PGP Az informatikai biztonság alapjai II.
Készítette: Póserné Oláh Valéria
[email protected]
Miről lesz szó? A PGP program és telepítése Kulcsmenedzselés saját kulcspár generálása, publikálása magánkulcs védelme mások kulcsaihoz való hozzáférés kulcsok hitelesítése
Levelek titkosítása, visszafejtése Digitális aláírás Fájlok titkosítása, digitális aláírása, visszafejtése 2
A PGP program
Pretty Good Privacy = elég jó biztonság vagy Tuti Jó Titkosítás Az adatbiztonság adatbiztonságot ot szolgáló, titkosító kulcsrendszer, mely az internet kommunikáció kommunikációnak nak egy alapvető feltételét hivatott szavatolni. Matematikai algoritmusokat használva kódol fájlokat, hogy megakadályozza az illetéktelen hozzáférést. 1991 óta szabadon terjeszthető.
3
A PGP jellemzői
80-as évek második fele: Philip R. Zimmermann elkezdi a program fejlesztését Cél: feltörhetetlen rejtjelezést alkalmazó egyszerű alkalmazás kifejlesztése. Kombinált kriptográfiai rendszer: szimmetrikus algoritmusként IDEA-t, aszimmetrikusként RSA-t alkalmazott. Az újabb verziók által használt algoritmusok: Szimmetrikus: CAST, AES, Triple-DES, IDEA, Twofish Aszimmetrikus: RSA, Diffie-Hellman. CAST: szerzői Carlisle Adams és Sta ord Tavares, a DES és az IDEA elvén működik AES: Advanced Encryption Standard Triple-DES : a DES algoritmus egy továbbfejlesztett változata IDEA: International Data Encryption Algorithm Twofish: 128 bites blokk-kódoló algoritmus RSA: szerzői Ron Rivest, Adi Shamir, Leonard Adleman Diffie-Hellman: publikus kulcsú kriptografikus algoritmus 4
A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (1)
Szimmetrikus titkosítás a titkosításhoz és kódoláshoz ugyanaz a kulcs használatos, azt a feladónak és a címzettnek is ismernie kell. A jelszót (kulcsot) biztonságosnak vélt úton kell eljuttatni a másik félhez, pl. személyes találkozáskor. előnye: a gyorsaság, hátránya: megnehezíti az azonnali és globális kommunikációt.
5
A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (2)
Aszimmetrikus titkosítás minden felhasználó (feladó és címzett) rendelkezik egy kulcspárral, ami egy nyilvános (public) és egy titkos (private) kulcsot tartalmaz. A nyilvános kulcs a titkosításhoz, a privát kulcs a visszafejtéshez használatos. Mj.: A két kulcs egymásból nem számítható ki, vagyis nem állítható elő a nyilvános kulcsból a titkos kulcs.
6
A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (3)
Titkos kulcs A titkos kulcsot csak a kulcspár tulajdonosa ismeri. A titkos kulcsot használjuk a nekünk küldött kódolt üzenetek visszafejtésére és elektronikus leveleink digitális aláírására. Nyilvános kulcs A nyilvános kulcsot használjuk a kódolt üzenetek készítésekor és a digitálisan aláírt levelek hitelességének ellenőrzésekor. A nyilvános kulcsot minél szélesebb körben kell ismertté tenni. 7
A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (4)
Session key (egyszer egyszer használatos titkosító kulcs) Hibrid titkosítási módszer alkalmazásakor az ideiglenes titkosító kulcs, amelyet a nagy adatmennyiséget jelentő üzenettörzs vagy csatolt állomány szimmetrikus algoritmussal történő kódolásakor használunk (gyors), majd a kulcsot aszimmetrikus (erős) algoritmus használatával szintén kódoljuk. 8
A PGPPGP-vel kapcsolatos fogalmak (emlékeztető) (5)
Pótlólagos visszaállító kulcs (ADK - Additional Decryption Key) Szükség esetén (általában vállalati környezetben) az üzenetet nem csak a címzett nyilvános kulcsával, hanem az ADK kulcspár nyilvános kulcsával is titkosítjuk. Így az üzenetet nemcsak a címzett, hanem az ADK tulajdonosa is elolvashatja. KulcsKulcs-felosztás (key splitting) Az ADK funkció kiegészítése a visszaélések megelőzésére. Az ADK titkos része nem egy, hanem több személy birtokában van, és egy ADK-val titkosított üzenet elolvasásához mindannyiuk jelenléte szükséges. Így elkerülhető az a helyzet, hogy a cégnél valakinek egy minden üzenet felnyitására 9 alkalmas mesterkulcsa legyen.
Az üzenet titkosításának lépései (1)
10
Az üzenet titkosításának lépései (2)
Tömörítés: tömöríti a titkosítani kívánt adatot Szimmetrikus titkosítás egy véletlen generálású kulccsal (session key): még nagy méretű adatfolyam esetében is gyors. A véletlen generálású kulcs (session key) titkosítása a címzett nyilvános kulcsával (aszimmetrikus titkosítás)
a session kulcs kis méretű, ezért a titkosítás gyorsan megtörténik létrejön egy olyan csomag, amely tartalmazza a titkosított adatot és a visszafejtéshez szükséges kulcsot titkosítva
Küldés
11
A titkosított üzenet visszafejtése
12
A PGP program telepítése (1)
Most nem telepítünk, de a telepítő letölthető a http://nik.bmf.hu/poserne/IBA/install/ címről. Ha nincs előző verzió telepítve a gépen, akkor a beköszönő ablak jelenik meg (lépjünk ki minden egyéb alkalmazásból). Next
13
A PGP program telepítése (2)
License feltételek elfogadása Next
non--profit (diákoknak, oktatási intézményeknek, karitatív non
intézményeknek és szervezeteknek, és nem üzleti célból otthoni felhasználóknak) és a nem kormányzati célú felhasználásra ingyenes. ingyenes.
14
A PGP program telepítése (3)
A Read Me elolvasása után Új felhasználó esetén az alkalmazásnak többletfeladatai lesznek. Régi felhasználó esetén (más gépen használtuk a PGPPGP-t), az ott kimentett kulcs--fájlokat az új helyen is alkalmazhatjuk. Next kulcs
15
A PGP program telepítése (4)
A telepítés helyének beállítása után az egyes komponensek kiválasztása Next
16
A PGP program telepítése (5)
A számítógép újraindulása (a betöltéskor megtörténik a rendszerbe integrálódás) Finish
17
Saját kulcspár generálása (1) A PGP csomag PGPkeys alkalmazásával Keys New Key…
18
Saját kulcspár generálása (2)
Az Expert gombra kattintva finomhangolási lehetőség Next
19
Saját kulcspár generálása (3) Full name: saját nevünk (kerüljük az ékezeteket) E-mail address: elektronikus levélcímünk Key type: a kulcs típusa lehet Diffie-Hellman/DSS, RSA, vagy RSA Legacy Key size: Diffie-Hellman/DSS és RSA esetén 1024-4096 RSA Legacy esetén 1024-2048 Key expiration: kulcs érvényességi ideje Mj. 1. RSA Legacy típust akkor válasszunk, ha 7.0-nál régebbi PGP verzió felhasználóival is kommunikálunk. 2. Az érvényességi idő lejárta után a kulcs csak visszafejtésre és digitális aláírás ellenőrzésére használható. 3. Minél hosszabb a kulcs, annál tovább tartanak vele a műveletek. 20
Saját kulcspár generálása (4) Passphrase: jelszó megadása a magánkulcsunk védelmére Confirmation: jelszó megismétlése Hide Typing: jelszó gépelés elrejtése Passphrase Quality: jelszó erőssége (minél hosszabb legyen a csík)
21
Saját kulcspár generálása (5)
Kulcskarikánkon kulcsaink rendelkezésre állnak 22
Kulcs exportálása lemezes állományba Keys Export…
Include Private Key(s): kijelölve a fájlba a magán kulcs is bekerül!!! Include 6.0 Extensions: ha a címzett 6.0 előtti verzióval rendelkezik ne jelöljük ki 23
Kulcs importálása lemezes állományból (1) Keys Import… kulcsot tartalmazó fájl kiválasztása megnyitás kulcs ellenőrzése után Import
24
Kulcs importálása lemezes állományból (2) Kulcs ellenőrzése: j.g. a kiválasztott kulcsra Key Properties Fingerprint ellenőrzése
ID: a kulcs egyedi azonosítója Type: a kulcs típusa Size: a kulcs mérete bitekben Created: keletkezési dátum Expires: lejárati dátum Cipher: a használandó szimmetrikus titkosító algoritmus Fingerprint: a kulcs ujjlenyomata Hexadecimal: az ujjlenyomat hexadecimális megjelenítése 25
A titkosító algoritmus beállítása Edit Options Advenced Prefered algorithm
Mj.: Allowed Algorithm: le lehet tiltani az általunk nem preferált hagyományos rejtjelezési módszerek használatát.
26
Kulcs exportálása és importálása vágólapon keresztül Exportálás: A kulcslistában j.g. az exportálandó kulcs bejegyzésére Copy levél megírása a kulcs beillesztése küldés Importálás: A teljes kulcsblokk kijelölése vágólapra másolás Edit Paste valódiság ellenőrzés Import
27
Példa a teljes kulcsblokkra -----BEGIN PGP PUBLIC KEY BLOCK -----BEGIN BLOCK--------Version: PGP 8.0.2 - not licensed for commercial use: www.pgp.com mQGiBEPuYc8RBAD9CGxQOoqmHsiZhu7mO9+Vv8SwNdLygSASpnzpPV1DvgBsDEx2 D9Cyeg4ogDBEqQY3ikWRktQDCcYgyEXKkeUK/a4vR8D6xDc6K8vJLAt3Aqxgtyui Dqg77pbsHilQHRGbg3jk7iivYohg5QagzloXycShylHtBNNcHtIfqgVpsQCg/znt Dqg77pbsHilQHRGbg3jk7iivYohg5QagzloXycShylHtBNNcHtIfqgVpsQCg/ znt DJ64JmcmBFno3ofTWy0h+ecD/3xjlYKF3Mr7rTCICnyleHyk2c7IU/m9iylxbl72 eaZJSU2nb8a1gPf4MCXiqghIeg2Xab2qjQ+iGRibeXh/MC4F6c12cEYI8YwflS3p Gi4tIKoYrVIG28XtL7prcAffgwvm7bq18rYGFy3QNSaFk3mQeEqSHKzlOwnn0rxK eTHdBADJore3CNc/idukqc2YT64hWmZvnDBCO3PFn82p21kJG/QtaS0l1bAI2zTW CR/HYVnGWXv6FxFlWRMk84MucxnKIGGiJ7AY6fXtzXA//LH1+0bWZu14QZT+ZdVj aKS4ddyzh6dFLFTeVFFYjILMXozm2yh87UiKohNgSROFrZJaQ7QnUG9zZXJuZUJN RiA8cG9zZXJuZS52YWxlcmlhQG5pay5ibWYuaHU+iQBYBBARAgAYBQJD7mHPCAsJ CAcDAgEKAhkBBRsDAAAAAAoJEAABLvtTs49D/EIAni CAcDAgEKAhkBBRsDAAAAAAoJEAABLvtTs49D/ EIAni/VVx0C9RtqvTSODMKX/ /VVx0C9RtqvTSODMKX/bcf bcf scB1AJ9KrTo8WSo84lb0pff+wTZ+jfe4z7kCDQRD7mHPEAgA9kJXtwh/CBdyorrW scB1AJ9KrTo8WSo84lb0pff+wTZ+jfe4z7kCDQRD7mHPEAgA9kJXtwh/ CBdyorrW qULzBej5UxE5T7bxbrlLOCDaAadWoxTpj0BV89AHxstDqZSt90xkhkn4DIO9ZekX 1KHTUPj1WV/cdlJPPT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ZFe 1KHTUPj1WV/cdlJPPT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ ZFe xwGq01uejaClcjrUGvC/RgBYK+X0iP1YTknbzSC0neSRBzZrM2w4DUUdD3yIsxx8 Wy2O9vPJI8BD8KVbGI2Ou1WMuF040zT9fBdXQ6MdGGzeMyEstSr/POGxKUAYEY18 hKcKctaGxAMZyAcpesqVDNmWn6vQClCbAkbTCD1mpF1Bn5x8vYlLIhkmuquiXsNV 6TILOwACAggA3KWA9gvrUAVqrgDdOI/FJh7O7wgUEAWV9gQnfLFaNYBGAJDWZ+Tu 93oP+5gL8Dg702YQNAUTSad3smfQwxw35QTyJX7dY5GSYlHJ9K0ZAtY1qksedty6 nAFp33tCEbX2Casg9TMtlf301HkIrj+QC/qoi+WMTjM2/p199fdswyKYd46CVhHw nbTDy0HBqoYO41Eq3VUzhKRwTd1Na7Rb3luTx0OXaLOR6VGCw77G3cKyyEvMHTKu A3HYiLvP+niWIMFv+PvhyXkHcbtyO3yUUpEtA+f2dAK303rEDMVWBmPoq8ysGWA+ 6v+gu1zSV8Rsy+0JWfbH/U2CLbXBiTU65IkATAQYEQIADAUCQ+5hzwUbDAAAAAAK CRAAAS77U7OPQ1DlAJ9us9IunrvSl4KFWUNxd8PiD2I8xACg2eHfR4r0HzONypFr epxrTvhfv/U= epxrTvhfv /U= =D7zC -----END ----END PGP PUBLIC KEY BLOCK BLOCK---------
28
Aktív ablak tartalmának titkosítása (1) A levél szövegének megírása és a címzés után kattintson a tálca lakat ikonjára Current Window Encrypt publikus kulcs kiválasztása Mj.: az aktív ablak jelen esetben a levelünket tartalmazó ablak, mely formázás nélküli szöveget kell, hogy tartalmazzon.
29
Aktív ablak tartalmának titkosítása (2) A kiválasztott kulcs áthelyezése a Recipients mezőbe Secure Viewer Viewer:: A dekódolt szöveg megjelenítése speciális fontkészlettel Conventional Encryption Encryption:: Hagyományos rejtjelezés
30
Aktív ablak titkos tartalmának visszafejtése A levél megnyitása után kattintson a tálca lakat ikonjára Current Window Decrypt & Verify Mj.: az aktív ablak jelen esetben a kapott titkos levelünket tartalmazó ablak.
31
A digitális aláírás (1)
32
A digitális aláírás (2)
A címzett meggyőződhet a neki küldött üzenet hitelességéről (a levél feladója tényleg az, akinek mondja magát, és a levél tartalma továbbítás közben nem változott meg).
Az aláírás és az ellenőrzés folyamata
Aláírás a feladó titkos kulcsával Ellenőrző összeg (kis méretű) készítése egy ún. hash függvény alkalmazásával és beillesztése az üzenetbe
Akár egy karakternyit változtatás az üzenetben a hash függvény más ellenőrző összeget hoz létre a feladó, illetve a címzett oldalán.
Küldés Fogadás Ellenőrzés a feladó nyilvános kulcsával
Az ellenőrző összeg az üzenet részeként jut el a címzetthez, így az ellenőrzés során azonnal kiszűrhető az esetleges módosítás. 33
Aktív ablak tartalmának digitális aláírása, titkosítása
A levél szövegének megírása, címzése j.g. a tálca ikonjára Current Window Encrypt & Sign küldés Mj.: az aktív ablak, most a levelünket tartalmazó ablak, formázás nélküli szöveget kell, hogy tartalmazzon.
34
Aktív ablak digitálisan aláírt titkos tartalmának visszafejtése A
levél megnyitása után katt. a tálca ikonjára Current Window Decrypt & Verify Mj.: az aktív ablak jelen esetben a kapott titkos, aláírt levelünket tartalmazó ablak.
35
Aktív ablak tartalmának digitális aláírása, majd titkosítása A levél szövegének megírása, címzése j.g. a tálca ikonjára Current Window Sign j.g. a tálca ikonjára Current Window Encrypt küldés Mj.: az aktív ablak most a levelünket tartalmazó ablak, mely formázás nélküli szöveget kell, hogy tartalmazzon.
36
Aktív ablak digitálisan aláírt titkos tartalmának visszafejtése A levél megnyitása után kattintson a tálca ikonjára Current Window Decrypt & Verify Mj.: az aktív ablak jelen esetben a kapott titkos, aláírt levelünket tartalmazó ablak.
37
Hibás digitális aláírás – hamis, vagy módosított
Figyelmeztetést kapunk a módosításról. 38
Lemezes állományok titkosítása, digitális aláírása, visszafejtése Mikor lehet szükség lemezes állomány titkosítására vagy digitális aláírására? közös géphasználat hordozható gép elvesztése, ellopása hordozható eszközök (pl. (pl. pen drive, CD stb stb..) titkosítási lehetőség nélküli webes levelező használata ha a levelező plugin nem titkosítja a csatolt állományt
39
Fájlok titkosítása (1) Titkosítás: Titkosítás: j.g. a fájl nevére PGP Encrypt A címzett( címzett(ek ek)) nyilvános kulcsát húzzuk a Recipients mezőbe
40
Fájlok titkosítása (2) Text Output: Output: a titkosított állomány szöveges formátumú lesz (alapértelmezés:: bináris) (alapértelmezés Input Is Text: Text: a titkosítandó fájl formázatlan szöveg Wipe Original Original:: fizikailag törli az eredeti állományt Secure Viewer Viewer:: Secure Viewer nézetben jelenik meg a dekódolt formázatlan szöveg Conventional Encryption Encryption:: egyszerű szimmetrikus titkosítás használata Self Decrypting Archive Archive:: önvisszafejtő állomány keletkezik (nem kell a visszafejtéshez PGP program) Mj.: Mj.: csak egyszerű szimmetrikus titkosítás esetén használható Dekódolás: A beállított opcióktól függően, általában a Dekódolás: titkosított fájl megnyitása Jelszó megadása 41
Fájlok digitális aláírása (1) Aláírás: j.g. a fájl nevére Aláírás: PGP Sign kulcsválasztás Jelszó megadás Detached Signature Signature:: az aláírás külön fájlban keletkezik Text Output: Output: a kimenet szöveges formátumú Input Is Text: Text: az aláírandó fájl formázatlan szöveg
42
Fájlok digitális aláírása (2) A keletkező állomány kiterjesztése kiterjesztése:: eredeti_név..sig – különálló aláírás fájl esetén eredeti_név eredeti_név.pgp eredeti_név. pgp – teljes aláírt fájl és bináris formátum választása esetén eredeti_név.asc eredeti_név. asc – teljes aláírt fájl és szöveges formátum választása esetén Módosítás utáni ellenőrzés:
43