Adatbiztonság, adatvédelem. delem

Adatbiztonság, adatvédelem 1

Vezetőtanár: F. Ható Katalin SZÁMALK III. em. 313 szoba fogadóóra: szerda 13-15 Tel: 203-0336 e-mail: [email protected] 2

A tantárgy célja: ismertetni  az adatvédelem alapelveit,  az adatvédelemre vonatkozó nemzetközi ajánlásokat, hazai törvényeket,  az adatbiztonság szabványait, követelményrendszerét,  a fenyegetések tulajdonságait,  a biztonság megteremtésének módszertanát. 3

Tárgyalandó témák: 

Az adatvédelem alapfogalmai



Törvények, ajánlások



Az adatbiztonság fogalmai, szabványok



A biztonsági rendszer megtervezése



Vírusok, kriptográfia, digitális aláírás, hálózati biztonsági rendszerek 4

Kapcsolódás más tárgyakhoz Jogi ismeretek  Rendszerszervezés  Programozás  Közgazdaságtan  Hálózati ismeretek  Matematika  Internet, stb. 

5

Jelenlegi helyzetkép  informatikai

 hadviselési

robbanás  Internet  nagy adatbázisok  e-bussines

 terrorizmus

eszköz

eszköze  fehérgalléros bűnözés

6

Adat A tények, az elképzelések nem értelmezett, de értelmezhető közlési formája.

7

Információ Jelentéssel bíró szimbólumok összessége, amelyek jelentést hordozó adatokat tartalmaznak és olyan új ismereteket szolgáltatnak a megismerő számára, hogy ezáltal annak valamilyen bizonytalanságát megszüntetik és célirányos cselekvését kiváltják. 8

Adatvédelem Az adatvédelem adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során.

9

Adatbiztonság Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.

10

Adatvédelem

11

Fő ellentmondás Az információ szabad áramlása

Személyes adatok védelme

12

Európai ajánlások Európa Tanács 1973 Az egyének magánéletének védelméről a magán, ill. az állami szektorban tárolt elektronikus adatbankokkal szemben  Európa Tanács 1979 A kormányzati dokumentumok nyilvánosságáról és az információszabadságról 

13



Gazdasági Együttműködés és Fejlesztési Szervezet (OECD) 1980 A magánélet védelméről és a személyes adatok határt átlépő áramlásáról



Európa Tanács 1981 Titokvédelmi egyezmény a személyes adatok automatikus kezelésével kapcsolatos védelméről 14



Általános Vám- és Kereskedelmi Egyezmény (GATT) 1993 Egyezmény a szellemi tulajdon kereskedelemmel összefüggő kérdésekről (TRIPS)



Európai Unió és az Európa Parlament 1997 Irányelv az adatbázisok jogi védelméről

15



NATO 1997 Az információ biztonságáról



Európai Unió és az Európa Parlament 1999 Akcióterv az Internet biztonságos használatának előkészítésére

16

Az ajánlások alapelvei 

A cél meghatározása és ismertetése.



A gyűjtés korlátozása, adatcsoportok engedélyezése.



Ismertetni, ki férhet hozzá.



Az adatközlő hozzáférhet, kijavíthatja. 17



Adatbiztonsági rendszer kiépítése, üzemeltetése, ellenőrzése az adatkezelő feladata.



Nemzeti törvényhozás érvényesítse az ajánlásokat.



Biztosítsa a szektorfüggetlenséget.



A manuális állományokra is érvényes. 18

Hazai szabályozások Az Alkotmány XII. fejezete, 59. § 

A Magyar Köztársaságban mindenkit megillet a jóhírnévhez, a magánlakás sérthetetlenségéhez, valamint a magántitok és a személyes adatok védelméhez való jog.

19

Az Alkotmánybíróság határozata 15/1991.(IV. 13.) AB határozata: 

“… a személyes adatok meghatározott cél nélküli, tetszőleges jövőbeni felhasználásra való gyűjtése és feldolgozása alkotmányellenes.



…, a korlátozás nélkül használható, általános és egységes személyazonosító jel (személyi szám) alkotmányellenes. “ 20

1992. évi LXIII. törvény alapelvei Az állampolgárnak döntési és cselekvési joga van a róla szóló információk felett, valamint joga van a közérdekű információk megismeréséhez. Ezeket a jogokat csak törvény korlátozhatja.

21

1992. évi LXIII. törvény főbb pontjai A törvény célja  Értelmező rendelkezések  A személyes adatok védelme  A közérdekű adatok nyilvánossága  Az adatvédelmi biztos és az adatvédelmi nyilvántartás  Különleges és záró rendelkezések 

22

Személyes adatok Az érintett személlyel kapcsolatba hozható adat, melyből következtetés vonható le az érintettről. Pl: név, születési dátum, hely, anyja neve, végzettsége, foglakozása,

23

Különleges adatok A magánszféra leginkább védelemre szoruló adatai, amelyek a következőkre vonatkoznak:

24

1. faji, nemzeti, nemzetiségi és etnikai eredetre, 2. politikai véleményre, pártállásra, 3. vallási vagy más meggyőződésre, 4. egészségi állapotra, 5. káros szenvedélyre, 6. szexuális beállítottságra, 7. büntetett előéletre,

25

Adatfeldolgozás Az adatok gyűjtése, rendszerezése, törlése, archiválása.

26



adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik;



nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik,



adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges; 27

Adatkezelő Az a természetes vagy jogi személy (hatóság, intézmény vagy más szervezet), amelynek törvényes joga van meghatározni az adatkezelés célja szerint tárolandó személyes adatok fajtáit és végrehajtani velük a végzendő műveletet. 28

Adatfeldolgozó Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából személyes adatok feldolgozását végzi.

29

Adatkezelés szabályozása Személyes adat kezelhető, ha •az érintett hozzájárul, •a törvény elrendeli. Különleges adat kezelhető, ha •az érintett írásban hozzájárul, •valamely külön trv. elrendeli. 30

Jogérvényesítés betekintés, helyesbítés,  tájékoztatás,  elutasítás indoklása,  bírósági jogérvényesítés,  kártérítés. 

31

Közérdekű adatok Az állami vagy helyi önkormányzati feladatot ellátó szerv kezelésében, a személyes adat fogalma alá nem eső, és törvényben meghatározott kivételek körébe nem tartozó adat. 32

Közérdekű adatok nyilvánossága Közfeladatot ellátó szerv köteles tájékoztatást adni tevékenységéről.  Belső használatra és döntés-előkészítésre használt adat 30 évig nem nyilvános.  Az adatszolgáltatás megtagadása esetén bírósághoz fordulhat. 

33

Kivételek 1. honvédelmi, 2. nemzetbiztonsági, 3. bűnüldözési vagy bűnmegelőzési, 4. központi pénzügyi vagy devizapolitikai érdekből, 5. külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra, 6. bírósági eljárásra vonatkozó adatok. 34

Adatvédelmi biztos 

Az Országgyűlés választja,



ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabály megtartását;



kivizsgálja a hozzá érkezett bejelentéseket;



gondoskodik az adatvédelmi nyilvántartás vezetéséről, 35



javaslatot tesz az adatvédelmi törvény módosítására,



felszólt a jogellenes adatkezelés megszüntetésére,

javaslatot tesz a titkos adatok minősítésének módosítására. http://www.mkogy.hu.adatved_biztos



36

37

Adatvédelmi nyilvántartás a) az adatkezelés célját; b) az adatok fajtáját és kezelésük jogalapját; c) az érintettek körét; d) az adatok forrását; e) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját; f) az egyes adatfajták törlési határidejét; g) az adatkezelő nevét és címét (székhelyét), valamint a tényleges adatkezelés helyét.

38

Állam- és szolgálati titok 1995. évi LXV. törvény  Államtitok - idő előtti nyilvánosságra kerülése sérti a MK érdekeit. 

Szolgálati titok - illetéktelen kezekbe kerülve sérti a közfeladatot ellátó szerv érdekeit. 39

Minősítés csak a törvény mellékletében szereplő témákban,  az illetékes szerv vezetője jogosult,  formai jelzések: 

– „Titkos”, vagy „Szigorúan titkos” jelzés – a minősítő neve, beosztása, – érvényességi idő. 40

Banktitok 1996. évi CXII. törvény Banktitok minden olyan, az egyes ügyfelekről a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerződéseire vonatkozik. 41

A banktitok nem vonatkozik a felügyeleti szervekre (MNB, KEI, OBA, Számvevőszék)  közjegyző, gyámhivatal,  végrehajtó,  bűnüldöző szervek,  BM, PM  köztartozások esetén APEH OEP és VPOP 

42

Üzleti titok Üzleti titok a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ, megoldási mód vagy adat, amelynek titokban maradásához a jogosultnak méltányolható érdeke fűződik.

43

Adattovábbítás 1995. évi CXIX trv. a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről Források: régi kapcsolat, telefonkönyv, szaknévsor, azonos tevékenységet végző szervtől, nagy rendszerekből (6 hónapig használható) 44

Nagy tömegű személyes adatokat feldolgozó szervezetek       

KÖNYVH APEH OEP NYUFIG VPOP KSH Önkormányzatok

Nemzetbiztonsági szolgálatok  Honvédség  Rendőrség  Kamarák, egyesületek  Munkahely  Szolgáltatók 

45

Adatbiztonság Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.

46

Alapkövetelmények 

Rendelkezésre állás a rendszer szolgáltatásai és adatai a megfelelő időben működőképesek.

•Sértetlenség az adatokat és a programokat csak az arra jogosultak változtathatják meg, véletlenül sem módosulnak. 47

 Bizalmasság

Az adatokhoz az arra jogosítottak csak az előírt módokon férhetnek hozzá.

48

 Hitelesség

A partnerek kölcsönösen és kétségtelenül felismerhetik egymást, és ez az állapot a kapcsolat egész idejére változatlanul fennmarad.  Működőképesség

A rendszernek és elemeinek az elvárt és igényelt üzemelési állapotban való tartása. 49

Fenyegető tényezők A fenyegető tényezők a biztonsági alapkövetelmények teljesítését zavaró körülmények vagy események.

50

Alapfenyegetettség Az alapfenyegetettség a fenyegető tényezők olyan csoportosítása, amely a biztonsági alapkövetelmények valamelyikének teljesíthetelenségét okozza.

51

Védelmi/biztonsági mechanizmusok Ezek olyan eljárási módszerek vagy megoldási elvek, amik azt a célt szolgálják, hogy egy vagy több biztonsági követelményt teljesítsenek.

52

Nemzetközi ajánlások az értékeléshez TCSEC USA Védelmi Minisztériuma 1985. Biztonságos Számítógépes Rendszerek Értékelési Kritériumai Narancs Könyv

53

ITSEC Európai Közösség 1991. Információtechnológiai Biztonsági Kritériumok Fehér Könyv

54

További lépések 

CTCPEC - A Biztonságos Számítástechnikai Termékek Értékelési Kritériumai Kanadában, Kanada 1993.



FC - Szövetségi Kritériumok, USA+Kanada 1993.



CC - Közös Követelmények, EU+USA+Kanada, 1996. 55

ITSEC tartalma megbízható informatikai rendszerek alapfunkciói,  biztonsági osztályok,  védelmi mechanizmusok,  minősítési kritériumok és  minősítési fokozatok, 

56

Alapfunkciók  azonosítás  hitelesítés  jogosultság kiosztás  jogosultság ellenőrzés  bizonyíték biztosítás  újraindítási képesség  hibaáthidalás,  átviteli biztonság 57

Biztonsági osztályok kialakításának alapelvei A különböző alapfunkciókkal szembeni követelmények választéka.  Figyelembe lehessen venni a rendszerek sajátosságait.  Összehasonlítható legyen a TCSEC-el. 

58

Biztonsági osztályok alapesetei D - minimális  C - tetszőleges  B - kötelező  A - verifikált (ellenőrzött, bizonyított) 

59

Biztonsági osztályok az TCSEC-ben D - bárki módosíthatja a rendszer erőforrásait (pl. DOS)  C1 - azonosítás és hitelesítés, a jogkezelés és jogellenőrzés (pl. UNIX)  C2 - felhasználó azonosítás, fokozott ellenőrzés, részletes rendszeradminisztráció (MS Windows NT , Novell NetWare) 

60



B1 – címkézett biztonságú védelem



B2 – strukturált védelem



B3 – biztosított védelmi területek



A1 – ellenőrzött tervezés

61

Pótlólagos osztályok F-IN  F-AV  F-DI  F-DC  F-DX 

adatbázis jellegű rendszerek gyártási folyamatok adatsértetlenség magas átviteli biztonság titkos adatok továbbítása nyílt hálózatokon

62

Védelmi mechanizmusok Felhasználó-azonosítási és hitelesítési eljárás  Hozzáférés-jogosultság ellenőrzési eljárás  Felelősségre vonhatósági eljárás  Könyvvizsgálati eljárás  Eszköz-újrafelhasználási eljárás  Pontossági eljárás  A szolgáltatások megbízhatósága eljárás  Adatok cseréje eljárás 

63

Minősítési fokozatok Kevés védelmet nyújtanak a külső támadásokkal szemben, de a hibáktól védenek: Q0 , Q1, Q2  jótól a kiválóig nyújtanak védelmet a külső támadásokkal szemben: Q3, Q4, Q5  nem leküzdhető védelemmel rendelkező rendszerek: Q6, Q7 

64

ISO OSI 7498-2 (X.800) Biztonsági szolgálatok  hitelesítés  hozzáférés ellenőrzés  adattitkosság  adatsértetlenség  letagadhatatlanság 65

ITSEC        

azonosítás hitelesítés jogosultság kiosztás jogosultság ellenőrzés bizonyíték biztosítás újraindítási képesség hibaáthidalás, átviteli biztonság

X 800     

hitelesítés hozzáférés ellenőrzés adattitkosság adatsértetlenség letagadhatatlanság

66

Biztonsági mechanizmusok rejtjelezés  digitális aláírás, időpecsét  hozzáférés ellenőrző mechanizmusok  adatsértetlenség mechanizmusok  hitelességcsere  forgalom helykitöltés  forgalomirányítás  közjegyzői hitelesítés 

67

       

ITSEC Felhasználó-azonosítás és hitelesítés Hozzáférés-jogosultság ellenőrzés Felelősségre vonhatóság Könyvvizsgálat Eszköz-újrafelhasználás Pontossági eljárás A szolgáltatások megbízhatóság Adatok cseréje

       

X 800 Rejtjelezés Digitális aláírás, időpecsét Hozzáférés ellenőrzés Adatsértetlenség mechanizmusok Hitelességcsere Forgalom helykitöltés Forgalomirányítás Közjegyzői hitelesítés 68

Miniszterelnöki Hivatal Informatikai Koordinációs Iroda Informatikai Tárcaközi Bizottság (ITB) ajánlásai: 

Informatikai biztonsági módszertani kézikönyv 8. sz. ajánlás

69

Az informatikai rendszerek biztonsági követelményei 12. számú  Common Criteria (CC), az informatikai termékek és rendszerek biztonsági értékelésének módszertana 16. számú 

 Internet 

a kormányzatban – intranet 13. számú

Elektronikus adatcsere

17. számú 70

71

ITB 12. sz. ajánlás Besorolások információ védelem területén  kárérték szerint  megbízható működés szerint 

72

Védendő adatok kategóriái nyílt, szabályozók által nem védett adat,  érzékeny, de nem minősített (személyes, különleges, üzleti, bank, orvosi, stb.)  szolgálati titok,  államtitok, 

73

Kárérték szerinti besorolások anyagi, (közvetlen, közvetett)  társadalmi, politikai, humán  személyi sérülés, haláleset,  visszaélés 

74

Megbízható működés 

Újraindítási képesség



Hiba-áthidalási folyamat kialakítása



Hatékony menedzselés

75

ALAP BIZTONSÁGI OSZTÁLY 

Személyes adatok, üzleti titkok, pénzügyi adatok, a nyílt adatok feldolgozására, tárolására alkalmas rendszer



közepes kárérték (1 mFt)



nincs tartalék berendezés, hibajavítás

76

FOKOZOTT 

A szolgálati titok, különleges személyes adatok, nagy tömegű személyes adatok, banktitkok, közepes értékű üzleti titkok



nagy kárérték (10 mFt)



tartalék berendezések, hibajavítás

77

KIEMELT 

államtitok, a katonai szolgálati titok, nagy tömegű különleges személyes adatok és nagy értékű üzleti titkok



katasztrofális kárérték (100 mFt felett)



szorosan csatolt melegtartalék

78

Biztonsági osztályok TCSEC

ITSEC

12. ajánlás

C1

F-C1

C2

F-C2

B1

F-B1

FOKOZOTT

B2

F-B2

KIEMELT

B3

F-B3

ALAP

79

Az informatikai biztonság megteremtésének szakaszai A védelmi igények feltárása Fenyegetettség elemzés Kockázatelemezés Kockázat-menedzselés 80

Védelmi igények feltárása 1. Alkalmazások és adatok feltérképezése 2. Értékelése

81

Fenyegettség elemzés 3. A fenyegetett rendszerelemek feltérképezése 4. Az alapfenyegettség meghatározása 5. A fenyegető tényezők meghatározása

82

Rendszerelemek: 1. Környezeti infrastruktúra 2. Hardver eszközök 3. Adathordozók 4. Dokumentumok 5. A szoftver 6. Az adatok 7. Kommunikáció 8. Az emberi tényező 83

Környezeti infrastruktúra terület, épület, helyiségek, átviteli vezetékek, áramellátás, vízellátás, világítás, telefon, belépés ellenőrzés, tűzvédelem, vízvédelem, betörés- és egyéb biztonságvédelmi berendezések összessége

84

Környezeti infrastruktúra természeti katasztrófák,  betörés, terrorcselekmények,  gondatlanságból eredő károk (tűz, víz)  védelmi berendezések hiánya, vagy könnyen kiismerhető védekezés közműellátási zavarok (áramszünet, vízhiány)  ellátó berendezések meghibásodása 

85

Hardver eszközök számítógépek és perifériák, hálózati csatolók, hálózati és táp-kábelek  készülékek rongálása (pl. kóla, kávé), károsítása, ellopása,  szabálytalan szerelések,  elektromágneses sugárzás (mobil telefonok)  műszaki jellegű meghibásodások,

86

Adathordozók az adatmentések szabályozatlansága  fizikai sérülések  elégtelen azonosítás  nem megfelelő tárolás  lopás 

87

Dokumentumok Kezelési kézikönyvek, szabályzatok, rendszerleírások, üzemeltetési naplók,  dokumentáció hiánya,  nem selejtezett elavult dokumentumok  jogosulatlan változtatások bevezetése  szabálytalan kölcsönzés, másolás,

88

A szoftver ellenőrizetlen szoftverbevitel  jogosulatlan rendszerbejutás  kezelési, karbantartási hiba  a szoftver sérülése  vírusveszély  teszteletlen programok használata 

89

Adatok a bevitt adatok nem megfelelő ellenőrzése  mentések elmulasztása  hiányzó kezelési eljárások  hibás sw által okozott adatvesztések  megszakítások által okozott hibák  eredményadatok ellenőrizetlensége 

90

Kommunikáció átviteli vonalak károsodása  a küldő és fogadó azonosításának hibái  jogosulatlan behatolások  túlterheltség, forgalmazási csúcsok  lehallgatás  hibás berendezések és szoftverek 

91

Az emberi tényező

 fenyegetés

forrása

 védelemigényes

rendszerelem 92

A fenyegetés forrása

munkából való kiesés  hibás munkavégzés  az előírások megsértése  szándékos károkozás  információk kiadása 

93

Motivációk haszonszerzés,  bosszú,  irigység,  sértettség,  felindultság,  virtus, 

tudatlanság,  képzetlenség,  alkalmatlanság,  ellenséges magatartás,  gondatlanság. 

94

A károkozók megoszlása Egyéb 1% Külső 17%

Alkalmazottak 82%

95

Biztonsági intézkedések a személyek védelmében Ergonómiailag korrekt munkahelyek kialakítás  A motiváció fenntartása  Stresszmentes környezet  Pontos munkaköri leírások  Megfelelő kiképzés  A szükséges munkaeszközük biztosítása 

96

Kockázatelemzés 6. A fenyegetett rendszerelemek értékelése 7. A károk gyakoriságának meghatározása A fennálló kockázat leírása, értékelése

97

Kockázat menedzselés 9. Az intézkedések kiválasztása 10. Az intézkedések értékelése 11. Költség-haszon arány elemzése 12. Maradványkockázat elemzése 98

Biztonsági intézkedések Az intézkedések kiválasztása a biztonsági osztályok igényei szerint történik  Többlépcsős, többször megismételt folyamat 

99

Programozott kártevők Hátsó ajtók, kiskapuk és csapdák  Logikai bombák  Vírusprogramok  Programférgek  Trójai programok  Baktériumok vagy nyulak. 

100

Hátsó ajtók, kiskapuk és csapdák Lehetővé teszi, hogy jogosulatlan felhasználók elérjék a rendszert. Alkalmazásfejlesztő programozók írják, hogy később hozzáférjenek a rendszerhez. (DEBUG opció)

101

Logikai bombák Aktivizálódásuk bizonyos feltételekhez kötött, ami lehet egy adott dátum (pl. péntek 13) vagy egy bizonyos felhasználó belépése, stb. Időnként felhasználják jogvédelmi célokra is.

102

Vírusprogramok Végrehajtható programokban helyezkednek el, a gazdaprogram futásakor a víruskódok is végrehajtásra kerülnek. Víruskritériumok:  saját kód sokszorozásának képessége  rejtőzködés alkalmazása  adott feltételek teljesülésére való figyelés  mellékhatások megjelenése

103

Vírusok fajtái: Boot szektor vírusok (Brain, Italian)  Partíciós tábla vírusok (Stoned)  Direct Action File Virus  Indirect Action File Virus 

104

Programférgek önmagukban is futóképes, gépről gépre vándoroló program, amelyek ugyan nem változtatnak meg más programokat, de szállíthatnak vírusokat. Pl. CHRISTMA

105

Hogyan védekezzünk a levélférgek ellen? Ne nyissuk meg olyan levelek mellékleteit, amelynek ismeretlen a feladója.  A legkisebb gyanú esetén inkább töröljük ki az e-mailt!  Ha a gépünk fertőzött lett, ne indítsuk újra és ne kapcsoljuk ki, hívjunk specialistát! 

106







Ne vegyük komolyan a vírusra figyelmeztető leveleket és ne küldjük tovább. Különösen akkor, ha ismeretlentől jött. Ne hallgassunk az olyan levelekre, amelyek általában karitatív felhívás kapcsán - arra ösztönöznek, hogy minél több helyre küldjük őket tovább. Óvakodjunk az olyan levelektől, amelyek nagy nyereményeket, könnyű pénzt ígérnek.

107

Trójai programok Gyakran használt programokba (tömörítők, hasznos segédprogramok) építenek bele destruktív utasításokat tartalmazó programkódokat. Szaporító rész nincs bennük. Az elterjedését a felhasználók biztosítják azzal, hogy felmásolják saját számítógépükre a hasznosnak vélt segédprogramot, majd esetleg tovább is adhatják ismerőseiknek. Ezzel tökéletesen meg is van oldva a terjedés mechanizmusa. 108

Baktériumok vagy nyulak

Nem kifejezetten célja más állományok rongálása, csupán önmagukat másolják, és így exponenciálisan szaporodva lefoglalják a processzort, a memóriát ás a lemezterületet.

109

Kriptográfia

110

A kriptográfia alapvető feladata Biztosítsa azt, hogy bizonyos adatok, csak az azok felhasználására kijelölt körben legyenek elérhetők, ne juthassanak illetéktelenek birtokába.

111

Polibüosz táblája (i.e. 200 - i.e. 120) 1

2

3

4

5

1

A

B

C

D

E

2

F

G

H

I

K

3

L

M

N

O

P

4

Q

R

S

T

U

5

V

W

X

Y

Z 112

A 113

M 114

Keverő rejtjelezés K 0-1

R 4-2

E 1-4

Ő 5-5

R 6-7

V 2-9 E 3-F

E 7-C

J 8-0

L C-3 T 9-6 J A-B E B-E

Z E-A

E D-8 Ő F-D

116

J

K

R

L

E

Ő

T

R

E

V

Z

J

E

Ő

E

E

117

Vigenere rejtjelezés Kódolandó, nyílt szöveg (rejtjelezés)  Kulcsszöveg (egy kulcs)  Kódtábla  Kódolt szöveg 

118

N Y Í L T

B E T Ű K

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z b c d e f

c d e f g

d e f g h i j k e f g h i j k l f g h i j k l m g h i j k l m n h i j k l m n o

A B C D E

a b c d e

K U L C S

F G H I J

f g h i g h i j h i j k i j k l j k l m

j k l m n

B E T Ű

K L M N O

k l m n o

o p q r s p q r s t q r s t u r s t u v s t u v w

P Q R S T

p q r s t u q r s t u v r s t u v w s t u v w x t u v w x y

U V W X Y Z

u v w x y z

K

l m n o p

v w x y z a

m n o p q

w x y z a b

n o p q r

x y z a b c

y z a b c d

k l m n o

z a b c d e

l m n o p

m n o p q

n o p q r

l m n o p

m n o p q

n o p q r

o p q r s p q r s t q r s t u r s t u v s t u v w

t u v w x

u v w x y

v w x y z

w x y z a

x y z a b

y z a b c

o p q r s p q r s t q r s t u r s t u v s t u v w

t u v w x

u v w x y

v w x y z

w x y z a

x y z a b

y z a b c

z a b c d

a b c d e

b c d e f

c d e f g

d e e f f g g h h i

t u v w x

u v w x y

v w x y z

w x y z a

x y z a b

y z a b c

z a b c d

a b c d e

b c d e f

c d e f g

d e f g h i j e f g h i j k f g h i j k l g h i j k l m h i j k l m n

z a b c d

a b c d e

b c d e f

c d e f g

d e f g h i j k e f g h i j k l f g h i j k l m g h i j k l m n h i j k l m n o

l m n o p

m n o p q

n o p q r

o p q r s

i j k l m n

q r s t u v

r s t u v w

s t u v w x

t u v w x y

v w x y z

w x y z a

x y z a b

y z a b c

a b c d e f

b c d e f g

c d e f g h

d e f g h e f g h i f g h i j g h i j k h i j k l i j k l m

j k l m n o

k l m n o p

l m n o p q

m n o p q r

n o p q r s

o p q r s t

p q r s t u

z a b c d

119

Nyílt üzenet:

r e

j

t

j

e l

e z e s

Kulcsszöveg:

e g y k u l c s e g y

Rejtett üzenet: V K H D D P N W D K Q

120

ENIGMA 



II. világháború kulcsszerepet játszó kódoló eszköze a németek fejlesztették ki, a lengyelek, majd az angolok fejtették meg

121

Nyílt információ Az eredeti, kódolatlan, bárki által értelmezhető üzenetet.

122

Rejtjeles információ A rejtjelezés eredménye, a védett, olvashatatlanná tett információ.

123

A rejtjelező algoritmus Olyan matematikai apparátus, amely egy tetszőleges, nyílt információhalmazból úgy állít elő egy kódoltat, hogy abból az eredeti nyílt adathalmaz visszanyerhető. 124

Kulcs A rejtjelezési módszerek halmaza. A kulcs ezen módszerek címkéje, vagyis a kulcs által választódik ki az éppen alkalmazott rejtjelezési transzformáció.

125

Rejtjelezés, kódolás (encryption) Az a konverzió, amely során a nyílt információból rejtjeles lesz.

Nyílt informáci ó

kódolás

Rejtjeles információ

126

Megoldás, megfejtés, dekódolás (decryption) Az előbbi fordítottja, amikor is egy kódolt információhalmazból nyílt információt állítunk elő.

Rejtjeles információ

dekódolás

Nyílt informáci ó 127

Újabb kor kihívásai Távíró  Rádió hullámok  Internet 

128

Szimmetrikus/titkos kulcsú módszerek DES - Data Encryption Standard  fejlesztése a 70-es években kezdődött az USA-ban  64 bites blokk-rejtjelező  máig is elismerten erős algoritmus  gyors eljárás

129

DES

Input Kezdeti permutáció L0

R0

Behelyettesítés

Alkulcs

Permutáció

L1 (=R0)

R1

L15 (=R14)

R15

Behelyettesítés

Alkulcs

Permutáció

L16 (=R15)

R16

Végső permutáció Output

130

A DES egy lépésének modellje

OOOOOOOOOOOOOOO O

OOOOOOOOOOOOOOO O

131

X

Kommunikációs csatorna

Y

Nyílt szöveg Titkos kulcs

Titkos kulcs

kódolás Kódolt szöveg

Kódolt szöveg dekódolás Nyílt szöveg 132

Abszolút biztos csatorna kulcs

ADÓ nyílt

VEVŐ rejtjelezett

nyílt

133

Aszimmetrikus kulcsok Nyilvános kulcsú rendszerek 76-ban Diffie és Hellmann Kétkulcsos rendszerek: egyik nyit másik zár

134

Nyilvános kulcsú algoritmusok RSA - Ronald Rivest, Adi Shamir, Len Aldemann RC-1, RC-2, RC-3, RC-4, RC-5 algoritmusok

135

PGP Pretty Good Privacy  Philip Zimmermann  MSDOS, UNIX, VAX/VMS és sok más op. rendszer alatt fut  elsősorban magánlevelezések titkosítását szolgálja 

136

X

Nyílt szöveg

Nyilvános kulcsok

Y Y titkos kulcsa

kódolás Kódolt szöveg

Kódolt szöveg dekódolás Nyílt szöveg 137

Rendszertechnikai elemek Lecserélhető algoritmus  Komplett kulcsmenedzsment  Osztott védelmi rendszer  Önálló központi kulcsellátó rendszer  Naplózó és jelszórendszer  Védett tárolás 

138

Kulcsmenedzsment szimmetrikus kulcsú algoritmusoknál A különböző típusú és funkciójú kulcsok időben és fizikai helyszínben máshol keletkeznek és a teljes rendszer működtetése vagy kihasználása csak azok együttes birtoklásával lehetséges. 139

Háromutas kulcsforgalom A

"A" kulccsal rejtjelezett

A

"A+B" kulccsal rejtjelezett

"B" kulccsal rejtjelezett

B

B

140

Digitális aláírás hitelesítő eszköz,  csak az arra jogosult szolgáltató végezheti,  technológia semleges,  csak törvény zárhatja ki az elfogadása körét,  alkalmazására nem lehet senkit kötelezni, 

141

DIGITÁLIS ALÁIRÁS KÉSZITÉS Hash függvény

Nyílt szöveg kivonatolá s

Kivonat

X titkos kulcsa

kódolás

Nyílt szöveg

Kódolt kivonat 142

DIGITÁLIS ALÁIRÁS ELLENŐRZÉSE Hash függvény

Nyílt szöveg kivonatolá s X nyilvános kulcsa

Kivonat 1. dekódolás

Kódolt kivonat

Kivonat 2.

egyező i A szöveg hiteles

n Nem hiteles

143

Hash-függvény Követelmények:  egyirányú - praktikusan lehetetlen belőle előállítani az eredeti szöveget  lavina hatás - 1 bit változtatás 50% változás  ütközésmentes - két szöveg hash értéke mindig eltérő 144

Az elektronikus aláírás fajtái: 

„Egyszerű” – nem alkalmas a személy és a dokumentum változatlanságának bizonyítására – jogvita esetén a bíróság külön mérlegeli bizonyító erejét

145



Fokozott – A hitelesítést szolgáltató tanúsítja, de nem nem feltörhetetlen



Minősített – magas szintű technológiai biztonság – csak az arra jogosult, a HiF által nyilvántartott szervezet adhatja ki.

146



Fokozott – A hitelesítést szolgáltató tanúsítja, de nem nem feltörhetetlen



Minősített – magas szintű technológiai biztonság – csak az arra jogosult, a HiF által nyilvántartott szervezet adhatja ki.

147

Időbélyegző / időpecsét 

 

elektronikus irathoz, illetve dokumentumhoz végérvényesen hozzárendelt vagy logikailag összekapcsolt igazolás, amely tartalmazza a bélyegzés időpontját, és amely a dokumentum tartalmához technikailag olyan módon kapcsolódik, hogy minden – az igazolás kiadását követő – módosítás érzékelhető.

148

Tűzfalak A számítógépes hálózatokban a tűzfal egy olyan kiszolgáló számítógép vagy program, amelyet a lokális és a külső hálózat közé, a csatlakozási pontra telepítenek, hogy az illetéktelen behatolásoknak ezzel elejét vegyék egyúttal lehetővé teszi a kifelé irányuló forgalom ellenőrzését is. 149

A tűzfalak alaptípusai Csomagszűrő - minden bemenő és kijövő csomagot ellenőriz  Proxy - közvetítő, egyetlen IP címet látnak kívőlről 

150

Jelszavak Szótártámadás  Nyers erő támadás  Tokenek  Intelligens kártyák 

151

Vége

152