PGP. Az informatikai biztonság alapjai II

PGP Az informatikai biztonság alapjai II.

Készítette: Póserné Oláh Valéria [email protected]

Miről lesz szó?
A PGP program és telepítése
Kulcsmenedzselés
saját kulcspár generálása, publikálása
magánkulcs védelme
mások kulcsaihoz való hozzáférés
kulcsok hitelesítése


Levelek titkosítása, visszafejtése
Digitális aláírás
Fájlok titkosítása, digitális aláírása, visszafejtése 2

A PGP program











Pretty Good Privacy = elég jó biztonság vagy Tuti Jó Titkosítás Az adatbiztonság adatbiztonságot ot szolgáló, titkosító kulcsrendszer, mely az internet kommunikáció kommunikációnak nak egy alapvető feltételét hivatott szavatolni. Matematikai algoritmusokat használva kódol fájlokat, hogy megakadályozza az illetéktelen hozzáférést. 1991 óta szabadon terjeszthető.

3

A PGP jellemzői





80-as évek második fele: Philip R. Zimmermann elkezdi a program fejlesztését
Cél: feltörhetetlen rejtjelezést alkalmazó egyszerű alkalmazás kifejlesztése. 
Kombinált kriptográfiai rendszer: szimmetrikus algoritmusként IDEA-t, aszimmetrikusként RSA-t alkalmazott. Az újabb verziók által használt algoritmusok:
Szimmetrikus: CAST, AES, Triple-DES, IDEA, Twofish
Aszimmetrikus: RSA, Diffie-Hellman. CAST: szerzői Carlisle Adams és Sta ord Tavares, a DES és az IDEA elvén működik AES: Advanced Encryption Standard Triple-DES : a DES algoritmus egy továbbfejlesztett változata IDEA: International Data Encryption Algorithm Twofish: 128 bites blokk-kódoló algoritmus RSA: szerzői Ron Rivest, Adi Shamir, Leonard Adleman Diffie-Hellman: publikus kulcsú kriptografikus algoritmus 4

A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (1)


Szimmetrikus titkosítás a titkosításhoz és kódoláshoz ugyanaz a kulcs használatos, azt a feladónak és a címzettnek is ismernie kell. A jelszót (kulcsot) biztonságosnak vélt úton kell eljuttatni a másik félhez, pl. személyes találkozáskor.
előnye: a gyorsaság,
hátránya: megnehezíti az azonnali és globális kommunikációt.


5

A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (2)


Aszimmetrikus titkosítás minden felhasználó (feladó és címzett) rendelkezik egy kulcspárral, ami egy nyilvános (public) és egy titkos (private) kulcsot tartalmaz. A nyilvános kulcs a titkosításhoz, a privát kulcs a visszafejtéshez használatos.
Mj.: A két kulcs egymásból nem számítható ki, vagyis nem állítható elő a nyilvános kulcsból a titkos kulcs.


6

A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (3)





Titkos kulcs A titkos kulcsot csak a kulcspár tulajdonosa ismeri. A titkos kulcsot használjuk a nekünk küldött kódolt üzenetek visszafejtésére és elektronikus leveleink digitális aláírására. Nyilvános kulcs A nyilvános kulcsot használjuk a kódolt üzenetek készítésekor és a digitálisan aláírt levelek hitelességének ellenőrzésekor. A nyilvános kulcsot minél szélesebb körben kell ismertté tenni. 7

A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (4)


Session key (egyszer egyszer használatos titkosító kulcs) Hibrid titkosítási módszer alkalmazásakor az ideiglenes titkosító kulcs, amelyet a nagy adatmennyiséget jelentő üzenettörzs vagy csatolt állomány szimmetrikus algoritmussal történő kódolásakor használunk (gyors), majd a kulcsot aszimmetrikus (erős) algoritmus használatával szintén kódoljuk. 8

A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (5)





Pótlólagos visszaállító kulcs (ADK - Additional Decryption Key) Szükség esetén (általában vállalati környezetben) az üzenetet nem csak a címzett nyilvános kulcsával, hanem az ADK kulcspár nyilvános kulcsával is titkosítjuk. Így az üzenetet nemcsak a címzett, hanem az ADK tulajdonosa is elolvashatja. KulcsKulcs-felosztás (key splitting) Az ADK funkció kiegészítése a visszaélések megelőzésére. Az ADK titkos része nem egy, hanem több személy birtokában van, és egy ADK-val titkosított üzenet elolvasásához mindannyiuk jelenléte szükséges. Így elkerülhető az a helyzet, hogy a cégnél valakinek egy minden üzenet felnyitására 9 alkalmas mesterkulcsa legyen.

Az üzenet titkosításának lépései (1)

10

Az üzenet titkosításának lépései (2)






Tömörítés: tömöríti a titkosítani kívánt adatot Szimmetrikus titkosítás egy véletlen generálású kulccsal (session key): még nagy méretű adatfolyam esetében is gyors. A véletlen generálású kulcs (session key) titkosítása a címzett nyilvános kulcsával (aszimmetrikus titkosítás)






a session kulcs kis méretű, ezért a titkosítás gyorsan megtörténik létrejön egy olyan csomag, amely tartalmazza a titkosított adatot és a visszafejtéshez szükséges kulcsot titkosítva

Küldés

11

A titkosított üzenet visszafejtése

12

A PGP program telepítése (1)





Most nem telepítünk, de a telepítő letölthető a http://nik.bmf.hu/poserne/IBA/install/ címről. Ha nincs előző verzió telepítve a gépen, akkor a beköszönő ablak jelenik meg (lépjünk ki minden egyéb alkalmazásból).  Next

13

A PGP program telepítése (2)




License feltételek elfogadása  Next


non--profit (diákoknak, oktatási intézményeknek, karitatív non

intézményeknek és szervezeteknek, és nem üzleti célból otthoni felhasználóknak) és a nem kormányzati célú felhasználásra ingyenes. ingyenes.

14

A PGP program telepítése (3)




A Read Me elolvasása után  Új felhasználó esetén az alkalmazásnak többletfeladatai lesznek. Régi felhasználó esetén (más gépen használtuk a PGPPGP-t), az ott kimentett kulcs--fájlokat az új helyen is alkalmazhatjuk.  Next kulcs

15

A PGP program telepítése (4)


A telepítés helyének beállítása után az egyes komponensek kiválasztása  Next

16

A PGP program telepítése (5)


A számítógép újraindulása (a betöltéskor megtörténik a rendszerbe integrálódás)  Finish

17

Saját kulcspár generálása (1) A PGP csomag PGPkeys alkalmazásával  Keys  New Key…

18

Saját kulcspár generálása (2)


Az Expert gombra kattintva finomhangolási lehetőség  Next

19

Saját kulcspár generálása (3) Full name: saját nevünk (kerüljük az ékezeteket) E-mail address: elektronikus levélcímünk Key type: a kulcs típusa lehet Diffie-Hellman/DSS, RSA, vagy RSA Legacy Key size: Diffie-Hellman/DSS és RSA esetén 1024-4096 RSA Legacy esetén 1024-2048 Key expiration: kulcs érvényességi ideje Mj. 1. RSA Legacy típust akkor válasszunk, ha 7.0-nál régebbi PGP verzió felhasználóival is kommunikálunk. 2. Az érvényességi idő lejárta után a kulcs csak visszafejtésre és digitális aláírás ellenőrzésére használható. 3. Minél hosszabb a kulcs, annál tovább tartanak vele a műveletek. 20

Saját kulcspár generálása (4) Passphrase: jelszó megadása a magánkulcsunk védelmére Confirmation: jelszó megismétlése Hide Typing: jelszó gépelés elrejtése Passphrase Quality: jelszó erőssége (minél hosszabb legyen a csík)

21

Saját kulcspár generálása (5)

Kulcskarikánkon kulcsaink rendelkezésre állnak 22

Kulcs exportálása lemezes állományba Keys  Export…

Include Private Key(s): kijelölve a fájlba a magán kulcs is bekerül!!! Include 6.0 Extensions: ha a címzett 6.0 előtti verzióval rendelkezik ne jelöljük ki 23

Kulcs importálása lemezes állományból (1) Keys  Import…  kulcsot tartalmazó fájl kiválasztása  megnyitás  kulcs ellenőrzése után Import

24

Kulcs importálása lemezes állományból (2) Kulcs ellenőrzése: j.g. a kiválasztott kulcsra  Key Properties  Fingerprint ellenőrzése

ID: a kulcs egyedi azonosítója Type: a kulcs típusa Size: a kulcs mérete bitekben Created: keletkezési dátum Expires: lejárati dátum Cipher: a használandó szimmetrikus titkosító algoritmus Fingerprint: a kulcs ujjlenyomata Hexadecimal: az ujjlenyomat hexadecimális megjelenítése 25

A titkosító algoritmus beállítása Edit  Options  Advenced  Prefered algorithm

Mj.: Allowed Algorithm: le lehet tiltani az általunk nem preferált hagyományos rejtjelezési módszerek használatát.

26

Kulcs exportálása és importálása vágólapon keresztül Exportálás: A kulcslistában j.g. az exportálandó kulcs bejegyzésére  Copy  levél megírása  a kulcs beillesztése  küldés Importálás: A teljes kulcsblokk kijelölése  vágólapra másolás  Edit  Paste  valódiság ellenőrzés  Import

27

Példa a teljes kulcsblokkra -----BEGIN PGP PUBLIC KEY BLOCK -----BEGIN BLOCK--------Version: PGP 8.0.2 - not licensed for commercial use: www.pgp.com mQGiBEPuYc8RBAD9CGxQOoqmHsiZhu7mO9+Vv8SwNdLygSASpnzpPV1DvgBsDEx2 D9Cyeg4ogDBEqQY3ikWRktQDCcYgyEXKkeUK/a4vR8D6xDc6K8vJLAt3Aqxgtyui Dqg77pbsHilQHRGbg3jk7iivYohg5QagzloXycShylHtBNNcHtIfqgVpsQCg/znt Dqg77pbsHilQHRGbg3jk7iivYohg5QagzloXycShylHtBNNcHtIfqgVpsQCg/ znt DJ64JmcmBFno3ofTWy0h+ecD/3xjlYKF3Mr7rTCICnyleHyk2c7IU/m9iylxbl72 eaZJSU2nb8a1gPf4MCXiqghIeg2Xab2qjQ+iGRibeXh/MC4F6c12cEYI8YwflS3p Gi4tIKoYrVIG28XtL7prcAffgwvm7bq18rYGFy3QNSaFk3mQeEqSHKzlOwnn0rxK eTHdBADJore3CNc/idukqc2YT64hWmZvnDBCO3PFn82p21kJG/QtaS0l1bAI2zTW CR/HYVnGWXv6FxFlWRMk84MucxnKIGGiJ7AY6fXtzXA//LH1+0bWZu14QZT+ZdVj aKS4ddyzh6dFLFTeVFFYjILMXozm2yh87UiKohNgSROFrZJaQ7QnUG9zZXJuZUJN RiA8cG9zZXJuZS52YWxlcmlhQG5pay5ibWYuaHU+iQBYBBARAgAYBQJD7mHPCAsJ CAcDAgEKAhkBBRsDAAAAAAoJEAABLvtTs49D/EIAni CAcDAgEKAhkBBRsDAAAAAAoJEAABLvtTs49D/ EIAni/VVx0C9RtqvTSODMKX/ /VVx0C9RtqvTSODMKX/bcf bcf scB1AJ9KrTo8WSo84lb0pff+wTZ+jfe4z7kCDQRD7mHPEAgA9kJXtwh/CBdyorrW scB1AJ9KrTo8WSo84lb0pff+wTZ+jfe4z7kCDQRD7mHPEAgA9kJXtwh/ CBdyorrW qULzBej5UxE5T7bxbrlLOCDaAadWoxTpj0BV89AHxstDqZSt90xkhkn4DIO9ZekX 1KHTUPj1WV/cdlJPPT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ZFe 1KHTUPj1WV/cdlJPPT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ ZFe xwGq01uejaClcjrUGvC/RgBYK+X0iP1YTknbzSC0neSRBzZrM2w4DUUdD3yIsxx8 Wy2O9vPJI8BD8KVbGI2Ou1WMuF040zT9fBdXQ6MdGGzeMyEstSr/POGxKUAYEY18 hKcKctaGxAMZyAcpesqVDNmWn6vQClCbAkbTCD1mpF1Bn5x8vYlLIhkmuquiXsNV 6TILOwACAggA3KWA9gvrUAVqrgDdOI/FJh7O7wgUEAWV9gQnfLFaNYBGAJDWZ+Tu 93oP+5gL8Dg702YQNAUTSad3smfQwxw35QTyJX7dY5GSYlHJ9K0ZAtY1qksedty6 nAFp33tCEbX2Casg9TMtlf301HkIrj+QC/qoi+WMTjM2/p199fdswyKYd46CVhHw nbTDy0HBqoYO41Eq3VUzhKRwTd1Na7Rb3luTx0OXaLOR6VGCw77G3cKyyEvMHTKu A3HYiLvP+niWIMFv+PvhyXkHcbtyO3yUUpEtA+f2dAK303rEDMVWBmPoq8ysGWA+ 6v+gu1zSV8Rsy+0JWfbH/U2CLbXBiTU65IkATAQYEQIADAUCQ+5hzwUbDAAAAAAK CRAAAS77U7OPQ1DlAJ9us9IunrvSl4KFWUNxd8PiD2I8xACg2eHfR4r0HzONypFr epxrTvhfv/U= epxrTvhfv /U= =D7zC -----END ----END PGP PUBLIC KEY BLOCK BLOCK---------

28

Aktív ablak tartalmának titkosítása (1) A levél szövegének megírása és a címzés után kattintson a tálca lakat ikonjára  Current Window  Encrypt  publikus kulcs kiválasztása Mj.: az aktív ablak jelen esetben a levelünket tartalmazó ablak, mely formázás nélküli szöveget kell, hogy tartalmazzon.

29

Aktív ablak tartalmának titkosítása (2) A kiválasztott kulcs áthelyezése a Recipients mezőbe Secure Viewer Viewer:: A dekódolt szöveg megjelenítése speciális fontkészlettel Conventional Encryption Encryption:: Hagyományos rejtjelezés

30

Aktív ablak titkos tartalmának visszafejtése A levél megnyitása után kattintson a tálca lakat ikonjára  Current Window  Decrypt & Verify Mj.: az aktív ablak jelen esetben a kapott titkos levelünket tartalmazó ablak.

31

A digitális aláírás (1)

32

A digitális aláírás (2)


A címzett meggyőződhet a neki küldött üzenet hitelességéről (a levél feladója tényleg az, akinek mondja magát, és a levél tartalma továbbítás közben nem változott meg).

Az aláírás és az ellenőrzés folyamata



Aláírás a feladó titkos kulcsával Ellenőrző összeg (kis méretű) készítése egy ún. hash függvény alkalmazásával és beillesztése az üzenetbe







Akár egy karakternyit változtatás az üzenetben  a hash függvény más ellenőrző összeget hoz létre a feladó, illetve a címzett oldalán.

Küldés Fogadás Ellenőrzés a feladó nyilvános kulcsával


Az ellenőrző összeg az üzenet részeként jut el a címzetthez, így az ellenőrzés során azonnal kiszűrhető az esetleges módosítás. 33

Aktív ablak tartalmának digitális aláírása, titkosítása

A levél szövegének megírása, címzése  j.g. a tálca ikonjára  Current Window  Encrypt & Sign  küldés Mj.: az aktív ablak, most a levelünket tartalmazó ablak, formázás nélküli szöveget kell, hogy tartalmazzon.

34

Aktív ablak digitálisan aláírt titkos tartalmának visszafejtése A

levél megnyitása után katt. a tálca ikonjára  Current Window  Decrypt & Verify Mj.: az aktív ablak jelen esetben a kapott titkos, aláírt levelünket tartalmazó ablak.

35

Aktív ablak tartalmának digitális aláírása, majd titkosítása A levél szövegének megírása, címzése  j.g. a tálca ikonjára  Current Window  Sign  j.g. a tálca ikonjára  Current Window  Encrypt  küldés Mj.: az aktív ablak most a levelünket tartalmazó ablak, mely formázás nélküli szöveget kell, hogy tartalmazzon.

36

Aktív ablak digitálisan aláírt titkos tartalmának visszafejtése A levél megnyitása után kattintson a tálca ikonjára  Current Window  Decrypt & Verify Mj.: az aktív ablak jelen esetben a kapott titkos, aláírt levelünket tartalmazó ablak.

37

Hibás digitális aláírás – hamis, vagy módosított

Figyelmeztetést kapunk a módosításról. 38

Lemezes állományok titkosítása, digitális aláírása, visszafejtése Mikor lehet szükség lemezes állomány titkosítására vagy digitális aláírására? közös géphasználat
hordozható gép elvesztése, ellopása
hordozható eszközök (pl. (pl. pen drive, CD stb stb..)
titkosítási lehetőség nélküli webes levelező használata
ha a levelező plugin nem titkosítja a csatolt állományt


39

Fájlok titkosítása (1) Titkosítás: Titkosítás: j.g. a fájl nevére  PGP  Encrypt  A címzett( címzett(ek ek)) nyilvános kulcsát húzzuk a Recipients mezőbe

40

Fájlok titkosítása (2) Text Output: Output: a titkosított állomány szöveges formátumú lesz (alapértelmezés:: bináris) (alapértelmezés Input Is Text: Text: a titkosítandó fájl formázatlan szöveg Wipe Original Original:: fizikailag törli az eredeti állományt Secure Viewer Viewer:: Secure Viewer nézetben jelenik meg a dekódolt formázatlan szöveg Conventional Encryption Encryption:: egyszerű szimmetrikus titkosítás használata Self Decrypting Archive Archive:: önvisszafejtő állomány keletkezik (nem kell a visszafejtéshez PGP program) Mj.: Mj.: csak egyszerű szimmetrikus titkosítás esetén használható Dekódolás: A beállított opcióktól függően, általában a Dekódolás: titkosított fájl megnyitása  Jelszó megadása 41

Fájlok digitális aláírása (1) Aláírás: j.g. a fájl nevére  Aláírás: PGP  Sign  kulcsválasztás  Jelszó megadás Detached Signature Signature:: az aláírás külön fájlban keletkezik Text Output: Output: a kimenet szöveges formátumú Input Is Text: Text: az aláírandó fájl formázatlan szöveg

42

Fájlok digitális aláírása (2) A keletkező állomány kiterjesztése kiterjesztése:: eredeti_név..sig – különálló aláírás fájl esetén eredeti_név eredeti_név.pgp eredeti_név. pgp – teljes aláírt fájl és bináris formátum választása esetén eredeti_név.asc eredeti_név. asc – teljes aláírt fájl és szöveges formátum választása esetén Módosítás utáni ellenőrzés:

43