Információs technológiák 8. Ea: Lakat alatt Az informatikai biztonságról
B IT M A N
126/1
2015.09.08 B ITv: M AN
Az informatikai biztonságról
126/2
B IT M A N
Témakörök
Általános alapfogalmak
Adatvédelem Adatbiztonság
126/3
Ellenőrző kérdések
B IT M A N
Adat, jel, információ Adat: tények, fogalmak, eligazítások olyan formai
megjelenése, amely alkalmas az emberi vagy az automatikus eszközök által történő kommunikációra, értelmezésére, feldolgozására. – Az adat valamilyen formában tárolt ismeretet jelent. Jel: Az adat hordozója, mely valamilyen módon
felfogható: hallható, látható, valamilyen eszközzel érzékelhető. Információ: az adatok feldolgozásával keletkező hatás,
(értelmezett adat) amely a befogadó számára megnövekedett jelentéstartalmat hordoz. 126/4
B IT M A N
Kommunikáció Információátadás, szereplői: emberek és gépek. A sikeres kommunikáció feltételei: A kommunikáló felek között olyan kapcsolatnak kell kialakulnia, amely lehetővé teszi a kommunikáció megtörténtét. Szükség van a kommunikáló feleket összekötő csatornára, amely alkalmas üzenet továbbítására. Szükség van egy közös kódrendszerre (annak mindkét fél általi ismeretére). Az üzenetnek olyan tartalommal kell bírnia, amelyet a címzett megért. 126/5
B IT M A N
A kommunikáció modellje Claude Elwood Shannon, 1948
Forrás
Adó
jel
jel
csatorna
kódolás
Vevő
Felhasználó
dekódolás zaj
Kódolás: a közlemény csatornán átvihető jelekké történő
alakítása valamilyen kódrendszer segítségével. Dekódolás: a jelek visszaállítása közleménnyé. Csatorna: az a (fizikai) közeg, melyen keresztül a közlemény eljut a feladótól a vevőhöz. Redundancia: általában bizonyos adatokat megismétlünk az üzenetben, ezeket az újabb információt nem adó elemeket redundáns adatoknak nevezzük. 126/6
B IT M A N
Kommunikáció - Dokumentum Kommunikáció: Az információk cseréje, átadása. Adó
Információ
Kódolás
Vevő
Csatorna
Dekódolás
Információ
Dokumentum: Az információ megjelenési formája.
Olyan önálló szellemi termék, független információegység, melynek célja az információ közlése, a tudás átadása. Számítógépes környezetben a dokumentumok fájlok formájában jelennek meg, így tárolódnak, így továbbíthatók. 126/7
B IT M A N
Adatvédelem - Adatbiztonság Adatvédelem: Adatok meghatározott csoportjára
vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Adatbiztonság: Az adatok jogosulatlan megszerzése,
módosítása és tönkretétele elleni technikai megoldások (műszaki és szervezési intézkedések és eljárások) együttes rendszere.
126/8
B IT M A N
Témakörök
Általános alapfogalmak
Adatvédelem Adatbiztonság
126/9
Ellenőrző kérdések
B IT M A N
Adatvédelem Adatvédelem: Adatok meghatározott csoportjára
vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Fő ellentmondás:
Az információ szabad áramlása
126/10
Személyes adatok védelme
B IT M A N
Adatvédelmi ajánlások Európa tanács – 1973
– Az egyének magánéletének védelméről, a magán, ill. az állami szektorban tárolt elektronikus adatbankokkal szemben. Európa Tanács - 1979 – A kormányzati dokumentumok nyilvánosságáról és az információszabadságról Gazdasági Együttműködés és Fejlesztési Szervezet (OECD) - 1980 – A magánélet védelméről és a személyes adatok határt átlépő áramlásáról 126/11
B IT M A N
Adatvédelmi ajánlások 2. Európa Tanács - 1981
– Titokvédelmi egyezmény a személyes adatok automatikus kezelésével kapcsolatos védelméről Általános Vám- és Kereskedelmi Egyezmény - 1993 – Egyezmény a szellemi tulajdon kereskedelmével összefüggő kérdésekről Európai Unió és az Európa Parlament - 1997 – Irányelv az adatbázisok jogi védelméről NATO - 1997 – Az információ biztonságáról Európai Unió és az Európa Parlament - 1999 – Akcióterv az Internet biztonságos használatának előkészítésére
126/12
B IT M A N
Hazai szabályozás Az Alkotmány XII. fejezete, 59. §
A Magyar Köztársaságban mindenkit megillet a jó hírnévhez, a magánlakás sérthetetlenségéhez, valamint a magántitok és a személyes adatok védelméhez való jog.
126/13
B IT M A N
1992. évi LXIII. törvény Az állampolgárnak döntési és cselekvési joga van a róla
szóló információk felett, valamint joga van a közérdekű információk megismeréséhez. A törvény főbb pontjai:
– – – – –
126/14
A törvény célja Értelmező rendelkezések A személyes adatok védelme A közérdekű adatok nyilvánossága Az adatvédelmi biztos és az adatvédelmi nyilvántartás
B IT M A N
Személyes adatok Az érintett személlyel kapcsolatba hozható adat, melyből
következtetés vonható le az érintettről. Pl: név, születési dátum, hely, anyja neve, végzettség, foglakozás…
126/15
B IT M A N
Különleges adatok A magánszféra leginkább védelemre szoruló adatai,
amelyek a következőkre vonatkoznak: – Faji, nemzeti, nemzetiségi és etnikai eredetre, – Politikai véleményre, pártállásra, – Vallási vagy más meggyőződésre, – Egészségi állapotra, – Káros szenvedélyre, – Szexuális beállítottságra, – Büntetett előéletre.
126/16
B IT M A N
Az adatkezelés szabályozása Adatkezelő: Az a természetes vagy jogi személy
(hatóság, intézmény vagy más szervezet), amelynek törvényes joga van meghatározni az adatkezelés célja szerint tárolandó személyes adatok fajtáit és végrehajtani velük a szükséges műveleteket (adatgyűjtés, módosítás, nyilvánosságra hozás, törlés). Személyes adat kezelhető, ha az érintett hozzájárul,
vagy a törvény elrendeli. Különleges adat kezelhető, ha az érintett írásban hozzájárul, vagy külön törvény elrendeli.
126/17
B IT M A N
Közérdekű adatok Az állami vagy helyi önkormányzati feladatot ellátó szerv
kezelésében, a személyes adat fogalma alá nem eső, és törvényben meghatározott kivételek körébe nem tartozó adat. Közfeladatot ellátó szerv köteles tájékoztatást adni
tevékenységéről. Belső használatra és döntés-előkészítésre használt adat 30 évig nem nyilvános. De! Létezik:
– Állam- és szolgálati titok, – Banktitok, üzleti titok, levéltitok 126/18
B IT M A N
Témakörök
Általános alapfogalmak
Adatvédelem Adatbiztonság
126/19
Ellenőrző kérdések
B IT M A N
Adatbiztonság
126/20
Alapfogalmak
Az informatikai biztonság megvalósítása
Titkosítási módszerek
B IT M A N
Adatbiztonság Adatbiztonság: Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni technikai megoldások (műszaki és szervezési intézkedések és eljárások) együttes rendszere. Alapkövetelmények: Rendelkezésre állás – A rendszer szolgáltatásai és adatai a megfelelő időben legyenek működőképesek. Sértetlenség – Az adatokat és a programokat csak az arra jogosultak változtathatják meg, véletlenül sem módosulnak. 126/21
B IT M A N
Adatbiztonság – Alapkövetelmények 2. Bizalmasság
– Az adatokhoz az arra jogosultak, és csak az előírt módokon férhetnek hozzá. Hitelesség – A partnerek kölcsönösen és kétségtelenül felismerhetik egymást, és ez az állapot a kapcsolat egész idejére változatlanul fennmarad. Működőképesség – A rendszernek és elemeinek az elvárt és igényelt üzemelési állapotban való tartása.
126/22
B IT M A N
Kockázatmenedzsment Fenyegető tényezők: a biztonsági alapkövetelmények
teljesítését zavaró körülmények vagy események. A kockázatmenedzsment feladata a rendszert fenyegető
veszélyek felmérése, és a megfelelő védelmi stratégia kidolgozása. – Törekedni kell egy egyenszilárdságú rendszer kiépítésére, mely minden pontján egyforma erősségű védelmet nyújt. – Fontos: a védelemre fordított energia és tőkebefektetés ne haladja meg a lehetséges kár által okozott veszteséget. 126/23
B IT M A N
Támadások Az adat a támadások célja, de általában nem közvetlenül
érhetők el az adatok, hanem az azokat "körülvevő" rendszerelemeken (a hardver és/vagy szoftver elemeken, a környezeti infrastruktúrán) keresztül. Támadás: Azok az akciók, amelyek az adatok – bizalmasságát, – sértetlenségét, – hitelességét, – rendelkezésre állását, – a funkcionális követelményeknek megfelelő felhasználásukat veszélyeztetik. 126/24
B IT M A N
Veszélyforrások Megvesztegetés
Szakképzetlenség
Bosszúállás
Személyek (belső, külső)
Fizikai behatolás
Szabályok hiánya
Vírusok
Épület, szerverszoba
Áramellátás
Üzemzavar Szakszerűtlen üzemeltetés
Villámvédelem
Hardver + Hálózat
Op.Rendszer Alkalmazások ADAT
Tűzvédelem, Hűtés
Programhibák
Illetéktelen szoftverek Illetéktelen rácsatlakozás Illetéktelen hozzáférés Kémprogramok
Tűz
126/25
Túlmelegedés
Villámcsapás
B IT M A N
Veszélyforrások 2. Szervezési gyengeségek
– Szervezési hiányosságokból eredő veszélyek, nem megfelelő erőforrás és kapacitástervezés Természeti veszélyforrások – Tűz, csőtörés, árvíz, villám, földrengés Fizikai veszélyek – Betörés, lopás, rongálás Logikai fenyegetések – Informatikai csalás, hálózati betörés, lehallgatás Humán veszélyforrások – Belső munkatársak gondatlansága, visszaélések, szándékos rongálás
126/26
B IT M A N
Az informatikai biztonság az az állapot, amikor az informatikai rendszer védelme a rendszer által kezelt adatok bizalmassága, hitelessége, sértetlensége rendelkezésre állása, a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folyamatos és a kockázatokkal arányos.
126/27
B IT M A N
Az informatikai biztonság 2. Zárt védelem: az összes releváns fenyegetést
figyelembe vevő védelem. Teljes körű védelem: a védelmi intézkedések a rendszer összes elemére kiterjednek. Folyamatos védelem: az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósuló védelem. A kockázattal arányos védelem: egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel.
126/28
B IT M A N
Az informatikai biztonság 3. – A védelmi költségek és a kárérték arányát a biztonságpolitika határozza meg, és ezt, mint a védelem erősségét is értékelhetjük. – A védelem akkor kielégítő erősségű (mértékű), ha a védelemre akkora összeget és olyan módon fordítanak, hogy ezzel egyidejűleg a releváns fenyegetésekből eredő kockázat a szervezet számára még elviselhető szintű vagy annál kisebb.
126/29
B IT M A N
Biztonságpolitika A szervezetek, intézmények biztonságpolitikájának
elemzéséhez és meghatározásához azok alapfeladataiból, illetve az azokat gátló, veszélyeztető hatásokból kell kiindulni. A biztonsági koncepció az adott intézményre vonatkozó informatikai biztonsági alapelveket fogalmazza meg és az informatikai biztonságpolitika alapját képzi. A biztonságpolitika a szervezet és tagjainak az informatikai biztonsághoz kívánatos viszonyulást, az érvényesítés alapelveit fogalmazza meg egységes szemlélettel és az intézmény egészére.
126/30
B IT M A N
A biztonsági stratégia Meghatározzuk a védelmi célokat, kiválasztjuk és elhatároljuk azokat a területeket,
amelyeken a biztonsági rendszereket kialakítani és az intézkedéseket érvényesíteni kell, meghatározzuk a biztonsági tervezés módszerét, körvonalazzuk a minimális követelményeket, megtervezzük és ütemezzük az intézményre vonatkozó biztonsági intézkedéseket, beleértve a katasztrófaelhárítást is, meghatározzuk a követhetőség és a menedzselhetőség követelményeit, valamint a felügyelet és az ellenőrzés rendszerét.
126/31
B IT M A N
Az adatvesztés főbb okai
Forrás: Contigency Planning Research 126/32
B IT M A N
Keletkező károk Dologi károk: közvetlen vagy közvetett költségvonzat
– Károsodás az infrastruktúrában (épület, vízellátás, áramellátás, klímaberendezés stb.), – károsodás az informatikai rendszerben (hardver, hálózat sérülése stb.), – a dologi károk bekövetkezése utáni helyreállítás költségei.
126/33
B IT M A N
Keletkező károk 2. Politikai és társadalmi károk:
– Állam- vagy szolgálati titok megsértése, – személyiséghez fűződő jogok megsértése, személyek vagy csoportok jó hírének károsodása, – bizalmas adatok nyilvánosságra hozatala, – hamis adatok nyilvánosságra hozatala, – közérdekű adatok titokban tartása, – bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben.
126/34
B IT M A N
Keletkező károk 3. Gazdasági károk:
– Lopás károk, – az intézmény vagy cég image-ének romlása, – rossz üzleti döntések hiányos vagy hamis információk alapján. Személyek biztonságában esett károk:
– Személyek megsérülése, – megrokkanása, – haláleset.
126/35
B IT M A N
Keletkező károk 4. A tudomány területén okozott károk:
– Eredmények idő előtti, illetve hamis név alatti nyilvánosságra kerülése, – tudományos eredmények meghamisítása.
126/36
B IT M A N
Kárérték szintek Helyreállítás Anyagi kár időtartama „0” Jelentéktelen kár „1” Csekély kár
Néhány 10.000 Ft Néhány 100.000 Ft
Hatások Jelentéktelen személyi sérülések
< 1 nap
Szervezeten belül maradó problémák Nem védett adat bizalmassága vagy hitelessége sérülhet Könnyű személyi sérülések
< 1 hónap
Kínos helyzet a szervezeten belül Védett adatok bizalmassága vagy hitelessége sérülhet
Néhány súlyos személyi sérülés
„2” Közepes kár
126/37
Néhány millió Ft
Bizalomvesztés a szervezet középvezetésében
< 1 év
Fegyelmi intézkedések Jogszabállyal védett adatok (levélorvosi-, üzleti titkok) bizalmassága vagy hitelessége sérülhet
B IT M A N
Kárérték szintek 2. Helyreállítás Anyagi kár időtartama
Hatások Tömeges személyi sérülések
„3” Nagy kár
„4” Kiemelkedően nagy kár „4+” Katasztrofális kár 126/38
Néhány tízmillió Ft
Néhány százmillió Ft
Néhány milliárd Ft
> 1 év
> 10 év
Bizalomvesztés a szervezet vezetésében, vezetők lemondása Szolgálati titkok, és/vagy nagy tömegű védett személyes adatok bizalmassága vagy hitelessége sérülhet Halálesetek, és/vagy tömeges személyi sérülések
Államtitkárok, tárcavezetők leváltása Katonai-, nagy értékű üzleti titkok, bizalmassága vagy hitelessége sérülhet Tömeges halálesetek
> 10 év
Kormányon belüli személyi változás Államtitkok bizalmassága vagy hitelessége sérülhet
B IT M A N
Információbiztonsági osztályozás A besorolás az informatikai rendszert maximálisan fenyegető események alapján történik: Alapbiztonsági: a rendszerben maximum „2”, azaz
legfeljebb közepes kárértékű esemény bekövetkezése fenyeget. Fokozott biztonsági: a rendszerben maximum „3”, azaz legfeljebb nagy kárértékű esemény bekövetkezése fenyeget. Kiemelt biztonsági: a rendszerben a „4+”, azaz a katasztrofális kárértékig terjedő esemény bekövetkezése fenyeget. 126/39
B IT M A N
Információbiztonsági osztályozás 2. Alapbiztonsági: Személyes adatok,pénzügyi adatok,
illetve az intézmény belső szabályozásában hozzáféréskorlátozás alá eső és a nyílt adatok feldolgozására, tárolására alkalmas rendszer biztonsági osztálya. Fokozott biztonsági: A szolgálati titok, valamint a különleges személyes adatok, nagy tömegű személyes adatok, banktitkok, közepes érték üzleti titkok feldolgozására, tárolására is alkalmas rendszer biztonsági osztálya. Kiemelt biztonsági: Az államtitok, a katonai szolgálati titok, valamint a nagy tömegű különleges személyes adatok és nagy érték üzleti titkok feldolgozására, tárolására alkalmas rendszer biztonsági osztálya. 126/40
B IT M A N
Rendelkezésre állás Az a valószínség, amellyel egy definiált időintervallumon belül az alkalmazás a tervezéskor meghatározott funkcionalitási szintnek megfelelően a felhasználó által használható. Rendelkezésre állás
Megengedett kiesési idő
Egyszeri max. kiesés hossza
IB-A Alapbiztonsági
95,5 %
23,8 óra
-
IB-F Fokozott biztonsági
99,5 %
2,6 óra
30 perc
IB-K Kiemelt biztonsági
99,95 %
16 perc
1 perc
Tüz= 1 hónap
126/41
B IT M A N
Az alapbiztonsági (IB-A) osztály kialakítása Az intézkedéseknek az alábbiakra kell kiterjednie: Az infrastruktúra kialakítása Hardver-, szoftver védelem Adathordozók védelme Dokumentumok, dokumentációk védelme
Adatok védelme A kommunikáció, és az osztott rendszerek védelme Személyi intézkedések
126/42
B IT M A N
Az IB-A osztály infrastruktúrája Irányelvek a kialakításhoz: Az adatok feldolgozását, tárolását, a hálózat működését biztosító berendezésekre és a tárolt szoftverekre, adatokra és dokumentációkra kell megvalósítani a védelmet. A védelemnek az alkalmazások rendelkezésre állásának értékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével kell arányban lennie. A védelem teljes kör, mindenre kiterjedő legyen.
126/43
B IT M A N
Az IB-A osztály infrastruktúrája 2. Követelmények: A mechanikai védelemnél, a falazatok, a nyílászárók, a zárak biztonsági kialakításánál az építészeti szabványok, a MABISZ és a Rendőrség ajánlásai szerint kell eljárni. Az intézmény őrzés-védelmét mind munkaidőben, mind azon túl biztosítani kell, az épület zárását, a belépést ezen időszakoknak megfelelően szabályozni és érvényesíteni kell. Az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni és a helyiséget távollét esetén zárva kell tartani. Biztosítani kell az adathordozók és dokumentációk tűz- és vagyonvédett tárolását. 126/44
B IT M A N
Hardver-, szoftver védelem A számítástechnikai eszközökre a vagyonvédelem
szempontjából a MABISZ ajánlásait kell alkalmazni. A PC-s munkaállomásokat a felhasználói igények figyelembevételével úgy kell konfigurálni, hogy a felhasználóhoz kötött jelszó használat biztosított, illetve az illetéktelen adathordozó használat megakadályozható legyen. Biztosítani kell az intézmény egészére kiterjedő, rendszeres és folyamatos vírusvédelmet. A szoftverben megvalósított védelmeket az operációs rendszer és a felhasználói rendszer védelmi tulajdonságai kölcsönös gyengítése nélkül kell kialakítani. 126/45
B IT M A N
Hardver-, szoftver védelem 2. Követelmény, hogy az alkalmazások szintjén
megvalósított védelmi funkciók az operációs rendszer megfelelő védelmi eszközeire - ha ilyenek léteznek épüljenek. Össze kell állítani és elérhető helyen kell tartani a számítástechnikai eszközök használatára felhatalmazott személyek névsorát, feladataikat körül kell határolni. A programok, alkalmazások és eszközök tervezése, fejlesztése, tesztelése és üzemeltetése során a biztonsági funkciókat kiemelten és elkülönítetten kell kezelni.
126/46
B IT M A N
Adathordozók védelme Az adathordozó eszközök elhelyezésére szolgáló
helyiségeket úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen. Adatátvitelre, valamint mentésre, archiválásra használt adathordozók tárolása csak megbízhatóan zárt helyen történhet. Az adathordozók beszerzését, tárolását, felhasználását és hozzáférését szabályozni, nyilvántartani, rendszeresen és dokumentáltan ellenőrizni kell. A mentésre, archiválásra szolgáló adathordozók tartalmáról nyilvántartást kell vezetni. 126/47
B IT M A N
Adathordozók védelme 2. Az intézménynél csak leltár szerint kiadott, azonosítóval
ellátott adathordozót szabad használni. Idegen adathordozó használata nem megengedhető. Az intézményen kívüli adatforgalomban használt adathordozók előállítása, kiadása és fogadása csak kijelölt helyeken, írásban szabályozott, dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőrző eljárások (pl. vírusellenőrzés) után szabad. Minden adathordozót újra alkalmazás előtt, felszabadítás, selejtezés után az adatok megsemmisítését eredményező megfelelő eljárással törölni kell. 126/48
B IT M A N
Dokumentumok, dokumentációk védelme A nyomtatott anyagok kezelését az iratkezelési
szabályzat szerint kell elvégezni. Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági fokozatának megfelelően kell kezelni. Az informatikai rendszer vagy annak bármely elemének dokumentációját változásmenedzsment keretében kell aktuális szinten tartani.
126/49
B IT M A N
Adatok védelme Az információs rendszer hozzáférési kulcsait (azonosító
kártya, jelszó), a jogosultságokat és más, a biztonsággal kapcsolatos paramétereket titkosítva kell továbbítani. A rendszer biztonságát érintő adatok (pl. jelszavak, jogosultságok, naplók) védelméről a hozzáférési jogosultságok kiosztásánál kell gondoskodni. Külső személy - pl. karbantartás, javítás, fejlesztés céljából - a számítástechnikai eszközökhöz úgy férhet hozzá, hogy a kezelt adatokat ne ismerhesse meg. Az adatbevitel során a bevitt adatok helyességét az alkalmazási követelményeknek megfelelően ellenőrizni kell. 126/50
B IT M A N
Adatok védelme 2. Programfejlesztés vagy próba céljára valódi adatok
felhasználását - különösen akkor, ha a próbát külső szerv vagy személy végzi, vagy annak eredményeit megismerheti - el kell kerülni. Ha ez nem valósítható meg, akkor az adatok bizalmasságát más módszerekkel kell megőrizni. Gondoskodni kell arról, hogy a számítógépen feldolgozott minden adatállomány az adattípust jelölő biztonsági címkével legyen ellátva.
126/51
B IT M A N
A kommunikáció, és az osztott rendszerek védelme Az elektronikus úton továbbított üzenetek, állományok
tekintetében az iratkezelési szabályzatnak megfelelően kell eljárni. Az alanyokra a szolgáltatások indítása vagy az azokkal történ kommunikáció megkezdése előtt megvalósítandó a hitelesítési eljárás. Az adott hálózati alrendszer hitelesítési mechanizmusa nem érintheti a hálózat többi alrendszerének hitelesítési rendszerét. Egy adott alhálózatban azonosítani kell a más alhálózatból importált adatok feladóját. Ha ilyen nincs, ezeket az adatok el kell különíteni.
126/52
B IT M A N
A kommunikáció, és az osztott rendszerek védelme 2. Az osztott rendszerben a jelszavak, a jogosultságok és a
biztonsággal kapcsolatos más paraméterek, adatok csak titkosítva továbbíthatók. A hálózati erőforrások használata a felhasználók számára szabályozandó, korlátozandó. A hálózat elosztott és diszkrét elemeit rendszeresen ellenőrizni kell annak érdekében, hogy a hálózatban a hálózati forgalom monitorozására és rögzítésére alkalmas erőforrást illetéktelenül ne használjanak. Egy alhálózatban definiált azonosító hozzáférési joga delegálható egy másik alhálózatba és ez alapján kell érvényesíteni az eredeti azonosítóhoz rendelt jogokat. A szabad belátás szerint kialakított hozzáférés-vezérlést ki kell terjeszteni a teljes osztott rendszerre.
126/53
B IT M A N
A kommunikáció, és az osztott rendszerek védelme 3. Központi hozzáférés-menedzsment esetén az
alanyoknak egy privilegizált hálózati szolgáltatás (pl. egy biztonsági szerver) által kezelt hozzáférési jogai biztonságos úton eljutnak az osztott rendszer többi feldolgozó egységéhez a hozzáférés-vezérlés végrehajtása céljából. Ehhez elosztott hozzáférésvezérlési táblakezelés szükséges. Az ilyen információk titkosítva kerüljenek továbbításra. A biztonságos adatcsere követelményének teljesítéséhez biztosítani kell az adatintegritást mind a protokollvezérlő, mind a felhasználói adatokra. Az adatvesztés és sérülés elkerülése céljából hibadetektáló és javító eljárásokat kell alkalmazni. 126/54
B IT M A N
Személyi intézkedések Az intézmény területén ki kell alakítani a kitűzők
viselésével kapcsolatos szabályozást. A belépés rendjét a hozzáférési jogosultságokkal összhangban kell szabályozni. A magasabb jogosultságú személyeknél el kell kerülni a jogok túlzott koncentrációját. Munkába álláskor minden munkatárs számára biztosítani kell az informatikai biztonsággal kapcsolatos oktatást, valamint az összes munkatárs számára a rendszeres továbbképzést. Az informatikai rendszer biztonságát meghatározó munkakörökben dolgozó munkatársak helyettesítési rendjét ki kell alakítani.
126/55
B IT M A N
Személyi intézkedések 2. A fontosabb alkalmazásokhoz rendszergazdákat kell
kinevezni, akiknek feladatkörét pontosan meg kell határozni. A fejlesztő környezetet el kell választani az alkalmazói környezettől, szét kell választani a fejlesztői, működtetői és adminisztrációs hozzáférési jogköröket. Külső partnerekkel kötött fejlesztési, karbantartási szerződések biztonsággal kapcsolatos részeinek kialakítására pontos szabályozást kell adni.
126/56
B IT M A N
Adatbiztonság
126/57
Alapfogalmak
Az informatikai biztonság megvalósítása
Titkosítási módszerek
B IT M A N
Az informatikai biztonság megvalósítása Fizikai védelem Ügyviteli védelem Algoritmusos védelem
126/58
B IT M A N
Fizikai védelem Zárható géptermek, irodák, Beléptető rendszerek, mozgásérzékelők, Mechanikus rögzítés,
Kamerás megfigyelő rendszerek használata, Szünetmentes áramforrások, Rejtett hálózati kábelek, Szekrényekbe zárt aktív hálózati elemek, Hő-, füstérzékelők, Elzárt adathordozók, Lelakatolt számítógépek, Hordozható eszközökben RFID csipek. 126/59
B IT M A N
Ügyviteli védelem Szűkebb értelemben: Dokumentumok kezelési szabályozása (létrehozás, iktatás, továbbítás, tárolás, törlés) Tágabb értelemben: Az intézmény informatikai biztonsági koncepciója: – Minden olyan előírás, hogy mit, mikor, hogyan lehet, és hogyan kell lebonyolítani. – Mi mit jelent, mire kell figyelni, hogyan kell észrevenni – Feladatkörök, felelősségi körök, hatáskörök definiálása – Módszerek, teendők, felelősök, szankciók 126/60
B IT M A N
Ügyviteli védelem 2. Az ügyviteli védelem érint a következő területeket: Eszközök azonosítása (vonalkód, RFID), Rendszeres ellenőrzés (biztonsági szolgálat), Rendszeres eszközleltár, Csak munkaidőben igénybe vehető hardverek, szolgáltatások, Eszközök mozgatása csak engedéllyel, Javítás, szervízelés csak üres adathordozókkal, Adathordozók (CD, DVD) megsemmisítése (ledarálás), Jelszavak használata (rendszeres módosítás!),
126/61
B IT M A N
Ügyviteli védelem 3. WiFi használatának tiltása, Internet szűrése, Frissítések tiltása,
Szoftverek telepítésének szabályozása, Rendszeres adatmentések, mentési terv, Katasztrófa gyakorlat, Események naplózása (rendszeres olvasással), Kötelező vírusvédelem, A személyzet rendszeres tájékoztatása, továbbképzése, Intézkedési mechanizmusok betartásának ellenőrzése.
126/62
B IT M A N
Ügyviteli védelem 4. A jelszavak „minősége”, és az összes lehetséges variáció kipróbálása közötti összefüggés (átlagos sz.gép esetén): Karakterkészlet
Jelszó hossza
Megfejtési idő
4
<1 mp
6
30 mp
8
5,5 óra
10
160 nap
Karakterkészlet
Jelszó hossza
Megfejtési idő
a-z
8
5,5 óra
a – z, 0 – 9
8
3,2 nap
A – Z, a – z
8
62 nap
A – z, 0 – 9
8
252 nap
magyar abc, 0-9
8
5,3 év
fenti + spec.karakterek
8
33 év
a-z
126/63
B IT M A N
Algoritmusos védelem Azokból az eljárásokból, protokollokból áll, amelyek a
rendszer szolgáltatásaival egyidejűleg, velük szorosan együttműködve látják el a védelmi feladatokat. Kriptográfia: az információ algoritmikus módszerekkel
történő védelmének tudománya. – Olyan módszerekkel foglalkozik, amelyek biztosítják az üzenetek vagy tárolt információk titkosságát, védettségét, illetve hitelességét. – Matematikai módszereket alkalmazó algoritmusok az eszközei, amelyek használatának pontos leírását a kriptográfiai protokollok tartalmazzák. 126/64
B IT M A N
A kriptográfia alapvető szolgáltatásai Titkosítás: egy üzenet olyan leképezése, átalakítása,
hogy annak információtartalma csak meghatározott eszközök birtokában állítható vissza. Az üzenet bármilyen típusú állomány lehet, titkosítására kulcsot használnak. Ezzel lehet az állományt visszafejteni. Az adattitkosítás leírható matematikai függvénnyel, amely az eredeti szöveghez a kódolt szöveget rendeli. Hitelesítés: a tárolt adatok vagy kommunikációs üzenetek tartalmára vonatkozó védelmi eljárás. Az adatokat a hamisítás, manipulálás, megváltoztatás, kiegészítés ellen védi. Azt bizonyítja, hogy az adatok a keletkezésük óta nem változtak meg. 126/65
B IT M A N
A kriptográfia alapvető szolgáltatásai 2. Partnerazonosítás: a partnerek kétséget kizáró,
kölcsönös azonosítására használt eljárás. A küldő biztosítja, hogy az üzenetet csak az általa kiválasztott vevő partner értheti csak meg, a fogadó fél pedig egyértelműen tudja bizonyítani, hogy az üzenetet a küldőtől kapta. Digitális aláírás és időbélyeg: Az üzenethez kapcsolva képes bizonyítani azt, hogy ki volt az üzenet kibocsátója, és hogy az üzenet sértetlen. Az időbélyeg pedig a keletkezés idejét bizonyítja, így véd az újra kibocsátás ellen.
126/66
B IT M A N
A kriptográfia alapvető szolgáltatásai 3. Hozzáférés-védelem, jogosultság: a „valamit tud és
valamivel rendelkezik” elvet alkalmazva valósítja meg a különféle informatikai rendszerekhez való szelektív hozzáférést. Jelszavakat menedzselő, ellenőrző, illetve hozzáférési jogosultságot és hardverkulcsot kezelő részekből áll. Eseménynapló: automatikusan rögzíti az informatikai rendszerben történ összes lényeges aktivitás időpontját és körülményeit. Beállításai és működési mechanizmusai csak a legmagasabb jogosultsággal rendelkező felhasználók számára elérhető.
126/67
B IT M A N
Adatbiztonság
126/68
Alapfogalmak
Az informatikai biztonság megvalósítása
Titkosítási módszerek
B IT M A N
Titkosítás – Történelmi áttekintés Eredete: Ókor. Görög háborúk. Üzenetküldés úgy, hogy
csak a címzett tudja megfejteni, más ne. Szteganográfia: adatok elrejtése
– Üzenet írótáblára írása, beborítása viasszal – Emberi fej leborotválása, üzenet a fejbőrre kerül, és meg kell várni, még kinő a haj… – Üzenet becsomagolása, lenyelése,… Kriptográfia: kódolás, rejtjelezés
– Az üzenet jeleinek összekeverése, helyettesítése más jelekkel 126/69
B IT M A N
Szteganográfia Láthatatlan tinták alkalmazás:
– Írás tejjel vagy ecettel, melegítéskor megbarnulnak, láthatóvá válnak. UV fényben látható tinták, kréták Ártalmatlan szövegbe rejteni a titkos üzenetet: – Benedek! Idén talán már akad Neked valaki, aki gyönyörű, okos, kedves, akinek Te adhatsz nagyon ábrándos reményeket.
126/70
B IT M A N
Szteganográfia 2. Adatrejtés képbe:
– A képpontokat leíró bitek egy megfelelő részét ha megváltoztatjuk, attól a kép még értelmezhető lesz, sőt a változás olyan kis mértékű lesz, hogy azt szabad szemmel nem is lehet észrevenni. – BMP formátum esetén a kép méretének egy nyolcadát tudjuk az üzenet rejtésére felhasználni. Adatrejtés hang vagy video állományba: – Tömörítetlen formátumok esetén akár az állomány fele is felhasználható adatrejtésre. Szöveges állományok felhasználása: – 1-2 % adat elrejtésére használhatók. 126/71
B IT M A N
Titkosítás – Történelmi áttekintés Caesar módszer: Egy betűt egy másik betűvel helyettesít
mégpedig úgy, hogy a helyettesítő betűt az abc betűit valamennyi pozícióval eltolva kapjuk meg. Az eredeti Caesar helyettesítés 3 betűnyi eltolást használt vagyis "A" helyett "D" betűt írt, "B" helyett "E"-t, és így tovább. Pl: A módszer a „holnap 8-kor” üzenetet
„hroqds 1-nrv” karaktersorozattá alakítja. Próbálgatással könnyen megfejthető a módszer. Továbbfejlesztés: nem eltolást használunk, hanem a második sor betűit összekeverjük és így rendeljük hozzá a helyettesítő karaktereket az eredeti nyílt szöveghez. 126/72
B IT M A N
Titkosítás 2. Továbbfejlesztés: nem eltolást használunk, hanem a
második sor betűit összekeverjük és így rendeljük hozzá a helyettesítő karaktereket az eredeti nyílt szöveghez. a b c d e f g h i
j k l m n o p q r s t u v w x y z
f
i
k b o
j
h w n u
q a z s x
t e y d p v r c
l
g m
0 1 2 3 4 5 6 7 8 9 4 6 8 2 9 1 0 5 7 3
A módszer a „holnap 8-kor” üzenetet
„nxasft 7-qxy” karaktersorozattá alakítja.
126/73
B IT M A N
Titkosítás Szintén a Caesar módszer az alapja a következő
módszernek: – Megfelezzük az abc betűit, párba állítjuk őket, és a nyílt szöveg betűit a neki megfelelő betűpárral helyettesítjük. a b c d e f g h i
j k l m
n o p q r s t u v w x y z
126/74
b i
t m a n
o v g z n a
B IT M A N
126/75
B IT M A N
Titkosítás 3. Csoportos helyettesítés: A nyílt szöveg betűit
betűcsoporttal helyettesítjük. A titkosított szöveg hossza a nyílt szöveg hosszának annyi szorosa lesz, ahány betűből állnak a helyettesítő csoportok. Példa egy 3 betűs csoportos helyettesítésre: aa
ab
ac ba bb bc
a
g
o
j
0
e
b
b
k
3
s
c
v
y
f
d
h
u
q
„holnap 8-kor” 126/76
ca
cb
cc
w
9
c
2
5
6
r
x
l
a
8
m
d
7
p
1
n
i
4
t
z
„daaaabbccdbbcbaccc cbb-babaabbca”
B IT M A N
Titkosítás 4. Vigenere módszere 1560-ból: A titkosítás során először
a betűknek számokat feleltet meg aszerint, hogy hányadik helyen áll az abc-ben. Ez angol abc esetén azt jelenti, hogy A=0, B=1, ..., Z=25, 0=26,…, 9=35. Ezután a kulcsszót ismétlődően a nyílt szöveg fölé írja. A kulcs és a nyílt szöveg betűinek megfeleltetett számokat betűnként összeadja, majd 36-tal maradékos osztást végez rajta. Az így kapott számokat betűvé alakítja és máris kész a titkos szöveg.
126/77
B IT M A N
Titkosítás 5. a b c d e f g h i
j k l m n o p q r s t u v w x y z
0 1 2 3 4 5 6 7 8 9 1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 0 1 2 3 4 5 6 7 8 9 2 2 2 2 3 3 3 3 3 3 6 7 8 9 0 1 2 3 4 5 Kulcsszó
r
e
t
e
k
r
e
t
e
k
Érték 17
4
19
4
10
17
4
19
4
10
h
o
l
n
a
p
8
k
o
r
7
14
11
13
0
15
34
10
14
17
24
18
30
17
10
32
38
29
18
27
Mod 36 24
18
30
17
10
32
2
29
18
27
s
4
r
k
6
c
3
s
1
Nyílt szöveg Érték Összeg Rejtjelezett szöveg 126/78
y
B IT M A N
Titkosítás 6. Visszafejtésnél természetesen szükség van a
kulcsszóra. A titkos szöveget számokká alakítjuk, kivonjuk belőle betűnként a kulcs betűinek számát és végül ahol kell, 36-tal maradékos osztást végzünk. Rejtjelezett szöveg
y
2
4
r
k
6
c
3
s
1
Érték 24
18
30
17
10
32
2
29
18
27
e
t
e
k
r
e
t
e
k
4
19
4
10
17
4
19
4
10
Kulcsszó
r Érték 17 Kivont érték
7
14
11
13
0
15
-2
10
14
17
Mod 36
7
14
11
13
0
15
34
10
14
17
Visszafejtett szöveg
h
o
l
n
a
p
8
k
o
r
126/79
B IT M A N
Titkosítás 7. Keverő titkosítók: A keverő titkosítók a betűket nem
helyettesítik más karakterrel, változatlanul hagyják őket, de a szövegbeli sorrendjüket megváltoztatják a kulcs függvényében. Egyszerű módszer, ha a szöveget egy adott oszlopszámú táblázatba beírjuk sorfolytonosan, majd oszlop folytonosan kiolvassuk a titkosított szöveget. Visszafejtésnél szükségünk van az oszlopok számára, vagyis a kulcsra. h
o
l
n
a
p
8
k
o
r
t
a
l
á
l
k
o
z
u
n
holnap 8kor találkozunk
hptkko8aolklznoáuarln
k 126/80
B IT M A N
Titkosítás 8. Titkosítás sablonnal: Készítünk egy négyzetrácsos és
négyzet alakú sablont, amelyen néhány cellát kivágunk. Egy a sablonnal azonos méretű négyzetrácsos papírra írjuk az üzenetet, úgy hogy a sablon lyukaiba egy-egy betűt írunk, majd a sablont 90 fokkal elforgatva folytatjuk a felírást. (Legfeljebb háromszor fordíthatunk és a négyzetháló betelik.) A felírás befejeztével a papíron csak egy négyzethálót látunk tele betűkkel. Ez a módszer is keverő titkosító.
126/81
B IT M A N
Titkosítás 9. holnap 8kor randi
h n
126/82
o l
h a o p l n 8 k
h a o l n r 8 r
p o k a
h n n i
a o p d l o r 8 k t a
B IT M A N
Titkosítás 10. Az Enigma: A történelem talán leghíresebb titkosító berendezése, amit a német hadsereg használt a II. világháborúban. A gép működési elvét Arthur Scherbius dolgozta ki 1918-ban. Az Enigma egy elektromechanikus, rotoros elven működő titkosító gép volt. A rotor egy egyszerű egyábécés helyettesítést valósított meg. Valójában ez két együtt forgó korong, amelyeken 26 elektromos érintkező van (mivel 26 betűs az abc). A két korong érintkezői tetszőlegesen vannak összekötve, így a bemenő oldal "A" érintkezője például a kimenőoldalon az "F" érintkezőre van kötve. Ilyen rotorból típustól függően 3, 4 vagy 5 volt a gépben. 126/83
B IT M A N
Titkosítás 11. Az első rotor helyettesítését a második tovább
helyettesítette, amit a harmadik még tovább. Hogy mindez ne legyen elég minden egyes betű után az első rotor fordult egy betűnyit, így máris más helyettesítő abc-t használt. Amint az első rotor egyszer körbefordult, a második lépett egyet, és így tovább. A dolgot tovább bonyolították azzal, hogy a harmadik rotoron kijövő betűt visszavezették a rotor egy másik érintkezőjére, így az újra áthaladt a három rotoron és megjelent az első rotoron. A visszavezető eszközt reflektornak nevezték, amelyet kézzel lehetett huzalozni, így az szabadon konfigurálható volt. A gép működése szimmetrikus, tehát ugyanazokkal a beállításokkal a titkosított üzenetet begépelve a nyílt szöveget olvashatták le róla. 126/84
B IT M A N
A titkosítás folyamata Feladó Szigorúan bizalmas! Elmarad az akció, mert elfelejtettük a pontos címet! :-(
Titkosítás kulcs
Címzett 410F 396D 5CF3 B00A 3CDA 4107 FAC4 660D 00F1 300BD CCD4 BAF0 337DD 239C 33F5 0B6A
Szigorúan bizalmas! Elmarad az akció, mert elfelejtettük a pontos címet! :-)
Visszafejtés kulcs
1. A feladó titkosítja a dokumentumot egy titkos kulccsal, 2. A dokumentumot valamilyen csatornán keresztül
eljuttatja a címzettnek. 3. A címzett visszafejti a kódolt dokumentumot.
126/85
B IT M A N
A titkosítás folyamata 2. Feladó Szigorúan bizalmas! Elmarad az akció, mert elfelejtettük a pontos címet! :-(
Titkosítás kulcs
Címzett 410F 396D 5CF3 B00A 3CDA 4107 FAC4 660D 00F1 300BD CCD4 BAF0 337DD 239C 33F5 0B6A
Szigorúan bizalmas!
Visszafejtés kulcs
Elmarad az akció, mert elfelejtettük a pontos címet! :-)
Kétféle megoldás lehetséges:
– Szimmetrikus titkosítás – a feladó és a címzett ugyanazt a kulcsot használja (egykulcsos megoldás) – Aszimmetrikus titkosítás – a címzett más kulcsot használ, mint a feladó (kétkulcsos megoldás) 126/86
B IT M A N
A szimmetrikus titkosítók jellemzői A szimmetrikus algoritmusok gyorsak, így jól
használhatók olyan alkalmazásokban, melyek nagy adatátviteli sebességet igényelnek. Az alkalmazott kulcsok viszonylag rövidek. (56-128 bit) A rövid kulcsok kedveznek a brute-force támadásnak,
ezért azokat minél sűrűbben cserélni kell. A kulcsok száma a résztvevők számával négyzetesen arányos. A kulcsoknak mind a feladó, mint a címzett oldalán titokban kell maradniuk! 126/87
B IT M A N
Brute-force A kulcsot a „teljes kipróbálás” módszerével fejtik meg,
vagyis minden lehetséges variációt kipróbálnak. A megoldás elvileg mindig eredményre vezet, időszükséglete a kulcs hosszától függ.
126/88
B IT M A N
DES – Data Encryption Standard Szimmetrikus kulcsú titkosítási eljárás, IBM fejlesztés, Az
USA kormányának szabványa, 1977 óta nyilvános. 64 bites blokkos rejtjelezés, vagyis a nyílt szöveg egy 64 bit méretű blokkjához rendel egy ugyanekkora rejtjeles blokkot. A kulcs 56 bites, (ez az algoritmus gyenge pontja) Ma is élő, még engedélyezett szabvány, széles körben használják a polgári élet minden területén,de: Egy gyorsabb mai géppel kb. 1 óra alatt feltörhető!
Továbbfejlesztése a 3DES, mely háromszor hajtja végre
egymás után a DES algoritmust. 126/89
B IT M A N
AES - Advanced Encryption Standard Az USA kormányának szabványa 2001-től, ezzel
váltották le a DES-t. 128 bites blokkos rejtjelezés, 128 (192, 256) bites kulccsal, Kitalálói (Vincent Rijmen és Joan Daemen) a Rijndael névre keresztelték, de AES néven terjedt el. Jellemzői: kicsi méret, nehéz törhetőség, gyorsaság és a kis méretű eszközökben való alkalmazhatóság.
126/90
B IT M A N
IDEA International Data Encryption Algorithm Szimmetrikus kulcsú algoritmus,
Svájcban fejlesztették ki 1990 és 1992 között. Nyolc input bájtot nyolc output bájtra képező blokkos
rejtjelező algoritmus. Kulcsmérete 128 bit. Kifejezetten adatátvitelhez tervezték, beleértve a digitalizált hang/kép valós idejű kódolását is. Egyelőre nem törhető.
126/91
B IT M A N
Aszimmetrikus titkosítás Feladó: Jim Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-(
Titkosítás Joe-kulcs
Címzett: Joe 410F 396D 5CF3 B00A 3CDA 4107 FAC4 660D 00F1 300BD CCD4 BAF0
Joe!
Visszafejtés Joe-kulcs
Elmarad az akció, mert elfelejtettük a pontos címet! :-)
Válasz Címzett: Jim Jim! OK. Ez esetben elmegyünk csajozni. Joe -o
126/92
Visszafejtés
Jim-kulcs
Feladó: Joe 472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A 0329 177D B52F A200
Jim!
Titkosítás
Jim-kulcs
OK. Ez esetben elmegyünk csajozni. Joe -o
B IT M A N
Aszimmetrikus titkosítás 2. Lényege, hogy minden résztvevő (címzett és feladó
egyaránt) rendelkezik két kulccsal: egy titkossal és egy nyilvánossal. A kulcsokat egy erre a célra fejlesztett programmal állítja elő mindenki, saját magának. A két kulcs egyszerre jön létre; a titkosat eltesszük magunknak, a nyilvánost pedig (akár e-mailen is) elküldjük mindazoknak, akikkel levelezni szeretnénk. A két kulcs egymásból nem számítható ki, vagyis nem állítható elő a nyilvános kulcsból a titkos kulcs.
126/93
B IT M A N
Aszimmetrikus titkosítás 3. Olyan algoritmust használ, ahol a kódoláshoz használt
paraméter nem azonos a dekódoláshoz használt paraméterrel, és a kódoláshoz használt paraméterből nem határozható meg a dekódoláshoz szükséges paraméter a módszer ismeretében sem. A nyilvános kulcsú titkosítással elküldött üzenet egy olyan ládához hasonlítható, melyet bezárni a nyilvános kulccsal, de kinyitni már csak egy másik, a titkos kulccsal lehet. Ezek a kulcsok egymással összefüggnek: a titkos kulccsal lehet megfejteni azt az üzenetet, amit a nyilvános kulccsal kódoltak.
126/94
B IT M A N
Aszimmetrikus titkosítás 4. A rendszer képes a titkosítás és az azonosítás kombinálására is: 1. Küldés előtt a feladó a titkosító algoritmussal és saját titkos kulcsával rejtjelezi az üzenetet. Ezzel olyan átalakítást végez, amit csak ő tud végrehajtani, mert a titkos kulcsot csak ő ismeri. 2. A következő lépésben az imént kapott eredményt titkosítja a címzett nyilvános kulcsa segítségével. Ezzel azt biztosítja, hogy az üzenetet csak a címzett tudja megfejteni. 3. A címzett a megkapott küldeményt saját titkos kulcsával és a megfejtő algoritmussal kibontja. 126/95
B IT M A N
Aszimmetrikus titkosítás 5. 4. A kapott eredményt még nem tudja olvasni, hiszen az a feladó titkos kulcsával titkosítva van, ezért a feladó nyilvános kulcsával meg kell fejtenie azt. 5. A feladó biztos lehet benne, hogy csak a címzett képes az üzenet elolvasására, mert a 3-as lépéshez szükséges kulcsot csak ő ismeri. 6. A címzett biztos lehet a feladó személyét illetően, mert a 4-es lépésben csak akkor tudja megfejteni az üzenetet, ha azt a feladó titkos kulcsával rejtjelezték.
126/96
B IT M A N
126/97
B IT M A N
RSA algoritmus Aszimmetrikus kulcsú megoldás 1976-ból. Elnevezés: Ron Rivest, Adi Shamir és Leonard Adleman
(matematikusok) A kulcsok hossza 1024-3072 bit, emiatt nagyon
biztonságos, A kulcs hossza miatt az eljárás viszonylag lassú, A brute-force támadás a kulcs hossza miatt gyakorlatilag lehetetlen, Ma az e-mailek titkosítása, aláírása ezzel az algoritmussal történik, A banki átutalások is ezt a módszert alkalmazzák.
126/98
B IT M A N
PGP algoritmus Elnevezés: Pretty Good Privacy 1991, alkotója Philip Zimmermann,
Ingyenes szoftverként megjelent az Interneten, Hibrid titkosítás, mely egyesíti a szimmetrikus titkosítás
gyorsaságát az aszimmetrikus titkosítás biztonságával. Az alkalmazott módszer miatt a dekódoláshoz elég egy átlagos PC is. Használható levelekhez, fájlokhoz, digitális aláíráshoz.
126/99
B IT M A N
PGP algoritmus 2. A kódolási folyamat e-mail esetén:
1. Véletlen generálású, egyszer használatos kulcs előállítása (session key), 2. A nyílt szöveg titkosítása az egyszeri kulccsal, 3. Az egyszeri kulcs titkosítása a címzett nyilvános kulcsával, 4. A küldendő csomag a kódolt szöveget és a titkosított egyszeri kulcsot tartalmazza.
126/100
B IT M A N
PGP algoritmus 3. 2
1 Joe!
random
Elmarad az akció, mert elfelejtettük a pontos címet! :-(
Titkosítás
472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A 0329 177D
1x-kulcs kulcs
472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A 0329 177D
1x-kulcs 3 1x-kulcs
Titkosítás
Feladó: Jim
BB07CAFFA 53108DA BB07CAFFA 53108DA
Joe-kulcs
126/101
B IT M A N
PGP algoritmus 4. A dekódolási folyamat e-mail esetén:
1. Az üzenet fogadása, 2. A véletlen generálású, egyszer használatos kulcs (session key) visszafejtése a címzett titkos kulcsával, 3. Az üzenet visszafejtése a véletlen generálású kulcs (session key) segítségével, 4. Az üzenet megjelenítése.
126/102
B IT M A N
PGP algoritmus 5. 1 Fogadó: Joe
BB07CAFFA 53108DA
Visszafejtés
1x-kulcs
Joe-kulcs
472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A 0329 177D
BB07CAFFA 53108DA
2 Joe! 472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A 0329 177D
Visszafejtés 1x-kulcs
126/103
Elmarad az akció, mert elfelejtettük a pontos címet! :-(
B IT M A N
Digitális aláírás PGP algoritmussal A digitális aláírás segítségével a címzett meggyőződhet
a neki küldött üzenet hitelességéről. Vagyis arról, hogy a levél feladója tényleg az, akinek mondja magát, és a levél tartalma továbbítás közben nem változott meg. Módszer: hash függvényt alkalmazása, amely az üzenetből egy kis méretű ellenőrző összeget készít (ez a digitális aláírás). Az ellenőrző összeg az üzenet
részeként szintén eljut a címzetthez, így az ellenőrzés során azonnal kiszűrhető az esetleges módosítás. 126/104
B IT M A N
A hash függvények jellemzői Egyirányú - lehetetlen belőle előállítani az eredeti
szöveget, Lavina hatással rendelkezik - 1 bit változtatás az ellenőrző összegen hatalmas (50%) változással jár, Ütközésmentes - két szöveg ellenőrző összeg értéke mindig eltérő. Néhány hash algoritmus:
– MD5 (Message Digest): 128 bites lenyomat – SHA-1 (Secure Hash Algorithm): 160 bites lenyomat
126/105
B IT M A N
Digitális aláírás PGP algoritmussal 2. Feladó: Jim
Joe!
Címzett: Joe
Elmarad az akció, mert elfelejtettük a pontos címet! :-(
Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-(
Aláírás
BB07CAFFA 53108DA
Jim-kulcs
Joe!
Ellenőrzés Jim-kulcs
Elmarad az akció, mert elfelejtettük a pontos címet! :-)
A folyamat e-mail esetén:
– – – – – 126/106
Aláírás a feladó titkos kulcsával Ellenőrző összeg készítése és beillesztése az üzenetbe Küldés Fogadás Ellenőrzés a feladó nyilvános kulcsával
B IT M A N
Időbélyeg Az időbélyeg egy olyan igazolás, melyet egy biztonságos
harmadik fél – ebben az esetben időbélyeg-szolgáltató – bocsát ki annak igazolására, hogy az adott dokumentum, állomány a kibocsátás pillanatában adott állapotban volt. Az időbélyeg a szolgáltató által két nagypontosságú megbízható időforrásból vett referenciaidő adatból és a szolgáltató elektronikus aláírásából áll. Nem szükséges az ügyfélnek a teljes dokumentumot elküldenie, elegendő annak egy rövid lenyomata, ehhez csatolják az időbélyeget és azt írják alá, így nem sérül a dokumentum bizalmassága, viszont bármikor lekérhető annak keltezése. 126/107
B IT M A N
Időbélyeg 2. Időbélyeg szolgáltató
Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-(
Lenyomat
A001B7CCF B52CCD46A
Időpont E66B2792CD
Hash-fgv.
43D72B88A2
Aláírás Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-(
126/108
A001B7CCF B52CCD46A E66B2792CD 43D72B88A2
B IT M A N
Hitelesítés Az adatokat a hamisítás, manipulálás, megváltoztatás,
kiegészítés ellen védi. Azt bizonyítja, hogy az adatok a keletkezésük óta nem változtak meg. A hitelesítés egy olyan igazolás (certificate), melyet egy
biztonságos harmadik fél – ebben az esetben hitelesítésszolgáltató (Certification Authory) – bocsát ki, a kibocsátott tanúsítványok hitelt érdemlően azonosítják az adott partnert, rendszert, kapcsolatot vagy szolgáltatást.
126/109
B IT M A N
Hitelesítés 2. Személy azonosítás: Hitelesítés szolgáltató
Azonosító Kis Béla Sz.Ig.szám: AA 555-666
Aláírás
00BB17FD 25CCA007
Kis Béla Adatbázis
Ellenőrzés: A személy az azonosítója alapján a
szolgáltató adatbázisából kikereshető, beazonosítható. 126/110
B IT M A N
Hitelesítés 3. Szoftvertanúsítvány: Hitelesítés szolgáltató
program
program Gyártó: P&Q Dátum: 12.12 Méret: 30b Hash-kód
Azonosító
00BB17FD 25CCA007
Szoftver gyártó
Aláírás Adatbázis
Ellenőrzés: A program az azonosítója alapján a
szolgáltató adatbázisából kikereshető, beazonosítható. 126/111
B IT M A N
Hitelesítés 4.
Megtekintés Windowsban: Sajátgép Eszközkezelő 2x az adott eszközre\Illesztőprogram 126/112
B IT M A N
Hitelesítés 5. Webhely-hitelesítés: Hitelesítés szolgáltató
index.html
www.q.hu index.html Dátum: 12.12 Méret: 6k Hash-kód
Azonosító
00BB17FD 25CCA007
www.q.hu
Aláírás Adatbázis
Ellenőrzés: A böngésző a szolgáltató adatbázisa alapján
ellenőrzi, hogy a weblap internet címe, és az ellenőrző kódja megegyezik-e a betöltött oldaléval. 126/113
B IT M A N
Hitelesítés 6.
Megtekintés Firefoxban: Eszközök\Beállítások\Haladó\ Titkosítás\Tanúsítványkezelő\Hitelesítésszolgáltatók 126/114
B IT M A N
Hitelesítés 7.
126/115
B IT M A N
Titkosítási módszerek
Kódolások
Klasszikus
Áthelyező
126/116
Tárcsagépek
Helyettesítő
Modern
Szimmetrikus
Aszimmetrikus
B IT M A N
Információs technológiák Ellenőrző kérdések
B IT M A N
126/117
B IT M A N
Ellenőrző kérdések 1. 1. Írja a meghatározás elé a megfelelő fogalom betűjelét! A rendszer szolgáltatásai és adatai a megfelelő időben legyenek működőképesek. Az adatokat és a programokat csak az arra jogosultak változtathatják meg, véletlenül sem módosulnak. Az adatokhoz az arra jogosultak, és csak az előírt módokon férhetnek hozzá. A partnerek kölcsönösen és kétségtelenül felismerhetik egymást. A: Működő képesség C: Rendelkezésre állás E: Hitelesség 126/118
B: Bizalmasság D: Sértetlenség
B IT M A N
Ellenőrző kérdések 2. 2. Alakítson ki két kategóriát, és sorolja az alábbi veszélyforrásokat az egyes kategóriákba! Kategóriák:
Veszélyforrások:
A: Kémprogramok C: Szakképzetlenség E: Programhibák G: Szabályok hiánya 126/119
B: Vírusok D: Illetéktelen szoftverek F: Bosszúállás H: Megvesztegetés
B IT M A N
Ellenőrző kérdések 3. 3. Igaz vagy Hamis az állítás? Különleges adat kezelhető, ha az érintett szóban hozzájárul. A büntetett előéltre vonatkozó adatok személyes adatok. Az adatvédelem az adatok jogosulatlan megszerzését akadályozza meg. Az adatvédelemmel foglalkozik az 1992. évi LXIII. törvény. Az adatvesztést legnagyobbrészt a hardver- és szoftverhibák okozzák. A szteganográfia az adatok elrejtésével foglalkozik. 126/120
B IT M A N
Ellenőrző kérdések 4. 4. Caesar módszerrel, 2 betűnyi eltolással kódolja a zsebora szöveget! Ékezetek nélkül!
5. Keverő titkosítással, 4-es oszlopszélességgel kódolja a zsebóralánc szöveget!
6. Keverő titkosítással, 4-es oszlopszélességgel kódolt a síézztptáóaamgsl szöveg. Mi az eredeti szöveg?
126/121
B IT M A N
Ellenőrző kérdések 5. 7. A DES A: 32 B: 56 C: 64 D: 128 E: 160 bites kulcsot használ, ez az algoritmus F: gyenge pontja. G: erőssége. 8. Az IDEA A: 32 B: 56 C: 64 D: 128 E: 160 bites kulcsot használ, ez az algoritmus F: gyenge pontja. G: erőssége. 9. Melyik algoritmus alkalmaz véletlen generálású, egyszer használatos kulcsot? A: AES B: DES C: PGP D: RSA
126/122
B IT M A N
Ellenőrző kérdések 6. 10. Andi aszimmetrikus titkosítású üzenetet küld Benőnek. Jellemezze a folyamatban részt vevő kulcsokat! Feladó: Andi Joe!
Elmarad az akció, mert elfelejtettük a pontos címet! :-(
Titkosítás kulcs
Címzett: Benő 410F 396D 5CF3 B00A 3CDA 4107 FAC4 660D 00F1 300BD CCD4 BAF0
Joe!
Visszafejtés kulcs
Elmarad az akció, mert elfelejtettük a pontos címet! :-)
A: Andi kulcsa B: Benő kulcsa C: Titkos kulcs D: Nyilvános kulcs 126/123
B IT M A N
126/124
B IT M A N
Felhasznált irodalom F. Ható Katalin: Adatbiztonság, adatvédelem
(Számalk, 2005) Ködmön József: Kriptográfia (ComputerBooks, 1999.) Virrasztó Tamás: Titkosítás és adatrejtés (Netakadémia, 2004)
126/125
B IT M A N
VÉGE 126/126
B IT M A N
