Směry rozvoje v oblasti ochrany informací KS - 7

Bezpečnost informací – BI Ing. Jindřich Kodl, CSc.

Směry rozvoje v oblasti ochrany informací KS - 7

VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

1

Osnova

• • • • • •

vývoj symetrických a asymetrických metod; kvantové šifrování; bezpečnostní protokoly; PKI; šifrová ochrana v Internetu; elektronický obchod.


2

Literatura

• Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Doporučená • Přibyl J, Kodl J.: Ochrana dat v informatice,ČVUT, 1998 • Kuchař M.: Bezpečná síť, Grada 1999


3

Vývoj kryptografických metod

• •

Kryptografie je nezbytná vždy pracujeme-li v nechráněném informačním nebo komunikačním prostředí (typický případ Internet); Každá komunikace v nezabezpečeném prostředí na úrovni aplikace – aplikace vyžaduje použití bezpečnostních nástrojů, postupů a metod, které zajistí následující požadavky: – Autentizace – důkaz identity ( Internet – základní autentizace host – host na úrovni jmen, adres je nedostatečná) – Důvěrnost, privátnost – pouze oprávněný uživatel má přístup k dané informaci; – Integrita – informace není v průběhu doručování modifikována; – Neodmítnutelnost – důkaz o zpracování informace proklamovaným uživatelem.


4

Využití kryptografických funkcí


5

Základní typy kryptografických algoritmů 1. Symetrická kryptografie: Použití jednoho tajného klíče pro šifrování a dešifraci 2. Kryptografie s veřejným klíčem (PKC): Použití jednoho klíče pro šifrování a druhého pro dešifraci 3. Hash Funkce: Používají matematickou funkci k ireversibilnímu „zašifrování“ informace _____________________________________ PKC je založena na existenci tzv. jednosměrných funkcích, Příklady: Násobení vs. faktorizace Umocňování vs. logaritmus Základní matematická myšlenka v PKC je nalezení tzv. zadních vrátek u jednosměrné funkce, takových, že inverzní výpočet je snadný při znalosti definované informace. Bezpečnost hash funkce je postavena na obtížnosti nalezení dvou zpráv se stejnou hodnotou vzorku. VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

6

Kvantová kryptografie • Využití principu neurčitosti • Světelné kvantum (foton) – při šíření prostoročasem se chová jako vlnění s definovaným úhlem roviny vlnění • polarizované světlo – šíření fotonů v jedné rovině • přenos klíče – využití polarizovaných filtrů • při shodnosti soustavy pro polarizaci fotonu a soustavy ve které probíhá měření lze určit polarizaci fotonu • využití soustavy: – horizontálně vertikální – levoúhlopříčně pravoúhlopříčné VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

7

Kvantová kryptografie Vygenerování tajného klíče • vyslání sledu fotonových impulsů stranou A –I I / - - \ - I - /

• strana B náhodně nastavuje svůj detektor –X + + X X X + X + + při správném nastavení - lze určit polarizaci fotonu, jinak je výsledek náhodný –/ I - \ / \ - / - I

• strana B sdělí straně A své nastavení a strana A sdělí, která nastavení jsou správná VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

8

Kvantová kryptografie Vygenerování tajného klíče – pokračování • jsou správná nastavení v pro impulsy 2,6,7,9 tedy: . I . . . \ - . - . • dle dohodnuté konvence lze stanovit impulz v jedné soustavě = 1, v druhé soustavě = 0 •

0

1 0

0

vygenerovaný klíč


9

Bezpečnostní protokoly SSH (Ssh, the Secure Shell) Základní a neměnný rys protokolu je počáteční konfigurace obou stran inicializované komunikace tak, aby veškerá přenášená data byla šifrovaná již před zahájením autentizace uživatelů; Lze nastavit režim šifrování pro jakýkoliv port TCP/IP; Zajišťuje autentizaci uživatelů.


10

Bezpečnostní protokoly Kerberos • Nejstarší kryptografický protokol, který se přes svou složitost stále používá. Kerberos představuje distribuovaný autentizační protokol. • Zajištění autentizačních služeb mezi zabezpečeným serverem a zabezpečenými klienty. Zajišťuje ale autentizaci i v případě kompromitovaného klienta. • V případě autorizace uživatele (elektronická pošta) je nutné další ID a heslo.


11

Bezpečnostní protokoly SSL SSL is Secure Socket Layer; • Protokol navržený pro zajištění bezpečného přenosu dat přes počítačové sítě; • Bezpečnost zajišťuje pomocí šifrování přenášených dat (symetrická kryptografie) - po úvodní výměně vizitek pro stanovení tajného klíče na správu dojde k zašifrování dat; • Umožňuje rovněž provést ověření obou komunikujících stran – autentizace uživatelů s použitím asymetrické kryptografie (RSA, DSS, …); • Využívá kryptografie s veřejným klíčem a další symetrické šifry. Byl navržen tak, že podporuje nejrůznější šifrovací metody a algoritmy. • Přenos zpráv zahrnuje kontrolní součet (MAC s klíčem); pro výpočet MAC se používají hash funkce (SHA, …) VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

12

Bezpečnostní protokoly

IPSEC • • • • •

Protokol poskytuje kryptografické funkce na transportní úrovni „neviditelně“ pro aplikace; Přidává k standardním paketům hlavičku s autentizačními daty; Podporuje zašifrování přenášených dat; Nepodporuje distribuci klíčů; Využitelný při návrhu VPN.


13

Bezpečnostní protokoly GP - Pretty good privacy Volně šířený program na ochranu zpráv posílaných elektronickou poštou. – autor Philip Zimmermann; – program k účinné ochraně přenášených zpráv elektronickou poštou; – kvalitní nástroj pro šifrování předávaných zpráv a k autentizaci uživatelů, využití elektronického podpisu u předávaných e-mailů.


14

PGP Soubor programů: – ke generování páru klíčů pro asymetrické šifry používané u elektronických podpisů. – prostředky pro generování klíčů k šifrování zpráv elektronické pošty a pro komunikaci s serverem veřejných klíčů. – symetrické šifry pro šifrování zpráv, kdy je uživateli poskytnuta možnost volby z několika algoritmů. – ucelený systém pro zabezpečení komunikace.


15

PGP Distribuce klíčů Pro každou zprávu se vygeneruje náhodný klíč ( tzv. klíč na zprávu), je jednorázový a po přenesení a dešifrování zprávy je zničen. – odesilatel po vytvoření zprávy, kterou chce zašifrovat vygeneruje náhodný klíč, který je použit pouze pro tuto zprávu – zpráva je zašifrována vygenerovaným klíčem pomocí např. algoritmu IDEA nebo AES – klíč je zašifrován pomocí asymetrické šifry (například DSS) veřejným klíčem příjemce a předřazen přenášené zprávě – příjemce dešifruje klíč na zprávu svým privátním klíčem a poté dešifruje zprávu samotnou


16

PGP Certifikáty veřejných klíčů PGP je založeno na tzv. „síti důvěry“ Každý uživatel generuje a rozesílá svůj veřejný klíč. Uživatelé si navzájem stvrzují pravost veřejných klíčů a vytvářejí tak propojenou strukturu v prostředí PGP. Příklad komunikace mezi uživateli A, B, C, D.

– Před zahájením vlastní komunikace doručí A svůj veřejný klíč B. B uživatele A dobře zná a tak podepíše jeho veřejný klíč. – Když pak A chce komunikovat s C, tak mu pošle kopii s klíčem podepsaným B. C zná veřejný klíč B, který mu mohl být již například doručen a věří B, že „certifikoval“ klíč A, protože jej pokládá za oprávněného účastníka. – C si ověří podpis B u klíče účastníka A a tím si zjistí, že klíč A je správný a de facto právoplatný. B se tak stal prostředníkem komunikace mezi A a C.


17

Pretty good privacy • Poslední verze programu PGP jsou již „hybridní“ a umožňují, aby kromě PGP certifikace byly veřejné klíče opatřeny certifikátem vydaným poskytovateli certifikačních služeb. • Propojení certifikačních politik. • Certifikační politika s poskytovateli certifikačních služeb splňuje mezinárodní standard X.509v3. • Certifikáty veřejných klíčů vydané poskytovateli certifikačních služeb jsou součástí distribuce veřejných klíčů. VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

18

PKI Infrastruktura veřejných klíčů • správa systému veřejných klíčů • subjekty PKI: – certifikační autorita (CA) – registrační autorita (RA)

•

prostředky PKI – certifikáty – kryptografické prostředky

• •

dokumentace (politiky, CRL (seznamy neplatných certifikátů)) služby – adresářové služby – časové služby (časová razítka)


19

Certifikační autorita •

Systém PKI zajišťuje správu informací, které „přiděluji“ uživatele k jejich vlastním veřejným klíčům. Vazba zajištěna certifikátem. Certifikáty poskytuje certifikační autorita (CA). Certifikační autorita reprezentuje třetí (důvěryhodný) subjekt.

•

Certifikační autorita vytváří, rozděluje a ruší certifikáty. Aby CA mohla uživateli B vystavit certifikát, musí prověřit jeho totožnost a potvrdit vlastnictví veřejného klíče EB. CA potom podepíše vlastním soukromým klíčem DCA zprávu tvořenou identifikací uživatele B ( např. jméno, adresa a EM adresa), jeho veřejným klíčem a nějakými jinými užitečnými daty, ke kterým například patří datum ukončení platnosti certifikátu a práva uživatele.

•

Pokud A bude chtít získat veřejný klíč uživatele B, vyzvedne si z veřejného adresáře jeho certifikát a ověří na tomto certifikátu podpis certifikační autority. Ověřením pravosti podpisu A získává od důvěryhodné CA jistotu, že klíč EB skutečně patři uživateli B. A nyní může pod ochranou certifikátu použít veřejný klíč uživatele B k zašifrování důvěrné informace, kterou mu hodlá odeslat, nebo verifikovat jeho podpisy.


20

Certifikační autorita

B

ID

A

CE A K I F I ENT

VE

A

LÍČ K Ý N J ŘE

EA

CA

DCA(IA, EA, X)

ECA

B

IDEN TIFIK A CE B VE Ř E J NÝ K L ÍČ E B

DCA(IB, EB, X)

Veřejný seznam certifikovaných klíčů E A

B

A

ECA

B


21

A

Certifikáty Zajištění autentičnosti veřejného klíče • CA po příslušném ověření identity žadatele podepíše jeho veřejný klíč svým soukromým klíčem; • certifikát = veřejný klíč uživatele s podpisem CA;


22

Hierarchie poskytovatelů certifikačních služeb (certifikačních autorit)


23

E -commerce Využití IT a komunikačního prostředí (Internetu) v souvislosti s prodejem zboží a služeb. B2B – business to business B2C – business to customer

Bezpečnost e-commerce = hlavní regulační prvek rozvoje; OECD (Organization for Economic Cooperation and Development) – Organizace pro ekonomickou spolupráci a rozvoj

Směrnice pro bezpečnost informačních systémů Implementace popisující základní soubor opatření a postupů při zajištění ochrany informací VŠFS; Aplikovaná informatika; SW systémy – 2005/2006

24

Směry rozvoje v oblasti ochrany informací KS - 7

Recommend Documents