Bezpečnost informací – BI Ing. Jindřich Kodl, CSc.
Správa přístupu PS3-2
VŠFS; Aplikovaná informatika - 2006/2007
1
Osnova II
• základní metody pro zajištění oprávněného přístupu; – autentizace; – autorizace; – správa uživatelských účtů; • srovnání současných metod ochrany proti neoprávněnému přístupu; • nové technologické možnosti.
VŠFS; Aplikovaná informatika - 2006/2007
2
Literatura
• Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 • Časopis DSM - Data security management Doporučená • Smejkal V.: Informační systémy veřejné správy ČR, VŠE Praha, 2003
VŠFS; Aplikovaná informatika - 2006/2007
3
Metody ochrany oprávněného přístupu Autentizační nástroje využívají: • znalosti něčeho unikátního – heslo, PIN; • vlastnictví něčeho unikátního – prostředek typu token, čipová karta; • unikátnosti znaků osoby – otisk prstů, biometrika; • unikátnosti osoby v prostoru - využití satelitů, při lokalizaci pozice dané osoby VŠFS; Aplikovaná informatika - 2006/2007
4
Použití hesla – základní problémy • • • • •
Příliš mnoho hesel; Slabá hesla; „Líní“ uživatelé; (slovníková metoda) Důvěra v paměť uživatele; (helpdesk) Snadné získání; (poznámky, nechráněné uložení v PC, phishing,) • Nevyžadování jednoznačné identifikace; • Omezená bezpečnost; (krádež hesla => nezabezpečený systém) • Síla zvyku. VŠFS; Aplikovaná informatika - 2006/2007
5
Náhrada hesel v podnikovém IS Podnikový systém se single-sign-on Základní požadavky: • Zadávání jednoho hesla při vstupu do informačního prostředí (hesla jsou kontrolována na kvalitu) • Automatizovaná správa přístupových práv (ochrana parametrů přístupu) • Víceparametrová základní autentizace VŠFS; Aplikovaná informatika - 2006/2007
6
Elektronický podpis
Elektronický podpis -
údaje v elektronické podobě, připojené k datové zprávě nebo s ní logicky spojené a které slouží jako způsob autentizace (zákon č. 227/2000 Sb.) VŠFS; Aplikovaná informatika - 2006/2007
7
Zaručený elektronický podpis
Zaručený elektronický podpis elektronický podpis, který splňuje následující podmínky: – jednoznačně spojen s podepisující osobou – umožňuje identifikaci podepisující osoby vzhledem k datové zprávě – byl vytvořen pomocí prostředků, které může podepisující osoba udržet pod svou kontrolou – je k datové zprávě připojen takovým způsobem, že je možné zjistit následnou změnu dat (zákon č. 227/2000 Sb.) VŠFS; Aplikovaná informatika - 2006/2007
8
Asymetrická šifra
Všichni znají klíč příjemce, určený k odeslání zprávy VŠFS; Aplikovaná informatika - 2006/2007
9
Asymetrická šifra - podrobněji
A M
B
VEŘEJNÝ SEZNAM VEŘEJNÝ KLÍČ B
ZPRÁVA: HALÓ B. ZDE JSOU DŮVĚRNÁ DATA
???????????????
SOUKROMÝ
VEŘEJNÝ
KLÍČ DB
KLÍČ EB
???????????????
C
C = EB(M)
VŠFS; Aplikovaná informatika - 2006/2007
M
M = DB(C)
ZPRÁVA: HALÓ B. ZDE JSOU DŮVĚRNÁ DATA
Asymetrický šifrovací algoritmus
RSA
(Rivest, Shamir, Adleman)
Nejrozšířenější šifrovací algoritmus s veřejným klíčem. Bezpečnost algoritmu je založena na obtížném rozkladu velkých čísel (tvořených součinem dvou velkých prvočísel) a závisí tak na možnostech řešení úlohy faktorizace.
VŠFS; Aplikovaná informatika - 2006/2007
11
Šifrovací algoritmus – základní popis
Tvorba veřejného a privátního klíče • Vygenerování dvou náhodných dostatečně velkých prvočísel p a q ; (p=3 q=11) • Výpočet n = pq (33) a F(n) = (p - 1)(q - 1) (20) • volba náhodného čísla e , kde 1< e < F(n) (e=7) tak, že NSD (e, F(n)) = 1 jsou nesoudělná [NSD je největší společný dělitel ] VŠFS; Aplikovaná informatika - 2006/2007
12
Šifrovací algoritmus – základní popis Tvorba veřejného a privátního klíče (pokr.) • s užitím Eukleidova algoritmu výpočet čísla d, kde 1< d < F(n) a ed = 1 mod F(n) (7*3=1mod20) Veřejný klíč je dvojice (n,e) (33,7) Privátní klíč je číslo d (3)
VŠFS; Aplikovaná informatika - 2006/2007
13
Šifrovací algoritmus – základní popis
Šifrování a dešifrace • Bob zná veřejný klíč Alice, tj, (n,e) a posílá zprávu m • Bob zprávu m { m; 0 < m < a - 1} zašifruje do c = me mod a a odešle Alici • Alice dešifruje c pomocí d , kdy
m = cd mod a VŠFS; Aplikovaná informatika - 2006/2007
14
Šifrovací algoritmus – příklad Šifrování a dešifrace • Bob zná veřejný klíč Alice (n,e), (n,e) tj, (33,7) a posílá zprávu m = 2 • Bob zprávu m zašifruje do c = me mod n; 29 = 27mod33 =128mod33 a odešle Alici • Alice dešifruje c=29 pomocí d=3 , kdy
m = cd mod a; 2= 293 mod33=24389mod33 VŠFS; Aplikovaná informatika - 2006/2007
15
Proces podpisu
„Zašifrování“ dat privátním klíčem odesilatele VŠFS; Aplikovaná informatika - 2006/2007
16
Použití Hash funkce
„Zašifrování“ vzorku dat privátním klíčem odesilatele VŠFS; Aplikovaná informatika - 2006/2007
17
Bezpečnost RSA základní metoda kryptoanalýzy = faktorizace modulu n (rozklad na prvočísla) Rok 2003 - proveden rozklad modulu o délce 576 bitů 700 600 500 400
425
428
129
130
462
528
512
576
300 200 100 0 1994
1995
1996
160 174
140 155
1997
1998
1999
délka modulu v bitech
2000
2001
2002
2003
2004
dekadicky
Postupné výsledky faktorizace VŠFS; Aplikovaná informatika - 2006/2007
(zdroj: J.Janečko 2003)
18
Automatizace elektronických podpisů Elektronická razítka – elektronické značky Prostředky pro vytváření elektronických značek
• Data pro vytváření elektronických značek jsou dostatečným způsobem utajena a jsou spolehlivě chráněna proti zneužití třetí osobou, • Prostředek pro vytváření elektronických značek musí být nastaven tak, označil pouze ty datové zprávy, které označující osoba k označení zvolí. • Prostředek pro vytváření elektronických značek musí být chráněn proti neoprávněné změně a musí zaručovat, že jakákoli jeho změna bude patrná označující osobě. VŠFS; Aplikovaná informatika - 2006/2007
19