomembnih podatkov. S tem se zavarujemo v primeru, če pozabimo kriptirno geslo ali če pride do okvare diska.

Lahko pa kriptiramo zgolj posamezno datoteko, ki nam služi kot majhen trezor, kamor shranjujemo najbolj občutljive informacije. Nekatere različice operacijskih sistemov imajo že vgrajen program za kriptiranje (v MS Windows se imenuje BitLocker, v Mac OS X pa FileVault). Sicer pa je zelo razširjena brezplačna alternativa TrueCrypt.

Namestimo ga lahko na različne operacijske sisteme, omogoča kriptiranje celotnega diska in posameznih datotek. Najdemo ga na spletni strani http://www.truecrypt.org/downloads. Ko enkrat pridobimo datoteko truecrypt.exe, dvakrat kliknemo nanjo, sledimo navodilom in dokončamo namestitev.

Priporočljivo je, da začetnik najprej ustvari le kriptirno datoteko, kamor bo shranjeval svoje pomembne podatke. Enkripcija celotnega diska je sicer preprosta, vendar je potrebno nekaj več previdnosti (zlasti velja prej narediti varnostno kopijo vseh pomembnih podatkov), saj si lahko v najslabšem primeru onemogočimo dostop do podatkov na disku. Še kratka navodila: http://www.truecrypt.org/docs/

10.6 Anonimno brskanje po spletuČeprav internet prinaša številne prednosti, skriva v sebi tudi mnogo pasti. Nekatere pasti se dotikajo prav zasebnosti, ki je med sprehajanjem po spletu bistveno zmanjšana. Običajni uporabniki spleta si pogosto ne predstavljajo, kako veliko podatkov puščajo za seboj. Temu pravimo t.i. elektronske sledi, ki nastanejo, ko obiščemo neko spletno stran, uporabimo določeno storitev, ali se zgolj povežemo v omrežje. Med podatki, ki jih puščamo za seboj, je IP naslov računalnika, telefona ali druge omrežne naprave, pa tip operacijskega sistema, spletni brskalnik, resolucija zaslona, jezik operacijskega sistema in še kaj.

Med sprehajanjem po spletu upravljavci različnih spletnih strani na naš računalnik nameščajo majhne programske datoteke, ki se imenujejo piškotki in lastnikom spletnih strani omogočajo, da nam sledijo. Pri tem ne pridobivajo zgolj informacij o naši geografski lokaciji, pač pa tudi podatke o tem, kje se sprehajamo, kaj gledamo, kaj iščemo, kakšne navade imamo, kaj nas zanima, skratka, skušajo ugotoviti kdo in kaj smo.


http://www.truecrypt.org/docs/

http://www.truecrypt.org/downloads


Pozabiti pa ne smemo niti na nepridiprave, ki prežijo na nas in na naše podatke zato, da bi nam škodovali. Vse pogostejša je t.i. kraja identitete, ko neka tretja oseba pridobi o nas dovolj pomembnih podatkov, da se lahko tudi izdaja za nas. In če naredi kakšno neumnost ali celo kaznivo dejanje, bomo čisto lahko mi tisti, ki bomo padli v roke organom pregona.

Tudi če bomo dokazali, da gre za drugo osebo, ki se izdaja za nas, nam bo to povzročilo kar nekaj preglavic in neprespanih noči. Ob vseh teh nevarnosti se zdi razumno, da tudi sami poskrbimo za določeno mero digitalne zasebnosti. To lahko storimo vsaj na tri načine:

1) S prilagoditvijo brskalnika – ta je pogosto nastavljen tako, da omogoča sprejemanje piškotkov in različnih programskih skript, kar je z vidika uporabniške izkušnje lepo in prav, z vidika zagotavljanja zasebnosti pa škodljivo.

2) Z uporabo ustreznih programov – ti omogočajo preusmeritev internetnega prometa prek posredniških strežnikov (Proxy Serverjev) in na ta način zabrišejo izvor povezave, npr. naš IP naslov. Enako pomembno je kriptiranje vsebine povezave, kar v primeru morebitnega prestrezanja podatkov radovednežu onemogoči (ali vsaj bistveno oteži) seznanitev s samo vsebino komunikacije.

3) Z razvijanjem dobrih navad – vsa tehnologija nam ne bo pomagala veliko, če se bomo preveč lahkomiselno sprehajali po spletu. S preudarnim izbiranjem spletnih strani, filtriranjem piškotkov in selektivnim nameščanjem raznih dodatkov, še bolj pa s zadostno mero previdnosti pri razdajanju osebnih podatkov, lahko bistveno utrdimo svojo sfero zasebnosti, s tem pa tudi varnosti.

10.7 Prilagoditev spletnega brskalnikaProgrami, ki jih uporabljamo za brskanje po spletu, se imenujejo spletni brskalniki (angl. Web Browsers). Med bolj znanimi so Internet Explorer, Mozilla Firefox in Google Chrome. Žal so brskalniki ob namestitvi na računalnik pogosto nastavljeni tako, da ne omogočajo najboljšega varovanja zasebnosti. Zato je priporočljivo pregledati nastavitve, saj lahko zgolj z nekaj preprostimi „kliki z miško“ sebi ali svojim bližnjim zagotovimo bistveno višjo stopnjo zasebnosti in varnosti med brskanjem po spletu.

Ker brskalniki (lahko) shranjujejo zgodovino našega brskanja, besede, ki smo jih vpisali v iskalnike (npr. v Google), pa tudi t.i. piškotke, je priporočljivo, da izberemo takšne nastavitve, ki bodo to onemogočile. Slaba stran je, da bodo zaradi tega lahko naše spletne izkušnje nekoliko bolj osiromašene.

10.8 Ob rob brskalnikom: Zakaj piškotki niso vedno okusni?Seveda ne gre za čokoladne piškotke, pač pa za majhne datoteke, ki se imenujejo „piškotki“ (angl. Cookies). Te med obiskom spletne strani strežnik pošlje našemu brskalniku, ta pa jih nato shrani na podatkovni medij (ponavadi kar na trdi disk) naše elektronske naprave (računalnika, pametnega telefona). V piškotku je lahko zapisana identifikacijska številka uporabnika, geslo za dostop do internetne strani in drugi osebni podatki, ki jih puščamo na spletnih straneh. Kljub temu, da piškotki predstavljajo zelo koristno orodje na področju interaktivnih poslovnih spletnih aplikacij, pa njihova uporaba posega v našo varnost in zasebnost – skozi proces nadziranja, iskanja varnostnih pomanjkljivosti, razkritja in zbiranja podatkov.

Eno izmed orodij za nadzor nad piškotki je upravitelj piškotkov (ima ga vsak spletni brskalnik). Upravitelji piškotkov uporabniku omogočajo, da s pomočjo nastavitev določijo ravnanje s piškotki in tudi preprečijo njihovo. S tem se zavarujemo pred potencialnimi grožnjami piškotkov, a hkrati tudi omejimo funkcionalnost določenih spletnih strani. Koristi tudi redno brisanje že nameščenih piškotkov. Z upraviteljem piškotkov imamo torej večji nadzor nad piškotki in njihovo vsebino.

Opozoriti je potrebno še na t.i. super-piškotke (Local Shared Objects oz. Flash piškotki). Nekatere spletne strani namesto običajnih spletnih piškotkov, katerih sprejemanje uporabnik lahko onemogoči v



spletnem brskalniku, uporabljajo Flash piškotke, ki so po funkcionalnosti sicer precej podobni običajnim piškotkom (možnost shranjevanja različnih uporabniških nastavitev). A če uporabnik v brskalniku izbriše običajne piškotke, s tem ne izbriše tudi Flash piškotkov. Z njihovo pomočjo spletni strežnik identificira uporabnika in celo ugotovi, ali je ta uporabnik izbrisal običajne piškotke, nato pa lahko izbrisane piškotke “oživijo” oziroma ponovno pošljejo uporabniku.

Uporabniki Windows operacijskega sistema se lahko znebijo Flash piškotkov s pomočjo brezplačnega programa CCleaner (http://www.piriform.com/ccleaner), uporabniki Firefox-a pa tudi z uporabo Firefox dodatka Better Privacy.

Ob tem velja omeniti, da se v Evropi pravkar spreminja pravni okvir za delovanje piškotkov. Do sedaj so spletne strani in ponudniki storitev, ki uporabljajo piškotke, morali ponuditi uporabnikom interneta možnost, da se odjavijo od prejemanja piškotkov (opt-out). Po novem pa bodo morali, predvsem za piškotke, ki sledijo uporabnikom preko različnih spletnih strani (oglaševalski, analitični, ipd.), pridobiti vnaprejšnjo privolitev uporabnikov – preden bo torej piškotek shranjen na vaš računalnik, boste morali v to privoliti. Ponudniki bodo morali v svojih izjavah tudi natančno pojasniti, katere piškotke uporabljajo in za kakšen namen, tako da bodo uporabniki veliko bolje seznanjeni. V Sloveniji bo tak sistem implementiran v bližnji prihodnosti.

Do tedaj pa je koristno omeniti, da že sedaj obstajajo določene platforme, na katerih uporabniki lahko označijo, s katerimi oglaševalskimi piškotki, ki jih nevede prejemajo na vsakem koraku, se ne strinjajo. Te platforme so se razvile kot odziv na nevarnosti vedenjskega oglaševanja, ki temelji na sledenju uporabnika s piškotki. Odjava uporabnika od prejemanja takih piškotkov naj bi zmanjšala stopnjo nadzora, ki ga omogoča vedenjsko oglaševanje. Odjavo od določenih oglaševalskih piškotkov je mogoče opraviti na naslednjih spletnih straneh http://selectout.org/, http://www.youronlinechoices.com/, http://www.networkadvertising.org/. Pooblaščenec tu opozarja, da navedene spletne strani ne vsebujejo vseh upravljavcev piškotkov, temveč zgolj tiste, ki so člani platform – obstajajo torej še mnogi, od katerih se uporabnik s tem ne odjavi.

10.9. Okrepljena zasebnost: Nekaj koristnih dodatkov za brskalnikeZ namestitvijo nekaterih dodatkov (angl. plug-in) lahko bistveno povečamo stopnjo zasebnosti, ki jo uživamo med sprehajanjem po spletu. Cena, ki jo v nekaterih primerih za to plačamo, je predvsem nekoliko osiromašena uporabniška izkušnja.

10.10 Anonimen spletni iskalnikSpletni iskalniki, kot so Google, Yahoo in drugi, pridno hranijo in analizirajo naše vnose. Ko smo neko besedo vnesli v iskalnik, ostane tam dolgo, in če nas lahko iskalnik identificira s pomočjo piškotkov, začne na podlagi naših vnosov izdelovati celoten profil uporabnika. Spletni iskalniki tako zgolj na podlagi našega brskanja po spletu kmalu ugotovijo kakšne so naše navade, naši vzorci, vedenje, želje, družbeni status, idr. Temu se je do neke mere mogoče izogniti z uporabo t.i. anonimnih spletnih iskalnikov.

Eden od najbolj zasebnosti prijaznih je Ixquick. Vsi dnevniški zapisi (o tem kaj smo iskali) se samodejno uničijo po 48 urah, razen tega pa ta iskalnik sploh nima piškotov, ki bi nas zasledovali med našim sprehodom prek speta.

Ixquick: https://www.ixquick.com/

10.11 Začasna elektronska poštaNekaj anonimnosti si lahko (poleg kriptiranja običajne elektronske pošte) zagotovimo z uporabo začasnih poštnih predalov. Te odpremo brez vnosa osebnih podatkov, aktivirani pa so kratek čas, npr. 10 ur ali nekaj dni, potem se (ponavadi) samodejno uničijo. Koristni so predvsem za prijavljanje na različne spletne strani ali storitve, ki zahtevajo vnos elektronskega poštnega naslova – svojega pravega pa iz takšnih ali drugačnih razlogov ne želimo posredovati.


https://www.ixquick.com/

http://www.networkadvertising.org/

http://www.youronlinechoices.com/

http://selectout.org/

http://www.piriform.com/ccleaner


Nekaj storitev „anonimne elektronske pošte“:

Anonymous E-mail: https://www.awxcnx.de/mm-anon-email.htm Safe-mail: https://www.safe-mail.net/cgi-bin/Safe-mail.net/gate/ HushMail: https://www.hushmail.com/ Minute Mail: http://10minutemail.com/10MinuteMail/index.html

10.12 Virtualna zasebna omrežja (VPN) in uporaba posredniških strežnikov (Proxy)

VPN je angleška kratica, ki označuje t.i. »virtualno zasebno omrežje« (angl. Virtual private network). Gre za računalniško omrežje, ki logično (ne fizično) povezuje dva ali več računalnikov oziroma drugih omrežnih naprav.

Uporablja se zlasti v poslovnem okolju, predvsem pri povezavi v splet. VPN omogoča varno izmenjavo podatkov med omrežji, strežniki in uporabniki s pomočjo varnih omrežnih protokolov (IPsec, TLS/SSL, SSH).

Posamezniki, ki ne uporabljajo VPN tehnologije, svoje podatke pošiljajo v nezaščiteni obliki in so zato bolj izpostavljeni različnih nevarnostnim, npr. prestrezanju podatkov. Pri uporabi VPN omrežji pa uporabniki najprej potrdijo svojo identiteto, šele nato se izvrši prenos podatkov, ki se prenesejo v kriptirani obliki. Na ta način je zagotovljena višja stopnja varnosti in zasebnosti pri prenosu podatkov

Seznam brezplačnih VPN:

LogMeIn Hamachi (https://secure.logmein.com/products/hamachi/ ). Wippien (http://www.wippien.com/ ). CyberGhost VPN (http://cyberghostvpn.com/en ).

Posredniki (angl. proxy) so strežniki, ki nenehno preusmerjajo zahteve po posredovanju ali prejemanju podatkov tako, da zaobidejo oziroma kar zapletejo neposredno pot med prejemnikom in pošiljateljem podatkov. Zato podatki ne potujejo več od točke A (npr. od nekega strežnika) do točke B (našega računalnika) neposredno, pač pa prek cele mreže vmesnih točk C, D, E in tako naprej.

Najbolj razširjeno anonimno omrežje strežnikov, preko katerih lahko uporabniki koristijo internet, je omrežje Tor. Uporaba Tor omrežja poteka tako, da si uporabnik v računalnik namesti Tor klienta. Ko uporabnik želi npr. prebrati elektronsko pošto ali obiskati spletno stran, Tor klient najprej poizve, kateri Tor strežniki so na voljo v omrežju, nato pa naključno izbere enega od njih in se s šifrirano povezavo poveže nanj. Ta se poveže na naslednjega, in tako naprej, dokler se zadnji strežnik v omrežju končno ne poveže na spletno stran ali na poštni strežnik, do katerega je zahteval dostop uporabnik. Podatki pa so šifrirani na tak način, da vsak strežnik v omrežju ve le, od katerega strežnika je podatke dobil in komu jih je posredoval, ne pozna pa izvora in cilja komunikacije. Zelo preprosta aplikacija, ki omogoča uporabo Tor posrednikov, je Vidalia: https://www.torproject.org/projects/vidalia.

Iz spletne strani jo je mogoče prenesti kot samostojen paket, ki vsebuje tudi brskalnik Mozilla Firefox in navodila, v tej obliki pa jo je mogoče zagnati kar neposredno iz USB ključa, kar je koristno zlasti, če brskamo po spletu iz javnega računalnika (v knjižnicah, v cybercaffejih).

10.13 Zdrava pamet in dobršna mera previdnostiInternet prinaša številke koristi in priložnosti, hkrati s tem pa tudi varnostna tveganja. Številna od teh tveganj se dotikajo naše zasebnosti, ki na spletu postaja vse bolj ranljiva. Če se želimo v čim večji meri izogniti pastem interneta, hkrati pa še vedno uživati koristi, ki jih ta nudi, je nujno, da se seznanimo z nekaterimi orodji in ukrepi za zagotavljanje zasebnosti na spletu.


https://www.torproject.org/projects/vidalia

http://cyberghostvpn.com/en

http://www.wippien.com/

https://secure.logmein.com/products/hamachi/

http://10minutemail.com/10MinuteMail/index.html

https://www.hushmail.com/

https://www.safe-mail.net/cgi-bin/Safe-mail.net/gate/

https://www.awxcnx.de/mm-anon-email.htm


Čeprav se na prvi pogled zdi, da splet posamezniku, ki sedi na drugi strani računalniškega ekrana, nudi varno in zasebno izkušnjo, to žal ni tako. Na vsakem koraku nehote puščamo t.i. elektronske sledi, ki izdajajo našo prisotnost, še več, ki izdajajo tudi to, kaj nas zanima, kakšne so naše navade, želje, pričakovanja, kdo so naši prijatelji, itd. Tako pridobljene informacije različni subjekti uporabljajo za različne namene. Žal vse prepogosto naivno računamo na to, da bodo drugi varovali našo zasebnost, A največ zagotovo lahko storimo le sami. Prav to je tudi namen teh smernic – posameznike bolje seznaniti z nekaterimi orodji, s katerimi lahko tudi sami aktivno varujejo svojo zasebnost. Ne pozabite pa na najpomembnejše – zdravo kmečko pamet, predvsem pri objavah osebnih podatkov na spletu. Brez tega orodja vam tudi druga ne bodo pomagala).

Vir: https://www.iprs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_orodjih_za_zascito_zasebnosti_na_internetu.pdf


https://www.iprs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_orodjih_za_zascito_zasebnosti_na_internetu.pdf

https://www.iprs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_orodjih_za_zascito_zasebnosti_na_internetu.pdf


1. Koliko celih števil je na intervalu med vključno –10 in vključno 10?

2. Koliko različnih vrednosti lahko prikaže digitalni termometer, ki ima prikazovalnik za desetice, enice in eno decimalno mesto?

3. Koliko različnih vrednosti lahko prikaže digitalni termometer, ki ima prikazovalnik za desetice, enice in dve decimalni mesti?

4. Koliko različnih vrednosti lahko prikaže analogni (npr. živosrebrni) termometer, ki kaže temperaturo od –10 do +50 stopinj Celzija? Ali lahko toliko različnih vrednosti tudi odčitamo?

5. Od česa je odvisno, kako natančno lahko kdo odčita vrednost z analognega prikazovalnika? Ali je vseeno, pod katerim kotom gledaš na merilno skalo?

6. Od česa je odvisno, kako natančno lahko odčitamo vrednost z digitalnega instrumenta?

7. Kateri inštrumenti so bolj natančni, analogni ali digitalni? Odgovor utemelji!

NALOGE:

1. Dvojiško zapiši števila od deset do petintrideset.

2. Dvojiško kodiraj prste ene roke! Vsak prst naj ima svojo kodo.

3. Dvojiško kodiraj prste obeh rok (kodi za npr. levi oz. desni kazalec ne smeta biti enaki).

4. Z najmanjšim možnim številom dvojiških znakov kodiraj situacijo: luč gori / luč je ugasnjena. Koliko znakov ima koda za vsako od stanj?

5. Poljubno kodiraj vseh 25 velikih črk slovenske abecede.

6. Kaj je tabela ASCII? Zakaj uporabljamo kodne tabele? Kaj pomeni, da so kodne tabele urejene?

7. Če spremenimo binarno (dvojiško) vrednost v desetiško število, je koda za veliko črko B (v neki urejeni kodni tabeli) 66. Napiši kodo za veliko črko N (v dvojiški in desetiški obliki). Upoštevaj šumnike.

8. Če spremenimo binarno (dvojiško) vrednost v desetiško število, je koda za veliko črko J (v neki urejeni kodni tabeli) 75. Napiši kodo za veliko črko Z (v dvojiški in desetiški obliki). Upoštevaj angleško abecedo.

9. Dvojiško kodiraj vseh 25 velikih črk slovenske abecede tako, da ima A kodo 0, B kodo 1, C kodo 10 in tako naprej!

10. Uporabi kodiranje iz prejšnje naloge in dešifriraj naslednji besedi:

• 0 1 101 10 101 100 0

• 10111 100 10001 0 10110 1111

Obe sporočili sta smiselni. Če si dobil nesmiselni besedi, se vrni k prejšnji nalogi in jo popravi.

11. Zgornji sporočili je bilo mogoče dešifrirati, ker smo privzeli, da presledek pomeni konec kode za črko. Poskusi dešifrirati naslednji niz znakov (tokrat ne gre za smiselno besedo): 10101011110101. Pravilnih rešitev je več. Poskusi poiskati vsaj tri! Zakaj je možnih več rešitev?



12. Dvojiško kodiraj velike in male črke slovenske abecede tako, da bo imela vsaka črka enako dolgo kodo (enako število ničel oz. enic) in da bo koda čim krajša. Koliko dvojiških znakov ima koda vsake črke? Ali je takšno kodiranje dvoumno? Razloži!

13. Recimo, da je potrebno kodirati vse male in vse velike črke slovenske abecede, številke od 0 do 9 in naslednja ločila: . , : ; - To je skupaj 65 različnih znakov, ki jih moraš kodirati. Koliko ničel in enic bo najmanj imel vsak zank, če morajo biti kode za vsak znak enako dolge?

14. Koliko dvojiških znakov bi zadostovalo za vsakega od znakov iz prejšnje naloge, če ti ni treba kodirati zadnjega med njimi (-) in jih je torej zdaj le še 64?

15. S pomočjo različnih igralnih kart (srce, karo, pik in križ) kodiraj VELIKE črke slovenske abecede. Najmanj koliko mest bi potreboval za kodo, če bi kodiral le z dvema ali pa s tremi barvami kart?

16. Pretvori:

1956710 = ? 2

3459010 = ? 2

357218 = ? 2

A94C716 = ? 2

9526710 = ? 8

1956710 = ? 8

9D51716 = ? 8

1001101102 = ? 8

1956710 = ? 16

553348= ? 16

101100112 = ? 16

110110002 = ? 16

10011101 2 = ?10

754538= ? 10

FACD416= ? 10

1100116= ? 10

17. Izračunaj po dvojiško (števila najprej pretvori v dvojiško in potem seštej/zmnoži)

0 + 0 = 0 1 + 0 = 1 Prenos, ki nastane pri seštevanju moramo upoštevati v

0 + 1 = 1 1 + 1 = 0 prenos 1 naslednjem seštevku, enako kot pri desetiškem sestavu.

Množenje: množenje binarnih števil poteka enako kot množenje desetiških števil, vendar moramo pri seštevanju delnih zmnožkov upoštevati pravila seštevanja v binarnem sestavu.

1010 + 1210 = 0011 * 0111 = nasvet: po končanem računanju preveri še v desetiškem sestavu



1610 - 510 = 1001 * 11001

2210 + 810 = 11101 * 10011 =

1010 + 1210 = 1010 * 1111 =

18. Prvi dve vrstici prvega verza pesmi Huda mravljica sta kodirani s tremi različnimi znaki 0, 1 in 2. Sestavi si kodno tabelo in z njo zakodiraj še zadnji dve vrstici prve kitice! Ločila niso kodirana!

BILA JE HUDA MRAVLJICA, 001 100 110 000 101 012 022 210 011 000 111 122 000 211 110 101 100 002 000

ŠEST ČRNIH NOG JE IMELA, 201 012 200 202 010 122 112 100 022 112 120 021 101 012 100 111 012 110 000

JE MIGALA, JE VOHALA,

JE ČISTO PONORELA.

KOMUNICIRANJE

Podatki prispejo od vira (oddajnika) do uporabnika (sprejemnika) s pomočjo komuniciranja. Med obema potujejo po komunikacijskem kanalu. Glede na to, kakšen je komunikacijski kanal (telefonska žica, disk, knjiga, zrak, optični vodnik, …), mora koder podatke pretvoriti v tako obliko, da lahko po njem potujejo oz. se v njem shranijo. Sprejemniku pa dekoder pretvarja podatke v njemu razumljivo obliko.

NALOGE:

1. V kakšno obliko mora koder spremeniti podatke, da lahko potujejo po:

a. Telefonski žici,

b. Praznem prostoru,

c. Zraku (navedi vsaj dve različni fizikalni veličini!),

d. Optičnem vodniku.

2. Ali lahko podatki potujejo od enega do drugega uporabnika tudi kako drugače? Navedi vsaj še tri različne možnosti!

3. Kaj je koder in kaj dekoder v naslednjih primerih:

a. pri neposrednem pogovoru,

b. pogovoru po telefonu,

c. pri pogovoru preko interneta,

d. pri gledanju televizijske oddaje.

4. Kdo je sprejemnik in kdo oddajnik pri:

a. Pouku v šoli,

b. Branju knjige, časopisa,



c. Prisostvovanju na predstavi, predstavitvi,

d. Pogovoru s sošolcem.

Možni so različni odgovori, zato vsak odgovor utemelji!

5. Kdaj je komunikacija dvosmerna?

6. V katerih primerih je komunikacija dvosmerna in v katerih enosmerna? Vsak odgovor razloži!

a. predavanje,

b. Branje knjige, časopisa,

c. Prisostvovanje na predstavi, predstavitvi,

d. Pogovor s sošolcem.

7. Navedi tri konkretne primere dvosmerne in tri enosmerne komunikacije!

8. Ali je komunikacija med dvema računalnikoma (preko modema) enosmerna ali dvosmerna?

9. Ali imata lahko koder in dekoder še kakšno drugo funkcijo ali pa le spreminjata podatke iz ene oblike v drugo (modem)?


Documents

UPRAVLJANJE IK SISTEMOV - lu-r.si · Web viewDigitalni podpis je na sodišču enakovreden običajnemu podpisu. Slovenski zakon o elektronskem poslovanju in elektronskem podpisu