Главная
Ноутбуки
Тип Шифрования WiFi – Какой Выбрать, WEP или WPA2-PSK Personal-Enterprise Для Защиты Безопасности Сети? Протокол EAP (Extensible Authentication Protocol) Определение сервера аутентификации

Тип Шифрования WiFi – Какой Выбрать, WEP или WPA2-PSK Personal-Enterprise Для Защиты Безопасности Сети? Протокол EAP (Extensible Authentication Protocol) Определение сервера аутентификации

Ещё один компьютерный пост.

Недавно построил WiFi-сетку с аутентикацией по 802.1x, использующую сертификаты для опознания юзеров. В числе прочего, пришлось настраивать для работы с ней устройства на Android – смартфоны и планшетки. Тут-то и выяснилось, что нормального howto, как это сделать, найти не получается – те, которые были, касались сценариев с паролями, а мне от них-то и хотелось избавиться. Потому и решил свести информацию по вопросу в один пост.


Что такое 802.1x и как его использовать на Windows и Linux , написано предостаточно, поэтому тут будет только про настройку клиента на Android.

Итак, в чём цель? Надо создать сетку с приличным шифрованием и надёжной аутентикацией, при этом требуется, чтобы аутентикация была как можно более удобна для юзера, но при этом защищена от юзера же. То есть я, в качестве админа, не хочу, чтобы юзер мог передать кому другому свой пароль или файл с секретным ключом, или же подключился с устройства, с которого я не хочу позволять ему подключаться – например, личного лэптопа. В общем, мрак и диктатура.

Для этого делаем следующее: на устройство (телефон, планшетку) ставится сертификат с секретным ключом (на каждый девайс – отдельный ключ). Управление ключами в Андроиде весьма примитивно, однако даёт ровно тот минимум, какой нам требуется – даёт импортировать ключ и использовать его, но не извлекать обратно (по крайней мере, без пароля, который мы выдавать не собираемся). Эти ключи и будут выдаваться access point’у в ответ на требование представиться.

Процедурка вся укладывается в 4 шага:

1. Подготовка “credential storage” :
Перед тем, как заводить в девайсину какие-либо секретные ключи, надо подготовить для них хранилище, где ключи будут сохраняться в зашифрованном виде. Шифрование будет происходить на основе пароля, который вводится лишь при создании хранилища. Для использования секретного ключа пароль вводить не нужно – лишь для его экспорта (который к тому же невозможно осуществить через обычный андроидный UI). Посему пароль мы этот оставим у себя, а юзеру выдавать отнюдь не будем. Evil laughter прилагается.

[Update : увы, не выйдет. При выключении девайса пароль уходит, и для использования ключей его придётся вводить заново. У этого есть и хорошие, и плохие стороны:
* Сохранять пароль в тайне от юзера не выйдет - иначе придётся вводить его всякий раз при включении.
* Это значит, что теоретически юзер может скопировать из девайса секретный ключ - что с админской точки зрения плохо. Но, насколько я понимаю, ему для этого требуется рутовый доступ. Получение такого доступа хлопотно, но возможно.
* Хорошая сторона в том, что сам пароль в флэш-памяти не сохраняется - а криптоключи, которые сохраняются, шифруются этим паролем по AES.
* Ну и к тому же, если пароль при включении введён ещё не был, то это даёт защиту от кого-то постороннего, кто попытается использовать ключ, пароля не зная.
]

Пароль можно впоследствии сменить – но лишь при знании нынешнего. Можно и обнулить всё хранилище – при этом пароль уйдёт, и юзер сможет выставить свой, но с ним погибнет безвозвратно также и секретный ключ, прямо как тайна верескового мёда.

Собственно процесс: Settings --> Location and security --> Set password . Ввести пароль дважды. После чего галочка “Use secure credentials ” включится автоматически.

Чтобы поменять пароль: “Set password ” повторно.

Чтобы обнулить всё нафиг: “Clear storage ” там же.

2. Импорт корневого сертификата :
Нужно забросить в девайс файл с расширением .crt (.cer не принимается) и в формате PEM, также известном как Base-64. Можно это сделать через USB, можно через Bluetooth. Файл должен быть скопирован в директорию /sdcard – та, что видна как корень при подключении девайса через USB или при просмотре файлов через “My Files ”.

Затем: Settings --> Location and security --> (хоть в данном случае сертификат и не encrypted). Сертификат будет добавлен в список доверяемых, а файл в /sdcard стёрт.

Более удобный способ: опубликовать сертификат на каком-нибудь веб-сайте и просто открыть его URL в родном андроидном браузере (для пущей надёжности, использовать известный вебсервис через https или же сугубо внутренний сайт). Тот сразу запросит, добавить ли сертификат в список доверяемых, или нет. Чтобы не набивать URL руками, можно сгенерировать QR-code с ним, и затем просто отсканить его.

3. Импорт сертификата юзера с секретным ключом :
Файл с секретным ключом в формате PKCS#12 и с расширением .p12 кладётся в /sdcard (.pfx , опять же, игнорируется). Способов создать такой файл множество – не буду их перечислять, но отмечу, что обязательно стоит задать для него одноразовый пароль, шифрующий ключ.
Затем, опять же, Settings --> Location and security --> Install encrypted certificates . На этот раз будет запрошен пароль. Это не тот, что задавался при создании хранилища, а тот, который нужен для расшифровки ключа из файла. После введения пароля, ключ будет дешифрован и сохранён зашифрованным заново – на этот раз, паролем от хранилища. Файл же будет стёрт из /sdcard , что нас вполне устраивает.

Можно также забросить файл .p12 через URL, но я бы не стал – в отличие от сертификатов, расползания ключей, хоть и в шифрованном виде, стоит избегать.

4. Подключение к собственно сети :
После того, как ключ задан, остались лишь настройки WiFi-сети. Ничего секретного в этом этапе нет, можно оставить его юзерам, выслав инструкцию.
Итак: Settings --> Wireless and network --> Wi-Fi settings . Найти сеть в списке, либо, если SSID скрыт, жмякнуть на “Add Wi-Fi network ”.
Затем:



На более продвинутых устройствах можно задать также для каждой сети настройки proxy, что очень удобно.

Всё. После этого юзеру останется только жмякнуть по названию сетки и подключиться. Если же он по недомыслию как-нибудь нажмёт на “Forget network ” и сотрёт настройки, для восстановления достаточно лишь пройти заново шаг 4 – процедура несекретная, юзер её может проделать сам.

Примечания:
В принципе, есть также опция PEAP. Протокол PEAP-EAP-TLS считается чуть более защищённым – к примеру, юзерский сертификат в нём пересылается в зашифрованном виде по установленному туннелю TLS. Однако мои усилия заставить Андроид работать в этом режиме ни к чему не привели. Подозреваю, что дело в том, что поле “Phase 2 authentication ” не содержит опции для использования юзерского сертификата – поэтому приходится удолетворяться EAP-TLS, которому никакой phase 2 не нужен. Но разница минимальна и несущественна.

Понятия не имею, зачем нужен. В принципе, юзер должен опознаваться по полю CN в сертификате.

Сегодня у многих есть дома Wi-Fi маршрутизатор. Ведь по безпроводке куда проще подключить к интернету и ноутбук, и планшет, и смартфон, коих развелось в каждой семье больше чем людей. И он (маршрутизатор) по сути — врата в информационную вселенную. Читай входная дверь. И от этой двери зависит зайдет ли к вам незваный гость без вашего разрешения. Поэтому очень важно уделить внимание правильной настройке роутера, чтобы ваша беспроводная сеть не была уязвимой.

Думаю не нужно напоминать, что скрытие SSID точки доступа не защищает Вас. Ограничение доступа по MAC адресу не эффективно. Поэтому только современные методы шифрования и сложный пароль.

Зачем шифровать? Кому я нужен? Мне нечего скрывать

Не так страшно если украдут пин-код с кредитной карты и снимут с нее все деньги. Тем более, если кто-то будет сидеть за ваш счет в интернете, зная Wi-Fi пароль. И не так страшно если опубликуют ваши фото с корпоративных вечеринок где вы в неприглядном виде. Куда обидней когда злоумышленники проникнут в ваш компьютер и удалят фотографии как Вы забирали сына из роддома, как он сделал первые шаги и пошел в первый класс. Про бэкапы отдельная тема, их конечно нужно делать… Но репутацию со временем можно восстановить, деньги заработать, а вот дорогие для вас фотографии уже нет. Думаю у каждого есть то, что он не хочет потерять.
Ваш роутер является пограничным устройством между личным и публичным, поэтому настройте его защиту по полной. Тем более это не так сложно.

Технологии и алгоритмы шифрования

Опускаю теорию. Не важно как это работает, главное уметь этим пользоваться.
Технологии защиты беспроводных сетей развивались в следующем хронологическом порядке: WEP , WPA , WPA2 . Также эволюционировали и методы шифрования RC4, TKIP, AES.
Лучшей с точки зрения безопасности на сегодняшний день является связка WPA2-AES. Именно так и нужно стараться настраивать Wi-Fi. Выглядеть это должно примерно так:

WPA2 является обязательным с 16 марта 2006 года. Но иногда еще можно встретить оборудование его не поддерживающее. В частности если у Вас на компьютере установлена Windows XP без 3-го сервис пака, то WPA2 работать не будет. Поэтому из соображений совместимости на маршрутизаторах можно встретить варианты настроек WPA2-PSK -> AES+TKIP и другой зверинец.
Но если парк девайсов у Вас современный, то лучше использовать WPA2 (WPA2-PSK) -> AES, как самый защищенный вариант на сегодняшний день.

Чем отличаются WPA(WPA2) и WPA-PSK(WPA2-PSK)

Стандартом WPA предусмотрен Расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях как правило расположены на специальном сервере (чаще всего RADIUS).
Упрощённый режим Pre-Shared Key (WPA-PSK, WPA2-PSK) позволяет использовать один пароль, который хранится непосредственно в маршрутизаторе. С одной стороны все упрощается, нет необходимости создавать и сопровождать базу пользователей, с другой стороны все заходят под одним паролем.
В домашних условиях целесообразней использовать WPA2-PSK, то есть упрощенный режим стандарта WPA. Безопасность Wi-Fi от такого упрощения не страдает.

Пароль доступа Wi-Fi

Тут все просто. Пароль к вашей беспроводной точке доступа (роутеру) должен быть более 8 символов и содержать буквы в разном регистре, цифры, знаки препинания. И он никаким боком не должен ассоциироваться с вами. А это значит, что в качестве пароля нельзя использовать даты рождения, ваши имена, номера машин, телефонов и т.п.
Так как сломать в лоб WPA2-AES практически невозможно (была лишь пара случаев смоделированных в лабораторных условиях), то основными методами взлома WPA2 являются атака по словарю и брут-форс (последовательный перебор всех вариантов паролей). Поэтому чем сложней пароль, тем меньше шансов у злоумышленников.

… в СССР на железнодорожных вокзалах получили широкое распространение автоматические камеры хранения. В качестве кодовой комбинации замка использовались одна буква и три цифры. Однако мало кто знает, что первая версия ячеек камеры хранения использовала в качестве кодовой комбинации 4 цифры. Казалось бы какая разница? Ведь количество кодовых комбинаций одинаково — 10000 (десять тысяч). Но как показала практика (особенно Московского Уголовного Розыска), когда человеку предлагалось в качестве пароля к ячейке камеры хранения использовать комбинацию из 4-х цифр, то очень много людей использовало свой год рождения (чтобы не забыть). Чем небезуспешно пользовались злоумышленники. Ведь первые две цифры в дате рождения абсолютного большинства населения страны были известны — 19. Осталось на глазок определить примерный возраст сдающего багаж, а любой из нас это может сделать с точностью +/- 3 года, и в остатке мы получаем (точнее злоумышленники) менее 10 комбинаций для подбора кода доступа к ячейке автоматической камеры хранения…

Самый популярный пароль

Человеческая лень и безответственность берут свое. Вот список самых популярных паролей:

  1. 123456
  2. qwerty
  3. 111111
  4. 123123
  5. 1a2b3c
  6. Дата рождения
  7. Номер мобильного телефона

Правила безопасности при составлении пароля

  1. Каждому свое. То есть пароль маршрутизатора не должен совпадать с любым другим Вашим паролем. От почты например. Возьмите себе за правило, у всех аккаунтов свои пароли и они все разные.
  2. Используйте стойкие пароли, которые нельзя угадать. Например: 2Rk7-kw8Q11vlOp0

У Wi-Fi пароля есть один огромный плюс. Его не надо запоминать. Его можно написать на бумажке и приклеить на дно маршрутизатора.

Гостевая зона Wi-Fi

Если ваш роутер позволяет организовать гостевую зону. То обязательно сделайте это. Естественно защитив ее WPA2 и надежным паролем. И теперь, когда к вам домой придут друзья и попросятся в интернет, вам не придется сообщать им основной пароль. Более того гостевая зона в маршрутизаторах изолирована от основной сети. И любые проблемы с девайсами ваших гостей не повлияют на вашу домашнюю сеть.

Количество людей, которые активно пользуются интернетом растет, как на дрожжах: на работе для решения корпоративных целей и администрирования, дома, в общественных местах. Распространение получают Wi-Fi сети и оборудование, позволяющее беспрепятственно получать доступ к интернету.

Вай фай сеть обладает зашитой в виде пароля, не зная который, подключиться к конкретной сети будет практически невозможно, кроме общественных сетей (кафе, рестораны, торговые центры, точки доступа на улицах) . «Практически» не стоит понимать в буквальном смысле: умельцев, способных «вскрыть» сеть и получить доступ не только к ресурсу роутера, но и к передаваемым внутри конкретной сети данным, достаточно.

Но в этом вступительном слове мы поговорили о подключении к wi-fi — аутентификации пользователя (клиента), когда клиентское устройство и точка доступа обнаруживают друг друга и подтверждают, что могут общаться между собой.

Варианты аутентификации :

  • Open - открытая сеть, в которой все подключаемые устройства авторизованы сразу
  • Shared - подлинность подключаемого устройства должна быть проверена ключом/паролем
  • EAP - подлинность подключаемого устройства должна быть проверена по протоколу EAP внешним сервером

Шифрование роутера: методы и их характеристики

Шифрование — это алгоритм скремблирования (scramble - шифровать, перемешивать) передаваемых данных, изменение и генерация ключа шифрования

Для оборудования wifi были разработаны различные типы шифрования, дающие возможность защищать сеть от взлома, а данные от общего доступа.

На сегодняшний день выделяются несколько вариантов шифрования. Рассмотрим каждый из них подробнее.

Выделяются и являются самыми распространенными следующие типы:

  • OPEN;
  • WPA, WPA2;

Первый тип, именуемый не иначе, как OPEN, все требуемую для познания информацию содержит в названии. Зашифровать данные или защитить сетевое оборудование такой режим не позволит, потому как точка доступа будет являться при условии выбора такого типа постоянно открытой и доступной для всех устройств, которыми она будет обнаружена. Минусы и уязвимости такого типа «шифрования» очевидны.

Если сеть открыта, это не значит, что любой может с ней работать. Чтобы пользоваться такой сетью и передавать в ней данные, нужно совпадение используемого метода шифрования. И еще одно условие пользования такой сетью отсутствие MAC-фильтра, который определяет MAC-адреса пользователей, для того, что бы распознать каким устройствам запрещено или разрешено пользоваться данной сетью

WEP

Второй тип, он же WEP, уходит корнями в 90-е годы прошлого века, являясь родоначальником всех последующих типов шифрования. Wep шифрование сегодня – слабейший из всех существующих вариантов организации защиты. Большинство современных роутеров, создаваемых специалистами и учитывающих интересы конфиденциальности пользователей, не поддерживают шифрование wep.

Среди минусов, вопреки факту наличия хоть какой-то защиты (в сравнении с OPEN), выделяется ненадежность: она обусловлена кратковременной защитой, которая активируется на определенные интервалы времени. По истечении этого промежутка, пароль к вашей сети можно будет легко подобрать, а ключ wep будет взломан за время до 1 минуты. Это обусловлено битностью wep ключа, которая составляет в зависимости от характеристик сетевого оборудования от 40 до 100 бит.

Уязвимость wep ключа заключается в факте передачи частей пароля в совокупности с пакетами данных. Перехват пакетов для специалиста – хакера или взломщика – задача, легкая для осуществления. Важно понимать и тот факт, что современные программные средства способны перехватывать пакеты данных и созданы специально для этого.

Таким образом, шифрование wep – самый ненадежный способ защиты вашей сети и сетевого оборудования.

WPA, WPA2

Такие разновидности – самые современные и совершенными с точки зрения организации зашиты на данный момент. Аналогов им не существует. Возможность задать любую удобную пользователю длину и цифробуквенную комбинацию wpa ключа довольно затрудняет жизнь желающим несанкционированно воспользоваться конкретной сетью или перехватить данные этой сети.

Данные стандарты поддерживают различные алгоритмы шифрования, которые могут передаваться после взаимодействия протоколов TKIP и AES. Тип шифрования aes является более совершенным протоколом, чем tkip, и большинством современных роутеров поддерживается и активно используется.

Шифрование wpa или wpa2 – предпочтительный тип как для домашнего использования, так и для корпоративного. Последний дает возможность применения двух режимов аутентификации: проверка паролей для доступа определенных пользователей к общей сети осуществляется, в зависимости от заданных настроек, по режиму PSK или Enterprise.

PSK предполагает доступ к сетевому оборудованию и ресурсам интернета при использовании единого пароля, который требуется ввести при подключении к роутеру. Это предпочтительный вариант для домашней сети, подключение которой осуществляется в рамках небольших площадей определенными устройствами, например: мобильным, персональным компьютером и ноутбуком.

Для компаний, имеющих солидные штаты сотрудников, PSK является недостаточно удобным режимом аутентификации, потому был разработан второй режим – Enterprise. Его использование дает возможность применения множества ключей, который будут храниться на особом выделенном сервере.

WPS

По-настоящему современная и , делает возможным подключение к беспроводной сети при помощи одного нажатия на кнопку. Задумываться о паролях или ключах бессмысленно, но стоит выделить и учитывать ряд серьезных недостатков, касающихся допуска к сетям с WPS.

Подключение посредством такой технологии осуществляется при использовании ключа, включающего в себя 8 символов. Уязвимость типа шифрования заключается в следующем: он обладает серьезной ошибкой, которая взломщикам или хакерам позволяет получить доступ к сети, если им доступны хотя бы 4 цифры из восьмизначной комбинации. Количество попыток подбора пароля при этом составляет порядка нескольких тысяч, однако для современных программных средств это число – смешное. Если измерять процесс форсирования WPS во времени, то процесс займет не более суток.

Стоит отметить и тот факт, что данная уязвимость находиться на стадии совершенствования и поддается исправлению, потому в последующих моделях оборудования с режимом WPS стали внедряться ограничения на количество попыток входа, что существенно затруднило задачу несанкционированного доступа для заинтересованных в этом лиц.

И тем не менее, чтобы повысить общий уровень безопасности, опытные пользователи рекомендуют принципиально отказываться от рассмотренной технологии.

Подводя итоги

Самой современной и по-настоящему надежной методикой организации защиты сети и данных, передаваемых внутри нее, является WPA или ее аналог WPA2.

Первый вариант предпочтителен для домашнего использования определенным числом устройств и пользователей.

Второй, обладающий функцией аутентификации по двум режимам, больше подходит для крупных компаний. Применение его оправдано тем, что при увольнении сотрудников нет необходимости в смене паролей и ключей, потому как определенное количество динамических паролей хранятся на специально выделенном сервере, доступ к которому имеют лишь текущие сотрудники компании.

Следует отметить, что большинство продвинутых пользователей отдают предпочтение WPA2 даже для домашнего использования. С точки зрения организации защиты оборудования и данных, такой метод шифрования является самым совершенным из существующих на сегодняшний день.

Что касается набирающего популярность WPS, то отказаться от него – значит в определенной мере обезопасить сетевое оборудование и информационные данные, передаваемые с его помощью. Пока технология не развита достаточно и не обладает всеми преимуществами, например, WPA2, от ее применения рекомендуется воздержаться вопреки кажущейся простоте применения и удобству. Ведь безопасность сети и передаваемых внутри нее информационных массивов – приоритет для большинства пользователей.

Вконтакте

Комментарии 0

Целью процедуры аутентификации и согласования ключей (Authentication and Key Agreement – AKA) является выполнение взаимной аутентификации между пользовательским терминалом и сетью, а также генерация ключа функции безопасности KSEAF (см. Рис. 7). Единожды сгенерированный ключ KSEAF, может использоваться для формирования нескольких контекстов безопасности, в т.ч. для 3GPP и non-3GPP доступа.
Release 15 3GPP определяет два обязательных метода процедуры аутентификации и согласования ключей – EPS-AKA" и 5G-AKA, которые будут рассмотрены ниже.
В рамках обоих методов вызывается функция деривации (KDF), которая на основании управляющей строки символов осуществляет преобразование криптографического ключа. В состав управляющей строки символов может входить имя обслуживающей абонента гостевой сети (Serving Network Name – SN-name). В частности, SN-name используется при вычислении:
- ключа функции безопасности KSEAF;
- отклика аутентификации (RES*, XRES*);
- промежуточных ключей CK’ и IK’.
SN-name конструируется путем объединения сервисного кода (service code ="5G") и идентификатора гостевой сети, которая аутентифицирует пользователя (network identifier или SN Id). SN Id вычисляется на основе мобильного кода страны (MCC) и мобильного кода сети (MNC) – см. Рис. 3.

Рис. 3 (network identifier или SN Id)

Использование имени обслуживающей сети (SN-name) позволяет однозначно привязывать результаты работы криптографических алгоритмов к конкретной гостевой сети.

Инициация и выбор метода аутентификации

В соответствии с политикой безопасности оператора связи функциональный модуль SEAF может инициировать аутентификацию пользовательского терминала (UE) в рамках любой процедуры, предусматривающей установку сигнального соединения с UE, например, при регистрации в сети (attach), либо обновлении зоны слежения (tracking area update). Для "выхода в эфир" UE должен использовать либо скрытый идентификатор SUCI (в случае первичной регистрации в сети), либо 5G-GUTI (в иной ситуации).
Для аутентификации пользовательского терминала SEAF использует ранее созданный и еще незадействованный вектор аутентификации, либо направляет запрос "Authentication Initiation Request" (5G-AIR) в AUSF, устанавливая в качестве идентификатора пользователя SUCI (в случае первичной регистрации в сети), либо SUPI (при получении от UE валидного 5G-GUTI). Запрос аутентификации (5G-AIR), помимо идентификатора пользователя должен также включать в себя тип доступа (3GPP или non-3GPP), а также имя обслуживающей сети (SN-name).
Далее AUSF проверяет правомочность использования имени обслуживающей сети (SN-name) и при успешной проверке – транслирует полученный запрос в блок унифицированной базы данных (UDM), где (при необходимости) функциональным модулем извлечения идентификатора пользователя (SIDF) выполняется расшифровка скрытого идентификатора пользователя (SUCI), после чего репозиторий учетных данных аутентификации (ARPF) осуществляется выбор соответствующего алгоритма аутентификации – 5G-AKA, либо EAP-AKA".

Метод аутентификации EAP-AKA"

Метод аутентификации EAP-AKA" представляет собой дальнейшее развитие EAP-AKA и вводит новую функцию деривации, обеспечивающую привязку криптографических ключей к имени сети доступа. Запуск метода EAP-AKA", описанного в RFC 5448, осуществляется UDM/ARPF при получении им от AUSF запроса на аутентификацию пользователя (сообщения Authentication Information Request – Auth Info-Req). На Рис. 4 приведена диаграмма, включающая нижеперечисленные шаги.

Рис. 4 (Метод аутентификации EPS-AKA)

1. Модуль репозитория и обработки учетных данных пользователя (UDM/ARPF) генерирует вектор аутентификации, включающий в себя RAND, AUTN, XRES, CK, IK. Для вычисления вектора аутентификации используются пять односторонних функций f1-f5, реализуемых на основе блокового шифра MILENAGE (в соответствии с 3GPP TS 33.102 – см. Рис. 5) с установленным в значение "1" битом AMF. При вычислении f1-f5 используется 128-ми битное поле конфигурирования алгоритма – OP (operator-variant algorithm configuration field). OP позволяет сделать уникальную (секретную) реализацию алгоритма для каждого оператора. Значение OP (либо OPc, вычисляемое из OP и KI через функцию блочного шифрования) должно храниться в ARPF и на USIM пользователя.

Рис. 5 (Вектор аутентификации)

2. UDM/ARPF посредством функции деривации и с использованием имени обслуживающей сети (SN-name) вычисляет "привязанные" значения CK", IK" и передает вектор (RAND, AUTN, XRES, CK", IK") серверу аутентификации (AUSF) от которого был получен запрос.
3. AUSF запускает криптографическую функцию PRF метода EAP-AKA", описанную в RFC5448. Входными параметрами функции являются ключи CK" и IK", а также имя обслуживающей сети (SN-name). На выходе функции получаются следующие поля:
- K_encr – ключ (128 бит), используемый для шифрования отдельных атрибутов сообщений EAP-AKA" (в соответствии с политикой безопасности оператора связи);
- K_aut – ключ (256 бит), используемый для вычисления кодов контроля целостности сообщений EAP-AKA" (MAC – Message Authentication Code);
- K_re – ключ (256 бит), используемый при реаутентификации;
- MSK (Master Session Key) – мастер ключ (512 бит);
- EMSK (Extended Master Session Key) – расширенный мастер ключ (512 бит).
4. AUSF посылает якорной функции безопасности (SEAF) запрос EAP-Request/AKA"-Challenge, который далее прозрачно транслируется пользовательскому терминалу в NAS-сообщении. EAP-Request/AKA"-Challenge содержит следующие атрибуты:
- AT_RAND (случайное число);
- AT_AUTN (токен аутентификации);
- AT_KDF (идентификатор используемой функции деривации, где 1 – соответствует использованию функции деривации по умолчанию);
- AT_KDF_INPUT (имя обслуживающей сети – SN-name);
- AT_MAC (код контроля целостности сообщения – Message Authentication Code).

- вычисляет значения XMAC, RES, CK" и IK";
- запускает криптографическую функцию PRF алгоритма EAP-AKA" (аналогичную функции, выполняемой сервером аутентификации);
- проверяет корректность кода контроля целостности сообщения (атрибут AT_MAC);
- проверяет установку бита AMF атрибута AT_AUTN в значение "1";

- посылает якорной функции безопасности (SEAF) отклик EAP-Response/AKA"-Challenge с атрибутами AT_RES и AT_MAC, который далее прозрачно транслируется серверу аутентификации (AUSF).
6. AUSF проверяет корректность кода контроля целостности сообщения (атрибут AT_MAC) и выполняет аутентификацию пользовательского терминала, посредством сравнения значений RES и XRES, полученных от UE и ARPF/UDM соответственно.
7. В случае успеха AUSF через якорную функцию безопасности (SEAF) направляет UE отклик EAP-Success. Если политика безопасности оператора связи подразумевает передачу EAP-Success в зашифрованном виде – "protected successful result indications", предварительно выполняется обмен сообщениями нотификации. Также (при необходимости), через вызов функции SIDF выполняется дешифрация скрытого идентификатора (SUCI) и извлечение 5G SUPI.
8. На заключительном шаге ARPF/UDM формирует ключ функции аутентификации KAUSF, в качестве которого используются первые 256 бит расширенного мастер ключа (EMSK). В дальнейшем на основе KAUSF вычисляются ключи шифрования и контроля целостности в соответствии с иерархией криптографических ключей, приведенной на Рис. 7.

Метод аутентификации 5G-AKA представляет собой дальнейшее развитие EPS-AKA, описанного в рекомендации 3GPP TS 33.401 и применяемого на сетях 4G-LTE. Запуск метода 5G-AKA осуществляется UDM/ARPF при получении им от AUSF запроса на аутентификацию пользователя (сообщения Authentication Information Request – Auth Info-Req). На Рис. 6 приведена диаграмма, включающая в себя нижеперечисленные шаги.

Рис. 6 (Метод аутентификации 5G-AKA)

1. По аналогии с алгоритмом EAP-AKA" модуль репозитория и обработки учетных данных пользователя (UDM/ARPF) на основе блокового шифра MILENAGE генерирует вектор аутентификации, включающий в себя RAND, AUTN, XRES, CK, IK (бит AMF должен быть установлен в единицу).
2. UDM/ARPF посредством функции деривации и с использованием имени обслуживающей сети (SN-name) вычисляет:
- привязанное значение ожидаемого отклика XRES*,
- значение ключа функции аутентификации KAUSF,
формирует вектор "5G HE AV" (Home Environment Authentication Vector), включающий в себя RAND, AUTN, XRES*, KAUSF и направляет его серверу аутентификации (AUSF).
3. AUSF вычисляет:
- значение HXRES*, представляющего собой усеченный до 128-ми бит хэш от конкатенации ожидаемого отклика аутентификации XRES* и случайного числа RAND: HXRES*  младшие 128 бит от SHA-256;
- значение ключа функции безопасности KSEAF.
Далее AUSF формирует вектор "5G AV" (5G Authentication Vector), включающий в себя RAND, AUTN, HXRES*, KSEAF и направляет его якорной функции безопасности (SEAF) посредством сообщения 5G-AIA (Authentication Initiation Answer). В случае, если запрос на аутентификацию (5G-AIR) содержал скрытый идентификатор пользователя (SUCI), AUSF через вызов функции SIDF, получает 5G SUPI и добавляет его в 5G-AIA.
4. SEAF осуществляет контроль таймера времени жизни полученного вектора и направляет пользовательскому терминалу NAS сообщение Auth-Req с включенными параметрами RAND и AUTN.
5. Пользовательский терминал:
- через вызов соответствующих функций USIM модуля вычисляет значения RES, AUTN, CK, IK;
- выполняет аутентификацию сети путем сравнения вычисленного и принятого значений AUTN;
- вычисляет значения ключей KAUSF и KSEAF;
- вычисляет привязанное значение отклика аутентификации RES*;
- направляет якорной функции безопасности (SEAF) сообщение Auth-Resp, содержащее RES*.
6. SEAF вычисляет хэш HRES* (по аналогии с AUSF) и осуществляет аутентификацию пользовательского терминала посредством сравнения HRES* и HXRES*.
7. При успешной аутентификации SEAF направляет AUSF сообщение подтверждения 5G-AC (Authentication Confirmation), содержащее в т.ч. значение отклика RES*, полученное от UE. Данный шаг является опциональным и может не использоваться при регистрации пользователя в домашней сети.
8. AUSF осуществляет проверку таймера времени жизни вектора аутентификации, сравнивает значения вычисленного (XRES*) и полученного (RES*) откликов, после чего завершает процедуру аутентификации.
3GPP рекомендует в рамках одной процедуры аутентификации генерировать и использовать только один вектор. Это позволит завершать каждую процедуру аутентификации сообщением подтверждения.

В процессе аутентификации можно выделить три основных участника процесса:

  • Аутентификатор (англ. authenticator) - участник процесса требующий провести аутентификацию (WiFi точка доступа , свич и т. д.).
  • Узел или клиент (англ. peer) - участник процесса который будет аутентифицирован (компьютер , ноутбук , телефон и т. д.).
  • Сервер аутентификации (англ. authentication server) - участник процесса способный по некоторым данным от узла аутентифицировать его.

В некоторых случаях сервер аутентификации и аутентификатор могут быть одним устройством, например домашние устройства использующие метод EAP-PSK. В целом процесс аутентификации происходит следующим образом:

  1. Аутентификатор отправляет EAP-запрос для начала аутентификации клиента. Запрос в поле Type содержит в себе информацию о том, какой метод будет использоваться (EAP-TLS, EAP-PSK и т. д.). Аутентификатор не обязательно шлёт этот запрос, например, если аутентификация на порту, к которому подключен клиент, не обязательна, в таком случае для начала процедуры аутентификации клиент должен послать пакет с полем Code, соответствующим типу Initiate.
  2. Клиент посылает аутентификатору EAP-ответ в случае правильного запроса от аутентификатора. Ответ содержит в себе поле Type, соответствующее полю Type в запросе.
  3. Аутентификатор посылает запрос серверу аутентификации, передавая информацию о том, какой метод аутентификации используется.
  4. Сервер аутентификации запрашивает у клиента необходимую информацию через аутентификатор, в этом момент аутентификатор фактически работает как прокси .
  5. Клиент отвечает серверу, передавая запрашиваемую информацию. Пункт 4 и 5 повторяются до тех пор, пока сервер аутентификации не примет решение о разрешении доступа, запрете или ошибке.
  6. Сервер аутентификации посылает аутентификатору пакет сообщающий о успехе или сбое аутентификации.
  7. Аутентификатор посылает клиенту EAP пакет с кодом соответствующим ответу сервера аутентификации (EAP-Success или EAP-Failure).

Сводная таблица кодов пакетов EAP:

Методы

LEAP

Облегченный расширяемый протокол аутентификации (англ. Lightweight Extensible Authentication Protocol ), метод, разработанный компанией Cisco до ратификации IEEE стандарта безопасности 802.11i . Cisco распространил протокол через CCX (Cisco Certified Extensions) как часть протокола 802.1X и динамического WEP из-за отсутствия отдельного промышленного стандарта в индустрии. В операционных системах семейства Windows отсутствует встроенная поддержка протокола LEAP , однако поддержка протокола широко распространена в сторонних программах-клиентах (чаще всего идущих в комплекте с беспроводным оборудованием). Поддержка LEAP в Windows может быть добавлена путём установки клиентского ПО компании Cisco, которое обеспечивает поддержку протоколов LEAP и EAP-FAST. Многие другие производители WLAN оборудования также поддерживают протокол LEAP из-за его высокой распространённости.

LEAP использует модифицированную версию протокола MS-CHAP - слабо защищённого протокола аутентификации , информация о пользователе и пароле в котором легко компрометируется ; в начале 2004 года Джошуа Райтом был написан эксплойт протокола LEAP, названный ASLEAP . Взлом основан на том, что, во-первых, все элементы запроса и ответа, помимо хеша пароля, передаются в незашифрованном виде или легко рассчитываются на основе данных, которые отправляются по сети. Это означает, что злоумышленнику типа человек посередине получения хеша пароля будет достаточно, чтобы повторно авторизоваться. Во-вторых, создание ключей является потенциально слабым. Дополнение 5 байт нулями означает, что последний ключ имеет ключевое пространство 2 16 . Наконец, один и тот же исходный текст шифруется с помощью двух ключей (при отправке хеша серверу и при ответе), что означает, что сложности 2 56 достаточно, чтобы взломать оба ключа. После того, как злоумышленник имеет все ключи, он получает хеш пароля, которого достаточно для повторной аутентификации (подробнее в MS-CHAP).

Встроенная поддержка этого метода есть во всех операционных системах семейства Windows (начиная с Windows 2000 SP4), Linux и Mac OS X (с версии 10.3).

В отличие от многих других реализаций TLS , например в HTTPS , большинство реализаций EAP-TLS требует предустановленного сертификата X.509 у клиента, не давая возможности отключить требование, хотя стандарт не требует этого в обязательном порядке . Это могло помешать распространению «открытых», но зашифрованных точек беспроводного доступа . В августе 2012 года hostapd и wpa_supplicant была добавлена поддержка UNAUTH-TLS - собственного метода аутентификации EAP и 25 февраля 2014 добавлена поддержка WFA-UNAUTH-TLS, метода аутентификации, аутентифицирующий только сервер . Это позволит работать через EAP-TLS так же, как через HTTPS , где беспроводная точка доступа даёт возможность свободного подключения (то есть не требует проверки подлинности клиентов), но при этом шифрует трафик (IEEE 802.11i-2004 , то есть WPA2) и позволяет пройти аутентификации при необходимости. В стандартах также содержатся предложения по использованию IEEE 802.11u в точках доступа, чтобы сигнализировать о доступности метода EAP-TLS, аутентифицирующего только сервер, используя стандартный протокол EAP-TLS IETF, а не стороннего метода EAP .

Требование предустановленного сертификата на стороне клиента - одна из причин высокой защищённости метода EAP-TLS и пример «жертвования» удобства в пользу безопасности. Для взлома EAP-TLS не достаточно скомпрометировать пароль пользователя, для успешной атаки злоумышленнику также потребуется завладеть соответствующим пользователю сертификатом клиента. Наилучшей безопасности можно добиться, храня сертификаты клиентов в смарт-картах .

EAP-TTLS

Tunneled Transport Layer Security (Безопасность Транспортного Уровня через Туннель), метод EAP, расширяющий возможности метода TLS. Он разработан компаниями Funk Software и Certicom и довольно хорошо поддерживается большинством платформ (Windows с версии 8, а Windows Mobile с версии 8.1 ).

Клиент может (но не обязан) быть аутентифицирован сервером при помощи подписанного Центром Сертификации PKI-сертификатом . Необязательность аутентификации клиента сильно упрощает процедуру настройки, так как нет необходимости генерировать и устанавливать на каждый из них индивидуальный сертификат.

После того, как сервер аутентифицирован клиентом при помощи сертификата, подписанного Центром Сертификации и, опционально, клиент-сервером, сервер может использовать получившееся защищённое соединение (туннель) для дальнейшей аутентификации клиента. Туннель позволяет использовать протоколы аутентификации, рассчитанные на каналы, защищённые от атаки MITM и от «прослушки». При использовании метода EAP-TTLS никакая информация, используемая для аутентификации, не передается в открытом виде, что ещё больше затрудняет взлом.

EAP-PSK

Pre-Shared Key (Заранее известный ключ) , метод определённый в RFC 4764 , использующий для взаимной аутентификации и обмена сессионным ключом заранее оговорённый ключ. Метод разработан для работы в незащищённых сетях, таких как IEEE 802.11 , и в случае успешной аутентификации обеспечивает защищённое двустороннее соединение между клиентом и точкой доступа.

EAP-PSK задокументирован в экспериментальной RFC и обеспечивает лёгкий и расширяемый EAP метод, не использующий асимметричное шифрование . Этот метод требует четырёх сообщений (минимально возможное количество) для взаимной аутентификации.

Напишите отзыв о статье "EAP"

Примечания

Отрывок, характеризующий EAP

– Соня! Соня! – послышался опять первый голос. – Ну как можно спать! Да ты посмотри, что за прелесть! Ах, какая прелесть! Да проснись же, Соня, – сказала она почти со слезами в голосе. – Ведь этакой прелестной ночи никогда, никогда не бывало.
Соня неохотно что то отвечала.
– Нет, ты посмотри, что за луна!… Ах, какая прелесть! Ты поди сюда. Душенька, голубушка, поди сюда. Ну, видишь? Так бы вот села на корточки, вот так, подхватила бы себя под коленки, – туже, как можно туже – натужиться надо. Вот так!
– Полно, ты упадешь.
Послышалась борьба и недовольный голос Сони: «Ведь второй час».
– Ах, ты только всё портишь мне. Ну, иди, иди.
Опять всё замолкло, но князь Андрей знал, что она всё еще сидит тут, он слышал иногда тихое шевеленье, иногда вздохи.
– Ах… Боже мой! Боже мой! что ж это такое! – вдруг вскрикнула она. – Спать так спать! – и захлопнула окно.
«И дела нет до моего существования!» подумал князь Андрей в то время, как он прислушивался к ее говору, почему то ожидая и боясь, что она скажет что нибудь про него. – «И опять она! И как нарочно!» думал он. В душе его вдруг поднялась такая неожиданная путаница молодых мыслей и надежд, противоречащих всей его жизни, что он, чувствуя себя не в силах уяснить себе свое состояние, тотчас же заснул.

На другой день простившись только с одним графом, не дождавшись выхода дам, князь Андрей поехал домой.
Уже было начало июня, когда князь Андрей, возвращаясь домой, въехал опять в ту березовую рощу, в которой этот старый, корявый дуб так странно и памятно поразил его. Бубенчики еще глуше звенели в лесу, чем полтора месяца тому назад; всё было полно, тенисто и густо; и молодые ели, рассыпанные по лесу, не нарушали общей красоты и, подделываясь под общий характер, нежно зеленели пушистыми молодыми побегами.
Целый день был жаркий, где то собиралась гроза, но только небольшая тучка брызнула на пыль дороги и на сочные листья. Левая сторона леса была темна, в тени; правая мокрая, глянцовитая блестела на солнце, чуть колыхаясь от ветра. Всё было в цвету; соловьи трещали и перекатывались то близко, то далеко.
«Да, здесь, в этом лесу был этот дуб, с которым мы были согласны», подумал князь Андрей. «Да где он», подумал опять князь Андрей, глядя на левую сторону дороги и сам того не зная, не узнавая его, любовался тем дубом, которого он искал. Старый дуб, весь преображенный, раскинувшись шатром сочной, темной зелени, млел, чуть колыхаясь в лучах вечернего солнца. Ни корявых пальцев, ни болячек, ни старого недоверия и горя, – ничего не было видно. Сквозь жесткую, столетнюю кору пробились без сучков сочные, молодые листья, так что верить нельзя было, что этот старик произвел их. «Да, это тот самый дуб», подумал князь Андрей, и на него вдруг нашло беспричинное, весеннее чувство радости и обновления. Все лучшие минуты его жизни вдруг в одно и то же время вспомнились ему. И Аустерлиц с высоким небом, и мертвое, укоризненное лицо жены, и Пьер на пароме, и девочка, взволнованная красотою ночи, и эта ночь, и луна, – и всё это вдруг вспомнилось ему.
«Нет, жизнь не кончена в 31 год, вдруг окончательно, беспеременно решил князь Андрей. Мало того, что я знаю всё то, что есть во мне, надо, чтобы и все знали это: и Пьер, и эта девочка, которая хотела улететь в небо, надо, чтобы все знали меня, чтобы не для одного меня шла моя жизнь, чтоб не жили они так независимо от моей жизни, чтоб на всех она отражалась и чтобы все они жили со мною вместе!»

Возвратившись из своей поездки, князь Андрей решился осенью ехать в Петербург и придумал разные причины этого решенья. Целый ряд разумных, логических доводов, почему ему необходимо ехать в Петербург и даже служить, ежеминутно был готов к его услугам. Он даже теперь не понимал, как мог он когда нибудь сомневаться в необходимости принять деятельное участие в жизни, точно так же как месяц тому назад он не понимал, как могла бы ему притти мысль уехать из деревни. Ему казалось ясно, что все его опыты жизни должны были пропасть даром и быть бессмыслицей, ежели бы он не приложил их к делу и не принял опять деятельного участия в жизни. Он даже не понимал того, как на основании таких же бедных разумных доводов прежде очевидно было, что он бы унизился, ежели бы теперь после своих уроков жизни опять бы поверил в возможность приносить пользу и в возможность счастия и любви. Теперь разум подсказывал совсем другое. После этой поездки князь Андрей стал скучать в деревне, прежние занятия не интересовали его, и часто, сидя один в своем кабинете, он вставал, подходил к зеркалу и долго смотрел на свое лицо. Потом он отворачивался и смотрел на портрет покойницы Лизы, которая с взбитыми a la grecque [по гречески] буклями нежно и весело смотрела на него из золотой рамки. Она уже не говорила мужу прежних страшных слов, она просто и весело с любопытством смотрела на него. И князь Андрей, заложив назад руки, долго ходил по комнате, то хмурясь, то улыбаясь, передумывая те неразумные, невыразимые словом, тайные как преступление мысли, связанные с Пьером, с славой, с девушкой на окне, с дубом, с женской красотой и любовью, которые изменили всю его жизнь. И в эти то минуты, когда кто входил к нему, он бывал особенно сух, строго решителен и в особенности неприятно логичен.
– Mon cher, [Дорогой мой,] – бывало скажет входя в такую минуту княжна Марья, – Николушке нельзя нынче гулять: очень холодно.
– Ежели бы было тепло, – в такие минуты особенно сухо отвечал князь Андрей своей сестре, – то он бы пошел в одной рубашке, а так как холодно, надо надеть на него теплую одежду, которая для этого и выдумана. Вот что следует из того, что холодно, а не то чтобы оставаться дома, когда ребенку нужен воздух, – говорил он с особенной логичностью, как бы наказывая кого то за всю эту тайную, нелогичную, происходившую в нем, внутреннюю работу. Княжна Марья думала в этих случаях о том, как сушит мужчин эта умственная работа.

Князь Андрей приехал в Петербург в августе 1809 года. Это было время апогея славы молодого Сперанского и энергии совершаемых им переворотов. В этом самом августе, государь, ехав в коляске, был вывален, повредил себе ногу, и оставался в Петергофе три недели, видаясь ежедневно и исключительно со Сперанским. В это время готовились не только два столь знаменитые и встревожившие общество указа об уничтожении придворных чинов и об экзаменах на чины коллежских асессоров и статских советников, но и целая государственная конституция, долженствовавшая изменить существующий судебный, административный и финансовый порядок управления России от государственного совета до волостного правления. Теперь осуществлялись и воплощались те неясные, либеральные мечтания, с которыми вступил на престол император Александр, и которые он стремился осуществить с помощью своих помощников Чарторижского, Новосильцева, Кочубея и Строгонова, которых он сам шутя называл comite du salut publique. [комитет общественного спасения.]
Теперь всех вместе заменил Сперанский по гражданской части и Аракчеев по военной. Князь Андрей вскоре после приезда своего, как камергер, явился ко двору и на выход. Государь два раза, встретив его, не удостоил его ни одним словом. Князю Андрею всегда еще прежде казалось, что он антипатичен государю, что государю неприятно его лицо и всё существо его. В сухом, отдаляющем взгляде, которым посмотрел на него государь, князь Андрей еще более чем прежде нашел подтверждение этому предположению. Придворные объяснили князю Андрею невнимание к нему государя тем, что Его Величество был недоволен тем, что Болконский не служил с 1805 года.
«Я сам знаю, как мы не властны в своих симпатиях и антипатиях, думал князь Андрей, и потому нечего думать о том, чтобы представить лично мою записку о военном уставе государю, но дело будет говорить само за себя». Он передал о своей записке старому фельдмаршалу, другу отца. Фельдмаршал, назначив ему час, ласково принял его и обещался доложить государю. Через несколько дней было объявлено князю Андрею, что он имеет явиться к военному министру, графу Аракчееву.
В девять часов утра, в назначенный день, князь Андрей явился в приемную к графу Аракчееву.
Лично князь Андрей не знал Аракчеева и никогда не видал его, но всё, что он знал о нем, мало внушало ему уважения к этому человеку.
«Он – военный министр, доверенное лицо государя императора; никому не должно быть дела до его личных свойств; ему поручено рассмотреть мою записку, следовательно он один и может дать ход ей», думал князь Андрей, дожидаясь в числе многих важных и неважных лиц в приемной графа Аракчеева.
Князь Андрей во время своей, большей частью адъютантской, службы много видел приемных важных лиц и различные характеры этих приемных были для него очень ясны. У графа Аракчеева был совершенно особенный характер приемной. На неважных лицах, ожидающих очереди аудиенции в приемной графа Аракчеева, написано было чувство пристыженности и покорности; на более чиновных лицах выражалось одно общее чувство неловкости, скрытое под личиной развязности и насмешки над собою, над своим положением и над ожидаемым лицом. Иные задумчиво ходили взад и вперед, иные шепчась смеялись, и князь Андрей слышал sobriquet [насмешливое прозвище] Силы Андреича и слова: «дядя задаст», относившиеся к графу Аракчееву. Один генерал (важное лицо) видимо оскорбленный тем, что должен был так долго ждать, сидел перекладывая ноги и презрительно сам с собой улыбаясь.
Но как только растворялась дверь, на всех лицах выражалось мгновенно только одно – страх. Князь Андрей попросил дежурного другой раз доложить о себе, но на него посмотрели с насмешкой и сказали, что его черед придет в свое время. После нескольких лиц, введенных и выведенных адъютантом из кабинета министра, в страшную дверь был впущен офицер, поразивший князя Андрея своим униженным и испуганным видом. Аудиенция офицера продолжалась долго. Вдруг послышались из за двери раскаты неприятного голоса, и бледный офицер, с трясущимися губами, вышел оттуда, и схватив себя за голову, прошел через приемную.
Вслед за тем князь Андрей был подведен к двери, и дежурный шопотом сказал: «направо, к окну».
Князь Андрей вошел в небогатый опрятный кабинет и у стола увидал cорокалетнего человека с длинной талией, с длинной, коротко обстриженной головой и толстыми морщинами, с нахмуренными бровями над каре зелеными тупыми глазами и висячим красным носом. Аракчеев поворотил к нему голову, не глядя на него.
– Вы чего просите? – спросил Аракчеев.
– Я ничего не… прошу, ваше сиятельство, – тихо проговорил князь Андрей. Глаза Аракчеева обратились на него.
– Садитесь, – сказал Аракчеев, – князь Болконский?
– Я ничего не прошу, а государь император изволил переслать к вашему сиятельству поданную мною записку…
– Изволите видеть, мой любезнейший, записку я вашу читал, – перебил Аракчеев, только первые слова сказав ласково, опять не глядя ему в лицо и впадая всё более и более в ворчливо презрительный тон. – Новые законы военные предлагаете? Законов много, исполнять некому старых. Нынче все законы пишут, писать легче, чем делать.
– Я приехал по воле государя императора узнать у вашего сиятельства, какой ход вы полагаете дать поданной записке? – сказал учтиво князь Андрей.
– На записку вашу мной положена резолюция и переслана в комитет. Я не одобряю, – сказал Аракчеев, вставая и доставая с письменного стола бумагу. – Вот! – он подал князю Андрею.
На бумаге поперег ее, карандашом, без заглавных букв, без орфографии, без знаков препинания, было написано: «неосновательно составлено понеже как подражание списано с французского военного устава и от воинского артикула без нужды отступающего».
– В какой же комитет передана записка? – спросил князь Андрей.
– В комитет о воинском уставе, и мною представлено о зачислении вашего благородия в члены. Только без жалованья.
Князь Андрей улыбнулся.
– Я и не желаю.
– Без жалованья членом, – повторил Аракчеев. – Имею честь. Эй, зови! Кто еще? – крикнул он, кланяясь князю Андрею.

Ожидая уведомления о зачислении его в члены комитета, князь Андрей возобновил старые знакомства особенно с теми лицами, которые, он знал, были в силе и могли быть нужны ему. Он испытывал теперь в Петербурге чувство, подобное тому, какое он испытывал накануне сражения, когда его томило беспокойное любопытство и непреодолимо тянуло в высшие сферы, туда, где готовилось будущее, от которого зависели судьбы миллионов. Он чувствовал по озлоблению стариков, по любопытству непосвященных, по сдержанности посвященных, по торопливости, озабоченности всех, по бесчисленному количеству комитетов, комиссий, о существовании которых он вновь узнавал каждый день, что теперь, в 1809 м году, готовилось здесь, в Петербурге, какое то огромное гражданское сражение, которого главнокомандующим было неизвестное ему, таинственное и представлявшееся ему гениальным, лицо – Сперанский. И самое ему смутно известное дело преобразования, и Сперанский – главный деятель, начинали так страстно интересовать его, что дело воинского устава очень скоро стало переходить в сознании его на второстепенное место.

Ноутбуки

Вам также может понравиться