Információs rendszerek biztonságtechnikája

Átírás

1 Információ rendzerek biztonágtechnikája Vaányi Itván, Dávid Áko, Smidla Józef, Süle Zoltán 2014 A tananyag a TÁMOP A/1-11/ A felőfokú informatikai oktatá minőégének fejleztée, modernizációja c. projekt keretében a Pannon Egyetem é a Szegedi Tudományegyetem együttműködéében kézült.

2 1. ré z: Kriptográ fiá 2

3 Tartalomjegyzék 1. Történeti áttekinté A modern kriptográfia alapjai Modern blokko kriptorendzerek Modern folyam-elvű kriptorendzerek Nyilváno kulcú kriptorendzerek é alkalmazáaik Üzenetpecétek A kriptográfia jövője Irodalom I.MELLÉKLET: AZ AES KRIPTOGRÁFIAI ALGORITMUS Bevezeté Matematikai alapok A kulc kiterjeztée Kódolá Dekódolá II. MELLÉKLET BLOKK KÓDOLÓK ÜZEMMÓDJAI Elektroniku kódkönyv (ECB) Titkoított blokkok láncoláa (CBC) Kimenet vizacatoláa (OFB) Kódolt üzenet vizacatoláa (CFB) Számláló mód (CTR) III. MELLÉKLET AZ RSA ALGORITMUS Matematikai alapok Az RSA algoritmua Az RSA alkalmazáa digitáli aláírára IV. MELLÉKLET A SZÜLETÉSNAP-TÁMADÁS MATEMATIKAI HÁTTERE V.MELLÉKLET AZ SHA-1 ÜZENETPECSÉT Alapműveletek Az SHA-1 működée VI. MELLÉKLET A GRAIN-128 FOLYAMTITKOSÍTÓ VII. MELLÉKLET A RABBIT FOLYAMTITKOSÍTÓ

4 1. Történeti áttekinté A zteganográfia A kriptográfia nagyon régi tudomány, melynek alkalmazáai az ókorba nyúlnak viza. A legrégebbi időkben nem a ma megzokott, titko vagy nyilváno kulcokra alapozott kriptográfiai módzerek, hanem a zteganográfia, azaz a titkolni kívánt üzenet elrejtée vagy álcázáa volt haználatban. Néhány klaziku példa: az i.e. 480-ban lezajlott zalamizi cata, mely a perza hajóhad döntő vereégével végződött, illetve Xerxe egéz görög hadjárata i máképp végződhetett volna, ha a hadjárat előtt egy Perziába záműzött görög nem figyelmezteti honfitárait a közelgő támadára egy rejtett üzenettel, melyet egy viazal bevont, ürenek látzó írótáblán, a viazréteg alatt helyezett el. Az üre írótábla gond nélkül eljutott Perziából a címzettekhez. a diplomáciai levelezében alkalmazták a küldönc fejére írt, lábbelijébe rejtett tb. üzeneteket, melyekről maga a küldönc em tudott. elhalványuló, de valamilyen kezelére megjelenő tintával (pl. tej, citromlé, pitypang-nedv tb.), vagy nem látható helyekre (potabélyeg alá, kemény tojá héja alá tb.) írtak üzeneteket. A fenti zteganografiku módzerek közö jellemzője, hogy a feladónak é a címzettnek előzeteen é titokban meg kellett állapodni a rejté módjában, é ha ezt a támadó megtudta, akkor a rejtett üzenetet könnyen el tudta olvani, akár meg i tudta hamiítani. Mivel pedig a titko módzerek előbb-utóbb kitudódnak, ezért a zteganográfia alkalmazáa általában egyedi é erően korlátozott. Ennek ellenére még a II. világháborúban i alkalmazta pl. a francia ellenállá. Napjainkban pedig a különféle digitáli tartalmak, előorban kép- é hangfájlok, de akár telje reláció adatbáziok digitáli vízjelzéére (digital watermark) i alkalmazzák a zteganográfia elvét. A cél lehet a zerzői jogi információk elrejtée vagy a zajcökkenté i. A leggyakrabban azonban az üzenet elrejtéét nem önmagában, hanem valamilyen kriptográfiai módzerrel kombinálva alkalmazzák. A zteganográfia é a kriptográfia közötti átmenetre példa az üzenet betűinek özekeverée valamilyen előre megállapodott éma zerint. Néhány példa: A okzögletű pálca, melyet már az ókorban i alkalmaztak. A pálcára pirálian egy zíjat tekertek, majd az üzenetet a zíjra, a pálca oldalai mentén írták fel. Letekeré után a betűk özekeveredtek, pl. ötzög kereztmetzetű pálca eetén ötö coportokban. A címzettnek ugyanolyan pálcával kellett rendelkeznie, mint a feladónak, melyre a zíjat feltekerve az üzenet elolvahatóvá vált. A Cardano-rejtjelező egy rác, melyet a négyzetráco cellákra oztott titko üzenet fölé helyeztek, é a megjelölt cellák betűit olvaták öze. A rác 90 foko elforgatáával é imételt alkalmazáával akár hozabb zövegek betűit i öze lehet keverni. Az elő példában a okzögletű pálca, a máodikban a rác tekinthető egyfajta titko kulcnak, amely megkönnyíti az üzenetmegfejtéét. A betűk özekeveréének, permutáláának elvét P-doboz néven a modern kriptográfia i alkalmazza. 4

5 A klaziku kriptorendzerek A történelem megmutatta, hogy a támadó általában előbb-utóbb megimeri a titkoan kommunikáló felek által haznált módzert, őt általában a titko üzenet nyelvét é témáját i. Olyan módzert kellett tehát találni, melynek feltörééhez ezeken kívül még egy titko kulc i zükége. Előnyö, ha a kulcot nehéz kitalálni, é ha a felek időről időre új kulcokat alkalmaznak. Néhány klaziku példa: A Caear-kód: minden betű helyett az utána következő n-edik betűt írjuk. A lehetége kulcok záma így (26 jegyű ABC-t haználva) mindöze 26. A Római Birodalomban alkalmazták. Ennek továbbfejleztett változata minden betű ziztematiku helyetteítée egy máik betűvel. Így már 26! kulc lehetége, azonban a kulc egy táblázat, amit nehezebb titkoan kezelni. Ezt a műveletet S-doboz néven imeri a modern kriptográfia. A fenti módzert egyzerű monoalfabetiku (betűhelyetteítée) kódnak nevezzük. Ennek töréére a IX. zázadig kellett várni, amikor arab tudóok a Korán kéziratainak eredetiégét vizgálva feltalálták a betűgyakoriág-tatiztikákra alapozott elemzét. Az üzenet nyelvének é témájának imeretében a betűpárok könnyűzerrel felderíthetők a termézete nyelvek redundanciáját felhaználva, feltéve, hogy elegendően hozú üzenet áll rendelkezére 1. Ennek ellenére a monoalfabetiku kriptorendzereket, időnként a virágnyelvvel kombinálva, Európa-zerte alkalmazták (é rutinzerűen törték) a diplomáciában. A támadáok megnehezítéére a következő javítáokat alkalmazták: egye jelek betűket, máok zótagokat vagy egéz zavakat jelentettek má jelek nem jelentettek emmit (nullitáok), vagy duplázták, eetleg törölték az előttük álló jelet Így már olyan mértékben el lehetett bonyolítani a rendzert, hogy például az 1626 után XIII. é XIV. Lajo udvarában a Roignolok által tervezett, diplomáciai titkok lejegyzéére haznált Nagy Kód -ot cak 200 évvel kéőbb tudták megfejteni. Azonban nem mindig vizgázott a kód ilyen jól: egy haonló kódot, melyet a börtönben lévő Mária kót királynő haznált az angol királyné ellen özeeküvő katoliku angol nemeekkel való kapcolattartára, könnyedén feltört Erzébet angol királynő titoknoka, őt a levelezét meghamiítva még a lázadó urak neveit i kicalta. Valózínű, hogy a lázadók nem írták volna meg a neveket, ha nem hiznek vakon a kód biztonágában, tehát a kriptográfia alkalmazáa ebben az eetben kifejezetten káro, őt végzete volt a zámukra. Ez a jelenég zámtalanzor imétlődött már a történelem orán, é a korhadt kilátókorlát jelenég néven imerete. A gyenge kód Mária királynő é az angol nemeek kivégzééhez vezetett 1586-ban. Alább látható a titoknok által Mary leveléhez hamiított réz, melyben Mary kéri zövetégeeit, írják meg a nevüket (felül), alatta pedig a levelezéhez haznált betű- é zókódok. 1 lád 5

6 A monoalfabetiku kód legkomolyabb továbbfejleztée azonban a homofoniku kód feltaláláa volt: ebben a gyakori betűknek több jel felelt meg, melyek közül véletlenzerűen válaztottak. Ez i törhető tatiztikai elemzéel, azonban az elemzét a betűkapcolatokra kell kiterjezteni, tehát lényegeen nagyobb erőfezítét é hozabb titko üzenetet igényel a ikere támadá. Sikere homofoniku monoalfabetiku kódra példa a XVII. zázadi ún. Copiale-cipher, melyet modern informatikai módzerekkel i cak 2011-ben tudtak megfejteni 2. A kriptográfia következő nagy ugráa a polialfabetiku kód feltaláláa volt, ami Vigenére-kód, vagy a feltörhetetlen kód néven vált imertté. A or iróniája, hogy publikáláa éppen 1586-ra eik, tehát megmenthette volna Mária királyné életét. A módzer lényege, hogy nem egy, hanem több kód-abc-t (betűhelyetteítéi táblát) haználnak, melyek között betűnként váltanak. Ha például 5 táblánk van, akkor az 1., 6., 11. tb. betű helyetteítééhez haználjuk az elő táblát, a 2., 7., 12. tb. betűhöz a máodik táblát é így tovább. Az eredeti (legegyzerűbb) eetben a helyetteítéi táblák az eredeti ABC 2 lád 6

7 cikliku eltoltjai valahány pozícióval, például a 2-e zámú tábla a B-t D-re ceréli. Ebben az eetben a lehetége táblák záma: az eredeti ABC betűinek a záma - 1. A kulc a felhaznált táblák orzáma, pl. 21, 2, 5, 7, 2 egy öt hozú kulc eetén. A módzer továbbfejlezthető tetzőlege betű-özerendelét megengedő táblák haználatával, ami a lehetége táblák zámát jelentően megnöveli (44 jegyű ABC eetén 44!). Ekkor vizont a titko catornán előzeteen megoztandó titok i okkal nagyobb méretű lez, hizen meg kell állapodni az egye táblák tartalmában. Az egyzerű betűgyakoriág-tatiztikák alkalmazáa ennél a módzernél azért nem működik, mert az egye betűk pozíciójától függően változik a helyetteítéi zabály ig kellett várni, míg egy angol matematiku-filozófu, Charle Babbage, ikerrel járt. A töré alapgondolata az, hogy előzör a kulc hozát, tehát az alkalmazott táblák zámát kell megállapítani, utána az egye táblák tartalmát a zokáo betűgyakoriág-tatiztikai módzerrel ki lehet deríteni. Például ha a kulc hoza 6, akkor a máodik tábla felderítééhez cak a 2., 8., 14. tb. pozíciókon álló betűkből kézítünk tatiztikát. Termézeteen a támadónak hozabb (jelen eetben 6-zor olyan hozú) rejtett zövegre van zükége a ikerhez, mint az egyzerű monoalfabetiku eetben. A kulc hoza pedig abból határozható meg, hogy minden nyelvben vannak nagyon gyakori betű-kapcolatok, például az angolban ilyen a th. Ha két th távolága a nyílt zövegben éppen a kulc hoza, vagy annak egéz zámú többzöröe, akkor a rejtett zövegben i ugyanaz a két betű fog tartozni hozzájuk. Tehát a rejtett zövegben imétlődő betűcoportokat kereünk, ezek távolágainak pedig megkereük a legnagyobb közö oztóját. Valózínű, hogy ez lez a kulc hoza. A polialfabetiku kriptorendzerek további fejlődéének az I. é különöen a II. világháború adott nagy lendületet. A táblázatok váltogatáát írógép-zerű titkoítógépek végezték. Az I. világháború kimenetét alapvetően meghatározta a korábban németbarát külpolitikát folytató USA belépée Németorzág ellen, ami egy titkoított diplomáciai távirat (az ún. Zimmermann-féle távirat) ikere feltöréének volt közönhető az angol titkozolgálat rézéről. A II. világháborúra a németek kifejleztették az Enigmát, egy rotoro titkoítógépet, amelynek feltörhetetlenégében a német vezeté az intő jelek ellenére vakon hitt. Azonban az angol titkozolgálatnak A. Turing közreműködéével ikerült a töré, ezért a zövetégeek a németek tudta nélkül éveken kereztül meg tudták fejteni a német hadvezeté által kiadott parancok é egyéb üzenetek nagy rézét. Ez akkora előnyhöz juttatta a zövetégeeket, amely nélkül a világháború kimenetele egézen mámilyen i lehetett volna, de a történézek zerint legalábbi minimum 5-7 évvel tovább tartott volna a harc. Talán ez a legnagyobb történelmi jelentőégű példája a korhadt kilátókorlátba kapazkodá vezélyeinek. Az Enigma, Arthur Scherbiu találmánya, valóban tökélyre fejleztette a nagyon nagy zámú kód- ABC közötti váltogatát. Egymá után elhelyezett forgó tárcákon lévő huzal-darabok (a rotorok) egy áramkört zártak, amely a billentyűzeten leütött betűhöz a tárcák pillanatnyi álláa zerint meggyújtott egy lámpát valamelyik betűnél. Tehát a nyílt zöveg begépelée orán a lámpákról betűnként le lehetett olvani a rejtett zöveg betűit é vizont. A tárcák minden leüté után fordultak egyet, ezért a kód-abc gyakorlatilag minden betű eetén má volt, betűgyakoriág-elemzét tehát nem lehetett alkalmazni. A kulc a tárcák induló helyzetéből, orrendjéből é egy betűcerélő tábla (plugboard) beállítáából állott, ezekkel a lehetége kulcok záma több, mint volt. Az angolok rendelkeztek az Enigma egy példányával, azonban így i több évi erőfezíté é Alan Turing zenialitáa kellett hozzá, hogy a német 7

8 vezeté által naponta cerélt kulcot néhány óra alatt megtalálják egy peciáli gép egítégével, amely a Turing-bomba néven vált imertté. Az alábbi kép egy katonai célú Enigma berendezét mutat. Még 1918-ban zabadalmaztatták az Egyeült Államokban az ún. Vernam-titkoítót, amely one-time pad (eldobó kulcú titkoítá) néven i imert. Ez a módzer tömege adatcerére nem alkalma, de a diplomáciában a mai napig alkalmazzák, kéőbb rézleteen tárgyaljuk. Egyedi megoldáok A fent említett alapvető módzereken kívül még zámtalan egyedi megoldát haználtak a történelem orán, több-keveebb ikerrel. Néhány példa: a zótár-módzer: mindkét félnél van egy hozabb zöveg, például egy könyv (zótár) ugyanabban a kiadában. Az üzenet minden betűjéhez kerenek a könyvben i egy olyan betűt, az üzenetbe aztán azt írják le, hogy hányadik oldalon, hányadik orban, hányadik betűt kell venni. Ez a módzer termézeteen nem alkalma tömege kommunikációra, vizont a zótár nélkül gyakorlatilag megfejthetetlen, ezért gyakran alkalmazták a világháborúkban, őt, még egy 1820 körül elrejtett, húzmillió dollár értékű kinc rejtekhelyét i egy (feltehetőleg) ilyen módon titkoított irat őrzi, a modern kriptoanalitikuok nem ki bozúágára. a termézete nyelvek: köztudomáú, hogy egy imeretlen é teljeen idegen nyelvnek még a zavait, hangjait em tudjuk elkülöníteni egymától. Ez adta az ötletet, hogy az amerikai haderegben a II. világháborúban navaho indiánokat alkalmazzanak titkoítái célokra a távolkeleti hadzíntéren. A navaho kódbezélők egyzerűen elmondták a parancot navaho nyelven, amit cak egy máik navaho kódbezélő értett meg. Termézeteen baj lett volna, ha az ellenég i zert tez akár egyetlen navaho katonára, ez azonban nem történt meg, így mindmáig ez az egyetlen olyan, zéle körben alkalmazott kriptorendzer, amit oha em tudtak feltörni. 8

9 A kriptográfia története iránt mélyebben érdeklődő olvaóknak ajánljuk Simon Singh: Kódkönyv című, élvezete könyvét [1]. 1. A modern kriptográfia alapjai Alapfogalmak A modern kriptográfiában haznált, a korábbi gyakorlati eredményeket, módzereket rendzerező elmélet cak a XX. zázadban zületett meg, é jórézt C.E. Shannon érdeme. A kriptográfia cak egy eleme az adatbiztonágnak, ami nagyon tág problémakör. Felöleli a védendő információt tartalmazó é közvetítő berendezéek fizikai védelmét, a vállalat zervezeti felépítéét é emberi erőforráait, é az alkalmazott zámítógépe információ rendzerek, nem utoló orban a kriptorendzerek biztonágát. Bármelyik területen i van hiányoág, az adatbiztonág vezélybe kerül. Ezen problémakörök közül itt a kriptorendzerek minőégi jellemzőivel, lehetége megoldáaival foglalkozunk. A valóágban haznált kriptorendzerek tervezéének alapelvei: a rendzer feltöréének a költége legyen nagyobb, mint az információ aktuáli maximáli 3 piaci értéke, vagy a feltöréhez a jelenlegi ezközökkel zükége idő alatt a titok évüljön el (vezíte el az értékét). Zárt rendzerek védelme általában megfelelő fizikai, zervezeti é humán tervezéel megoldható. A kriptográfiát érdeklő probléma az, hogy a külvilággal kommunikáló, nyílt rendzert hogyan lehet a rozindulatú behatolá ellen megvédeni, illetve még inkább, hogy az ellenége (nem védett) catornán kereztül hogyan tud két fél, vagy két információ rendzer biztonágoan kommunikálni. Jó tervezé eetén a zervezeti, fizikai é informatikai rendzer-határ egybeeik. A kriptorendzerek alapémája zerint az üzenetnek egy feladótól (A) kell eljutnia a címzetthez (B): A Üzenet (nem védett catornán) B A kriptográfiai irodalomban zoká A-t Alice-nek, B-t Bobnak nevezni, a hallgatózó támadót pedig Evenek (az angol eavedropper kifejezé nyomán). Az üzenetet a catornán titkoított (rejtett) formában továbbítjuk. Az üzenetet eredeti formájában nyílt zövegnek nevezzük (jele X, plaintext), titkoítva rejtett zövegnek (jele Y, ciphertext). A rejtett zöveget a nyíltból a rejté (encryption, E) révén kapjuk meg, melynek a nyílt zövegen kívül általában egy K kulc i a paramétere. A vevőoldalon a fejté (decryption, D) állítja viza ugyanazon kulc é a rejtett zöveg alapján a nyílt zöveget. Özegezve: Y E K X D Feltehető, hogy a támadó fél imeri az üzenet nyelvét é a titkoítá módját (E é D algoritmuát), de nem imeri az éppen haznált K kulcot, ezért nem tudja kitalálni X-et. Az ilyen alapémájú ( X ) K ( Y ) 3 maximáli alatt azt értjük, amennyit az információ a zámunkra legkellemetlenebb támadónak ér. Háborúban ez az ellenfél, az üzleti világban a konkurencia, má eetben egy napilap, vagy az adóhatóág. 9

10 kriptorendzereket titko kulcú rendzereknek nevezzük. A kriptorendzert támadó külő fél a következő alapvető módzereket haználhatja: Hallgatózá, vagy rejtett zöveg típuú támadá. A támadó a catorna forgalmának a figyeléével, az üzenet nyelvének, eetleg témájának az imeretében próbálja megfejteni az aktuáli üzenetet vagy kitalálni a K kulcot. Nyílt zöveg típuú támadá. A támadó imeri egy korábbi üzenet nyílt é rejtett formáját i, ebből próbálja kitalálni a kulcot, melyet kéőbbi üzenetek megfejtéére haználhat. Válaztott nyílt zöveg típuú támadá. C valahogyan rá tudta venni A-t, hogy egy általa válaztott nyílt zöveget rejten, é küldjön el B-nek. A nyílt é rejtett üzenet-párból könnyebb következtetni a kulcra. Válaztott rejtett zöveg típuú támadá. C valahogyan rá tudta venni A-t (például ideigleneen hozzáfért a fejtő berendezéhez), hogy egy általa kontruált rejtett zöveghez a nyílt zöveget állíta elő K haználatával, é ezt a nyílt zöveget i megzerezte. A rejtett zöveg ügye kontrukciójával a nyílt é rejtett üzenet-párból könnyebb következtetni a kulcra. Ezek a támadáok alapvetően a kulc megzerzéére irányulnak. A támadó azonban már akkor i jelentő kárt tud okozni, ha manipulálni tudja az A-t B-vel özekötő hálózati elemeket: Közbeékelődé ( man in the middle támadá). A valójában nem B-vel, hanem C-vel van özeköttetében., B valójában nem A-tól, hanem C-től kapja az üzenetet, de ezt A é B nem vezi ézre. Egy hozú üzenetváltá-orozat orán C hami identitáal mindvégig A é B közé ékelődik, minden üzenetet megfejt, é a megfelelő pillanatban leadja a zámára előnyö üzenetet. Haonló meterkedé okozta Mária királynő veztét 1586-ban. Átírá (forging). Az üzenet C-n kereztül halad, aki elfogja azt, é bár megfejteni nem tudja, egye rézeit megváltoztatja. Például korábban megfigyelt rejtett-nyílt üzenetpárok alapján egy korábbi rejtett üzenetből egy imert értelmű darabot betez egy rejtett üzenet megfelelő darabja helyére ( cut-and-pate támadá). Eetleg egy korábban megfigyelt imert tartalmú telje üzenetet küld el ( replay attack ), ami C-nek előnyö reakciót vált ki B-ből. A kriptográfia zempontjából az alapprobléma a rejtett zöveg típuú támadá. Lehet-e, é ha igen, hogyan, olyan tökélete kriptorendzert kézíteni, amelyben a kulc imerete nélkül lehetetlen a nyílt zöveg meghatározáa a rejtett zöveg megfigyeléével? A tökélete titkoítá Tökéletenek nevezzük azt a titkoítái rendzert, amelyben a rejtett zöveg átlagoan emmi információt nem árul el a nyílt zöveggel kapcolatban, vagyi amelyre I ( X, Y ) 0 Megmutatható, hogy ez akkor é cak akkor teljeül, ha H ( X Y ) H ( X ) é H ( Y X ) H ( Y ), azaz ha p i j p i é p j i p j i, j re 10

11 Itt H(X Y) a nyílt zövegnek a rejtett zövegre vonatkozó feltétele entrópiája, p i j pedig az i-edik nyílt zöveg valózínűége, feltéve, hogy a catornán a j-edik rejtett zöveg lett elküldve. Ezerint egy adott rejtett zöveghez ugyanakkora eéllyel kell tartoznia bármelyik nyílt zövegnek (é fordítva). Mivel a kettőt a kulc válaztáa rendeli öze, é a lehetége rejtett zövegek zámának legalább akkorának kell lennie, mint a lehetége nyílt zövegek zámának, ezért a kölcönö információ hiányára vonatkozó elváráunkat úgy é cak úgy tudjuk teljeíteni, ha X Y K, tehát a lehetége kulcok, nyílt é rejtett zövegek záma egyenlő, é 1 P( K i), tehát a kulcok közül minden egye üzenet rejtéekor véletlenzerűen K válaztunk. Ezek nehezen teljeíthető elváráoknak tűnnek, azonban a már említett one-time pad (eldobó kulcú titkoítá) eetén teljeülnek. E módzer zerint a nyílt zöveget bitenként egy kétbemenetű XOR kapura vezetjük, a máik bemenetre pedig egy, a nyílt zöveg hozával egyező hozúágú véletlen bitorozatot vezetünk (ez a kulc). A rejtett zöveg a kapu kimenete. A vevőoldalon ugyanezt a műveletet hajtjuk végre a rejtett zöveggel é ugyanazzal a kulccal, így vizakapjuk a nyílt zöveget. Látható, hogy a fenti feltételek teljeülnek a orozatok egyenlő hozúága miatt. Azt, hogy ekkor ninc a nyílt é rejtett zöveg között kölcönö információ, a fenti tételtől függetlenül i könnyű belátni. Annak a valózínűége ugyani, hogy a rejtett zöveg egy bitje például 0, 1 P( Y 0) P( K 0) P( X 0) P( K 1) P( X 1) ( P( X 0) P( X 1)) 2 1, 2 függetlenül a nyílt zövegtől, tehát az X é Y forráok függetlenek. Fonto vizont megjegyezni, hogy mihelyt egy már haznált kulcot még egyzer haználunk egy máik zöveg rejtéére, tökélete titkoítáunk igen ebezhetővé válik a nyílt zöveg típuú támadáal zemben, mivel a kulc meghatározáa egy rejtett-nyílt üzenetpárból triviáli. Tehát minden egye üzenethez egy, a rejtett zöveg méretével egyező méretű, új véletlen kulcot kell generálni, é azt biztonágoan eljuttatni a vevőhöz a kommunikáció kezdete előtt 4. Ez a gyakorlati probléma igen erően korlátozza a módzer haználhatóágát. Ezért cak különlege eetekben é előorban a diplomáciában alkalmazzák, mint például az amerikai é oroz elnököt özekötő telefonvonal, a forró drót. Általában véve, a titko kulcú kriptorendzerek egyik nagy problémája a titko kulcok biztonágo eljuttatáa az öze réztvevőhöz, amit kulckezeléi problémának (key management problem) neveznek. A gyakorlatban haznált kriptorendzerek ezért nem tökéleteek, hanem a fejezet 4 Ha a kulcokat újra felhaználják, akkor a one-time pad már rejtett zöveg típuú támadáal i törhető tatiztikai módzerekkel. A zovjet nagykövetégek i elkövették ezt a hibát a hidegháború éveiben, ennek következtében ok diplomáciai üzenetet meg tudott fejteni az amerikai titkozolgálat. Az eredmény: zámo zovjet ügynököt lepleztek le az USA-ban, a Roenberg-házapárt pedig 1953-ban kivégezték az atomtitok zovjet kézre játzááért. 11

12 elején imertetett alapelvek zerint tervezik őket. A kriptográfiában az elv alkalmazáát a zámítái teljeítményre alapozott biztonágnak (computational ecrecy) nevezik. A nyer erő módzere A titko kulcú kriptorendzerek elleni legegyzerűbb támadá az öze lehetége kulc végigpróbálgatáa, amit a nyer erő (brute force) módzerének i neveznek. Például egy 3 zámjegyű bőrönd-zámzár eetén erre akár fél óra i elég lehet. A megfelelő kombinációnál kinyílik a bőrönd, illetve az üzenek nyelvének é témájának imeretében ézrevezük, hogy egy adott K kulc eetén a D K (Y) értelme üzenetet eredményez. A nyer erő alkalmazáa termézeteen nem praktiku, ha a lehetége kulcok záma túl nagy, illetve a kulcok zámától függetlenül értelmetlen, ha a one-time pad módzert alkalmazták. Ekkor ugyani az X Y K feltétel miatt a támadó az öze lehetége kulc végigpróbálgatáa orán az öze lehetége nyílt zöveget állítja elő, melyek mindegyike egyenlő valózínű, é termézeteen több értelme üzenet i van közöttük. Tehát ezek közül a támadó nem tud válaztani. Az alábbi példában a kulc1 é a kulc2 éppen ellentéte értelmű nyílt zövegeket produkál 5 : rejtett: PEFOGJ kulc1: PLMOEZ nyílt1: ATTACK PEFOGJ kulc2: MAAKTG nyílt2: DEFEND (mindkettő értelme!) Ezért állíthatjuk azt, hogy a one-time pad a rendelkezére álló zámítátechnikai erőforráoktól é időtől függetlenül i feltörhetetlen. A nyelvi entrópia Nem tökélete kriptorendzer alkalmazáa eetén, ha a nyílt é a rejtett zöveg, vagy kulc é a rejtett zöveg egye betűi között közvetlen kapcolat van, mint például az S-doboz vagy az eltolá eetén, akkor betűgyakoriág-tatiztikák alapján a támadó könnyen le tudja zűkíteni a valózínű kulcok körét. Sőt, nem i kell az öze valózínű kulcot végigpróbálni, hizen például az egyzerű monoalfabetiku kód eetén a kulc darabjait külön-külön i ki lehet találni. Ha például a levél elő zavából már megvan annyi, hogy ked*e, akkor a hiányzó betű valózínűleg v, ez alapján pedig a kulc negyedik betűje próbák nélkül i meghatározható. Ezekben a támadáokban a termézete nyelvek beépített redundanciáját lehet kihaználni. A termézete nyelvek ugyani nem tekinthetők emlékezet nélküli forrának, amennyiben egy forrázimbólumnak egy betűt tekintünk, mivel egy-egy betű (é zó) előfordulái valózínűége erően függ a környezetétől, tehát a zöveg távolról em véletlenzerű betűhalmaz. Ezt a jelenéget zámzerűen a nyelvi entrópiával, vagyi a végtelen mértékben kiterjeztett forrá eetén az egy betűre jutó átlago információmennyiéggel (entrópiával) lehet kifejezni: H L H ( A, A2, lim n n 1 A n ) 5 A példában a rejtett zöveg minden betűje a nyílt zöveg é a kulc azono pozíción lévő betűjének mod 26 özege, a 26 karaktere angol ABC haználatával. 12

13 ahol H A, A, A ) az n-zereen kiterjeztett forrá, amelyben tehát egy betű-n-et tekintünk egy ( 1 2 n forrázimbólumnak. A termézete nyelvekre a zókézlet korlátozottága miatt mindig H ( A1, A2, An ) n H ( A). Például az angol nyelvre tatiztikai vizgálatokkal megállapított értékek: n 1 4 bit bit bit H A, A, A ) n ( 1 2 n A ténylege nyelvi entrópiát angolra 1.5 é 1 bit közé lehet tenni az egy angol betű által ténylegeen hordozott átlago információ tehát lényegeen keveebb, mint a betűnkénti feldolgozá alapján várnánk. Ennek az az oka, hogy a termézete nyelv zajo közegben való kommunikációra kézült, é nyelvbe épült redundanciát folyamatoan haználjuk a zaj által okozott hibák javítáára. A nyelvi entrópia alapján definiálhatjuk a nyelvi redundanciát: H L RL 1, log A amely az angol nyelvre 0.75-re adódik, vagyi a zöveg körülbelül 75%-a redundán. Ezt a redundanciát lehet a támadá orán kihaználni olyan módon, hogy egyzerre ok lehetége kulcot zárunk ki egyetlen próba orán, egy kulcrézlettel megfejtett üzenet-rézlet képtelenége alapján. Például zinte bizto, hogy az üzenet nem kezdődik három Q betűvel. Megmutatható, hogy a nyelvi redundancia miatt a lehetége kulcok záma 0-ra cökken, vagyi a titkoítá tatiztikai értelemben fel van törve, ha elegendően hozú rejtett zöveget van alkalmunk megfigyelni. A feltöréhez zükége betűk záma: n 0 log K, R log A L amely az egyzerű módzerek eetén meglepően alacony érték 6. A nyelvi redundanciára alapozott támadáokat termézeteen ki lehetne védeni forrákiterjeztéel, például n > 10 eetén már eléggé megközelíthető a nyelvi entrópia. A kiterjeztéel azonban a zimbólumok záma (a forrá-abc) é vele együtt a kulc mérete i kezelhetetlenül nagyra nő. Haonló okokból nem jó megoldá az em, hogy a nyelv zavait, eetleg zócoportjait tekintük forrázimbólumoknak. 2. Modern blokko kriptorendzerek Shannon javalata nyomán olyan titko kulcú kriptorendzereket terveztek, melyek ugyan nem tökéleteek, mivel K << X, de a rejtett zöveg é a kulc közti tatiztikai kapcolat elmoáának közönhetően az E K (X) függvény véletlenzerű leképezének tekinthető a kulc imerete nélkül, é ha cak egyetlen bit i hibá a kipróbált kulcban, a megfejtett zöveg tökéleteen értelmetlen lez. Ezáltal a támadónak nem marad má válaztáa, mint a nyer erő alkalmazáa, ami idő- é energiaigénye művelet. Ha pedig a lehetége kulcok zámát elegendően nagyra válaztjuk, akkor a kriptorendzer 6 angol nyelvre az egyzerű monoalfabetiku betűhelyetteítée kód eetén n 0 =

14 bár nem tökélete gyakorlatilag nem támadható, biztonágo. Ez a zámítái teljeítményre alapozott biztonág, a modern kriptográfia alapja. Kérdé azonban, hogy mekkora K -t válazunk? Ha a kulctér túl nagy, laú é drága lez a titkoítá, ha túl kici, vezélybe kerül a biztonág. Termézeteen mindig ki lehet indulni a technika mai álláából, a jövőt azonban nehéz megjóolni. A termodinamikai korlát A modern kriptográfia talán legimertebb módzerét, a DES-t (Data Encryption Standard) 1977-ben vezették be 7. A DES-re nem találtak érdemi algoritmiku törét, é úgy tűnt, hogy az 56 bite titko kulctér, mely 2 56 lehetége kulcot jelent, örök időkre védelmet jelent majd a nyer erő típuú támadáal zemben, legalábbi a polgári életben. A zámítátechnika azonban a Moore-zabály 8 zerint fejlődött, é 1998-ban egy mazívan párhuzamo, 210 ezer dollárból épített zámítógépen 9 maximum 186 óra alatt már az öze kulcot végig lehetett próbálni. Ma pedig a DES törééhez ninc zükég zuperzámítógépre. A DES tehát elavult. Ezért a kulctér nagyágának a megítélééhez a modern kriptográfia már nem a próbálgatá időzükégletét haználja, hizen ennek jövőbeli fejlődée imeretlen, hanem az energiazükégletből indul ki, mivel erre termodinamikai alapon aló korlátot tudunk adni. Ha egy kulc kipróbáláához akár egyetlen 0/1 átmenet elég i egy zuperzámítógépen, akkor i zükége ehhez az átmenethez legalább egy energia-kvantum 10. Ez alapján aló korlátot lehet adni a nyer erő alkalmazáának az energiazükégletére. Ha például a kulc 192 bite (a lehetége kulcok záma ), akkor a feltöréhez zükége energia nagyobb, mint a Nap által egy év alatt kiugárzott öze energia, 256 bit eetén nagyobb, mint a Nap telje élettartama alatt kiugárzott energia. Nem valózínű, hogy a támadónk ennyi energiával rendelkezik. A feltöréi energia aló korlátját termodinamikai korlátnak nevezzük. Blokko kriptorendzerek alapelvei A feladat tehát az, hogy a támadót rákényzerítük a kulcok próbálgatáára. A modern kriptorendzerek Shannon eredeti javalata alapján ezt a következőképpen érik el: 1. A nyílt zöveget egyenlő méretű blokkokra oztják. A blokk mérete a titko kulc méretének a nagyágrendjébe eik. 2. A rejtét a blokkokra külön-külön végzik el, ugyanazt a titko kulcot haználva 11. A vevőoldalon i blokkonként fejtik meg é rakják öze az üzenetet. Ezt a működéi elvet blokko kriptorendzernek nevezzük. Általában a rejtéi é a fejtéi algoritmu ugyanazt a kulcot 7 A kriptográfia a katonai é diplomáciai alkalmazáok miatt kevébé nyilváno tudomány, ennek ellenére léteznek zéle körben alkalmazott, zabványo algoritmuai é protokolljai. Ezek jó réze, köztük a DES, AES, RSA, SHA tb. az amerikai National Intitute of Standard and Technology (NIST) zabványa, azonban egyre erőebben jelentkeznek az EU ajánláai i, lád AWT Deep Crack, egy chipen 24 mag, 64x28 chip (43008 mag) 40 MHz-en, egy kulcot 16 óraciklu (0.4 μ) alatt vizgált meg, ezért maximum 186 óra (7.7 nap) alatt találta meg a kulcot. A kulc-tezt egyzerűen az elő 3 megfejtett byte-ot ellenőrizte: ha mind a 3 alfanumeriku volt, megtaláltuk a kulcot. 10 legalábbi akkor, ha a ma imert é működő digitáli zámítái architektúrákat vezük figyelembe. A kvantumzámítógéppel ez termézeteen változhat. 11 mivel ugyanazt a titko kulcot több nyíltzöveg-blokk rejté orán i felhaználják, ezért a titkoítá termézeteen nem tökélete. 14

15 haználja, é a rejtéi é fejtéi algoritmu i lényegében ugyanaz (tehát a kulc imételt alkalmazáa a fejté orán mintegy megzünteti a kulc hatáát), ezért a kriptorendzert zimmetrikunak 12 nevezzük. Ennek előnye, hogy a zükége hardver illetve kódméret fele a nem zimmetriku megoldáénak. 3. A rejtéi/fejtéi műveletet több iterációban végzik el. Egy iteráció lépé bemenete egy zövegblokk é egy iteráció kulc, kimenete egy zövegblokk. Az egye iterációkhoz haznált kulcokat az eredeti titko kulcból állítják elő különféle keveréi műveletekkel. A legelő iteráció zöveg-bemenete a nyíltzöveg-blokk, a további iterációk bemenete az előző iteráció kimenete. A legutoló iteráció kimenete pedig a rejtettzöveg-blokk. A közbülő zövegblokkokat gyakran állapotnak (tate) nevezik. 4. Egy iteráció tartalma eltolá é/vagy keveré (P-doboz) é nemlineári függvény alkalmazáa (ami általában helyetteíté, S-doboz) a bemeneti zövegblokkra az iteráció kulctól függetlenül, majd az iteráció kulccal való rejté (általában XOR művelet). Az ilyen émájú kriptorendzert gyakran produkció rendzernek (product cipher) i nevezik. A fenti elvű kriptorendzereket a DES alapjául zolgáló IBM Lucifer tervezője, Hort Feitel német zármazáú amerikai kriptográfu után Feitel-titkoítónak, vagy Feitel-hálózatnak i nevezik. A Feitel-titkoítóra jellemző, é a blokko kriptorendzerektől elvárt az ún. lavinahatá:, tehát hogy a bemeneti blokk vagy a kulc-blokk egy bitjének megváltoztatáa 50% valózínűéggel változtaon meg minden bitet a kimeneti blokkban. Bár jelenleg (2012-ben) még ok helyen alkalmazzák a DES-t, illetve ennek 2 vagy 3 kulccal működő, 112 bitere növelt kulcú változatát, a TDES-t, a titko kulcú kriptorendzerek területén az AES nevű, 2000-ben bevezetett rendzeré a jövő, mivel flexibiliebb é hatékonyabb zoftver/hardver megvalóítát tez lehetővé. A hatékonyágára jellemző, hogy x86-ra 457 byte-on i leprogramozták, é 700 Mbit/ feldolgozái ebeéget értek el 2 GHz-en. Az AES működéét é egyéb rézleteit lád az I. Mellékletben. Minden alap-üzemmódban dolgozó blokko titkoító támadható a rejtettzöveg-blokkok ceréjén alapuló kivágá-beilleztée (cut-and-pate) támadáal. Ennek kivédéére az egye blokkok rejtééhez felhaználják a korábbi rejtettzöveg-blokkokat i a titkoító láncolt üzemmódjában. A zabványo ECB, CBC, OFB, CTR üzemmódok leíráát lád a II. Mellékletben. A véletlen kulc A titko kulcú kriptorendzerek alapkérdée a jó minőégű, tehát valóban véletlenzerű titko kulc kézítée. Hiába elegendően nagy a kulctér é hiába véletlenzerű a támadó zemzögéből az E K (X) leképezé, ha a kulctérben egye kulcok valózínűbbek máoknál, vagy egyeneen kizárhatók a támadó zámára. A titko kulc tehát egy véletlen bitorozat. Igazi véletlen orozathoz azonban cak valamilyen termézeti folyamat mérée révén lehet hozzájutni, mint például a radioaktív ugárzá, az ellenálláon keletkező termiku zaj, a kozmiku háttérugárzá, a gerjedő ozcillátor, a turbulen áramlá 12 a zakirodalomban gyakran zimmetrikunak neveznek minden titko kulcú kriptorendzert, é azimmetrikunak minden nyilváno kulcú rendzert. 15

16 tb. Ha gyakran é nagy mennyiégben van zükég új kulcokra, akkor az ilyen méréek költége túl nagy lehet (lád a zovjet titkozolgálat eetét a one-time paddel). Gyakran felhaználják a felhaználói interakciót (például a leütéek közti züneteket vagy az egérmozgát) é a különféle zámítátechnikai rendzerparaméterek (például a nyitott fájlok záma tb.) kombinációját i, bár ezek már kevébé véletlenzerűek. A leggyakrabban alkalmazott megoldá azonban a különféle véletlenzám-generátorok alkalmazáa. A generált orozat minőégének megítélééhez lényege, hogy a orozatról el tudjuk dönteni, mennyire véletlen. Erre a kriptográfiában gyakran alkalmazzák a Samuel W. Golomb-tól zármazó következő három kritériumot: 1. A orozatban az egyeek é nullák záma legyen közel egyenlő. 2. A homogén zakazok relatív gyakoriága exponenciálian cökkenjen a orozat hozával. Homogén zakaznak a cupa azono zimbólumból álló orozatot nevezzük, például a egy 4 hozú 1-e orozat, az pedig egy 3 hozú 0-á orozat. A kritérium azt írja elő, hogy az n hozú homogén zakazok záma az egéz álvéletlen bitorozatban körülbelül a fele legyen az n-1 hozú zakazok zámának. 3. A orozat autokorreláció-függvénye minden pontban közel legyen a nullához. Az autokorrelációfüggvényt az x pontban úgy képezzük, hogy a orozatot x pozícióval ciklikuan eltoljuk, majd az eredeti é eltolt orozat bitenkénti XOR függvényét képezzük. A XOR-olt orozat egy adott pozícióján pontoan akkor lez 1, ha az ezen a pozíción lévő bitek különböznek az eredeti é az eltolt orozatban. Az autokorreláció-függvény x-beli értéke a XOR-olt orozatban lévő 1-eek é 0-k zámának a különbége, oztva a orozat hozával. Ez a kritérium azt biztoítja, hogy az álvéletlen orozat egy rézletéből ne leheen következtetni a hiányzó rézekre. Ha ikerült egy titko kulcot minden réztvevőhöz eljuttatni, akkor azt cak korlátozott ideig lehet biztonágoan haználni. Szoftver é hardver hibák, víruok é egyéb támadáok vagy emberi korrupció mindenhol előfordul, ezért a titko kulcot le kell cerélni. A gyor kulc-cerélgeté nagyobb biztonágot, é ugyanakkor laabb működét eredményez. Az igazi titko kulcot nem lehet óránként fizikailag védett catornán (páncélautóval) eljuttatni a felekhez, vizont egy titko kulcból ok kulcot tud kézíteni minden réztvevő: a titko kulcot egy álvéletlen generátor magjaként (eed) alkalmazva a generátor kimenete kulcok gyakorlatilag végtelen orát adja. Álvéletlen generátorként haználható minden folyamé blokktitkoító i, utóbbiak az OFB üzemmódban (lád a II. Mellékletben). a titko kulcot lehet úgy i alkalmazni, hogy nem a valódi kommunikációra haználják, hanem cak arra, hogy az egyik fél által generált rövid életű, véletlen kulcot (eion key) átvigyék. Az ilyen módon haznált titko kulcot kulcrejtő kulcnak (key encrypting key, KEK) nevezik. 3. Modern folyam-elvű kriptorendzerek A folyam-titkoítók előnye a blokko titkoítókkal zemben a nagyobb működéi ebeég, alaconyabb ár é félvezető-felület, ugyanakkor a má működéi elv miatt mámilyen jellegű támadáokra érzékenyek. A folyam-titkoító lényegében egy álvéletlen generátor, melyet a titko kulccal, mint 16

17 maggal egyzer inicializálnak 13, utána pedig a kimeneti álvéletlen bitfolyamot úgy haználják fel, mint egy gyakorlatilag végtelen hozú one-time pad kulcot, tehát az adónál bitenként vagy byte-onként XORolják a nyílt zöveggel, a vevőnél pedig a kapott rejtett zöveggel. A blokkméret tehát itt 1 bit (vagy 1 byte), é a véletlenzám-generátornak van egy belő állapota (tate) i, amely a következő kimeneti bitet (byte-ot) é a következő állapotot i meghatározza. Titko kulc, IV Titko kulc, IV Álvéletlen generátor ( tate alapján) Álvéletlen generátor ( tate alapján) üzenet XOR XOR A folyamtitkoítókkal zemben támaztott 3 fő követelmény: Rejtett zöveg 1. Nyílt zöveg típuú támadáal az álvéletlen bitfolyamot ne leheen vizafejteni a tate-re (vagy cak a kimerítő kereénél több művelettel). Ha a tate imert, akkor a támadó i tudja generálni az álvéletlen bitfolyamot. 2. A tate imeretében a titko kulcot ne leheen vizafejteni 3. A kimenetet ne leheen megkülönböztetni egy valódi véletlen orozattól (a Golombkritériumok zerint) Az 1. követelmény kielégítée é a tate méretezée zempontjából fonto az ún. Babbage-Golic támadá. A Babbage-Golic támadá A Babbage-Golic támadá a Hellman-féle általáno idő-tárhely ekvivalencia támadá 14 továbbfejleztett változata. A támadá alapfeltevée az, hogy egy adott tate után következő kimeneti bitfolyam a tate 13 az inicializálához a titko kulcon kívül általában felhaználnak egy úgynevezett inicializáció vektort (IV) i. Ez a támadó zámára i imert lehet, gyakran egy véletlen érték, vagy például a rendzerparaméterek, rendzeridő függvénye. A célja az, hogy ugyanazzal a titko kulccal inicializálva ne kapjuk kétzer ugyanazt a tate-et. 14 Ezt az elvet alkalmazzák az üzenetpecétek elleni zivárványtáblá támadá orán i, lád kéőbb. 17

18 nem invertálható véletlenzerű függvénye. Legyen N a lehetége tate-ek záma. A támadá lépéei (dőlt betűvel a paraméterek): 1. a folyam-titkoító módzer imeretében előfeldolgozá: egy táblázatba feljegyzik M darab véletlenül válaztott tate-ből indított kimeneti bitfolyam elő b bitjét (b = log N). 2. nyílt zöveg típuú támadá, vagyi a rejtett é a nyílt zövegből meghatározzák az álvéletlen bitfolyam egy darabját, ez alapján próbálnak következtetni a tate-re. Legyen a megfigyelt bitfolyam hoza D+b-1, ekkor ugyani ez tartalmaz D darab b hozúágú réz-orozatot, melyek mindegyike egy máik tate-ből indult el. A töré ikere, ha ezen D tate közül valamelyiket ki tudjuk találni. Ezért minden réz-orozatot megnézünk az előfeldolgozá orán kézített táblázatban. Kérdé, hogy M é D milyen értékei mellett találunk meg legalább 0.5 valózínűéggel egy orozatot a táblázatban? A zületénap-paradoxon zerint egy N elemű halmazból kivett A é B elemű rézhalmazoknak várhatóan lez közö eleme, ha AB N. N a lehetége tate-ek záma, tehát például 128 bite tate eetén N = 2 128, a rézhalmazok pedig legyenek a tate-ekhez tartozó b hozúágú bitorozatok. Várhatóan ikere a támadá, ha DM N. Jelölje T a próbálkozáok zámát, tehát a nyílt zöveg típuú támadá időzükégletét, é tegyük fel, hogy ugyanakkora energiát fordítunk az 1. é a 2. lépére i, vagyi T = M. Mivel a próbálkozáok záma megegyezik D-vel, ezért végül i azt kapjuk, hogy T 2 N. Tehát a fenti előfeldolgozá eetén például a 128 bite tate-tel rendelkező folyamtitkoító 2 64 lépében törhető. Ha ugyanennek a folyamtitkoítónak az inicializálá orán felhaznált titko kulca i 128 bite lenne, akkor a nyílt zöveg típuú támadá eetén a titko kulc telje kereéénél (ami lépé) lényegeen egyzerűbb a tate támadáa, tehát a tate mérete a titko kulchoz képet túl kici. Konklúzióképpen elmondható, hogy a folyamtitkoítók eetén a tate méretét legalább a titko kulc méretének kétzereére célzerű válaztani. Néhány elterjedt folyam-elvű kriptorendzer Az alábbiakban áttekintjük néhány zéle körben haznált folyamtitkoító jellemzőit. Az RC4 (1987) 1 byte-o blokkokkal dolgozik, tízzer gyorabb a DES-nél, az SSL egyik alapalgoritmua. A titko kulc a orozat egy permutációja, tehát K = 256!, ami egy 1680 bite titko kulcnak felel meg, a periódu nagyon hozú. Minden adatbyte-nál változik a zámokat tartalmazó kulc-tömb elemeinek a orrendje, majd kiválaztják belőle az aktuáli kulcbyte-ot. A kulcbyte-ot XOR-olják a nyíltzöveg byte-tal. Nem találtak érdemi törét hozzá. Nem publiku, de az RC4-gyel gyakorlatilag ekvivalen algoritmu hozzáférhető. A GSM rendzerek a bezélgetéek titkoítáára vizacatolt léptetőregizterekre (LFSR) alapozott folyamtitkoítókat alkalmaztak A5/1, kéőbb a túl könnyű (gyakorlatilag real time egy PC-n) törhetőég miatt továbbfejleztve A5/2 néven 15. A 128 bite titko kulc a SIM kártyán van tárolva, az ebből challenge-repone alapon generált 64 bite vizonykulcot az LFSR-ek inicializáláára haználják 16. Alább az A5/1 blokkvázlata a 19, 22 é 23 bite léptető 15 Ettől függetlenül még ma (2012-ben) i nagyon ok telefon alkalmazza a rendkívül gyenge A5/1-et. Az erőebb algoritmuok bevezetéét előorban politikai okok miatt gátolják, előorban az USA-ban. 16 Ez a fajta megoldá a key encrypting key (KEK) koncepciója. 18

19 regizterekkel. Ezekbe töltik indítákor a 64 bite titko kulcot. A kimeneti álvéletlen bitfolyam a 3 regizterből kilépő 3 bit XOR-függvénye. A regizterek középő bitjeinek (árgán árnyékolva) az órajelek kapuzáában van zerepe. A jövő ígérete folyamtitkoító algoritmuai az EU ECRYPT által ajánlott Rabbit é Grain. Rendkívül alacony hardver költég é energiafelhaználá, maga működéi ebeég, könnyű zoftver implementálhatóág é paraméterezhetőég, ugyanakkor megfelelő biztonág jellemzi őket. Ezek implementáció rézleteit lád az V. Mellékletben. 4. Nyilváno kulcú kriptorendzerek é alkalmazáaik Az internet térhódítáával zükégeé vált olyan módzerek kifejleztée, melyek nem igénylik titko kulcok védett leoztáát, mivel a kommunikációban réztvevők köre előre nem imert (például internete boltok, zolgáltatáok), vagy má ok miatt egyetlen egyzer em lehet védett catornát léteíteni köztük. A nyilváno kulcú rendzerek olyan módon kerülik meg a kulckezeléi problémát, hogy a kulc egy rézét olyan formában (úgynevezett egyirányú művelet, trap function alkalmazáával) hozzák nyilvánoágra, hogy abból a kulcra a jelenleg imert módzerekkel cak nagyon nagy zámítái teljeítmény felhaználáával lehet vizakövetkeztetni. Megmutatható, hogy bármilyen nyilváno kulcú kriptorendzerhez zükég van ilyen egyirányú művelet alkalmazáára. Többféle egyirányú műveletet haználnak, melyek hatáukban mind olyanok, mint Hamupipőke próbatétele az özekevert hamuval é lizttel: özekeverni nagyon könnyű, zétválaztani zinte lehetetlen. Néhány nevezete egyirányú művelet: A dizkrét logaritmu (DLP). Ha a, x, é p imert, akkor y = a x mod p nagyon gyoran zámítható, de a, y, é p imeretében x zámítáa nagy zámok eetén nagyon komplex, idő- é energiaigénye feladat. A Diffie-Hellman kulcmegoztái algoritmu é az Elgamal algoritmu alapja. Nagy prímzámok zorzatának faktorizáláa (PFP). Ha p é q nagy prímzámok, akkor n = pq zámítáa könnyen elvégezhető, de n-ből p é q meghatározáa nagyon komplex, idő- é energiaigénye feladat. Az RSA algoritmu alapja. 19

20 Vége tetek felett definiált elliptiku görbék pontjainak zorzáa termézete zámmal (ECDLP), bővebben lád A kriptográfia jövője alfejezetben. Fonto megjegyezni, hogy az egyirányú műveletek inverzének zámítáa a matematika aktív kutatái területe, é elvileg bármikor zülethet olyan módzer, amely gyor invertálát tez lehetővé, miáltal az erre épülő kriptográfiai algoritmuok értelmetlenné vagy legalábbi ebezhetővé válnak. A titko kulcú kriptorendzerek eetén okkal kevébé fenyeget ilyen vezély. A nyilváno kulcú kriptorendzerek máik hátránya a relatív laúáguk é nagy erőforrá-igényük. Ezen két probléma miatt a nyilváno kulcú rendzereket általában nem önmagukban, hanem titko kulcú rendzerekkel é üzenetpecétalgoritmuokkal kombinálva, különféle protokollokba ágyazottan alkalmazzák. Az ilyen kriptorendzert hibrid kriptorendzernek nevezik. A hibrid rendzerben a nyilváno kulcú kriptorendzer tipiku feladata az autentikáció é a véletlen vizonykulc megoztáa a réztvevők között. A ikere kulcmegoztá után a felek a kommunikáció érdemi rézét már egy titko kulcú kriptorendzer haználatával folytatják. Hibrid kriptorendzer a HTTPS mögött álló SSL (Secure Socket Layer) protokoll, melyben a felek a eion elején állapodnak meg abban, hogy melyik nyilváno é titko kulcú kriptorendzereket, milyen paraméterekkel fogják haználni a továbbiakban. Szintén TDES-RSA alapú hibrid rendzer a mobilbankzolgáltatáok alapja. A Diffie-Hellman kulcmegoztái protokoll Az elő nyilváno catornán működő nyilváno kulcú kulcmegoztái protokoll, a Diffie-Hellman protokoll 1976-ból zármazik. A két kommunikáló fél célja a kéőbbi kommunikáció orán haználandó titko vizonykulc biztonágo megoztáa. A protokoll lépéei: 1. Alice é Bob nyilvánoan megállapodnak egy nagy (több ezer bite) p prímzámban é egy ki g zámban, amely a p alapú vége tet elemeiből álló cikliku coport generátora, tehát x GF[p] re k: g k = x mod p 2. Alice válazt egy véletlen a < p rézkulcot, é elküldi Bobnak a k a = g a mod p zámot. Haonlóképpen Bob i válazt egy véletlen b < p rézkulcot, é elküldi Alice-nak a k b = g b mod p zámot a nyilváno catornán. A támadónak az a é b meghatározáához meg kell oldania a dizkrét logaritmu problémát. 3. Mindkét fél kizámítja a K = k b a mod p = k a b mod p = g ab mod p zámot. Ezt a továbbiakban egy titko kulcú rendzer kulcaként haználják. A Diffie-Helmann protokoll ki módoítáal alkalma üzenet-titkoítára i. Ez a megoldá a feltalálója után ElGamal kriptorendzer 17 néven vált imertté (1984). Az RSA kriptorendzer Az RSA a legelterjedtebben haznált nyilváno kulcú, azimmetriku kriptorendzer. Az azimmetriku jelleg azt jelenti, hogy Alice é Bob tevékenyége é az általuk haznált kulc i különbözik egy üzenet 17 Az ElGamal pedig a DSA amerikai digitáli aláírá-zabvány alapja. 20

21 rejtéekor, illetve fejtéekor. A támadó zámára rendelkezére álló kulc-rézből, az ún. nyilváno kulcból a rejtett zöveg megfejtééhez zükége kulc-réz, az ún. privát kulc cak a PFP probléma megoldáával lehetége. A nyilváno kulc birtokában üzenetet rejteni bárki tud, fejteni azonban cak a publiku kulchoz tartozó privát kulccal lehet, melyet a címzett oha nem tez közzé. Az RSA rézlete leíráa megtalálható a IV. Mellékletben, egy demo alkalmazá pedig a lapon. Az RSA már 1977 óta haználatban van, ezért zámo támadát dolgoztak ki ellene. Biztonágoan alkalmazni cak az ajánláok zigorú betartáával, é kellőképpen nagy kulcmérettel lehet. Az imert támadáok: alapvető aritmetikai alkalmazái hiba kihaználáa (n vagy x túl kici) egyéb rozul válaztott paraméterekből adódó algoritmiku gyengeégek kihaználáa válaztott rejtett zöveg típuú támadá (1998): megfigyelt Y alapján kontruált Y é az ehhez tartozó X alapján X. A címzettet (illetve annak zámítógépétí) egy RSA-t haználó protokoll hibáját kihaználva vették rá arra, hogy a kontruált Y -t dekódolja é az eredményt vizaküldje. A kriptográfiában az ilyen rejtett, előre tervezett, kikényzerített műveletet oracle ervice-nek hívják. időzítée támadá: a fejtéi művelet időzükéglete özefügg a privát kulccal, é a fejté időzükégletét egy protokoll gyengeégét kihaználva meg lehetett határozni. Ezáltal a támadó (az üzenet küldője) jelentően le tudta zűkíteni a lehetége privát kulcok körét. Beékelődée támadá nyilváno kulcú kriptorendzerek ellen Nemcak az RSA, hanem minden nyilváno kulcú kriptorendzer alapproblémája, hogy éppen mivel a felek ohaem találkoznak, ezért nehéz megbizonyoodniuk egymá kilétéről. A beékelődée (man in the middle) támadá jellemző lépéei az RSA eetén, ha B kíván titko üzenetet küldeni A-nak, é a támadónak (E-nek) módjában áll manipulálni az üzeneteket: 1. B elkéri A-tól A nyilváno kulcát 2. E elfogja ezt a kérét, elkéri A nyilváno kulcát, de nem ezt, hanem a aját nyilváno kulcát küldi viza B-nek 3. Ezután E minden B által írt üzenetet megfejt a aját titko kulcával, majd újra elrejti A nyilváno kulcával é elküldi A-nak. E-nek azon túl, hogy minden üzenetet el tud olvani, módja van az üzenetek átíráára, illetve B nevében írt hami üzenet kontruáláára i. A é B mindebből nem vez ézre emmit, őt éppen a ikereen megfejtett üzenetek győzik meg őket arról, hogy a kommunikáció titokban folyt le. Ez a támadá cak akkor védhető ki, ha A é B valamilyen külő egítéggel meg tud győződni egymá kilétéről, úgy ahogy a zemélyi igazolvány i igazolja az imeretlen tulajdono bizonyo adatait. Ilyen igazolát a kriptográfiában a külő hatóág vagy cég által digitálian aláírt digitáli tanúítványok (certificate, lád alább) tudnak nyújtani. 21

22 A digitáli aláírá az RSA egítégével Az RSA, é má nyilváno kulcú kriptorendzerek i, haználhatók az üzenet-titkoítáo algoritmu megfordítáával i. Ekkor A, a privát kulc birtokoa a privát kulc haználatával előzör rejti az üzenetet, melyet aztán közzétez, é amelyet a nyilváno kulc haználatával bárki meg tud fejteni. Ennek gyakorlati értelme akkor van, ha nem az üzenet titkoágát, hanem annak letagadhatatlanágát é érthetetlenégét (Non-repudiation and integrity) zeretnénk a nyilváno kulcú rendzerrel biztoítani: ha a rejtett üzenetet valaki megváltoztatja, utána már nem lez A nyilváno kulcával (értelmeen) megfejthető, tehát ha a fejté ikere, az üzenet nem érült mivel a nyilváno é a privát kulc egyedi párt alkot, ezért ha a fejté ikere, akkor azt biztoan A rejtette el vagy legalábbi az ő privát kulcát haználták a rejtéhez Hatékonyági megfontoláokból nem az egéz üzenetet, hanem cak egy abból kézített ki méretű ún. üzenetpecétet (hah) rejtenek el egy dokumentum digitáli aláíráa orán. A hah algoritmu biztoítja, hogy ha a dokumentum változik, akkor a belőle kézített hah érték (a pecét) i változzon. A digitáli aláírá gyakorlati alkalmazáának lépéei: 1. A elkézíti (vagy máoktól elfogadja) az aláírandó dokumentumot, válazt egy hah algoritmut, é ezzel kizámítja a dokumentum hah értékét 2. a hah értéket é az algoritmu nevét, paramétereit a privát kulcával rejti egy állományba, amit digitáli aláírának hívnak 3. a dokumentumot é az aláírát publikálja a aját nyilváno kulcával együtt 4. ha valaki meg akar győződni a dokumentum hiteléről, akkor a nyilváno kulccal előzör i megfejti a dokumentumhoz tartozó aláírát, majd 5. az aláírában található algoritmual é paraméterekkel kizámítja a dokumentum hah értékét 6. ha a kizámított érték egyezik az aláírában lévő hah értékkel, akkor a dokumentum nem érült (eredeti) é azt A privát kulcával írták alá. Magyarorzágon óta a digitáli aláírá egyenértékű a papír-alapú aláíráal (2001. évi XXXV. törvény). Digitáli tanúítványok é tanúítái rendzerek A digitáli aláírá technológiáját fel lehet haználni a beékelődée támadá kivédéére. Ehhez egy olyan dokumentumot az ún. digitáli tanúítványt zerkeztenek, mely A zemélyazonoágát é A nyilváno kulcát együtt tartalmazza, majd ezt egy olyan zervezet, az ún. certificate authority (CA) látja el digitáli aláíráal a aját privát kulca haználatával. A CA nyilváno kulca mindenki zámára elérhető kell, hogy legyen. Ezután, ha bárki meg akar győződni arról, hogy A-nak tényleg az-e a nyilváno kulca, ami a tanúítványon áll, akkor a CA nyilváno kulcával megfejti az aláírát, é ellenőrzi a dokumentum értetlenégét. A digitáli tanúítvány kötelező rézei az X509 zabvány zerint: a tanúítvány orzáma é verziója a kibocátó CA neve é egyéb adatai a tanúítvány időbeli érvényeége (a lejárt tanúítvány érvénytelen) a tulajdono neve é egyéb adatai 22

23 a tulajdono nyilváno kulc algoritmua é a nyilváno kulc értéke az aláírához haznált algoritmu a fentiekhez, mint dokumentumhoz a CA által kézített digitáli aláírá A tanúítvány haználatával elkerülhető a beékelődée támadá, mert a támadó hiába írja át a tanúítvány dokumentum rézében a nyilváno kulcot, a CA privát kulca nélkül az aláírát nem tudja átírni, ezért B ézrevezi a módoítát. Termézeteen felmerül a kérdé, hogy egy interneten kapott tanúítvány ellenőrzéekor hogyan zerezzük be a CA nyilváno kulcát. A beékelődée támadá elkerüléére ezt a CA aját tanúítványából kell kiolvanunk, melyet egy CA feletti hatóág vagy zervezet írt alá, é így tovább. Az egymára hivatkozó tanúítványok orozatát hierarchiku tanúítái láncnak (chain of trut) nevezzük. A lánc végén egy olyan zervezetnek kell állnia, melynek nyilváno kulca minden réztvevő (web-böngéző program, operáció rendzer) zámára eleve imert, beégetett. Az ilyen nyilváno kulc neve bizalmi horgony (trut anchor). A tanúítványokkal biztoított kommunikáció, például egy http protokollal elérhető weblap böngézée előtt a magát igazolni kívánó fél (jelen eetben a webzerver) a telje, horgonyig vezető tanúítái lánc öze tanúítványát elküldheti a máik félnek. Ha a láncot nem ikerül egy horgonyig követni, akkor a felhaználónak kell megítélnie, hogy elfogadja-e a tanúítványt, tehát belép-e a weblapra, vagy telepíti-e a bizonytalan eredetű zoftvert. Alább egy böngéző által adott ilyen témájú figyelmezteté. A tanúítványokkal i viza lehet élni. Ahogy a zemélyi igazolványt, vagy a bankkártyát, a privát kulcot i el lehet lopni, illetve a hatóág i bevonhatja például az eljárá alá vont cég tanúítványát. Ezért a bevont vagy a tulajdono kéréére érvénytelenített tanúítványokról erre zakoodott zolgáltatók 23

24 bevonái litákat (certificate revocation lit, CRL) vezetnek, melyeket a tanúítvány véglege elfogadáa előtt célzerű ellenőrizni 18. A fenti tanúítái rendzerhez zükég van egy CA zervezetre, é különöen a magaabb biztonági fokozatú tanúítványok eetén egyzeri é éve költégek merülnek fel. Ez nem okoz problémát az üzleti é hivatalo világban, azonban a civil világnak ninc erre zükége. A hierarchiku tanúítái rendzer helyett elterjedt a hálózato tanúítá vagy bizalmi háló (web of trut), amely a zemélye imeretégre é bizalomra épül. Ilyen rendzerben működik a PGP (Pretty Good Privacy). Ki-ki elkézíti a aját privát-nyilváno kulcpárját, aztán az imerőeivel aláírják egymá tanúítványait. Egy tanúítványt többen i aláírhatnak, é minél többen írják alá, annál nagyobb a hitele egy új imerő zámára. A tanúítványokat nyilváno zerverekre töltik fel, mint amilyen a pgp.mit.edu. A tanúítványok tároláához, kezelééhez, terjeztééhez, ellenőrzééhez haznált hardver lé zoftver elemeket, beállítáokat, házirendeket é eljáráokat özefoglaló néven nyilváno kulcú infratruktúrának (public key infratructure, PKI) nevezzük. A jelenleg biztonágonak tekinthető PKI megoldá a kulctároló/titkoító célhardver alkalmazáa, melyből a privát kulc ohaem lép ki. Már egy olcó, USB-key formájú ezköz funkcionalitáa tartalmazza a kulcgenerálát (fizikai véletlenzámgenerálá) é kulctárolát, X509 tanúítványok tároláát, é az elterjedt titkoítái é aláírái algoritmuok végrehajtáát. 5. Üzenetpecétek Üzenetpecét (hah) algoritmuokon alapul a kriptográfiai adatintegritá-védelem. A hah függvény bemenete egy gyakorlatilag tetzőlegeen nagy méretű adatblokk, a kimenete pedig egy ki méretű, tipikuan néhány záz bite hah érték. A zámítá gyoraága nagyon fonto (lád az alábbi táblázatot). Módzer Relatív ebeég Értékelé Hah függvény (üzenetpecét) 3 Leggyorabb Folyamtitkoító 2 Gyorabb Blokk-titkoító 1 Gyor Nyílt kulcú titkoító 0.02 Nagyon laú A hah függvényektől elvárt tulajdonágok: Bármekkora x bemenetre alkalmazható legyen a függvény. A pecét kici, fix méretű legyen. A pecét zámoláa hatékonyan é könnyen megvalóítható legyen. Lavinahatá: a bemenet egy bitjének megváltoztatáa 50% valózínűéggel változtaon meg minden bitet a pecétben. 18 Például a Mozilla Firefox böngézőben a CRL-zerverek litája telepítékor üre, a felhaználónak kell konfigurálni. 24

25 Álljon ellen a támadáoknak: o egy adott pecétből egy ilyen pecétet adó üzenetet nehéz meghatározni (az erre irányuló kíérlet a preimage támadá) o egy adott üzenethez nehéz egy ugyanolyan pecétet adó máik üzenetet találni (econd preimage támadá) o nehéz két, ugyanolyan pecétet adó üzenetet találni (ütközé, colliion támadá) A jelenleg zéle körben haznált algoritmuok az MD5, az SHA-1 é az SHA-2. Az MD5 gyakorlatilag törtnek tekinthető, alkalmazáa nem javaolt. Az SHA-1 algoritmu rézlete leíráát lád a III. Mellékletben. Mivel az SHA-1-ben 2005-ben ebezhetőégeket találtak, ezért SHA-2 néven továbbfejleztették. Ennek jellemzői: 224, 256, 384 vagy 512 bite hah méret a 256 bite változatban 64 iteráció a bemenet 512 bite blokkjain, melyeket 8 db. 32 bite tate regizterben tárolnak eddig nem találtak rá érdemi törét. A fenti ábrán az SHA-2 zerkezete látható. A kék hátterű dobozok AND, XOR, OR, rotálá é hiftelé műveleteket tartalmaznak, W t a bemenetből az adott iterációra kiterjeztett darab, K t az iterációhoz tartozó kontan. A zületénap-támadá Minden üzenetpecétre alapuló módzer támadható az ún. zületénap-támadáal, ami lényegében egy ütközée támadá. A digitáli aláírá elleni támadá alapgondolata az, hogy bár egy konkrét üzenetpecétet adó dokumentumot nagyon nehéz találni, ennél a zületénap-paradoxonnak 25

26 közönhetően lényegeen könnyebb két azono üzenetpecétet adó dokumentumot találni. A zületénap-paradoxon matematikai hátterét lád a IV. Mellékletben. Tehát a támadó az aláírandó dokumentumnak, például egy zerződének eleve két példányát kézíti el: az egyik tartalma a zámára kedvezőbb. Ezután mindkét dokumentum-változaton lényegtelen változtatáokat hajt végre, mint például a zóközök bezúráa üre orokba tb., é közben mindig kizámolja a két változat hah értékét. Ha a két hah egyezik, aláíratja a dokumentumot, majd leceréli a zámára kedvezőbb változatra. A hah egyezée (az ütközé) biztoítja az aláíráok egyezéét a két változatra. A zületénap-támadá kivédhető az elegendően nagy üzenetpecét-mérettel (ami 2012-ben 256 bit vagy annál több). De a fenti példában van egy egyzerűbb megoldá i: nyomjunk még egy zóközt aláírá előtt a dokumentum egy üre orába A zivárványtáblá támadá A zivárványtáblá támadá az általáno idő-tárhely ekvivalencia támadá hah függvényekre, különöen jelzó-hah vizafejtére kifejleztett változata. A támadá alapfeltevée, hogy a hah érték a jelzótring nem invertálható random függvénye. A támadá lépéei: 1. előfeldolgozá, a zivárványtáblák feltöltée. A támadó feltételez egy jelzóhozat é egy karakterkézletet, melyet a feltörni kívánt hah-hoz tartozó jelzó haznált. Ezután kézít egy olyan ún. redukció függvényt, mely egy hah értékből a megfelelő hozúágú é karakterkézletű tringet állít elő. Ezután egy véletlen jelzóból indulva kizámítja az ehhez tartozó hah értéket, majd a hah-re alkalmazza a redukció függvényt, ennek eredményére imét a hah értéket zámít é így tovább. A lánc hoza a tábla paramétere. A zivárványtábla egy rekordjába cak a lánc elő é utoló elemét menti el. 2. a zivárványtáblák kereée. A támadó mot betölti a táblát a memóriába, é a feltörni kívánt hah értékre alkalmazza a redukció függvényt, majd megnézi, zerepel-e az így kapott tring a tábla valamelyik rekordjában, mint utoló érték. Ha nem, alkalmazza a tringre a hah függvényt, majd a redukció függvényt, újra kere a táblában é így tovább. Ha megtalálja tringet, akkor az illető rekord feljegyzett elő elemétől indulva megtalálható az a jelzó, amely a kérdée hah értéket adja. 26

27 Mivel a ikere támadához zükége táblák mérete a jelzó hozával é a karakterkézlet zámoágával gyor ütemben nő, ezért a zivárványtáblá támadá ellen hatékonyan lehet védekezni a jelzó méretének megnöveléével. A jelzóhoz a hah zámítáa előtt hozzáfűznek egy felhaználópecifiku tringet, miáltal az előre elkézített táblák haználhatatlanná válnak. A műveletet ózának (alting) nevezik. 6. A kriptográfia jövője A tömege alkalmazáú kriptográfia gerincét jelenleg (2012-ben) az alábbi elemek alkotják: titko kulcú kommunikáció: AES (128 bite) kulcmegoztá é autentikáció: RSA dokumentum-integritá: SHA-2 Ezen algoritmuok, módzerek rézlete leíráa megtalálható a Mellékletekben. A kriptográfia jelentőége azonban az exponenciáli ütemben gyűlő információtömeggel egyre nő, é a jövőben új megoldáok elterjedée várható. Ebben a fejezetben néhány ilyen ígérete módzert mutatunk be. Az elliptiku görbékre alapuló kriptográfia (ECC) Mint említettük, a nyílt kulcú kriptorendzerek biztonága erően függ egyrézt az egyirányú függvény invertáláára irányuló gyor matematikai módzerek fejlődéétől, márézt a támadó zámára rendelkezére álló, egyre nagyobb zámítátechnikai kapacitától. Ennek gyakorlati következménye, hogy a például a leginkább elterjedt kulcmegoztái é autentikáció protokoll, az RSA évről évre egyre nagyobb kulcmérettel üzemeltethető cak, ha egy adott biztonági zintet meg kívánunk tartani. Az alábbi táblázat az ECRYPT 2010-e kulcméret-ajánláait tartalmazza. Blokko kriptorendzer kulcmérete Biztonági zint RSA kulcméret 72 Rövid idő alatt, egyzerű módzerekkel törhető elméletileg megfelelő ECC kulcméret 27

28 96 Az ajánlható abzolút minimum Az ajánlható megfelelő minimum Megfelelő, kivéve a zigorúan titko dokumentumokat 256 A zigorúan titko dokumentumok zámára i megfelelő Látható, hogy az RSA zámára ajánlott megfelelő minimum a több ezer bite kulcméret. Ennek támogatáa termézeteen nem jelent gondot egy aztali zámítógépnek, azonban egyre inkább terjednek azok a mart card (chipkártya) alapú alkalmazáok, melyek rendkívül korlátozott energiafelhaználáal é memóriával kénytelenek működni. Ezeken a növekvő kulcméret támogatáa egyre nagyobb nehézégekbe ütközik. Az RSA algoritmiku ebezhetőégei mellett ezért i lényege a kiebb kulccal dolgozó, gyengébb hardvert igénylő alternatívák kutatáa. Mint a fenti táblázatból látzik, az ECC ugyanazt a biztonági zintet lényegeen kiebb kulcmérettel tudja garantálni, ezért a jövőben valózínűleg le fogja váltani az RSA-t. Az elliptiku görbe azon pontok halmaza, melyek kielégítik az y 2 = x 3 + ax + b egyenletet, ahol a többzörö gyökök kizáráa érdekében feltezük, hogy 4a b 0. Az alábbi ábra két elliptiku görbét mutat. Az ellitiku görbe két pontjának özegét úgy definiáljuk, hogy megkereük azt a pontot a görbén, ahol a két pontot özekötő egyene metzi a görbét, majd ezt tükrözzük az x tengelyre. A tükörkép i a görbe pontja (1), hizen a görbe zimmetriku az x tengelyre. Termézeteen igaz, hogy P + Q = Q + P, tehát a művelet kommutatív (2). Bebizonyítható, hogy az özeadái művelet azociatív, tehát P + (Q + R) = (P + Q) + R fennáll (3). Jelöljük 0-val a görbe azon pontját, melyre y =. Bármely ponthoz ezt a 0-t adva, az özeadái zabály zerint P-be jutunk viza, tehát P +0 = 0 + P fennáll (4). Továbbá, a P + -P = 0 feltételt kielégítő P pont létezik: ez a P x tengelyre vett tükörképe, P additív inverze (5), mivel a két pontot özekötő egyene párhuzamo az y tengellyel. A fenti (1)-(5) öt tulajdonág megléte biztoítja, hogy a görbe pontjai az özeadá művelettel Abel-coportot alkotnak. Ha pedig a P pontot aját magával adjuk öze, akkor az egyene a P pontban húzott érintő. Egy pont többzöröeit tehát könnyen kizámíthatjuk imételt özeadáokkal, így értelmezhetjük kp-t, ahol k termézete zám. 28

29 A kriptográfiai alkalmazához az ellitpiku görbét dizkretizáljuk olyan módon, hogy a pontok koordinátái a való zámok helyett egy p prímzám alapú F p vége tet elemei (a p-nél kiebb termézete zámok) legyenek, az aritmetikai zámítáok megfelelő (modulo p) módoítáával. A vége tet feletti E görbét E(F p )-vel jelöljük. E(F p ) pontjainak zámára imerete Hae eredménye (1933): p q card (E(F p )) p q Az E(F p ) pontjai által alkotottt coport cikliku. Egy P pontot generátornak nevezünk, ha annak többzöröei (P, 2P, 3P, ) a görbe öze pontját előállítják. Az elliptiku görbe feletti dizkrét logaritmu problémát ekkor (ECDLP) úgy definiálhatjuk, mint a k zorzótényező meghatározáát a P é a Q = kp pontokból, egy adott dizkretizált E(F p ) görbére. Ha p nagy, legalább 200 bite prímzám, akkor a feladat a dizkrét logaritmuhoz haonlóan nagyon komplex, idő- é energiaigénye. A Diffie-Hellman kulcmegoztái algoritmut könnyű úgy módoítani, hogy az ECDLP-t haználja: 1. A felek nyilvánoan megegyeznek egy E(F p ) dizkretizált görbében, é a görbe egy P pontjában (ezekre például a NIST ajánláokat tez közzé). 2. Alice válazt egy véletlen k a rézkulcot (1 < k a < p-1), é elküldi Bobnak a k a P pont koordinátáit. Haonlóképpen Bob i válazt egy véletlen k b rézkulcot (1 < k b < p-1), é elküldi Alice-nak a k b P pont koordinátáit. 3. Mindketten kizámítják a k b k a P = k a k b P pont koordinátáit. A titko viznykulc ezen pont x koordinátája lez. Például a p = 61 feletti y 2 = x 3 + 2x + 4 görbe kizemelt pontja legyen a P = (7, 19). Ha k a = 14, akkor az Alice által küldött pont a (47, 22), a Bob által küldött pont pedig k b = 50 eetén a (8, 31). A közöen kizámított k b k a P = k a k b P pont a (23, 54), tehát a 23 lez a titko vizonykulc. Kvantum-kriptográfia A kvantum-kriptográfia kifejezét általában olyan módzerre értik, mellyel a catornát a kulcmegoztá idejére kvantumfizikai törvényeket kihaználva biztoítják, ezáltal elérik, hogy ne kelljen nyilváno kulcú kulcmegoztát alkalmazni (Quantum Key Ditribution Network, QKDN). A makrozkopiku világban, ha egy folyamatot elindítunk - például leejtünk egy követ -, akkor a klaziku fizika törvényei egítégével kizámíthatjuk, hogy melyik időpillanatban mi történik (milyen gyoran zuhan a kő, hol tart éppen), é ami nagyon fonto: a zuhanó kő helyét anélkül megállapíthatjuk, hogy megzavarnánk az eében. Mi történik az atomok zintjén? Képzeljünk el egy rézeckét, amiről tudjuk, hogy ézak-dél irányban rezeg. Ha meg akarjuk mérni, hogy a rézecke kelet-nyugati vagy ézak-dél irányban rezeg-e, akkor a méré eredménye az, hogy ézak-dél irányban. Mi van azonban, ha azt mérjük meg, hogy ézakkeletdélnyugat, vagy ézaknyugat-délkelet irányban rezeg-e? Azt várnánk, hogy a méré eredménye az, hogy egyik irányban em. Valójában, ha egymá utáni, kezdetben ézak-dél irányban rezgő rézeckéken 29

30 végeznénk el ezt a mérét, akkor az eetek felében azt kapjuk, hogy ézakkelet-délnyugat, mákor meg, hogy a máik irányban, méghozzá teljeen véletlenzerűen. Sőt, a méré után a rézecke valóban a mért irányban fog tovább rezegni! A kvantummechanika kimondja, hogy nem lehet megmérni egy fizikai mennyiéget anélkül, hogy hatáal ne lennénk a mérendő mennyiégre. A makrozkopiku mérénél i tapaztalunk haonló jelenéget (például áramerőég méréekor a mérőműzer beleavatkozik az áram folyáába), ám ez azért van, mert a műzereink nem ideáliak. A kvantummechanika zerint vizont, még akkor i beleavatkoznánk a fenti rézecke rezgéébe, ha ideáli műzerünk lenne: a rézecke ézrevezi, hogy őt mot mérik, ezért gyoran beállítja a rezgéét egyik, vagy a máik irányba. A kvantumkriptográfia ezt a furca vielkedét felhaználva elméletileg i feltörhetetlen titkoítái módzert ad a kezünkbe ben Charle Bennett é Gille Braard kidolgozták a BB84 protokollt, amely a kvantummechanikán alapulva megoldát nyújt a fenti problémára, vagyi hogy hogyan ceréljen egymá között két zemély, Alice é Bob titko kulcot anélkül, hogy az illetéktelen Eve kezébe jutna. A módzer mikrozkopiku rézeckéket haznál, a gyakorlatban a fotonok a legkönnyebben alkalmazhatóak. Képzeljünk el egy 3 dimenzió, derékzögű koordináta rendzert. A fotonok a Z tengely mentén haladnak, ám van egy, a haladá irányára merőlege rezgéük az XY íkban, amit polarizáltágnak hívnak. A hagyományo izzó mindenféle polarizáltágú fotont bocát ki magából. Polárzűrő egítégével azonban ki tudjuk válaztani, például az Y irányban polarizált fotonokat, hogy cak azokat küldjük tovább. Alice é Bob két fajta zűrőkézlettel rendelkezik: Az egyik a rektilineári, a máik a diagonáli. A rektilineári kézlet egy X é Y irányú zűrőből áll: é. A diagonáli kézlet zűrői ehhez képet 45 fokkal el vannak forgatva: é. A rektilineári zűrőkézlet jele +, míg a diagonálié. A binári 1- e a következőképpen polarizált fotonoknak felel meg: vagy. A 0 pedig: vagy. Alice véletlenzerűen küldi az 1-eeket é 0-kat jelképező fotonokat úgy, hogy a zűrőkézleteit i véletlenzerűen váltogatja. A máik oldalon Bob fogadja Alice fotonjait, é megpróbálja detektálni azok polarizáltágát: ő i véletlenzerűen haználja a zűrőkézletet. Akkor állapítja meg helyeen az érkező fotonok polarizáltágát, ha az adott fotont ugyanazzal a zűrőkézlettel méri meg, mint amit Alice haznált arra a fotonra. Ha rozat válazt, akkor ½ a valózínűége annak, hogy ugyanazt a bitet kapja, mint amit Alice küldött. Bob gondoan feljegyzi, hogy mikor milyen zűrőt alkalmazott, é milyen biteket kapott. Miután Alice elküldte a biteket, egy nyilváno catornán (amit bárki lehallgathat) közli Bobbal, hogy mikor milyen zűrőt haznált. Bob megnézi a feljegyzéeit, é ekkor már tudja, hogy azokat a biteket detektálta helyeen, ahol ő i azt a zűrőt haználta, amit Alice. A többi bitet eldobja. Ekkor Bob közli Alice-al zintén egy nyilváno catornán, hogy mely orzámú biteket találta el. Ennél a pontnál Alice tudja, hogy Bob mely biteket tartotta meg, é ezt a bitorozatot haználják a titko kulcként (lád az alábbi ábrát). 30

31 Nézzük meg, mi történik, ha Eve beiktat egy aját zűrőkézlet Alice é Bob közé. Ő i ugyanúgy tudja cak detektálni Alice fotonjait, ahogy Bob. Az eetek egy rézében ő i roz zűrőt haznál. Vizont, hogy ne kelten gyanút, a fotonokat továbbküldi Bob felé. Azonban, ha nem megfelelő zűrőt alkalmaz, például Alice -t küld, ami 0, é Eve a zűrőt haználja, akkor véletlenzerűen -t vagy -t mér, azaz 1-et vagy 0-t. Sajno nem tudja az eredeti, detektálá előtti fotont továbbküldeni, hanem a téveen detektáltat továbbítja Bobnak 19. Tehát a támadó az eetek ¼-ében elrontja az elküldött bitet. Ekkor, ha Bob ugyanazt a zűrőt haználja, mint amit Alice, akkor nem jól állapítja meg a foton polarizáltágát, vagyi a küldött bit értékét, hizen Eve cavart egyet a fotonon. Miután az adá végén Alice é Bob a nyilváno catornán egyeztetik a haznált zűrőket, é a Bob által elvileg jól detektált bitek orzámát, a kapott kulc egy rézét elküldik egymának zintén a nyílt catornán. Ha azt látják, hogy ez a ki rézlet nem egyezik, akkor tudják, hogy Eve hallgatózott (é ezzel elrontotta a kulcot). Ekkor átkapcolnak egy máik catornára. Ha az özehaonlítá után azt látják hogy nem volt hallgatózá, akkor a kulc maradék rézét fogják alkalmazni. Ebből adódik a módzer hátránya i: Ha nagy távolágra akarunk kulcot küldeni, akkor nem alkalmazhatunk jelerőítőket, hizen az olyan, mint mikor Eve hallgatózik. Az egye eeteket az alábbi táblázat foglalja öze. Alice véletlen bitorozata Alice véletlen zűrői Az Alice által küldött polarizációk Eve véletlen zűrői 19 tehát a fotont nem lehet máolni ( no cloning theorem ) 31

32 Eve által mért é továbbküldott polarizációk Bob véletlen zűrői A Bob által mért polarizációk A zűrők nyilváno egyeztetée A megoztott titko kulc Hibák a kulcban Ha a felek n bitet egyeztetnek, akkor a hallgatózá felfedezéének a valózínűége P = 1 ( 3 4 )n, tetzőlegeen közelíthető 1-hez. Arra az eetre, ha a felek a felfedezett hallgatózá ellenére ezt a catornát haználják tovább, kidolgoztak olyan protokollokat, mellyel bit-blokkonként paritát zámolva nyilváno catornán tetzőlegeen ki mértékig cökkenthetik a két oldal titko kulca közti különbéget (information reconciliation). A QKDN elleni lehetége támadáok: Hallgatózá (ézrevehető, lád fent) Beékelődé. A megbízható, tanúítvány alapú autentikációt nem pótolja a kvantumkriptográfia em. Fotonhaítá. Ha a fotonforrá nem ideáli, cak átlagoan 1 fotont ad ki, időnként kettőt i, akkor a dupla foton egyik felét a támadó kvantum-memóriában tárolhatja. Hacking a véletlenzám-generátor é a protokoll hibái ellen DoS: elvágják a biztonágo optikai kábelt Számo helyen, több éve tabilan működnek QKDN rendzerek tól Auztriában Bécben é Sankt Pöltenben már ikerült létrehozni egy hat helyzínt özekötő hálózatot, 200 kilométernyi optikai kábellel é 69 km fizikai átmérővel, ami ezt a protokollt haználja. A zükége hardver azonban jelenleg (2012-ben) még rendkívül drága 20. Amennyiben ez a módzer bárki zámára elérhető lez, úgy biztoak lehetünk abban, hogy a két végpont között enki nem tudja majd lehallgatni a kommunikációt. 20 kvantumkritográfiai ezközökkel foglalkozik például a MagiQ é id Quantique:

33 Irodalom [1] Simon Singh: Kódkönyv. Park, [2] Virraztó Tamá: Titkoítá é adatrejté. Netacademia, [3] Richard B. Well: Applied Coding and Information Theory for Engineer, Prentice Hall, 1999 [4] R.E. Smith: Internet ecurity. Addion-Weley, [5] Andrew S. Tannenbaum: Számítógép-hálózatok, Panem,

34 I.MELLÉKLET: AZ AES KRIPTOGRÁFIAI ALGORITMUS Bevezeté Korábban a DES (Data Encryption Standard) egy zabványo, 56 bite blokk kódoló algoritmu volt, amelyet az IBM-nél fejleztettek ki. Az algoritmut é változatait évtizedeken át alkalmazták, ám zámo kritika érte a ki kulcméret miatt, valamint okan bizalmatlanok i voltak vele zemben. Az amerikai kormányzati zervek nem zerették volna, ha olyan titkoítái módzer jut a lakoág é így a bűnözők kezébe, amelyet a hatóágok nem képeek megfejteni. Ám nyilván a civil zférának zükége volt egy biztonágo kódoló eljárára, előorban az üzleti életben. A kormányzat úgy döntött, hogy a DES 56 bite kulcokat haználhat, ugyani az akkori vélekedé zerint a civilek, bűnözők nem rendelkeztek olyan zámítái kapacitáal, amellyel egy ilyen kulccal kódolt üzenetet meg lehetett fejteni, vizont a hatóágok igen. Ez termézeteen az özeeküvé-elmélet gyártók zámára remek táptalajt adott. Továbbá a DES több -dobozt i alkalmazott, amelyeket az IBM zerint véletlenzerűen generáltak. Sokan feltételezték, hogy valójában valamilyen hátó ajtó van elrejtve ezekben az -dobozokban, így aki megfelelően haználja őket, az könnyen feltörhet bármilyen üzenetet. Eddig azonban még nem ikerült igazolni ezt a ejtét. A 90-e évek végére nyilvánvalóvá vált, hogy a DES elavult, így zükég van egy új titkoítái zabványra. Szerették volna azt i elkerülni, hogy a közvélemény bizalmatlan legyen a zabvánnyal ben az NIST (National Intitute of Standard and Technology) kiírt egy kriptográfiai verenyt, amelyben öt zempontnak megfelelő algoritmuokat vártak. A zempontok az alábbiak voltak: Szimmetriku blokk-kódoló legyen Az algoritmu minden rézlete nyilváno Támogaa a 128, 192 é 256 bite kulcokat Hardvereen é zoftvereen nagy hatékonyággal implementálható legyen Szabadon felhaználható legyen A verenyre zámo pályázat érkezett, a nyerte a belga zerzők által megalkotott Rijndael algoritmu lett. A módzer neve a zerzők nevéből zármazik: Joan Daemen é Vincent Rijmen. Az algoritmu mindegyik követelménynek kiválóan eleget tez, a harmadikon még túl i tett: Amellett, hogy alkalmazható 128, 160, 192, 224 é 256 bite kulcokkal, a kódolható blokk mérete zintén 128, 160, 192, 225 é 256 bit lehetett. A hivatalo zabványba vizont cak a 128 bite blokkméret, é a vereny követelményeinek megfelelő 128, 192 é 256 bite kulcok kerültek be. Az új zabvány neve AES lett, azaz Advanced Encryption Standard. Ettől fogva bizonyo forráok a DES rövidítét már Data Encryption Sytem-nek tüntetik fel. Az alábbiakban előzör imertetjük az algoritmuhoz zükége matematikai alapműveleteket, majd bemutatjuk a kódolá, illetve dekódolá rézleteit. 34

35 Matematikai alapok Mint a legtöbb modern kriptográfiai algoritmu, az AES i nagyban támazkodik a bitenkénti kizáró vagy, azaz XOR műveletre. A műveletnek eredménye akkor 1, ha a két operandu értéke eltér egymától, egyébként az eredmény 0, ahogy az 1. táblázat i mutatja. 1. táblázat Az XOR művelet igazágtáblája A B A XOR B A működééből adódik egy fonto tulajdonága, amely miatt a kriptográfiában előzeretettel alkalmazzák: (A XOR B) XOR B = A Ennek igazoláa látható a 2. táblázatban. Ezt a tulajdonágot arra haználják, hogy egy kulc bitorozat é egy kódolandó üzenetet-et az XOR művelettel adjanak öze. A dekódolákor pedig elég annyit tenni, hogy a korábban kapott kódolt üzenethez újra hozzáadjuk a kulcot az XOR egítégével, így előáll az eredeti üzenet. Ennek alkalmazáára a legegyzerűbb példa a korábban már bemutatott OTP algoritmu, de az AES egye iterációiban i elvégezzük ezt a műveletet. A B A XOR B = C C XOR B = A Az XOR művelet hardvereen rendkívül egyzerűen megvalóítható, akár két tranziztor i elég hozzá. Továbbá zinte minden mai általáno célú procezor támogatja. Az AES főbb lépéei polinomokkal való özeadára é zorzára épülnek. Előzör imertetjük az özeadát, majd arra alapozva bemutatjuk a zorzát. Özeadá Két polinomot a GF(2 8 ) algebra zerint adunk öze, valamint az özeadát az -al jelöljük. A polinomok együtthatói a {0,1} halmazból kerülnek ki. Amennyiben a két polinom i. tagjának együtthatója 1, az eredmény együtthatója 0 lez, é ez nincen hatáal az i 1. együtthatóra, ahogy ezt az alábbi példában láthatjuk: ( x x x 1) ( x x x x 1) x x x x x

36 Mivel a polinomok együtthatói a {0,1} halmazba tartoznak, ezért a polinomokat egyzerűen 6 4 ábrázolhatjuk bitorozatokkal. Az x x x 1 polinomot a bitorozat reprezentálja: Az i. bit megegyezik az i. együttható értékével. Ez alapján látható, hogy a művelet könnyen megvalóítható az XOR egítégével. A fenti példa tehát a következőképpen néz ki bitorozatokkal: x x x x x x x x x x x x Ennek közönhetően az özeadát egyetlen procezorutaítáal i elvégezhetjük. Megjegyezzük, hogy az AES eetében a kivoná művelet azono az özeadáal, erre a zorzánál lez zükégünk. Szorzá A zorzát zintén olyan polinomok között értelmezzük, mint az özeadánál, a művelet jele pedig:. Az eredmény polinomban továbbra i a 0, illetve 1 együtthatók zerepelhetnek. Fonto, hogy a műveletet modulo aritmetikával végezzük el, amelyhez a következő polinomot haználjuk: x x x x 1 Ennek következtében az eredménye az, hogy az eredmény polinom legfeljebb 7-ed fokú lehet, így az elfér egy byte-ban. A zorzá két fő lépéből áll: Előzör özezorozzuk a két polinomot, majd elvégezzük a maradéko oztát. A zorzá haonlóan működik, mint ahogy azt korábban megtanultuk: Az elő polinom minden tagját zorozzuk a máodik minden tagjával, így réz polinomokat kapunk. Ezeket a réz polinomokat a művelettel özeadjuk, ahogy az alábbi példában i láthatjuk: ( x x x 1) ( x x x x 1) [( x x x x ) ( x x x x )] [( x x x x ) ( x x x x)] ( x x x 1) 13 (x x^ x x x x ) ( x x x x x x) ( x x x 1) ( x x x x x x x x) ( x x x 1) x x x x x 1 A kapott polinomot maradékoan oztani kell a x x x x 1 polinommal, vagyi az oztá az ( x x x 1) ( x x x x 1) mod( x x x x 1) x x x x x x x x x 1mod( 1) művelet elvégzéét jelenti. A maradéko oztá ugyanazon az elven működik, mint zámok eetében, vizavezethető a kivonára: Addig vonjuk ki az oztandóból az oztót, amíg ez utóbbi nem kiebb, mint az oztandó. Ehhez az oztó polinomot meg kell zorozni x olyan hatványával, hogy a zorzat 36

37 legmagaabb fokú tagja megegyezzen az oztandó legmagaabb fokú tagjával. A kapott zorzatot é az oztandót pedig az művelettel özeadjuk. Ezt addig imételjük, amíg van az eredmény polinomban 7-nél magaabb fokú tag. Az algoritmut a fenti példán a következő módon hajtjuk végre: Az oztandó polinom: x x x x x 1 Az oztó polinom: x x x x 1 Az oztandó polinom legmagaabb fokú tagjának foka 13, ezért hozzáadjuk az oztandóhoz: 5 x -el bezorozzuk az oztót, majd ( x x x x x 1) ( x x x x x ) x x x x x x 1 Az eredmény legmagaabb fokú tagjának foka 9, tehát még nem végeztünk, legyen ez az oztandó. Az oztót mot x -el kell zoroznunk, majd a zorzatot hozzáadjuk az oztandóhoz: ( x x x x x x 1) ( x x x x x) x x x x x 1 A kapott eredményben már ninc olyan tag, amely foka nagyobb 7-nél, tehát megkaptuk a végeredményt. Ahogy az özeadát, úgy a zorzát i bitorozatokon végzett műveletek egítégével implementálják. i Vegyük ézre, hogy ha egy polinomot megzorzunk x -vel, akkor az azt reprezentáló bitorozatot balra toljuk i bittel, az új bitek pedig a 0 értéket vezik fel. Ezen felül még az XOR-ra lez zükégünk. Jelöljük a polinomokat reprezentáló bitorozatokat A-val é B-vel. A polinomoknál elő lépéként az egyik polinom minden tagjával megzoroztuk a máik polinomot, é így réz polinomokat kaptunk. Ezt bitekkel úgy végezzük el, hogy feljegyezzük, hogy B-ben mely 0 i 7 pozícióiban van 1. Legyen ezen 1-e bitek záma n. Előállítunk n darab új bitorozatot úgy, hogy A-t rendre eltoljuk a feljegyzett i értékekkel. A kapott n orozatot pedig XOR egítégével özeadjuk, ahogy az alábbi példán láthatjuk: Számítuk ki a mod értékét. Legyen A = , valamint B = B-ben a következő pozíciókon van 1: 7, 5, 3, 1 é 0. Tehát ezen értékekkel kell A-t eltolnunk: Eltolva 7 bittel Eltolva 5 bittel Eltolva 3 bittel Eltolva 1 bittel Eltolva 0 bittel XOR A következő lépé pedig a maradéko oztá elvégzée, mivel a kapott eredményben a 13. pozíción 1-e bit található. Az oztó bitorozatot rendre eltoljuk annyira, hogy annak legmagaabb helyi értéken lévő 1-e bitje fedje az oztandó bitorozat legmagaabb helyi értékű 1-e bitjét. A két orozatot XOR-al 37

38 özeadjuk. Amennyiben az özegben van olyan 1-e bit, amely 7-nél magaabb pozíción található, úgy a fenti lépét megimételjük Oztandó bitorozat Oztó bitorozat eltolva 5 bittel XOR Legmagaabb 1-e bit: 9, folytatjuk Oztó bitorozat eltolva 1 bittel XOR Legmagaabb 1-e bit: 7, vége A kapott bitorozat pedig az x x x x x 1 polinomot reprezentálja. Multiplikatív inverz Az AES-ben multiplikatív egyég elemnek tekintjük a bitorozat által reprezentált polinomot. Egy A polinom multiplikatív inverze az az 1 A polinom, amivel megzorozva az egyég elemet kapjuk: 1 AA mod M, ahol M x x x x 1. Az S-doboz megalkotáához zükégünk lez minden lehetége polinom multiplikatív inverzére. Mivel özeen 256 polinomot haználunk, akár brute force módzerrel i megkerehetünk minden multiplikatív inverzet, majd azokat egy táblázatban eltárolhatjuk, de haználhatjuk akár a kiterjeztett euklidezi algoritmut (lád az RSA-nál). Vegyük ézre, hogy a bitorozatnak a fenti definíció zerint nem létezik a multiplikatív inverze, ezért ebben az eetben a t válaztjuk invernek. 2. táblázat Byte-ok multiplikatív inverzei az AES-ben x y a b c d e f D F6 CB 52 7B D1 E8 4F 29 C0 B0 E1 E5 C B4 AA 4B 99 2B 60 5F 58 3F FD CC FF 40 EE B2 2 3A 6E 5A F1 55 4D A8 C9 C1 0A A2 C2 3 2C C F F F 77 BB D FE D 31 F5 69 A7 64 AB E ED 5C 05 CA 4C BF 18 3E 22 F0 51 EC E AF D3 49 A F DF B 7 79 B B5 BA 3C B6 70 D0 06 A1 FA E 7F BE 56 9B 9E 95 D9 F7 02 B9 A4 9 DE 6A 32 6D D8 8A A 14 9F 88 F9 DC 89 9A a FB 7C 2E C3 8F B C8 12 4A CE E7 D2 62 b 0C E0 1F EF A5 8E 76 3D BD BC c 0B 28 2F A3 DA D4 E4 0F A B FC AC E6 d 7A 07 AE 63 C5 DB E2 EA 94 8B C4 D5 9D F8 90 6B e B1 0D D6 EB C6 0E CF AD 08 4E D7 E3 5D 50 1E B3 f 5B C DD 9C 7D A0 CD 1A 41 1C 38

39 A kulc kiterjeztée Az alábbiakban az AES 128 bite kulco változatát imertetjük. Az algoritmu a kódolandó blokkot előzör egy 4*4-e méretű állapot táblába máolja, majd több iteráción kereztül tranzformálja ezt, az állapotot. Egy tranzformáció egyik lépée az, hogy a kezdeti kulcból előállított byte-okat XOR művelettel hozzáadja az állapothoz. Ennek érdekében a 128 bite kulcot ki kell terjezteni, hogy minden tranzformáció lépében mát adhaunk hozzá az állapothoz. A kulc kiterjeztét elég akkor elvégezni, ha a kódolónknak, illetve dekódolónknak új kulcot adunk meg, azaz nem zükége ezt minden blokk kódoláánál végrehajtani. Jelöljük a kulc i. (0 i 15) byte-ját ki -vel. Ez alapján a kulc byte-okat egy 4*4-e táblázatba rendezzük az alábbi módon: w[0] w[1] w[2] w[3] k 0 k 4 k 8 k 12 k 1 k 5 k 9 k 13 k 2 k 6 k 10 k 14 k 3 k 7 k 11 k 15 A táblázat ozlopait a w tömbben tároljuk, a tömb legkiebb indexe a 0. Ezt a táblázatot kell kiterjezteni 44 ozlopra az elő 4 alapján. Az új ozlopokat egymát követően zámítjuk ki az alábbi algoritmual: Ciklu i = 4-től 43-ig 1. Legyen temp = w[i 1] 2. Ha i oztható 4-el, akkor i. temp byte-jait forgatjuk: temp = [ w 0, w 1, w 2, w 3 ] [ w 1, w 2, w 3, w 0 ] ii. temp minden byte-ját kiceréljük az S-doboz alapján iii. temp új elő byte-jához hozzáadjuk az polinomot reprezentáló byte-ot 3. elágazá vége 4. w[i] = w[i 4] XOR temp Ciklu vége Kódolá i/ x x x x x mod( 1) A bemenet 16 byte-ját elő lépéként egy 4*4-e állapot táblázatba máoljuk, majd ezt az állapotot tranzformáljuk 10 iteráción kereztül. Jelöljük a bemenet i. (0 i 15) byte-ját ai -vel. Ez alapján a bemenet byte-okat egy 4*4-e táblázatba rendezzük az alábbi módon: a 0 a 4 a 8 a 12 a 1 a 5 a 9 a 13 39

40 a 2 a 6 a 10 a 14 a 3 a 7 a 11 a 15 Az állapot táblázaton 4 különböző tranzformációt hajthatunk végre: 1. Kulc hozzáadá 2. Byte helyetteíté 3. Sorforgatá 4. Ozlopkeveré Az alábbiakban orra imertetjük ezeket a lépéeket, majd bemutatjuk, hogy ezek egítégével hogyan történik a kódolá. Kulc hozzáadá Ebben a lépében az állapot táblázat minden byte-jához XOR művelettel hozzáadunk egy máik byte-ot a kiterjeztett kulc táblázatból. Az elő kulc hozzáadákor a táblázat elő 4 ozlopát haználjuk, a következő alkalommal pedig a következő 4 ozlopot. Az AES iteráció lépéei előtt előkézítéként elvégezzük ezt a műveletet, így az i. iterációban a kulc táblázat [4*i, (i+1) * 4 1] ozlopait haználjuk fel, ahol 1 i 10. A műveletet az alábbi ábrán mutatjuk be: 0,0 0,1 0,2 0,3 w 0,i w0, i 1 w0, i 2 w0, i 3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 w 1,i w1, i 1 w1, i 2 w1, i 3 w 2,i w2, i 1 w2, i 2 w2, i 3 = 3,0 3,1 3,2 3,3 3,i w w3, i 1 w3, i 2 w3, i 3 0,0 w0,i 0,1 w0, i 1 0,2 w0, i 2 0,3 w0, i 3 1,0 w1,i 1,1 w1, i 1 1,2 w1, i 2 1,3 w1, i 3 2,0 w2,i 2,1 w2, i 1 2,2 w2, i 2 2,3 w2, i 3 3,0 w3,i 3,1 w3, i 1 3,2 w3, i 2 3,3 w3, i 3 Byte behelyetteíté Az AES-ben kettő S-dobozt haználunk, az egyiket a kódolánál, a máikat a dekódolánál, ez utóbbi az elő inverze. A kódolánál alkalmazottra cak, mint S-dobozra hivatkozunk, a máikat inverz S-doboznak nevezzük. Egy xy alakú, hexadecimálian leírható byte-ot az S-doboz x. orában lévő y. cellában található értékre cerélünk ki. Ahogy a bevezetőben említettük, az S-doboz nem egy véletlenzerűen generált táblázat. Egy tetzőlege a byte helyetteítő eleme a következő módon zámolható ki: 1. Legyen b = az a byte multiplikatív inverze, amennyiben a 0, úgy b Jelölje b byte i. bitjét b i. 40

41 b b b b b b c, ahol c = Ezt a Legyen i i ( i4)mod8 ( i5)mod8 ( i6)mod8 ( i7)mod8 i lépét mátrixo alakban i felírhatjuk: b b0 1 b b 1 1 b b 2 0 b b3 0 b b 4 0 b b b 6 1 b b 0 7 b 7 A 2. lépére a zakirodalomban mint affin-tranzformációra i hivatkoznak. A 3. táblázatban megjelenítettük az így generálható helyetteítő byte-okat hexadecimáli formában. 3. táblázat Az AES-ben haznált S-doboz x y A B C D E F C 77 7B F2 6B 6F C B FE D7 AB 76 1 CA 82 C9 7D FA F0 AD D4 A2 AF 9C A4 72 C0 2 B7 FD F F7 CC 34 A5 E5 F1 71 D C7 23 C A E2 EB 27 B C 1A 1B 6E 5A A0 52 3B D6 B3 29 E3 2F D1 00 ED 20 FC B1 5B 6A CB BE 39 4A 4C 58 CF 6 D0 EF AA FB 43 4D F9 02 7F 50 3C 9F A A3 40 8F 92 9D 38 F5 BC B6 DA FF F3 D2 8 CD 0C 13 EC 5F C4 A7 7E 3D 64 5D F DC 22 2A EE B8 14 DE 5E 0B DB A E0 32 3A 0A C C2 D3 AC E4 79 B E7 C8 37 6D 8D D5 4E A9 6C 56 F4 EA 65 7A AE 08 C BA E 1C A6 B4 C6 E8 DD 74 1F 4B BD 8B 8A D 70 3E B F6 0E B9 86 C1 1D 9E E E1 F D9 8E 94 9B 1E 87 E9 CE DF F 8C A1 89 0D BF E D 0F B0 54 BB 16 41

42 Sorforgatá A orforgatát é az azt követő ozlopkeverét együtteen diffúzió rétegnek i nevezik. Céljuk az, hogy e két lépé egítégével a bemenet minden byte-ja hatáal legyen a kimenet minden byte-jára. A forgatá orán az i. or elemeit ( 0 i 3) i -vel balra forgatjuk, ahogy azt az 1. ábra Sorforgatá a kódolánálábrán láthatjuk: 1. ábra Sorforgatá a kódolánál 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 0,0 0,1 0,2 0,3 1,1 1,2 1,3 1,0 2,0 2,1 2,2 2,3 2,2 2,3 2,0 2,1 3,0 3,1 3,2 3,3 3,3 3,0 3,1 3,3 Ozlopkeveré Ez a tranzformáció az állapot tábla ozlopain belül keveri meg a byte-okat. Az ozlopok között nincen kapcolat, minden ozlopra ugyanazt a műveletort végezzük el, a többitől függetlenül: Kiválaztunk egy ozlopot, ennek indexe legyen c, majd az ozlopon belüli cellákat a következő képletek alapján változtatjuk meg: 0, c (0x02 0, c ) (0x03 1, c ) 2, c 3, c 1, c 0, c (0x02 1, c ) (0x03 2, c ) 3, c 2, c 0, c 1, c 2, c 3, c (0x02 ) (0x03 ) 3, c 0, c 1, c 2, c 2, c (0x03 ) (0x02 ) A kizámolt byte-okat pedig vizaírjuk az állapot táblázatba: 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 3,0 3,1 3,2 3,3 3,0 3,1 3,2 3,3 Az ozlopon belüli keverét a orok eltoláa után hajtjuk végre. A or eltolát é ozlopkeverét háromzor egymá után elvégezve elérhetjük, hogy minden bemeneti byte hatáal legyen a kimenet minden byte-jára. Az AES eetében ez okozza a lavinahatát: A bemenet egy bitjének megváltoztatáa 50% valózínűéggel változtat meg minden bitet a kimenetben. 42

43 Kódoló iterációk Feltételezzük, hogy a bemenetről beolvatuk a kódolandó üzenetet az állapot táblázatba. Innentől a kódolá menete a következő: 1. Az állapothoz hozzáadjuk a kulc táblázat [0,3] intervallumba eő ozlopait. 2. Ciklu i := 1-től 9-ig: a. Byte cere b. Sorok forgatáa c. Ozlopok keverée d. Az állapothoz hozzáadjuk a kulc táblázat [i*4, (i+1)*4-1] ozlopait 3. Byte cere 4. Sorok forgatáa 5. Az állapothoz hozzáadjuk a kulc táblázat [40, 43] ozlopait Az utoló iterációban tehát elhagyjuk az ozlopok keveréét. Az eljárá kimenete pedig az állapot táblázat tartalma, ahol a byte-okat ozlop folytonoan kell kiolvani. Dekódolá A dekódolái folyamat a kódolá imeretében roppant egyzerű, cupán vizafele kell cinálni minden lépét, amelyet a kódolá orán végrehajtottunk. A dekódolandó üzenetet beolvauk az állapot táblázatba, haonlóan, mint a kódolákor. Tudjuk, hogy a kódolá utoló lépée az volt, hogy az állapothoz hozzáadtuk a kulc tábla [40-43]-a ozlopait. Ezt a lépét emlegeíthetjük ennek a lépének a megimétléével, hizen tudjuk, hogy ha XOR-al kétzer adunk hozzá egy kulcot valamilyen értékhez, akkor vizakapjuk az eredeti értéket. A kódolá többi lépéét i vizavonhatjuk, ha az egye műveletek inverzeit alkalmazzuk, így az eljárá végén megkaphatjuk az eredeti üzenetet. Az alábbiakban bemutatjuk az egye inverz műveleteket. Inverz byte helyetteíté Ebben a lépében az eredeti S-doboz inverzét haználjuk. A 4. táblázatban megfigyelhető, hogy az inverz S-doboz x. orában é y. ozlopában olyan ij érték zerepel, hogy az S-doboz i. orában é y. ozlopában xy található. Az inverz S-dobozt előre eltárolhatjuk, vagy menet közben i kizámíthatjuk az egye byteok helyetteítő értékeit az alábbi módon: 1. Az S-doboz előállítáánál haznált affin-tranzformáció inverzét alkalmazzuk. A B byte bitjeit a következő módon tranzformáljuk: 43

44 b b b b d i ( i2)mod8 ( i5)mod8 ( i7)mod8 i b b0 1 b b 1 0 b b 2 1 b b3 0 b b 4 0 b b b 6 0 b b 0 7 b 7 2. A kapott B értéknek megkereük a multiplikatív inverzét, az eredmény lez a B helyetteítő értéke. 4. táblázat Az AES-ben haznált inverz S-doboz x y A B C D E F A D A5 38 BF 40 A3 9E 81 F3 D7 FB 1 7C E B 2F FF E C4 DE E9 CB B A6 C2 23 3D EE 4C 95 0B 42 FA C3 4E E A D9 24 B2 76 5B A2 49 6D 8B D F8 F D4 A4 5C CC 5D 65 B C FD ED B9 DA 5E A7 8D 9D D8 AB 00 8C BC D3 0A F7 E B8 B D0 2C 1E 8F CA 3F 0F 02 C1 AF BD A 6B 8 3A F 67 DC EA 97 F2 CF CE F0 B4 E AC E7 AD E2 F9 37 E8 1C 75 DF 6E A 47 F1 1A 71 1D 29 C5 89 6F B7 62 0E AA 18 BE 1B B FC 56 3E 4B C6 D A DB C0 FE 78 CD 5A F4 C 1F DD A C7 31 B EC 5F D F A9 19 B5 4A 0D 2D E5 7A 9F 93 C9 9C EF E A0 E0 3B 4D AE 2A F5 B0 C8 EB BB 3C F 17 2B 04 7E BA 77 D6 26 E C 7D 44

45 Inverz orforgatá A kódolánál balra forgattuk a orokat, ennek az inverze pedig a jobbra forgatá, ahogy azt a 2. ábra láthatjuk. Minden orban annyi pozícióval kell forgatni, amennyivel a kódolánál i, cupán az irány változik. 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 2. ábra Sorforgatá a dekódolánál 0,0 0,1 0,2 0,3 1,3 1,0 1,1 1,2 2,2 2,3 2,0 2,1 3,0 3,1 3,2 3,3 3,1 3,2 3,3 3,0 Inverz ozlopkeveré Ebben a lépében minden egye ozlopra elvégzünk egy tranzformációt. Az eljárá működéi elve haonló a kódolá ozlopkeverééhez, cupán az egye zorzatok zorzói különböznek: (0x0E ) (0x0B ) (0x0D ) (0x09 ) 0, c 0, c 1, c 2, c 3, c (0x09 ) (0x0E ) (0x0B ) (0x0D ) 1, c 0, c 1, c 2, c 3, c (0x0D ) (0x09 ) (0x0E ) (0x0B ) 2, c 0, c 1, c 2, c 3, c (0x0B ) (0x0D ) (0x09 ) (0x0E ) 3, c 0, c 1, c 2, c 3, c 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 0,0 0,1 0,2 0,3 1,0 1,1 1,2 1,3 2,0 2,1 2,2 2,3 3,0 3,1 3,2 3,3 3,0 3,1 3,2 3,3 Dekódoló iterációk Feltételezzük, hogy a bemenetről beolvatuk a dekódolandó üzenetet az állapot táblázatba. Innentől a dekódolá menete a következő: 1. Az állapothoz hozzáadjuk a kulc táblázat [40,43] intervallumba eő ozlopait. 2. Ciklu i := 9-től 1-ig: a. Inverz orforgatá b. Inverz byte-cere c. Az állapothoz hozzáadjuk a kulc táblázat [i*4, (i+1)*4-1] ozlopait d. Inverz ozlopkeveré 3. Inverz orforgatá 4. Inverz byte-cere 45

46 5. Az állapothoz hozzáadjuk a kulc táblázat [0, 3] ozlopait Az utoló iterációban tehát elhagyjuk az ozlopok inverz keveréét. Az eljárá kimenete pedig az állapot táblázat tartalma, ahol a byte-okat ozlop folytonoan kell kiolvani. 46

47 II. MELLÉKLET BLOKK KÓDOLÓK ÜZEMMÓDJAI Elektroniku kódkönyv (ECB) Az elektroniku kódkönyv üzemmód (Electronic Code Book, azaz ECB) a blokk kódolók legegyzerűbb felhaználái módja. A következő jelöléeket fogjuk haználni: X : Kódolatlan zöveg Y : Kódolt zöveg K : Kulc Y E ( X ), azaz E k függvény végzi el a kódolát a K kulc alapján. K X DK ( Y ), azaz D k függvény végzi el a dekódolát a K kulc alapján. A kódolandó bemenetet azono bithozúágú blokkokra bontjuk, majd azokat egyenként kódoljuk. A kódolt blokkokat elküldjük a fogadó oldalra, ahol azokat dekódolják, é a beérkezett, majd megfejtett blokkokból özerakják a telje üzenetet. A lényeg tehát az, hogy a blokkokat egymától függetlenül kódoljuk, illetve dekódoljuk, ahogy azt a 3. ábra i mutatja. 3. ábra Elektroniku kódkönyv üzemmód működée Ennek az üzemmódnak több előnye i van. Egyrézt ez a legegyzerűbb. Amennyiben nagy adatmennyiéget zeretnénk kódolni, úgy egyzerűen párhuzamoíthatunk. Végül, ha az üzenet átvitele orán egy blokk érül, akkor a dekódolákor zintén cak egy blokkot kapunk viza hibáan, a többi helye marad. Itt azonban ki i merülnek az előnyök, láuk, milyen problémák adódnak. Tegyük fel, hogy Alice-nak é Bobnak van 1-1 aját bankjuk. A két bank időnként pénzt utal át egymának, méghozzá valamilyen zámítógépe hálózaton kereztül. Egy átutalát a következő zerkezetű adatcomag átküldéével bonyolítanak le: 47

48 Küldő bank Küldő Fogadó bank Fogadó Pénzözeg azonoítója bankzámlazám azonoítója bankzámlazám Termézeteen ezt az adatcomagot valamilyen blokk kódoló egítégével titkoítják, é úgy küldik el a hálózaton. Tegyük fel, hogy az adatcomag egye zeletei akkorák, amekkorák az általunk haznált blokk kódoló által igényelt blokkméret. Továbbá a Alice é Bob bankjai cupán hetente változtatják meg a felhaznált kulcot. Eve pedig ezt kihaználva úgy dönt, hogy megpróbál a rendzer gyengeégeit kihaználva gyoran meggazdagodni. Az üzeneteket nem képe vizafejteni, vizont má módja i van célja eléréének. Eve a következőt fogja tenni: Előzör nyit magának 1-1 bankzámlát Alice-nál é Bobnál. A következő lépében cekély özegeket utal magának Alice bankjából Bob bankjába. Eközben figyeli, hogy a bankok között milyen adatcomagok mozognak. Ézrevezi, hogy van 5 blokk, amelyek imétlődnek az utaláoknál. Lementi az é 4. blokkot, hogy ezeket kéőbb majd felhaználja. Sejti, hogy az 1. blokk jelöli a bank azonoítóját, a 3. tartalmazza azt a bankot, ahová a pénz megy, é végül a 4. blokk tárolja azt a zámlazámot, ahol a pénzt el kell helyezni. Ezek után figyeli, hogy a gyanútlan ügyfelek utaláai hatáára milyen adatcomagok indulnak meg a hálózaton. Eve zámára azok a comagok érdekeek, amelyek arról zólnak, hogy Alice-éból Bob bankjába kell pénzt küldeni. Ezeket Eve könnyen kizűrheti, ugyani rendelkezik olyan kódolt blokkokkal, amely biztoan Alice, illetve Bob bankjának azonoítóját jelöli. Tehát amelyik elfogott comag 1. é 3. blokkjában a megfelelő értéket látja, abban kiceréli a 4. blokkot arra, amit ő korábban elmentett. Ugyani a behelyetteített blokk Eve zámlazámának azonoítóját tartalmazza. A cere után Eve tovább küldi az üzenetet, amely hatáára Bob bankjában Eve zámlájára íródik valamekkora pénzözeg. Mivel a bankok között rendkívül gyakran utaznak ilyen adatcomagok, Eve zámláján hamar igen nagymennyiégű pénzözeg halmozódik fel. Egy máik példában fogtunk egy 32 bite zínmélyégű tömörítetlen bitképet, é a fejléc kivételével egy 128 bite kulcot haználó AES-el tikoítottuk a tartalmát. Az eredeti képet a 4. ábra, a kódolt változatot pedig az 5. ábra ábrázolja. Látható, hogy a titkoított képen még mindig jól felimerhető az eredeti ábra. A problémán az e egít, ha erőebb kulcot haználunk. A bemutatott két probléma oka az, hogy az ECB üzemmód determiniztiku. Azaz ha egy adott blokkot többzör egymá után kódolva ugyanazt az eredményt kapjuk. Azaz lényegében egy behelyetteítő kódolát kapunk, amelyről közimert, hogy rendkívül egyzerűen feltörhető. Az üzemmód innen i kapta a nevét: elektroniku kódkönyv. Régen gyakran haználtak un. kódkönyveket, ahol minden zimbólumhoz leírtak 1-1 helyetteítő zimbólumot. A kéőbb imertetére kerülő üzemmódok ezt a gyengeéget védik ki má-má megközelítéel. 48

49 4. ábra Az eredeti, kódolatlan kép Titkoított blokkok láncoláa (CBC) 5. ábra 128 bite AES kulccal, ECB módban titkoított kép Az ECB gyengeégének kijavítáára alkalmazhatjuk azt a módzert, hogy a kódolá kimenetére nem cak a kódolandó blokk van hatáal, hanem az előzőleg kódolt blokk i. Mivel az elő kódolandó blokk előtt 49

50 nem volt emmi, ezért zükégünk van egy IV-vel jelölt inicializáló vektorra. Az üzemmód működéét a 6. ábra láthatjuk. 6. ábra A CBC mód működée Az elő blokk kódoláa előtt bitenkénti XOR művelettel hozzáadjuk az IV-t, majd az így módoított blokkot kódoljuk. Az eredményt tovább küldjük a fogadó oldalra, valamint a kódolá helyén betöltjük egy regizterbe. A következő blokkhoz már az ebbe a regizterbe betöltött adatort adjuk hozzá. A fogadó oldalon az elő blokk fogadáakor elvégezzük a dekódolát, majd az eredményhez újra hozzáadjuk az IVt. Az XOR tulajdonágainak közönhetően ekkor vizakapjuk az eredeti blokkot. A fogadó oldalon a dekódolá előtt elmentjük a beérkezett titkoított blokkot egy regizterbe, hogy azt felhaználhauk a következő blokk dekódoláához. Tehát az egye blokkokat egymára láncoljuk, innen jön az üzemmód neve i: Cipher Block Chaining, azaz CBC. Fonto, hogy az inicializáló vektor azono legyen mindkét oldalon. Formálian a következőképpen néz ki a folyamat: Elő blokk kódoláa: Y1 EK ( IV X 1) Elő blokk dekódoláa: X 1 DK ( Y1) IV Következő ( i.) blokkok kódoláa: Yi EK ( Yi 1 X i ) Következő ( i.) blokkok dekódoláa: X i DK ( Yi ) Yi 1 Gondoljuk végig, hogy az ECB-nél imertetett banko problémát megoldja-e a CBC. Amennyiben üzenetenként má IV vektort haználnak, Eve nem képe mintákat felfedezni az üzenetekben. Továbbá, ha az egymá utáni üzeneteket folyamatoan egymá után láncolják, akkor zintén megoldódik a probléma. Tegyük fel azonban, hogy üzenetenként újra inicializáljuk a fogadó é küldő oldalt, azaz minden üzenet elején újra elővezük ugyanazt az IV vektort. Ekkor Eve újra elfogja az egye üzeneteket, majd kiceréli a 4. blokkot é az üzenetet tovább küldi. A vevő fogadja az üzenetet é vizafejti azt. Eve pechére a fogadó bank rozul dekódolja a 4. é 5. blokkot. Ugyani a 4. blokkra hatáal van az elő három i, ahol a 2. blokk üzenetenként má é má. Mivel a fogadó oldalon téveen dekódolják a 4. é 5. 50

51 blokkot, ezért a pénz nem fog megérkezni Eve zámlájára. A beavatkozá ézlelée egy máik probléma, ezzel rézleteebben foglalkozunk majd a digitáli aláírá témakörén belül. Nézzük, hogy ha a korábban bemutatott képet CBC módban kódoljuk, akkor milyen ábrát kapunk. Az eredményt a 7. ábra láthatjuk. Ezen már felimerhetetlen az eredeti kép, úgy tűnik, mintha egy véletlenzerűen generált ábrát látnánk. 7. ábra 128 bite AES-el kódolt kép CBC üzemmódban Látható tehát, hogy a CBC megzűnteti az ECB determiniztikuágát, így kivédi annak a gyengeégét. Az IV vektorban valamilyen módon meg kell egyezniük a kommunikáló feleknek, ezt akár zimmetriku kódolóval i megtehetik. Az üzemmódnak van azonban egy komoly hátránya: Amennyiben nem garantálható, hogy minden blokk hibamenteen átjut a hálózaton, akkor ha cak egy blokknak egyetlen bitje hibá lez, akkor a lavina hatá miatt az öze ezt követő blokk hibáan lez dekódolva. A következő üzemmód ezt küzöböli ki. Kimenet vizacatoláa (OFB) Ennél az üzemmódnál zintén zükégünk van egy IV vektorra. Itt a kódoló nem kapja meg magát az X blokkot. Az elő blokk elküldéekor a kódoló egy K kulccal titkoítja az IV vektort. Az eredményt egyrézt elmenti egy S regizterbe, márézt XOR-al hozzáadja a titkoítandó X blokkhoz. Az eredményt pedig elküldi a fogadó oldalra, ahol zintén egy kódolóval é az IV vektorral előállítunk egy bitorozatot, azt XOR-al hozzáadjuk a beérkező üzenethez, é megkapjuk az eredetit. A következő blokk elküldée előtt már nem az IV-t, hanem az S regizter tartalmát kell kódolni. A küldő é fogadó oldalon tehát pontoan ugyanzt kell végrehajtani. Mivel itt a kódoló kimenetét catoljuk viza annak a 51

52 bemenetére, az üzemmódot Output Feedback-nek, azaz OFB-nek nevezzük. A módzer működéének vázlatát a 8. ábra láthatjuk. 8. ábra Az OFB mód működée Formálian a következő módon írhatjuk fel a módzer működéét: Elő blokk kódoláa: S1 EK ( IV ), Y1 X 1 S1 Elő blokk dekódoláa: S1 EK ( IV ), X 1 Y1 S1 Következő ( i.) blokkok kódoláa: Si EK ( Si 1), Yi X i Si Következő ( i.) blokkok dekódoláa: Si EK ( Si 1), X i Yi Si A kódoló kimenete tehát teljeen független a titkoítandó zövegtől. A kódoló kimenetét kulcfolyamnak i nevezhetjük, ezt akár előre i kizámolhatjuk. Az átviteli hibákra ez a módzer a legkevébé érzékeny, ugyani ha a hálózaton átvitt üzenetben 1 bit érül meg, akkor az eredményben i cak 1 bit hiba keletkezik. Fonto, hogy a vevő oldalon i kódolót kell alklamazni a kulcfolyam előállítáára! Azonban oda kell figyelnünk arra, hogy a kulc folyamot ne imételjük meg. Tegyük fel, hogy a P 1 é P 2 zöveget ugyanazzal a K kulcfolyammal titkoítjuk. Ekkor a keletkezett kódolt üzenetek: C1 P1 K é C2 P2 K. Eve elfogja C1 -et é C2 -t, majd XOR-al özeadja őket: C C ( P K ) ( P K ) P P

53 Amennyiben Eve imeri P1 -et, vagy P2 -t, úgy a máik egy XOR egítégével könnyen meghatározható. Ellenkező eetben pedig P1 P2 gyakoriágelemzéel törhető, ugyani az egye zimbólumpároknak megfeleltethető egy helyetteítő zimbólum. Kódolt üzenet vizacatoláa (CFB) Az alábbi üzemmódban zintén kódolót haználunk a küldő é fogadó oldalon. A módzer annyiban különbözik az OFB-től, hogy a kódolóra nem annak kimenetét, hanem magát a kódolt üzenetet catoljuk viza, ezért ennek a neve Cipher Feedback, azaz CFB. Formálian a következőképpen néz ki az algoritmu: Elő blokk kódoláa: Y1 X 1 E ( IV ) Elő blokk kódoláa: X 1 Y1 E ( IV ) 9. ábra A CFB mód működée Következő ( i.) blokkok kódoláa: Yi X i EK ( Yi 1) Következő ( i.) blokkok dekódoláa: X i Yi EK ( Yi 1) K K Eddig látzólag ez a módzer nem nagy előrelépé az előzőekhez képet. Tegyük fel azonban, hogy olyan üzeneteket kell kódolni, amelyek jóval rövidebbek, mint a blokk kódolónk által igényelt blokk méret. Például ha a felhaználó gépel, akkor lehet, hogy a zoftvernek ninc ideje megvárni, míg özegyűlik a megfelelő mennyiégű karakter, hogy azokat majd egyben kódolva elküldje. Az egyik megoldá az lehet, hogy az egye karaktereket kiegézítjük a megfelelő blokk méretre, majd elvégezzük a kódolát. Könnyen látható, hogy ekkor azonban pazarlóan bánunk a hálózat ávzéleégével. A megoldá a CFB mód megfelelő haználatában rejlik. 53

54 Tegyük fel, hogy a kódolók bemenetére egy hift-regiztert kötünk. A regizterbe betölthetünk egy új byte-ot, ennek hatáára a regizterben lévő legrégebbi byte kieik. A regizter kezdetben az IV byte-jait tartalmazza. Az új üzenet küldéekor a hift-regiztert kódoljuk. Az elküldendő byte-ot XOR-al özeadjuk a kódoló kimenetének meghatározott indexű byte-jával, majd az eredmény byte-ot vizatöltjük a hiftregizterbe, valamint elküldjük a hálózaton kereztül a fogadónak. A fogadó oldalon a küldőhöz haonlóan előállítanak egy kulcot, amelynek a megfelelő byte-jával XOR kapcolatba hozzák a beérkező byte-ot, é megkapják a dekódolt byte-ot. Továbbá, a hálózaton érkező kódolt byte-ot betöltik a hiftregizterbe. A 10. ábra é 11. ábra látható, ahogy az újabb elküldött, illetve fogadott byte-ok hatáára a hift-regizterek tartalma változik. A módzer hátránya i ebből fakad: Amennyiben az egyik byte átvitele orán hiba lép fel, akkor amíg a hibá byte a fogadó oldal hift-regizterében van, addig a beérkező byteokat hibáan dekódolják. 10. ábra A hift-regizterek tartalma a 8. byte küldéekor 11. ábra A hift-regizterek tartalma a 9. byte küldéekor 54

55 Számláló mód (CTR) A CBC, OFB é CFB üzemmódok nagy hátránya az, hogy ha rendelkezünk egy nagy mennyiégű kódolt adathalmazzal, például egy merevlemez tartalmával, é zeretnénk ezen adathalmaz egy adott zakazához hozzáférni, akkor az előtte lévő kódolt adatokat i fel kell dolgozni. Tehát mivel az egymá utáni blokkok zoro kapcolatban állnak egymáal, a direkt hozzáféré meglehetően problémá lehet. Ennek a megoldáára dolgozták ki a zámláló módot (Counter mode, azaz CTR). Itt i kódolót alkalmaznak a küldő é fogadó oldalon. A kódolók bemenetét úgy kapjuk meg, hogy özefűzünk egy inicializáló vektort é egy zámlálót. A zámláló értéke kezdetben nulla. Az elő blokk elküldéekor az IV-t é a zámlálót özefűzve kódoljuk, majd az eredményt XOR-al hozzáadjuk a küldendő blokkhoz. A fogadó oldalon haonlóképpen celekzünk a kódolóval, majd annak kimenetével megfejtjük a hálózaton beérkezett titkoított üzenetet. Az üzenet elküldée illetve fogadáa után mindkét oldalon 1-el növeljük a zámlálót. Lényegében újfent egy kulcfolyamot állítunk elő, amelyre nincenek hatáal em a múltban elküldött blokkok, em a múltban generált kulcfolyam-zeletek. 12. ábra A CTR mód működée Formálian a következő módon működik a CTR mód, ha zámlálóját: CTR e jelöli a küldő, CTR d a fogadó Kezdetben CTRe CTRd. Az i. blokk kódoláa: Yi X i EK ( IV CTRe ), majd CTRe -t 1-el megnöveljük. Az i. blokk dekódoláa: X i Yi EK ( IV CTRd ), majd CTRd -t 1-el megnöveljük. Ez az üzemmód kifejezetten hazno többek között merevlemezek titkoítáakor. Ekkor a zámláló jelölheti az aktuáli merevlemez zektor orzámát. 55

56 III. MELLÉKLET AZ RSA ALGORITMUS Az RSA zó a fejleztőinek neveiből zármazik: Ron Rivet, Adi Shamir é Len Adleman. Az algoritmut 1976-ban publikálták ben nyilvánoágra hozták, hogy Clifford Cock 1973-ban már kidolgozta az eljárát, a brit GCHQ (Government Communication Headquarter) nevű zervezetnél, ám több mint két évtizedig nem engedélyezték, hogy ezt publikálja. Matematikai alapok Az RSA zámelméleti eredményeken alapul, ezért előzör ezeket imertetjük. A bemutatára kerülő zámelméleti tételek helyeégének bizonyítáától eltekintünk. Legnagyobb közö oztó Definíció: Egy A é B egéz zám legnagyobb közö oztójának nevezzük azt a legnagyobb egéz zámot, amely A-nak é B-nek i oztója. A jegyzetben A é B legnagyobb közö oztóját lnko(a, B)-vel jelöljük. Kizámítáára több módzer i van, próbáljuk meghatározni lnko(84, 30)-at. Bontuk a két zámot prímtényezőkre: 84 = 2 * 2 * 3 * 7 é 30 = 2 * 3 * 5 A két zám oztói közül a 2 é 3 a közö, tehát lnko(84, 30) = 2 * 3 = 6. Ki zámoknak nem okoz nehézéget az előbbi módzer, ám nagy zámoknál ez az algoritmu haználhatatlanná válik. Szerencére létezik ennél jóval gyorabb módzer i, mégpedig az euklidezi algoritmu. A bemenet az A é B egéz zámok, tegyük fel, hogy A > B. 1. R := A mod B 2. Ha R = 0 akkor végeztünk, a legnagyobb közö oztó := B 3. A := B 4. B := R 5. Viza az 1. pontra A fenti algoritmuban a mod a maradéko oztát jelöli. Az lnko(84, 30) a következő módon zámolható ezzel az algoritmual: Lépé A B R Multiplikatív inverz Az RSA-ban modulári aritmetikát haználunk, ezért definiáljuk a multiplikatív inverzet: 56

57 Definíció: Egy A egéz zám multiplikatív inverze az a B zám modulo M-ben, amire igaz, hogy: AB 1(mod M ) Például legyen A = 23, M = 120. Ekkor, ha B-t 47-nek válaztjuk, akkor AB mod Tehát 23 multiplikatív inverze modulo 120 eetén 47. Mivel az RSA kulcválaztái lépéében multiplikatív inverzet i kell zámolni, ezért zükégünk van egy hatékony algoritmura ennek a meghatározáához. Erre alkalma a kiterjeztett euklidezi algoritmu. A kiterjeztett euklidezi algoritmu a következő egyenlet megoldáát tezi lehetővé: ax by lnko( a, b), ahol a é b egézek adottak, x é y egézeket kell meghatározni. Tegyük fel, hogy x az a multiplikatív inverze modulo m-ben: ax 1( mod m) Tehát m oztója ax 1-nek, az oztá eredményét jelöljük q-val: Ezt átrendezve azt kapjuk, hogy ax 1 qm ax qm 1 Amennyiben lnko(a, m) = 1, é a kiterjeztett euklidezi algoritmual meghatározzuk x-et é q-t, akkor x lez a kereett multiplikatív inverz. Az lnko(a, m) = 1 feltétel az RSA-hoz elegendő, hizen ott erre az eetre lez cak zükégünk. Ahogy a neve i utal rá, az algoritmu haonlóan működik, mint az euklidezi algoritmu, cupán azt kell kiegézíteni néhány utaítáal. A könnyebb tárgyalhatóág kedvéért határozzuk meg az lnko(a = 120, b = 23)-at: Oztandó Oztó Hányado (q) Maradék (r) A maradékokat jelöljük ri -vel. Az algoritmut az ax + by = lnko(a, b) egyenlet megoldáára haználjuk, tehát az imeretleneket x-el é y-al jelöljük. Fejezzük ki az r i -t a é b alapján: 57

58 ri axi byi A táblázat alapján könnyen látzik, hogy a táblázat egy orában lévő maradék értéke 1 orral lejjebb zintén megjelenik, mint oztó, 2 orral lejjebb, pedig mint oztandó. Tehát ha i > 2 akkor: r r q r i i2 i i1 Az előző kettő özefüggéből a következőt kapjuk: r ( ax by ) q ( ax by ) i i2 i2 i i1 i1 Emeljük ki a -t é b -t: r a( x q x ) b( y q y ) i i2 i i1 i2 i i1 Az algoritmu orán az imeretlen x é y értékét fokozatoan megközelítjük. Tegyük fel, hogy x1 1, y1 0 é x2 0, y2 1 Valamint, ha i > 2, akkor x x q x i i2 i i1 y y q y i i2 i i1 Definiáljuk továbbá r 1 -et é r2 -t: r1 ax1 by1 a r2 ax2 by2 b A fentiek alapján az algoritmu a következő: 1. r 1 a, r2 b 2. x1 1, y1 0, x2 0, y i : 3 q : r / r 4. i i2 i1 r : r mod r 5. i i2 i1 6. Ha ri 1 akkor vége x : x q x 7. i i2 i i1 y : y q y 8. i i2 i i1 58

59 9. i: i Ugrá a 4. pontra A fenti algoritmuban az euklidezi algoritmual ellentétben akkor állunk meg, ha a maradék 1. Mivel nekünk az RSA miatt van zükégünk erre az algoritmura, a fenti megközelíté elegendő lez. Az alábbi példában megkereük x é y értékét, ha a = 120 é b = 23. Korábban meghatároztuk, hogy lnko(120, 23) = 1. i q i r i x i r ax b y y i i i i * 1 23* * 0 23* * 1 23* ( 5) * ( 4) 23* * 5 23* ( 26) * ( 9) 23* 47 Tehát 1 = 120 * (-9) + 23 * 47, azaz x = -9 é y = 47. A korábbi megállapítáok alapján az alábbi egyenleteket írhatjuk fel: 47*23 1 ( mod 120) 120*( 9) 26*38 1 ( mod 47) 120*( 9) 14*5 1 ( mod 23) Azaz 47 é 23 egymá multiplikatív inverzei modulo 120, vagy 26 é 38 egymá modulo inverzei modulo 47, továbbá ugyanez igaz 14-re é 5-re modulo 23-ban. Euler-függvény Az Euler-függvény definíciójához előzör zükégünk van a relatív prímek fogalmára: Definíció: A é B egéz zámok relatív prímek, ha lnko(a, B) = 1. Ez alapján az Euler-függvény definíciója: ( m) { a : lnko( m, a) 1 é a m} Azaz az Euler-függvény egy adott m pozitív egéz zám eetén megadja, hogy hány darab m-nél kiebb é m-el relatív prím létezik. Számoljuk ki (6) értékét! lnko(6, 1) = 1 59

60 lnko(6, 2) = 2 lnko(6, 3) = 3 lnko(6, 4) = 2 lnko(6, 5) = 1 Tehát (6) 2. Bár egy zámpárra az euklidezi algoritmual hatékonyan tudjuk ellenőrizni a relatív prím definíciójának való megfelelét, egy nagy m zámra m 1 ellenőrzére van zükég, ami elfogadhatatlan mennyiégű zámítát tez zükégeé. Amennyiben imerjük m prímtényező felbontáát, úgy (m) értékét hatékonyan meghatározhatjuk. Legyen e1 e 2 en m p1 p2 p n, ahol p i prímzámok. Ez alapján az Euler-függvény értékét így határozhatjuk meg: n ei ei1 ( m) ( pi pi ) i1 Határozzuk meg (240) értékét a fenti képlet alapján! m 16 *15 2 * 3 * 5 p p p, n e1 e 2 e (240) (2 2 )(3 3 )(5 5 ) 8* 2 * 4 64 Ennek a módzernek előnye a hatékonyág, hátránya vizont az, hogy imerni kell hozzá m prímtényező felbontáát. Nagy zámoknál ehhez rengeteg zámítára van zükég, vizont az RSA-nál ezt a tulajdonágot haználjuk ki. Vegyük ézre, hogy ha m két prímzám, nevezeteen p é q zorzata, akkor ( m) ( p 1)( q 1) A ki Fermat-tétel A következő özefüggé Pierre de Fermat-tól zármazik, bár ő ezt cupán ejtéként fogalmazta meg. A ki jelzőt azért kapta, hogy megkülönbözteük a nagy Fermat-tételtől, amely hozú évzázadokig, egézen 1994-ig cupán ejté volt. A ki Fermat-ejtét Fermat 1636-ban fogalmazta meg, é Leibniz vizonylag hamar, 1683-ban közölte, hogy ő már imert egy bizonyítát rá. A tétel a következőt mondja ki: Legyen p prímzám, továbbá a bármely egéz zám, ekkor igaz az, hogy p a a (mod p) 60

61 Az RSA megértééhez a fenti özefüggének egy máik változatára lez zükégünk. Legyen p továbbra i prímzám, ám a olyan egéz, amely p -hez relatív prím. Ekkor igaz a következő: p a 1 1 (mod p) Legyen a = 34, p = 37. Ekkor mod A tétel igaz akkor i, ha p < a, legyen a = 34 é p = 7. Az RSA algoritmua (mod 7) Az RSA azt haználja ki, hogy két nagy prímzámot könnyen özezorozhatunk, vizont puztán a zorzat imeretében jelenlegi tudáunk zerint nem tudjuk elfogadható időn belül vizafejteni a prímzámokat. Az algoritmu előkézítő lépéében mindenki generál magának privát é publiku kulcokat, majd a publiku kulcokat nyilvánoágra hozzák. A kulcgenerálá lépéei a következők: 1. Legyen p é q elegendően nagy prímzámok, é p q 2. N pq 3. ( N ) ( p 1)( q 1) 4. Legyen e olyan zám, amelyre igaz, hogy lnko( e, ( N )) 1 é e 3 5. Legye d olyan zám, amelyre igaz, hogy ed 1 (mod ( N )) 6. A nyilváno kulc legyen: ( N, e ), a privát kulc pedig d A nyilváno kulcból e -t az euklidezi algoritmual kereük meg. Ez a zám lehet kici i, így az i megfelelő, ha 3-tól kezdve egyeével tezteljük az egéz zámokat, hogy megfelelőek-e. Rendzerint 11- nél tovább ritkán kell elmenni. A d meghatározáához pedig a kiterjeztett euklidezi algoritmura van zükég. Jelöljük x -el a kódolandó üzenetet, y -al pedig a kódolt változatát. Ekkor a kódolá a következő módon zajlik: e y x (mod N ) A dekódolá menete pedig a következő: d x y (mod N ) 61

62 A támadónak zükége van d értékére ahhoz, hogy az üzenetet meg tudja fejteni. Ehhez a nyilváno e mellett zükége van ( N ) értékére i, amit elvileg a zintén nyilváno N -nől meg lehet határozni. Korábban vizont láttuk, hogy egy megfelelően nagy zám eetén annak prímtényező felbontáa túl zámítáigénye, gyakorlatilag kivitelezhetetlen, így a támadó N alapján nem képe ( N )-t, é így d -t meghatározni. Az alábbiakban bemutatjuk az RSA működéét egy egyzerű példán. 1. Legyen p 73 é q N pq ( N ) ( p 1)( q 1) e legyen 11, mert lnko(10800,11) 1 5. d értéke 5891, mert ed 1 (mod 10800) 6. A nyilváno kulc tehát: (11023, 11), míg a privát kulc Titkoítuk az x 17 üzenetet! (mod11023) Dekódolá: (mod 11023) 17 Az ajánláokban általában minimum 1024 bite kulcméret zerepel, de katonai alkalmazáoknál 2048, vagy ennél nagyobb kulcméretek i előfordulnak. A tapaztalatok azt mutatják, hogy az RSA, haonlóan a többi nyilváno kulcú kódoló eljárához, nagyágrendekkel laabb, mint a blokk-kódolók. Emiatt az RSA-t az üzenetváltának cupán bizonyo lépéeinél, például a kulc megoztánál alkalmazzák. Az alábbiakban megmutatjuk, hogy az RSA helyeen működik, azaz bizonyítuk az alábbi állítát: ( e d x ) x (mod N ) Tudjuk, hogy d az e -nek mod ( N ) -ben multiplikatív inverze, azaz ed 1 (mod ( N )) Tehát ez azt jelenti, hogy ed egy olyan egéz zám, amit ( N )-el eloztva 1-et kapunk maradékul, az oztá egéz rézét pedig jelöljük v -vel: Az eredeti állítát a következő módon írhatjuk át: ed v ( N ) 1 v ( N) 1 x x N (mod ) Az állítá igazoláához előzör egy egédállítát kell belátnunk. Bizonyítuk be, hogy tetzőlege x é értékek, é tetzőlege u prímzám eetén igaz a következő: 62

63 ( u1) 1 x x u (mod ) Két eetet kell megvizgálnunk, az elő az, mikor x -et nem oztja u, ekkor a ki Fermat-tétel egítégével az állítá belátható: u 1 u 1 u 1 x u x u x x x u 1 (mod ) ( ) 1 (mod ) ( ) (mod ) A máik eet vizont az, mikor x -et oztja u. Ekkor u é x nyilván nem relatív prímek, tehát ekkor a ki Fermat-tételt nem alkalmazhatjuk, tehát az előző eet bizonyítáa ide nem jó. Mivel x -et oztja u, ezért az oztá maradéka 0, azaz: x x x u ( u 1) 1 0 (mod ) Tehát a egédállítáunk igaz. Ezek után már minden adott az eredeti állítá bizonyítáához. Ezt zeretnénk belátni: v ( N) 1 x x N (mod ) Tudjuk, hogy ( u 1) 1 x x u (mod ), ha u prím. Valamint ed v ( N) 1 v( p 1)( q 1) 1. Legyen 1 v( p 1), é 2 v( q 1). Ezek alapján igazak a következők: 1 ( q x 1) 1 x (mod q) 2 ( p x 1) 1 x (mod p) 1 Vagyi q oztja ( q x 1) 1 2 x-et é p oztja ( p x 1) 1 x -et, tehát pq N oztja Ebből következik, hogy v ( N) 1 x x N (mod ), ami pedig az eredeti állítáal ekvivalen. x x v ( N) 1 -et. Ez alapján igaz az i, hogy ( d e x ) x (mod N ), erre majd az üzenethiteleíténél lez zükégünk. Az RSA alkalmazáa digitáli aláírára Tegyük fel, hogy Bob az x üzenetet zeretné elküldeni Alice-nak. Bob privát kulca legyen k pr d, nyilváno kulca pedig k ( n, e). Bob eljuttatja ( ne, ) -t Alice-nak. Az üzenet elküldée előtt Bob pub kizámolja x -re a digitáli aláírát: d x mod n. Bob elküldi Alice-nak ( x, ) -t. Alice fogadja az 63

64 e üzenetet, é ellenőrzi a kapott aláírát, mégpedig úgy, hogy dekódolja -t: x mod n. Amennyiben Alice azt tapaztalja, hogy x x, akkor bizto lehet vele, hogy az aláírát Bob privát kulcával kézítették, tehát az aláírá helye. Mivel cak Bob imeri d értékét, ezért má nem képe a megfelelő -t előállítani, tehát bizto, hogy Bob küldte az üzenetet. Abban az eetben, ha Eve elfogja az ( x, ) párot, megváltoztatja x -et, a megfelelő -t i ki kellene zámolnia, de erre nem képe, hizen nem rendelkezik Bob privát kulcával. Láunk erre egy konkrét zám példát! Legyen az elküldendő üzenet x 4. Generáljunk megfelelő RSA privát é publiku kulcot, ahol a lépéek a következők: 1. Legyen p 3 é q n pg ( n) (3 1)(11 1) Legyen e 3 5. d 1 e 7 mod 20 Bob elküldi Alice-nak a aját nyilváno kulcát, mégpedig a (33,3) -at. Az üzenet elküldéekkor pedig kizámolja az x 4 üzenet digitáli aláíráát: d 7 x 4 16 mod 33 Bob ezek után elküldi ( x, ) (4,16) -ot Alice-nak. Alice ellenőrzi az üzenet hiteleégét, kizámolja x - et: Mivel x x, ezért bizto, hogy az aláírá helye. x e mod 33. Ez a módzer egyzerű, ám van egy hátránya: RSA eetében könnyen látható, hogy az x nem lehet nagyobb, mint n. Sajno haonló korlátozá érvénye má nyilváno kulcú kódolóra i, ezért bonyolultabb aláírái módzert kell alkalmazni. Bontuk az x üzenetet n darab zeletre, ahol minden módzerrel állítuk elő a privát kulc egítégével minden x i (1 I n) zeletre igaz, hogy xi x i zelet aláíráát: n. A fenti d x mod n. A kapott i -et pedig özefűzve megkapjuk a telje x üzenet digitáli aláíráát. i i 64

65 13. ábra Naiv módzer a digitáli aláírá előállítáára Az aláírát továbbá em képe má reprodukálni. A módzer azonban egyrézt nem hatékony, márézt nem i biztonágo. A nyilváno kulcú kódolók közimerten laúak, tehát nagy üzenet eetén rendkívül okáig tartana előállítani az egye üzenetpecét zeleteket. A máik hátrány, hogy a kapott aláírá mérete nagyágrendileg akkora, mint az eredeti üzenet, tehát az elküldendő adatmennyiég közel megkétzereződik, ez pedig elfogadhatatlan tárolá, illetve hálózati átvitel zempontjából. A legúlyoabb ellenérv pedig a módzer támadhatóága: Eve a nélkül átrendezheti a továbbítandó ( x, ) párokat, hogy arról Alice vagy Bob tudomát zerezne. i i A gyakorlatban ténylegeen alkalmazott megoldá az, hogy előzör zámoljunk ki egy rövid hah-t a telje üzenetre, ezt kéőbb h-val jelöljük, majd cupán ez utóbbit kódoljuk nyilváno kulcú kódolóval. 14. ábra A helye aláírá generálá Ez a módzer kijavítja az előző hibáit. A hah függvényt úgy kell megadni, hogy annak kimenetére alkalmazható legyen az nyilváno kulcú kódoló. Mivel cak egy rövid bitorozatra alkalmazzuk a kódolát, ezért a kapott aláírá mérete kici lez, valamint az gyoran i zámolható. Továbbá a támadó nem tud mit átrendezni az elküldött ( x, ) -ben anélkül, hogy ez a fogadónak fel ne tűnne. Láuk 65

66 formálian, hogyan néz ki a fenti módzer. Az elküldendő üzenet továbbra i x. Bob nyílt kulca: privát pedig k pr. 1. Bob előzör kizámolja az x -re a hah-t: z h( x) 2. Bob z-ből kizámolja a digitáli aláírát: ig ( z) 3. Bob elküldi ( x, ) -t Alice-nak, aki elvégzi az ellenőrzét. Ő i kizámolja a hah függvény értékét: k pr k pub, a z h( x). Végül ellenőrzi, hogy ha dekódolja -t, akkor ugyanazt a hah értéket kapja-e, mint amit ő kizámolt. Tehát, ha z k ( ), akkor a digitáli aláírá helye, egyébként pedig pub helytelen. Mot láuk, hogy Eve hogyan támadhatja a digitáli aláírát. Nyilván Eve, ahogy bárki má, Bobnak cak a nyilváno kulcát imeri, a privátat nem. Eve elfogja Bob üzenetét, é megváltoztatja az x üzenetet x -re. Ekkor nyilván új digitáli aláírát kell mellékelni a megváltoztatott üzenethez, ha ez ikerülne, akkor Alice nem venné ézre, hogy átveré áldozata lett. Eve x hah értékét nyilván ki tudja zámolni: z h( x). A következő lépé pedig az, hogy Bob privát kulcával kódolja z -t, ám erre nem képe, hizen nem rendelkezik a megfelelő kulccal. 66

67 IV. MELLÉKLET A SZÜLETÉSNAP-TÁMADÁS MATEMATIKAI HÁTTERE Az alábbi feladat a zületénap paradoxon nevet vieli. A kérdé az, hogy hány embernek kell lennie egy zobában ahhoz, hogy legalább 0.5 legyen annak a valózínűége, hogy van két ember, akiknek azono napon van a zületénapjuk? Tegyük fel, hogy nincenek a zobában ikrek é zökőév incen. Jellemzően az elő válaz, ami az eetek többégében elhangzik, az, hogy 365 / 2 emberre van zükég, holott valójában elég cupán 23. A feladat maga tehát nem paradoxon, cupán azért alkalmazzák rá ezt a megjelölét, mert elő hallára talán furcának hangzik a helye megfejté. Ahhoz, hogy megértük, miért elég 23 ember, vegyük ézre, hogy a feladat nem azt kérdezi, hogy egy kiválaztott zemélyhez találunk-e olyan párt, akinek ugyanazon a napon van a zületénapja. Itt 23 23* 22 tetzőlege párokat kereünk. 23 zemély eetén pedig 253 pár alkotható. Annak a 2 2 valózínűége, hogy mindenki máik napon zületett: n 1 P(mindenki máik napon zületett) Ennek ellenkezőjének valózínűége pedig: n 1 P(legalább két embernek azono napon van a zületénapja) Ez utóbbi valózínűég n 23 eetben pedig Ezt a gondolatmenetet alkalmazhatjuk az üzenetpecétekre i. Határozzuk meg, hogy ha 0.5 valózínűéggel lehet találni két olyan hah függvény bemenetet, amelyekre a kimenet azono, akkor egy n bite kimenettel rendelkező hah függvénynél mennyi próbálkozára van zükég? A fenti valózínűég képletet az alábbi módon írhatjuk át: t t 1 i P(ninc ütközé) n n n n i1 2 Itt a t jelöli azt, hogy mennyizer érdeme próbálkozni, míg megfelelő bemeneteket találunk. A folytatához zükégünk lez egye közelítő képletre. Az 15. ábra láthatjuk piroal az 1 x, kékkel pedig az x e függvényt. Látható, hogy amennyiben x nagyon közel van az 1-hez, akkor e x 1 x. Mivel i e n rendkívül közel van 0-hoz, ezért a fenti közelítét alkalmazhatjuk a valózínűég kizámítáára: 67

68 t 1 P(ninc ütközé) e e i1 i 1 23t1 n n ábra Az x e é az 1 x függvények A képlet jobb oldalán látható zámlálót helyetteíthetjük az alábbi módon: tt ( 1) t 1 2 Ezt felhaználva a valózínűég képletét a következő módon közelíthetjük: t ( t 1) t ( t 1) n n1 2*2 2 P(ninc ütközé) e e Ahogy korábban i írtuk, jelöli annak a valózínűégét, hogy legalább egy ütköző bemenetpárt találunk: 1 e t( t1) n1 2 Mivel arra vagyunk kívánciak, hogy mennyi t próbálkozára van zükég ahhoz, hogy valózínűéggel ütközét találjunk, rendezzük a fenti egyenletet t -re: tt ( 1) ln(1 ) 1 2 n tt ( 1) 2 ln 1 n 1 1 Mivel t egy elegendően nagy zám, ezért a fenti egyenlet bal oldalát így közelíthetjük: t( t 1) t 2 68

69 Ezek után az egyenlet a következőképpen rendezhető: t n1 ( n1)/2 2 ln 2 ln A fenti képlet imeretében határozzuk meg, hogy n = 80 bite hah függvény kimenetnél mennyire érdeme t-t, válaztani, azaz mennyi próbálkozára van zükég ahhoz, hogy 0.5 valózínűéggel találjunk ütközét: 1 t 2 ln / A fenti eredmény imerete nélkül azt gondolnánk, hogy ha egy hah algoritmu kimenete 80 bite, akkor a támadónak 79 2 üzenetet kell átnéznie, mire megfelelőt talál. Ám valójában elég 40 2 darabot átnéznie, ez pedig a ma haználato zámítógépek teljeítményét figyelembe véve rendkívül kici mennyiég, akár egy egyzerű laptop egítégével i találhatunk egyező kimenettel rendelkező bemeneteket. 69

70 V.MELLÉKLET AZ SHA-1 ÜZENETPECSÉT Alapműveletek Mielőtt belemerülnénk az SHA-1 algoritmu rézleteibe, bemutatjuk a felhaznált alapműveleteket. Bitenkénti XOR A művelet megegyezik az AES kódolónál imertetettel, azaz a művelet két operandua 1-1 bitorozat, az eredmény bitorozatban azon a helyiértéken van 1, ahol a két operanduban a bitek különböztek egymától, formálian, ha A é B bitorozatok: Példa: = A B C, ahol Ci 1 akkor é cak akkor, ha Ai Bi. Bitenkénti AND A bitenkénti AND, vagy ÉS műveletben a kimenet i. bitje akkor é cak akkor 1, ha a bemenetek i. bitjei zintén 1-ek: Példa: = A B C, ahol C 1 akkor é cak akkor, ha A B 1. i Bitenkénti OR A bitenkénti AND, vagy ÉS műveletben a kimenet i. bitje akkor é cak akkor 1, ha a bemenetek i. bitjei közül legalább az egyik 1. Példa: = A B C, ahol C 1 akkor é cak akkor, ha A 1 vagy B 1. Balra_forgatá Adott egy x bitorozat, ezt balra forgatjuk n pozícióval, é feltételezzük, hogy n kiebb, mint x hoza. A forgatá orán n -el balra toljuk a biteket, é az eredeti orozat n darab legmagaabb helyiértéken lévő bitet a orozat végéhez illeztjük. Példa: balra_forgatá(110010, 2) = i Özeadá mod ben Adottak A é B 32 bite előjel nélküli egéz változók. Az özeadát az alábbi módon végezzük el: i i i i A B C 32 mod 2 Példa: adjunk öze két zámot, amelyeket hexadecimáli formában írunk fel: 70

71 0xCA62C1D6 + 0x8F1BBCDC 0x597EEB2 mod 0x Megjegyezzük, hogy ezt a műveletet C/C++-ban rendkívül egyzerűen implementálhatjuk, ugyani ezen nyelvekben a 32 bite előjel nélküli típuok özeadá művelete pontoan így működik. Az SHA-1 működée A legtöbb hah függvény úgy működik, hogy valamilyen előkézítő lépé után azono hozúágú blokkokra bontja a bemenetet. Ezen blokkokon egyenként végrehajt valamilyen tömörítő eljárát, azaz az l bit hozú blokkot leképezi egy rövidebb, m bite blokkra. A tömörítőnek kettő bemenete van, az egyik az előzőleg leképezett m bite blokk, a máik pedig a következő blokk. Miután elfogytak az l bite blokkok, a tömörítő legutoló kimenete lez a hah függvény kimenete i, ezt a működéi folyamatot reprezentálja a 16. ábra. Az SHA-1 függvény kimenete 160 bite, é a bemenetet 512 bit hozúágú blokkokra bontja. x = x 1 x 2 x n 512 H 0 tömörítő függvény H i ábra Az SHA-1 működée A fent vázolt algoritmu előtt azonban ki kell egézíteni a bemenetet, ugyani nem bizto, hogy a bemenet hoza oztható 512-vel. Elő lépéként a bemenetet ki kell egézíteni egy 64 bite információval, amely leírja, hogy az eredeti bemenet hány bit hozú. Amennyiben zükége, kiegézítő 0 biteket fűzűnk a 64 bite információ elé, hogy kijöjjenek az 512 bit hozú blokkok. A lépéek a következők: 1. Az x bitorozat után egy darab 1-e bitet fűzűnk. 2. Kizámoljuk, hogy hány darab 0-val kell kibővíteni a orozatot: k l 448 ( l 1) mod

72 3. Az 1-e bit után fűzünk k darab 0-t az x bitorozatban. 4. Végül az x-hez hozzáfűzzük a 64 bite előjel nélküli egéz értéket, mégpedig úgy, hogy ez l-t, azaz x eredeti bithozát tárolja. Fonto, hogy ez a 64 bite érték big endian kódolában kerüljön a orozat végére! Ebből látzik, hogy az SHA-1 algoritmu legfeljebb bit hozúágú adathalmazt képe feldolgozni. Láunk egy példát a bemenet kiegézítéére: Legyen a bemenet a következő tring: x = abc a b c Az üzenet után egy 1-e bitet fűzünk, ekkor a következő orozatot kapjuk: Tudjuk, hogy l = 24, ezért k = 448-(24+1) mod 512 = 423 darab 0-t i a orozat végére kell fűznünk: Végül az l = 24-et egy 64 bite zámként a orozat végéhez illeztjük: db db bite egéz A blokkok feldolgozáa Az alábbiakban bemutatjuk, hogy milyen tranzformációkat végez a tömörítő függvény egy blokkon. Az egyzerűég kedvéért ezek után jelöljük x -el magát a blokkot. Az SHA-1 rendelkezik 5 darab 32 bite belő változóval, amelyek végül a kimenetet tárolják majd, ám ezeknek a legelő blokk feldolgozáa előtt beállítunk bizonyo kezdőértékeket (a többi blokk előtt már nem): H 0 0x H1 0xEFCDAB89 H 2 0x98BADCFE H 3 0x H 4 0xC3D2E1F0 A blokk feldolgozáa két főbb lépéből áll. Előzör fel kell töltenünk egy 80 elemű, w nevű tömböt, amely 32 bite egézeket tárol. A tömböt 0-tól kezdjük indexelni. Az x -et, vagyi a blokkot pedig 16 darab 32 bite zóra bontjuk: x = x0, x1,, x15. A w tömböt a következő módon töltjük ki: Ha 0 i 15, akkor w[i] = x i Egyébként w[i] = balra_forgatá(w[i-3] w[i-8] w[i-14] w[i-16], 1). 72

73 A blokk feldolgozáához zükégünk lez 5 darab 32 bite ideiglene változóra i, ezeket jelöljük A, B, C, D, E-vel. A blokk feldolgozáa előtt inicializáljuk ezeket a változókat: 1. A = H 0 2. B = H 1 3. C = H 2 4. D = H 3 5. E = H 4 A tömörítő eljárá 4*20 iterációt hajt végre ezeken az ideiglene változókon, majd ezen iterációk után elvégezzük az alábbi műveleteket: H H H H H 32 0 A H0 (mod 2 ) 32 1 B H1 (mod 2 ) 32 2 C H 2 (mod 2 ) 32 3 D H3 (mod 2 ) 32 4 E H 4 (mod 2 ) A következő blokk feldolgozáakor pedig ezen iteráció, amit az A, B, C, D é E változókon végre kell hajtani: 1. Ciklu i := 0-tól 79-ig a. TEMP = balra_forgatá(a, 5) + f(b, C, D) + E + K + w[i] b. E = D c. D = C d. C = balra_forgatá(b, 30) e. B = A f. A = TEMP 2. Ciklu vége H i értékekből indulunk ki. Végül láuk, miből áll a 80 Az alábbi ábra a fenti blokk-feldolgozá lépéeit mutatja, az F-doboz a fenti f műveletet jelöli. 73

74 A fenti algoritmuban zereplő K kontan é f függvény az i cikluváltozó függvénye, ezt tartalmazza az 5 táblázat. 5. táblázat Az SHA-1 tömörítő algoritmua által haznált kontanok é függvények i f K 0 i 19 f = D ( B ( C D ) ) 0x5A i 39 f = B C D 0x6ED9EBA1 40 i 59 f = (B C) (B D) (C D) 0x8F1BBCDC 60 i 79 f = B C D 0xCA62C1D6 Az SHA-1 tehát képe 512 bitnél rövidebb bemenetre i kimenetet zámolni. Jól imert teztmondat a következő: The quick brown fox jump over the lazy dog. Az SHA-1 a következő hexadecimáli kimenetet adja erre a mondatra: 2FD4E1C6 7A2D28FC ED849EE1 BB76E739 1B93EB12. Haonlóan értelmezhető az üre tring i mint bemenet, ennek a kimenete: DA39A3EE 5E6B4B0D 3255BFEF AFD

75 VI. MELLÉKLET A GRAIN-128 FOLYAMTITKOSÍTÓ Jellemzők: Svéd-vájci tervezé 128 bite titko kulc + 96 bite IV LFSR alapú Nagyon alacony hardver igény Kevé pluz hardverrel gyorítható, akár 32x eddig ellenáll a támadának Áttekinté: egy lineárian é egy nemlineárian vizacatolt léptető regizter (LFSR é NFSR) kombinációja. A vizacatoláok egyenletei: ahol A = {2, 15, 36, 45, 64, 73, 89} 75

76 Inicializálá: Az inicializálá lépéei: Titko kulc (128 bit) >> NFSR IV (96 bit) >> LFSR alja (teteje 1-eekkel) 256 órajelig járatva Gyorítá a vizacatoláok többzörözéével lehetége. A lényeg, hogy a legnagyobb területet elfoglaló léptetőregiztereket nem kell többzörözni: A Grain hardver igénye (gate count) különböző gyorítáok eetén, ha a NAND2=1 kapu, NAND3=1.5 kapu, XOR2=2.5 kapu, a D-FF pedig 8 kapu: 76

77 77

78 VII. MELLÉKLET A RABBIT FOLYAMTITKOSÍTÓ Jellemzők: Dán tervezé 128 bite titko kulc, 64 bite IV 8 db. 32 bite állapot regizter, 8 db. 32 bite zámláló é egy carry bit: özeen 513 bite tate Az állapotváltozók nemlineárian függnek egymától (ninc S-doboz é LFSR!!) Gyor zoftver megvalóítá: byte-orientált, é az egéz tate elfér a regizterekben eddig ellenáll a támadának Áttekinté: Az x 0,i a 0-dik állapotregiztert, a c 0,i a 0-dik zámlálót jelöli az i-edik ütemben. A <<< művelet a megadott zámú rotálát jelenti. 78

79 Az állapotregizterek zámítáának módja: A >> művelet a jobbra hiftelét jelenti a megadott zámú pozícióval. Látható, hogy az alkalmazott nemlineári művelet a négyzetre emelé. A hatékonyágot növeli, hogy a byte-o eltoláok megvalóíthatók egyzerű byte-cerével a regizteren belül. A zámlálók léptetéének egyenletei: A carry bit:, az a i kontanok: 79

80 Az álvéletlen bitfolyamot 128 bite darabokban állítják elő az állapotregizterekből, az alábbi egyenletekkel: A tate inicializáláához az alábbi kezdő állapotot állítják be (K a 128 bite titko kulc, k 0 = K [15..0], k 1 = K [31..16], tb): Ezzez a kezdő állapottal 4 cikluig járatják a titkoítót, majd a 64 bite IV-t i belekombinálják (XOR művelettel) a zámlálók állapotába. A Rabbit teljeítménye zoftver megvalóítá eetén, 8 KB adat titkoítáakor az alábbi táblázatban látható, különféle (gyenge) procezorokra. Az elő ozlop az órajelcikluok záma, a máodik a kód mérete byte-okban, a harmadik pedig a felhaznált memória, zintén byte-okban. A mezőkben lévő 3 érték a rejtéi iteráció / kulcinicializálá / IV inicializálá adatát mutatja. Az 513 bite tate egy 68 byteo truktúrában van tárolva. Célhardvere megvalóítá eetén 0.18 um-e CMOS technológiával 4100 kapuval valóítható meg a Rabbit, mm 2 felületen, é ezzel 500 MBit/ működéi ebeég érhető el. Ez a ebeég több hardver felhaználáával növelhető, a 32 bite négyzetre emelé pipeline-o gyorítáával (3 db 16*16 bite zorzá é egy özeadá). Az elérhető ebeégek: 80

81 81

82 2. ré z: Há lo záti biztoná g

83 Tártálomjégyzék 1. Behatolá-érzékelő é -megelőző rendzerek... 5 Mi az a behatolá-érzékelő rendzer?... 5 Mi az a behatolá-megelőző rendzer?... 6 Az IDS é az IPS kombinált haználata... 7 Az IDS é IPS rendzerek típuai... 7 A HIPS é a NIPS özehaonlítáa... 9 NIPS tulajdonágok... 9 Szignatúra alapú IDS é IPS Házirend alapú IDS é IPS Anomália alapú IDS é IPS Mézecupor alapú rendzerek Virtuáli magánhálózatok biztonága Mi az a virtuáli magánhálózat? VPN topológiák A biztonágo VPN ajátoágai A VPN biztonága: az IPec é a GRE Alagutazá telephelyek közötti VPN haználatával Alagutazá távoli eléréű VPN haználatával A hiteleíté kérdée Az IPec biztonági funkciói Az IPec protokolljai Az IPec fejlécei Az IKE protokoll Az ESP é az AH protokoll Az AH által biztoított hiteleég é értetlenég Az ESP protokoll A telephelyek közötti VPN működée A telephelyek közötti IPec VPN beállítáa

84 A GRE protokoll Biztonágo GRE alagutak A GRE alagutak biztonágoá tétele az IPec egítégével GRE az IPec fölött OpenVPN alternatíva virtuáli magánhálózat megvalóítára Hálózatbiztonági architektúrák (terheléeloztá, azonnali helyreállítá) A tűzfal célja Megvalóítá Hardvere megvalóítá Szoftvere megvalóítá Tűzfalak coportoítáa Comagzűrő tűzfalak Nem állapottartó működé Állapottartó működé Proxy tűzfalak Helyreállítá áramzünet után Tűzfal-architektúrák Egyedülálló tűzfal Kettő (zendvic) tűzfal Tűzfalak tartalékoláa, hibatűrő eloztott tűzfalak A tűzfalak ellenőrzée A hálózati forgalmi adatok é a hálózati hozzáféré auditáláa Netflow a hálózati audit egítéére Vezeték nélküli hálózatok biztonága Betekinté a vezeték nélküli technológia alapjaiba Kik kommunikálnak? Rádióhullámok é az interferencia Topológiák Pehelyúlyú hozzáféréi pont A kontroller Roaming, az állomáok vándorláa A vezeték nélküli hálózat forgalmának titkoítáa

85 WEP WPA é WPA Előre kioztott kulcok, WPA-PSK mód WPA-802.1x mód Mit tanáco, é mi nem tanáco? Irodalomjegyzék

86 Bevezeté A zámítógépe hálózatok óriái fejlődéen mentek kereztül az elmúlt években, évtizedekben. Nem cupán a hálózatok fizikai alkotóelemei fejlődtek az egyre modernebb gyártátechnológiának közönhetően, hanem az ezközök együttműködéét lehetővé tevő é zabályozó protokollok i. Ennek eredményeképpen ma már ninc az életnek olyan zegmene, ahol eredményeen, hatékonyan lehetne boldogulni megfelelő hálózati támogatá nélkül. Az egyik vezető hálózati ezközöket gyártó cég vezetője foglalta öze találóan, hogy a hálózat megváltoztatta mindazt, ahogy dolgozunk, élünk, játzunk é tanulunk. A változá különöen zembetűnő a webe felületeken, illetve a közöégi oldalakon, hiz a fiatal generáció tagjai ennek egítégével bezélik meg az ikolai felkézülét, zervezik meg a közö programokat, majd ide töltik fel az ott kézült fotókat é videókat. Jelenleg i óriái mennyiégű adat halad az információ zuperztrádán, é ez a mennyiég a videokommunikáció folyamato előretöréével exponenciálian emelkedik re várhatóan a hálózati forgalom 91%-át videoanyagok továbbítáa tezi ki, továbbá kb. 30 millió munkavállaló legalább heti egy napot otthonról fog dolgozni. A hálózati infratruktúra általánoágban kézen áll a megnövekedett adatforgalom kizolgáláára, de mi a helyzet a hálózat é az azon kereztülhaladó adatok védelmével? Szerencére egyre nagyobb hangúlyt kap a megfelelő hálózatbiztonág kialakítáa ki- é nagyvállalatoknál egyaránt. Ennek eredményeképpen haználunk jogoultágkezelét, tűzfalat, demilitarizált zónát (DMZ), behatoláérzékelő (IDS) vagy -megelőző (IPS) rendzereket. A zámítógépe bűnözé fejlődéével vizont a hálózat elleni támadáok i egyre kifinomultabbá váltak. Már nem feltétlenül igényelnek felhaználói interakciót, inkább a hálózat alóbb rétegeit célozzák. Az itt működő irányító- é zállítái protokollok felelnek az öze áthaladó adat megfelelő irányba történő, legjobb zándékú továbbítááért. Ha egy támadá ikerrel jár, akkor az öze áthaladó információ eltéríthető. Az alábbi alfejezetek a hálózati biztonág négy kiemelkedő területével foglalkoznak. Az 7. fejezet a behatolá-érzékelő é megelőző rendzerekkel foglalkozik. A 8. fejezet a VPN technológiákat tekinti át. A 9. fejezet a hálózatbiztonági architektúrákat vezi zámba, különö tekintettel a tűzfal megoldáokra. A 10. fejezetben pedig a napjainkban igencak népzerű vezeték nélküli hálózatok biztonági kérdéeit taglalja. A lita termézeteen nem telje körű, de ez terjedelmi korlátok miatt nem i lehetett cél. Az olvaóról feltételezzük, hogy bizonyo zintű informatikai é hálózati imeretekkel rendelkezik. Az itt eetlegeen nem rézletezett hálózati alapfogalmak leíráa megtalálható az [1]-ben. 7. Behatolá-érzékelő é -megelőző rendzerek Mi az a behatolá-érzékelő rendzer? A behatolá-érzékelő rendzer (IDS, Intruion Detection Sytem) olyan hardvere, illetve zoftvere megoldá, amely a hálózati forgalomba történő beavatkozá nélkül, válogatá nélkül figyeli az áthaladó comagokat. A rézlete definíció, ok má hazno információval együtt megtalálható a [2]-ben é a [3]- ban. Pazív működéi jellege miatt az IDS cak korlátozott válazadái képeégekkel rendelkezik. Ilyen például, ha rozindulatú forgalmat érzékel, akkor egy figyelmeztetét küld a hozzá kapcolódó 5

87 felügyeleti állomának. Habár adott eetben arra i biztoít lehetőéget, hogy megakadályozza további rozindulatú forgalom áthaladáát a hálózati ezközök (pl.: útválaztók) beállítáainak aktív megváltoztatáával, a riaztá kiváltó rozindulatú forgalom addigra már áthaladt a hálózaton, akár el i érhette tervezett célját. Problémá TCP-kapcolat eetében az IDS küldhet TCP-reet kérét a végállomának, amely ezáltal bontja a TCP-kapcolatot. A behatolá-érzékelő rendzer általáno működée az 1. ábrán látható. 1. ábra: Általáno behatolá-érzékelő rendzer Mi az a behatolá-megelőző rendzer? A behatolá-megelőző rendzer (IPS, Intruion Prevention Sytem) olyan aktív, a hálózat forgalmát átereztő é vizgáló ezköz, amely a hálózatba érkező comagokat átengedi vagy eldobja. Elhelyezéénél ügyelni kell arra, hogy lehetőég zerint minden forgalom áthaladjon az IPS-en. Amennyiben az IPS rozindulatú forgalmat érzékel, lehetőége van az azonnali beavatkozára. Riaztát küld a hozzá kapcolódó felügyeleti állomának, majd a beállítáok megváltoztatáával azonnal blokkolja a rozindulatú forgalmat. Működée ezáltal proaktív, mivel a riaztát kiváltó, majd az ezt követő forgalmat egyaránt képe blokkolni. Működée a 2. ábrán látható. 6

88 2. ábra: Általáno behatolá-megelőző rendzer Az egyre kifinomultabb támadái módzerek ezt meg i kívánják, a kártékony kódok, illetve a ebezhetőégek elleni harcban. Az IDS é az IPS kombinált haználata A látzattal ellentétben az IDS é az IPS egymáal jól megférő technológiák, ezért nem ritka, hogy vállalati környezetben mindkettőt párhuzamoan alkalmazzák. Az IPS aktív működée révén blokkolja a nemkívánato forgalmat, ezáltal egyfajta tűzfal-rendzernek i tekinthető. Ezért úgy érdeme beállítani, hogy kizárólag az imert rozindulatú forgalmat zűrje ki a kapcolódái problémák elkerülée érdekében. Az IDS ezáltal ellenőrzi az IPS megfelelő működéét, ugyanakkor riaztát küldhet a zürke zónába orolható forgalomról. Ide oroljuk mindazon adatokat, amelyek nem egyértelműen rozindulatúak, de legitimnek em tekinthetők. Ha az IPS blokkolja az ilyen típuú forgalmat, fennáll a kockázata, hogy a zabályo forgalmat i megzakítja. Rozindulatú forgalom eetében vizont az IDS által küldött riaztá értéke információt zolgáltat a lehetége problémákkal, illetve a támadái módzerrel kapcolatban. Az IDS é IPS rendzerek típuai Az IDS é IPS megoldáok típuainak coportoítáa a hálózatban elfoglalt helyük, valamint a rozindulatú forgalom azonoítáára haznált módzerük alapján lehetége. Az előbbi alapján bezélhetünk hálózat alapú, illetve állomá alapú rendzerekről, az utóbbi alapján pedig négy technikát különböztetünk meg: 7

89 zignatúra alapú házirend (policy) alapú anomália alapú mézecupor alapú Az állomá alapú IPS (HIPS) minden egye zámítógép é állomá tevékenyégét külön vizgálja. Telje hozzáféréel rendelkezik a végberendezé belő adataihoz, ezáltal a bejövő forgalmat az állomá tevékenyégeinek vizonylatában vizgálja. VPN környezetben, ahol az adat titkoítva halad át a hálózaton, a HIPS az egyetlen módja, hogy a célállomáon a valódi forgalmat megvizgáljuk. Hátránya, hogy jellemzően egy adott operáció rendzert támogat, é nem véd az alaconyabb zintű az OSI rétegmodell elő é harmadik rétegét érintő támadáok ellen. További hátránya, hogy kellő felderíté után a támadó tudni fog az állomá létezééről, őt arra i rájöhet, hogy az állomát HIPS védi. A hálózat alapú IPS (NIPS) a hálózaton áthaladó minden egye comagot analizál, ezáltal olyan rozindulatú comagok felimeréére i alkalma, amelyek egy tűzfal egyzerű zűréi zabályain átjutnak. A NIPS hálózatban történő elhelyezéénél ügyelni kell arra, hogy lehetőég zerint a telje, de legalább a kritiku forgalom vizgálható legyen. A NIPS képe kizűrni az alaconyabb zintű támadáokat, de a zenzoron áthaladó titkoított forgalmat nem tudja vizgálni. A NIPS a támadáokat kizárólag a hálózat zemzögéből, kontextu nélkül analizálja, ezért előfordulhat, hogy az amúgy ártalmatlan forgalmat i támadának véli. Ebbéli hiányoágai miatt mindig fenntartáokkal kell a NIPS következtetéeit kezelni. A NIPS működéi elve a 3. ábrán látható. 3. ábra: A NIPS működéi elve A fenti coportoítá analóg módon az IDS rendzerekre i alkalmazható. 8

90 A HIPS é a NIPS özehaonlítáa Mivel a NIPS nem az állomáok zintjén vizgálja az áthaladó forgalmat rozindulatú tevékenyég után kutatva, kizárólag a jellemzők (zignatúrák) alapján dönti el, hogy a comagokat továbbengedi vagy blokkolja. Rendkívül nehéz, de még inkább lehetetlen, hogy a hálózat alapú IPS felmérje, hogy egy adott támadá ikerrel járt-e. Az ilyen rendzerek kizárólag a rozindulatú tevékenyég jelenlétét érzékelik. A HIPS ellenben a helyi állomát, illetve operáció rendzert vizgálja. Lehet özetett, amely ténylege rendzerhíváokat vizgál, vagy egyzerű, amely mindöze a rendzernaplózát é a naplóállományok elemzéét tezi lehetővé az állomáokon. Van olyan HIPS, amelyik a támadát még azelőtt elhárítja, hogy az végbement volna, má rendzerek vizont cak jelentik, ha valami már megtörtént. Általánoágban elmondható, hogy a HIPS a puffer-túlcorduláok, webkizolgálók elleni támadáok, hálózati felderítéek, valamint eláraztáo, má néven zolgáltatá-megtagadáo (DoS) támadáok detektáláára alkalma, míg a HIPS az alkalmazáok é állomáok által haznált erőforráokat óvja. Komoly előny a HIPS javára, hogy tudja monitorozni az operáció rendzer folyamatait é védeni a kritiku rendzererőforráokat. A HIPS a vielkedé alapú elemzét a zignatúra alapú zűréekkel kombinálja, ezáltal a víruirtók, valamint a hálózati é alkalmazá rétegbeli tűzfalak legjobb tulajdonágait ötvözi egy comagban. NIPS tulajdonágok A NIPS a hálózat különböző pontjain található ezközök é zenzorok monitorozáával képe a forgalom elfogáára é elemzéére. A zenzorok való időben detektálják a rozindulatú vagy jogoulatlan tevékenyégeket, é zükég eetén beavatkozhatnak. Mivel a zenzorok a hálózat meghatározott pontjain helyezkednek el, bármilyen eemény kapcán a támadá céljától függetlenül figyelemmel kíérhető a hálózati forgalom alakuláa. Mivel a NIPS zenzor feladata a behatoláok elemzée, az alatta futó operáció rendzerről el kell távolítani az öze zükégtelen zolgáltatát, a működéhez nélkülözhetetlen zolgáltatáokat vizont be kell biztoítani. A NIPS zenzor hardvere az alábbiakból áll: hálózati adapter, amellyel a NIPS catlakoztatható bármilyen (leggyakrabban Ethernet jellegű) hálózatra procezor, amely elegendő zámítái teljeítményt nyújt a behatolá-érzékeléhez zükége protokollok, illetve mintaegyezéek vizgálatához. memória, melynek elegendő mennyiége tezi lehetővé a támadáok hatékony é ponto detektáláát A NIPS kiváló kálázhatóágot biztoít egy védett hálózat zámára, hiz új állomáok hozzáadáával nem zükége további zenzorok kihelyezée. Új alhálózatok eetében i cak akkor zükége további zenzorok kihelyezée, ha a meglévő zenzor(ok) vizgálati kapacitáát meghaladja a megnövekedett forgalom, teljeítménye nem éri el a kívánt zintet vagy a biztonági házirend felülvizgálata indokolja azt. 9

91 Az NIDS é az NIPS eetében a zenzorok helye a hálózatban kulcfontoágú, általában a hálózat kritiku zegmeneit védő belépéi pontjainál kell elhelyezni azokat. A hálózat alapú IPS é IDS előnyei közé orolható, hogy könnyedén érzékeli a telje hálózat ellen irányuló támadáokat, egítégével világoan látzik, hogy milyen mértékű a hálózatot ért támadá. További előnye, hogy mivel kizárólag a hálózati forgalmat vizgálja, nem zükége a hálózati állomáokon haznált különböző típuú operáció rendzereket támogatnia. Hátrányai közé orolható, hogy a titkoított adatfolyammal nem tud mit kezdeni a zenzor, de rendkívül nehéz problémát okoz zámára a töredezett forgalom helyreállítáa i. A legnagyobb hátrány azonban az egyre nagyobb méretű hálózatokból adódik; egyre nehezebb úgy elhelyezni egy zenzort, hogy az lehetőleg az öze comag elfogáát lehetővé tegye. A problémát ugyan megoldja további zenzorok kihelyezée, de ez jelentően megnövelheti a költégeket. Szignatúra alapú IDS é IPS A zignatúra alapú megközelítémód vizonylag merev, ellenben egyzerűen alkalmazható. A mintaegyezéhez előre meghatározott, fix bájtzekvenciákat kere a comagok fejlécében é adattartalmában. A legtöbb eetben cak akkor bezélhetünk mintaegyezéről, ha a gyanú comag bizonyo zolgáltatáokhoz (még inkább konkrét portokhoz) van tárítva. Ezzel a módzerrel cökkenthető a vizgálatból adódó hálózati terhelé, ugyanakkor lényegeen nehezebbé válik az alkalmazáa olyan rendzerekben, amelyek nem a jól imert portokhoz tárított protokollokat haználnak. Eleinte vizonylag nagy zámban előfordulhatnak hami riaztáok, de a rendzer behangoláát követően ez a zám keveebb lez, mint a házirend alapú megközelítémód eetében. A zignatúra bizonyo környezetben (kontextuban) előforduló bájtorozat. Ilyen környezet lehet a zekvencia adatfolyamban elfoglalt pozíciója vagy egy alkalmazárétegbeli protokoll érvénye parancának rézlete. Íme néhány példa: A webkizolgálók ellen irányuló támadáok jellemzően peciálian özeállított URL-eket haználnak, így az IDS é az IPS olyan zignatúrákat kere az adatfolyam elején, amelyek klien-oldali HTTP kéréel kezdődnek. Az SMTP kizolgálók ellen irányuló támadáok jellemzően puffer-túlcordulát próbálnak előidézni az SMTP menet MAIL FROM parancának egítégével, ezért az IDS é az IPS az SMTP menetek MAIL FROM paranccal kezdődő orában kere egy bizonyo támadái mintát. A levelezőklienek ellen irányuló támadáok jellemzően a ténylege üzenet MIME fejlécébe rejtett puffer-túlcordulára építenek, ezért az IDS é az IPS olyan bájtzekvenciákat kere, amelyek azonoítják az üzenetbe rejtett új MIME rézeket, é puffer-túlcordulát idéznek elő az üzenet olvaáát követően. 10

92 A fenti példák i jól illuztrálják, hogy a zignatúra alapú IDS é IPS kizárólag olyan támadáok detektáláára képe, amelyek már előzőleg rendelkezére állnak egy a gyártó által biztoított vagy a rendzergazda által karbantartott mintaadatbáziban. A zignatúra alapú IDS é IPS nem képe a még nem imert é nem jelentett, ún. nulladik napi támadáok detektáláára, ezáltal nagyobb terhet ró a rendzergazdára, akinek folyamatoan ügyelnie kell a mintaadatbázi naprakézen tartáára, amennyiben a gyártó ezt nem tezi meg. További információ a zignatúra alapú rendzerekről a [4]-ben található. Házirend alapú IDS é IPS A házirend alapú megközelítémód roppant egyzerűen működik; a házirend megértée eetén az IDS é az IPS blokkolhatja a forgalmat vagy riaztát küldhet az eeményről. A riaztá zükégeégéről egy algoritmu alapján dönt. A módzer azért i rendkívül népzerű, mert képe a még nem imert támadáokat i detektálni. A házirend alapú IDS é IPS eetében mindig pontoan tiztázni kell, hogy a házirend milyen célt zolgál, é pontoan mit takar. Amennyiben a hálózati hozzáférét akarjuk házirend egítégével zabályozni, pontoan meg kell adni az engedélyeket, mely hálózatok érhetik el egymát, é milyen protokollok haználatával. Példaként vegyük azt az eetet, amikor portpáztázá (port weep) jellegű tevékenyéget akarunk detektálni. Ekkor a házirendben meg kell határozni egy küzöbértéket, hogy egy bizonyo zámítógép vagy ezköz eetében hány egyedi port zkennelée lehetége. A házirend további korlátozáokat i tartalmazhat, így meghatározhatja a házirend zempontjából érdeke (pl.: SYN) comagokat, de azt i rögzítheti, hogy minden kérének azono forrából kell zármaznia. A megfelelő küzöbértékek meghatározáa okzor nem egyzerű feladat, mindig figyelembe kell venni a vizgált hálózat forgalmi ajátoágait. Léteznek olyan biztonági házirendek, amelyek nagyon nehezen építhetők be az IDS é az IPS rendzerekbe. Ha például nem engedélyezett a felnőtt vagy warez tartalmak böngézée, kapcolatot kell biztoítani egy ún. feketelitát működtető adatbázihoz, amely alapján eldönthető, hogy megértették-e a házirendet. Anomália alapú IDS é IPS Az anomália alapú rendzerek általában a normáltól eltérő hálózati forgalmat kereik. Ebből adódik a fő problémájuk i: mit tekintünk normálnak? Anomáliának tekintjük például bizonyo típuú forgalom zokatlan mértékű növekedéét, a vizgált hálózaton jellemzően nem előforduló típuú forgalom megjelenéét, de akár egy imert protokoll deformált üzenetét. Léteznek olyan rendzerek, amelyekbe bele van kódolva a normál forgalom mintája, míg má rendzerek megtanulják, hogy mi zámít normál forgalomnak. Ez utóbbinál felmerül annak a lehetőége, hogy nem megfelelő coportoítáal a normáltól eltérő forgalmat i normálnak tekinti. Ennek eredményeképp kiebb méretű környezetben relatíve jól haználható, de nagyobb főleg vállalati hálózatok eetében alkalmazáa nehézke, nem váltja be a hozzá fűzött reményeket. Az anomália alapú IDS é IPS két típuát különböztetjük meg: 11

93 Statiztikai alapú anomáliadetektáláról akkor bezélünk, ha a rendzer bizonyo idő alatt megtanulja a vizgált hálózat profilját, vagyi az azon áthaladó forgalom mintáját. Ezt követően a vizgált forgalom tatiztikai vizgálatával dönti el, hogy az kellően eltér-e a zokáotól. Amennyiben igen, riaztát küld. Nem tatiztikai alapú anomáliadetektálá eetében az imert, normál vielkedé jellemzői előre rögzítve vannak, bármilyen ettől eltérő forgalmi minta riaztát vált ki. Az alábbiakban található néhány példa a rozindulatú, nem tatiztikai alapon detektálható anomáliákra: IPX kommunikáció előforduláa két olyan ezköz között, amelyek kizárólag TCP/IP protokollt haználó hálózatban működnek Felhaználói ezközről zármazó útvonalfriíté előforduláa Szórái vihar (broadcat torm), illetve a hálózat végigpáztázáa Olyan ellentmondáo comag, amelyben az öze TCP jelölő bit be van állítva, eetleg megegyezik a TCP zegmen forrá é cél IP-címe vagy a TCP forrá- é célportja Mézecupor alapú rendzerek A mézecupor alapú megközelítémód azon az ötleten alapul, hogy a támadát minél mezebbre kell terelni a valódi hálózati ezközöktől. A mézecupor tulajdonképpen nem má, mint egy peciálian erre a célra kialakított az éle hálózat többi ezközétől teljeen elzigetelt ezköz, amely irányított körülmények között lehetővé tezi a bejövő támadáok é rozindulatú forgalmi minták elemzéét, é elegendő időt biztoít a felkézülére, mielőtt a forgalom elérné a valódi ezközöket. Fonto, hogy oha ne bízzunk meg a mézecuporként funkcionáló ezközökben, hiz előfordulhat, hogy a tudomáunk nélkül már feltörték azt, é ugródezkaként haználják az éle hálózat ellen indított támadáokhoz! Kétféle módon foghatunk mézecupor építééhez: Kézíthetünk olyan mézecuprot, amely bizonyo fokig valóban ebezhető a támadáokkal zemben. Így a mézecupor ellen indított támadáok általában ikerrel járnak, de a rendzergazdának időt é lehetőéget ad, hogy naplózza é nyomon kövee a támadó minden lépéét, anélkül hogy az éle rendzerek vezélybe kerülnének. Ugyanakkor a mézecupor lehet olyan érdekenek tűnő célpont, amely megfelelően fel van vértezve a támadáokkal zemben, ugyanakkor okkal ebezhetőbbnek é áthatolhatóbbnak tűnik a támadó zámára. Íme két trükk, amellyel elérhetjük, hogy rendzereink ebezhetőbbnek tűnjenek: Több kapcolódái lehetőég (vagy kevébé védett hozzáféré) biztoítáa a mézecuporhoz A ténylegeen haznált alkalmazáok verziózámának megváltoztatáa, ezáltal a támadó egy korábbi érülékenyég kihaználáával próbálkozhat Néhány példa: 12

94 A klaziku mézecupor egy olyan UNIX rendzer, amely például gyenge jelzavak haználatával engedi, hogy a támadó bejelentkezzen valamiféle hami környezetbe, ahol a rendzergazda nyomon követheti minden lépéét. A levélzemét elleni harcban em imeretlen a mézecupor fogalma. Itt jelenthet olyan levelező-kizolgálót, amely nyílt relének tűnik, de valójában odavonzza é özegyűjti a levélzemetet küldő címeket, majd eldobja ezeket a leveleket. Az özegyűjtött címek vagy a küldő IP-címe ezután felkerül egy ún. zürke- vagy feketelitára, amelyek haználatával a levelező-kizolgálók tovább zűkíthetik a levélzemét mozgáterét. További információ a mézecupor alapú rendzerekről az [5]-ben található. 8. Virtuáli magánhálózatok biztonága Mi az a virtuáli magánhálózat? A virtuáli magánhálózat (VPN, Virtual Private Network) fejlett titkoítái é alagúttechnikák egítégével lehetővé tezi, hogy biztonágo, végponttól végpontig terjedő hálózati kapcolatot hozzunk létre harmadik fél által üzemeltetett alapvetően nem megbízható hálózatokon (pl.: az interneten) kereztül. Jelen fejezet főként a VPN elméleti hátterét tárgyalja, a VPN megoldáok gyakorlati oldalát a [6] mutatja be rézleteen. A biztonágo kapcolat azt jelenti, hogy a küldő hitele azonoítáa mellett, az üzenet értetlenége (integritáa) é bizalma kezelée i ellenőrizhető. A VPN beágyazáal, titkoítáal vagy a kettővel együtt gondokodik az adatok védelméről. Azt em árt lezögezni, hogy beágyazá (má néven alagutazá) alatt az adatok tranzparen módon történő átvitelét értjük megoztott hálózatok fölött. A VPN megoldáok az OSI rétegmodell máodik (L2), harmadik (L3), illetve negyedik (L4) rétegében implementálhatók. Alapvetően kétféle VPN modell létezik: átlapolódó (overlay) é egyenrangú (peer-to-peer) rendzerekről bezélhetünk. Az átlapolódó VPN a 4. ábrán látható. 13

95 4. ábra: Az átlapolódó VPN truktúrája A zolgáltatók a legtöbb eetben átlapolódó VPN modellt haználnak, ahol még a ténylege forgalom megkezdée előtt megtörténik a virtuáli áramkörök (VC) megtervezée é kioztáa a gerinchálózaton kereztül. Ez IP-hálózat eetében azt jelenti, hogy bár az alapvető technológia kapcolat nélküli, a zolgáltatá nyújtáához kapcolatorientált megközelítémód zükége. A módzer nem túl kálázható, mivel jelentő mennyiégű áramkört é alagutat kell felügyelni é kioztani a felhaználói berendezéek között. Az átlapolódó modell L2 é L3 rétegbeli VPN-eket i tartalmaz: Az L2 rétegbeli átlapolódó VPN független az ügyfél által haznált hálózati protokolltól, így a VPN ninc kizárólag IP-forgalom továbbítáára korlátozva. Az L3 rétegbeli átlapolódó VPN leggyakrabban az IP az IP-ben alagútémát haználja PPTP (Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol), illetve. IPec technológiák alkalmazáával. VPN topológiák A VPN megoldáok topológia zerint három coportba orolhatók: Távoli eléréű VPN-t előorban az otthon vagy folyamato mozgában lévő dolgozók haználnak, akik megoztott infratruktúrán kereztül (DSL, ISDN, mobil- vagy kábelnet egítégével) férnek hozzá a vállalati intranethez vagy extranethez. A távoli eléréű VPN-hez mindöze egy VPN átjáró zükége. A biztonágo kapcolatot kezdeményező félnek VPN klienzoftver egítégével kell a VPN átjáróhoz kapcolódnia. A VPN klien tezi lehetővé, hogy a központi hálózathoz catlakozva elérhee az akár különböző helyzíneken található erőforráokat (pl.: adatközpontokat). Az alagutak létrehozáához az IPec, a PPTP (pontpont alagútprotokoll), az L2TP (máodik rétegbeli alagútprotokoll), eetleg az L2F (máodik rétegbeli továbbítá) haználható. Előnyei: Nem kell maga híváköltégekkel kalkulálni, mint a betárcázó eetben. Javítja a 14

96 termelékenyéget, hiz a dolgozó a ténylege helyzetétől függetlenül végezhet érdemi munkát. Példa a távoli eléréű VPN-re az 5. ábrán látható. A telephelyek közötti intranet VPN a vállalati központok, telephelyek, kihelyezett irodák é a belő hálózat között biztoít dedikált, állandó kapcolatot, megoztott infratruktúrán kereztül. Az intranet VPN é az extranet VPN közötti fő különbég, hogy előbbi kizárólag a megbízható munkatárak rézére biztoít hozzáférét. Az intranet VPN eetében egyazon vállalat különböző földrajzi helyzínei között az internet egítégével alakítanak ki biztonágo alagutakat, a felhaználók felé pedig úgy tűnik, mintha mindannyian ugyanabból a belő hálózatból catlakoznának. Az ilyen hálózatokkal zemben az erő titkoítáon túl zigorú elváráok vannak a teljeítménnyel é ávzéleéggel kapcolatban i. Az alagutak létrehozáához IPec vagy IPec/GRE protokoll haználato. Példa a telephelyek közötti intranet VPN-re a 6. ábrán látható. Előnyei: Komoly költégek takaríthatók meg a hagyományo bérelt vonalakkal zemben. A telephelyek közötti extranet VPN külő ügyfeleket, bezállítókat kapcol öze a vállalati ügyfélhálózattal. Általában tűzfalakkal egézül ki az alagutak haználata, hogy a külő felhaználók cak bizonyo információkhoz é erőforráokhoz férheenek hozzá. Előnyei: A telje partnerhálózat azono házirend, biztonági é QoS beállítáok zerint üzemelhet. 5. ábra: Távoli eléréű VPN 15

97 6. ábra: Telephelyek közötti intranet VPN A biztonágo VPN ajátoágai A VPN-t haználó adattovábbítá megfelelő biztonágáról egyrézt a beágyazá, márézt a titkoítá gondokodik. Beágyazának (má néven alagutazának) nevezzük azt a folyamatot, amelynek orán a telje comagot egy máikba beágyazva az özetett comagot továbbítjuk egy (akár publiku) hálózaton. Az alagutazához az alábbi protokollok zükégeek: Átviteli (carrier) protokoll, ami az információt zállítja. Beágyazái protokoll (pl.: GRE, IPec, L2F, PPTP, L2TP), amellyel az eredeti adat becomagolára kerül. Nem mindegyik protokoll képe ugyanazt a biztonágot garantálni. Utaprotokoll (paenger protocol), amely tulajdonképpen az eredeti adat (IPX, AppleTalk, IPv4, IPv6). A beágyazá folyamata a 7. ábrán látható. 16

98 7. ábra: A beágyazá (alagutazá) folyamata A VPN biztonága: az IPec é a GRE Az alagútprotokollok jelentő mértékben különbözhetnek az átvitt adatok zámára kínált zolgáltatáok, a kezelhető problémák é a biztonági zint tükrében. Az IPec önmagában megbízható magánhálózatot kínál, de cak egyedi címzéű (unicat) IP-comagok zámára. Amennyiben az IPec é a GRE protokollt kombináljuk, lehetőég nyílik a coportcímzéű (multicat) IP-comagok, a dinamiku IGP irányítóprotokollok é az IP-től eltérő zállítái protokoll haználatára i. Az IPec két titkoítái módot imer: az alagútmódot é a zállítái módot. Alagútmódban mind a fejléc, mind pedig az adattartalom titkoítva lez, zállítái módban vizont kizárólag az adattartalom titkoítáa történik meg. Fonto, hogy a zállítái módhoz teljeen IPeckompatibili rendzer zükége. Emellett elengedhetetlen a közö kulc é a tűzfalak nagyon haonló házirenden alapuló beállítáa i. Az IPec többféle ezköz (útválaztó-útválaztó, tűzfal-útválaztó, PCútválaztó, PC-kizolgáló) között képe az adatokat titkoítani. A GRE becomagolja a comagok IP-fejlécét é adattartalmát, é kiegézíti azt a GRE-beágyazá fejlécével. A hálózattervezők előzeretettel haználják ezt a módzert a comagok IP-fejlécének elrejtéére, méghozzá a GRE-beágyazá adattartalmi rézébe. Alagutazá telephelyek közötti VPN haználatával A telephelyek közötti VPN eetében a GRE felel azért, hogy az utaprotokollt alkalmaá tegye az átviteli (jellemzően IP-alapú) protokoll feletti zállítára. 17

99 Alagutazá távoli eléréű VPN haználatával A távoli eléréű VPN eetében az alagutazához haznált protokoll jellemzően a PPP é tárai. Amikor létrejön a hálózati kapcolat a klien zámítógép é a távoli eléréű rendzer között, a PPP lez az átviteli protokoll. A távoli eléréű VPN eetében i haználhatók az alábbi a PPP alaptruktúráját haználó protokollok: L2F, PPTP, L2TP. A hiteleíté kérdée Amennyiben hálózaton kereztül dolgozunk vagy bonyolítunk üzletet, nagyon fonto, hogy tudjuk ki van a vonal, vagy fax máik végén. Ugyanez igaz VPN haználata eetén, tehát a VPN alagút túló oldalán lévő ezközt hiteleíteni kell, mielőtt a létrejövő kapcolatot megbízhatónak tartanánk. Az alábbi módzerek állnak rendelkezére, hogy a felek meggyőződjenek arról, hogy a megfelelő partnerhez kapcolódnak-e: Felhaználói név é jelzó Egyzeri jelzó (OTP, One Time Paword) Biometriku azonoítá Digitáli tanúítvány Publiku/privát kulcpár Közö titok (hared ecret) Távoli eléréű VPN környezetben okkal biztonágoabb hozzáférét tez lehetővé az ún. AAA zerverek haználata. Az AAA betűzó az angol hiteleíté (authentication), jogoultág- (authorization) é fiókkezelé (accounting) zavak rövidítée. Egy klienoldalról kezdeményezett kapcolat eetében a kéré automatikuan egy AAA zerverhez kerül továbbítára, amely ellenőrzi, hogy ki az ügyfél, milyen jogoultágokkal rendelkezik, majd naplózza a felhaználó minden tevékenyégét. Ez utóbbi különöen hazno egy eetlege biztonági probléma felmerülée orán. Az IPec biztonági funkciói Az IPec egy zabvány, amely az IP-hálózaton történő biztonágo adatátvitel menetét határozza meg, biztoítja az adatok bizalmaágát, értetlenégét é a nem megbízható hálózatok feletti kommunikáció hiteleégét. Az IPec egy olyan protokollkézlet, amely egyik titkoítái vagy hiteleítéi algoritmuhoz, kulcgenerálái technikához vagy biztonági tárítához (SA, ecurity aociation) em kötődik. Az IPec tulajdonképpen cak biztoítja a zabályokat, míg a létező algoritmuok adják a titkoítát, hiteleítét vagy kulckezelét. Az adatok megbízhatóágáról az IPec titkoítáal gondokodik, amely megakadályozza a nyilváno vagy vezeték nélküli hálózatokon átvitt adatok elolvaáát vagy lehallgatáát, mivel az elfogott comagok nem dekódolhatók. A titkoítához többek között az alábbi algoritmuok haználhatók: DES, 3DES, é AES. Az adatok értetlenégét az IPec hah egítégével biztoítja. A hah puztán redundancia-ellenőrzé, melynek orán az IPec özeadja az üzenet özetevőit ( jellemzően a bájtok zámát), majd eltárolja az özeget. A megérkezett comagon az IPec megvizgálja az ellenőrzőözeget, é özehaonlítja az eredeti, hiteleített értékkel. Amennyiben az értékek megegyeznek, biztoak lehetünk benne, hogy a kérdée adatot nem manipulálták. Az adatok értetlenégét a HMAC (hah-alapú üzenethiteleítéi kód, 18

100 Hah-baed Meage Authentication Code) függvény biztoítja, amely az alábbi algoritmuokat támogatja: MD5, illetve SHA-1. Az IPec adatok forráának hiteleégét mindig a fogadó fél ellenőrizheti. Az IPec felhaználók é ezközök hiteleítéére egyaránt alkalma. Az adatforrá hiteleítéének minőégét az adatok értetlenégét biztoító zolgáltatá határozza meg. A vizajátzá elleni (anti-replay) védelem ellenőrzi, hogy minden egye comag egyedi, nem pedig duplikált. Az IPec úgy gondokodik a comagok védelméről, hogy minden beérkező comag orzámát özehaonlítja a meglévőkkel, valamint cúzóablakot (liding window) i alkalmaz. Ha egy comag orzáma a cúzóablak értékénél korábbi, azt kéőnek tekinti. A duplikált, illetve kéő comagok eldobára kerülnek. Az IPec protokolljai Az IPec zabvány hiteleítéi é adatvédelmi módzert kínál a biztonágo adatátvitelben réztvevő (akár több) partnerek zámára. Az IPec réze az IKE (Internet Key Exchange) kulcok ceréjére haznált protokoll, valamint két IP-alapú protokoll: az ESP (Encapulating Security Payload) é az AH (Authentication Header). Az IPec három fő protokollja biztoítja a biztonágo keretet az alábbiakhoz: Az IKE felelő a biztonági paraméterek egyeztetééért, valamint a hiteleített kulcok létrehozááért. Az IPec zimmetriku titkoítái algoritmuokkal valóítja meg az adatok védelmét, amelyek okkal hatékonyabbak é könnyebben alkalmazhatók hardvere környezetben, mint az egyéb típuú algoritmuok. Az IKE biztoítja az ezen algoritmuok zámára zükége biztonágo módzert a kulcceréhez. Az AH, vagyi az IP hiteleítéi fejléce biztoítja az IP-adatcomagok zámára a kapcolat nélküli értetlenéget, illetve az adatforrá hiteleítét, valamint opcionáli védelmet a vizajátzáok ellen. Az AH-t a védeni kívánt adatba kell beágyazni, de mára zinte teljeen felváltotta az ESP. Az ESP felelő az adatok titkoítááért, hiteleítééért é védelméért. Az ESP nem cupán adatvédelmi zolgáltatáokat vagy opcionáli adathiteleítét, hanem vizajátzá elleni zolgáltatáokat i kínál. A védeni kívánt adatokat az ESP comagolja be, a legtöbb IPec megvalóítá ezt haználja. Az IPec fejlécei Az IPec a hiteleítéről, az adatok értetlenégéről, valamint a titkoítáról az IP-adatcomagba bezúrt AH vagy ESP fejléccel, eetleg mindkettővel gondokodik. Az AH lehetőéget biztoít az IP-adatcomag hiteleégének, illetve. értetlenégének ellenőrzéére, az ESP ezen felül információt tartalmaz az adattartalom titkoítááról i. Az AH é az ESP két állomá (pl.: végberendezé vagy átjáró) között haználható. 19

101 Az AH é az ESP megoldáok zabvány alapú módzert kívánnak meg az adatok manipulációja é illetéktelen olvaáa elleni védelemhez. Az IPec az alábbi, különböző erőégű titkoítáokat támogatja: DES (Data Encryption Standard), 3DES (Triple Data Encryption Standard) é az AES (Advanced Encryption Standard). Az IPec zámo, különböző erőégű hah módzert i támogat: HMAC (Hah-baed Meage Authentication Code), MD5 (Meage Diget 5) é az SHA-1 (Secure Hah Algorithm 1). Az IPec által haznált fejlécek a 8. ábrán láthatóak. 8. ábra: IPec fejlécek Az IKE protokoll A titkoított VPN megoldáoknál rendzere időközönként zükégeé válik a titkoítái kulcok ceréje. Ennek elmaradáa eetén a hálózat kizolgáltatottá válhat a kipörgetée (brute-force) támadáokkal zemben. A probléma kiküzöböléére az IPec az IKE protokollt alkalmazza, amely további protokollok (pl.: DH kulccere) egítégével biztoítja a réztvevő felek hiteleítéét, illetve a kulcok generáláát. Az IKE az 500-a UDP portot haználja. Az IPec az IKE protokoll haználatával az alábbi funkciókat biztoítja: A biztonági tárítáok jellemzőinek egyeztetée Automatiku kulcgenerálá Automatiku kulcfriíté Felügyelhető (menedzelhető) kézi beállítáok A biztonági tárítához az alábbiak zükégeek: 20

102 Az ISAKMP (Internet Security Aociation and Key Management Protocol) egy olyan protokoll-környezet, amely megadja a kulcceréhez haznált protokoll, valamint a biztonági házirend egyeztetéének menetét. Az ISAKMP bármelyik zállítái protokoll felett alkalmazható. A SKEME egy olyan kulcceréhez haznált protokoll, amely megadja, hogy gyor kulcfriítéel hogyan zármaztathatók hiteleített kulcok. Az OAKLEY egy olyan kulcceréhez haznált protokoll, amely megadja hogyan zerezhetők be hiteleített kulcok. Az OAKLAY alapértelmezé zerint a DH kulccere algoritmut haználja. Az IKE automatikuan egyezteti az IPec biztonági tárítáait, é költége előkézíté nélkül tezi lehetővé a biztonágo IPec kommunikációt. Az IKE az alábbi tulajdonágokkal rendelkezik: Szükégtelenné tezi az IPec öze biztonági paraméterének megadáát mindkét oldalon (félnél). Meghatározhatja az IPec biztonági tárítáainak élettartamát. Lehetővé tezi az IPec kapcolat ideje alatti kulccerét. Lehetővé tezi a vizajátzá elleni védelmet az IPec zámára. Biztoítja a hiteleíté-zolgáltató (tanúítvány-kibocátó) támogatáát a felügyelhető, kálázható IPec implementációkhoz. Lehetővé tezi a réztvevők dinamiku hiteleítéét. Az IKE lépéeinek rézlete leíráa a telephelyek közötti VPN működéénél található. Az ESP é az AH protokoll Az IPec protokoll magját az ESP fejléc adja, amely megfelelő titkoítáal é tranzformáció kézlettel gondokodik az adatok vizafejthetetlenégéről. Az ESP kizárólag a comag adatrézét védi, opcionálian gondokodhat a védett adatok hiteleítééről i. Az IPec máik fonto eleme, az AH protokoll nem a hagyományo értelemben az adatokat elrejtve védi a kommunikációt, hanem egyfajta pecéttel látja el az adatcomagokat. Így tulajdonképpen az IPfejléc mezőit ideértve a címmezőket i védi. Az adatok megbízhatóágát önmagában azonban nem képe garantálni. Az IPec két módban továbbíthatja az adatokat a hálózaton kereztül: alagútmódban, illetve zállítái módban. A két mód nem cupán a haználatukban, hanem az utazó comaghoz adott többlet mennyiégében i eltér egymától. Az ESP működéi elvét a 9. ábra illuztrálja. 21

103 9. ábra: Az ESP működéi elve Az alagútmód a telje IP-comagot becomagolja é védi. Mivel az alagútmód becomagolja vagy elrejti az IP-comag címét, a ikere továbbítához a comagnak egy új kb. 20 bájto fejlécet kell kapnia. Alagútmódban egyaránt haználható az ESP é az AH, vagy a kettő kombinációja. Teljeítmény zempontjából a jellemzően kiméretű comagokat haználó átvitel költégeebb, mint ha ugyanazt az adatmennyiéget nagyobb comagok zállítanák, ezért lehetőég van az ún. zállítái mód haználatára i. Az IPec zállítái módja az ESP fejlécet az IP-fejléc é a comag zállítái rétege közé zúrja be, ezáltal a biztonágo adatforgalmat bonyolító mindkét hálózati comópont címe látható marad. Ez ugyan kevébé biztonágo megoldá, vizont nem keletkezik új IP-fejléc, ezért a méret em nő. Szállítái módban egyaránt haználható az ESP é az AH, vagy a kettő kombinációja. A zállítái mód különöen jól tud együttműködni a GRE protokollal, amely egy IP-fejléc bezúráával már eleve elrejti a végberendezéek címeit. Az ESP titkoítái algoritmuai önmagukban nem tudják garantálni az adatok hiteleégét vagy értetlenégét. Az ESP a problémát az adatok hiteleégét é értetlenégét biztoító zolgáltatáokkal kiegézítve, kétféleképpen oldhatja meg: Hiteleített ESP formátummal Az AH-ba beágyazott ESP-vel A hiteleített ESP eetében az IPec előzör zimmetriku kulc egítégével titkoítja az adattartalmat, majd egy máodik zimmetriku kulc, valamint a HMAC-SHA1 vagy a HMAC-MD5 haználatával kizámol egy hiteleítéi értéket a titkoított adatra. Ezt a hiteleítéi értéket a comag végéhez fűzi. A fogadó fél előzör kizámítja a titkoított comaghoz tartozó hiteleítéi értéket a máodik zimmetriku kulc é 22

104 ugyanazon algoritmu haználatával. Amennyiben a kizámolt érték megegyezik a comaghoz kapott hiteleítéi értékkel, akkor az elő zimmetriku kulc egítégével kikódolja az eredeti adatot. A máik megoldá, hogy az ESP comag beágyazható egy AH comagba i. Előzör az adattartalom kerül titkoítára, majd a titkoított adatokra kell ráerezteni egy hah-függvényt (pl.: MD5 vagy SHA-1). A továbbiakban a hah biztoítja a forrá hiteleégét, valamint az adattartalom értetlenégét. Erre példa a 10. ábrán látható. 10. ábra: AH-ba beágyazott ESP Az AH által biztoított hiteleég é értetlenég Az AH függvény a telje adatcomagra alkalmazandó, kivéve az IP-fejléc olyan mezőit, amelyek az átvitel orán módoulhatnak. Ennek tipiku példája az útválaztók által folyamatoan módoított TTL mező. Az AH működée az alábbi lépéekből áll: 1. Az IP-fejléc é az adattartalom hah-értékének kizámítáa 2. Az AH fejléc felépítée a hah alapján, amely az eredeti comaghoz lez hozzáfűzve. 3. Az új comag továbbítáa az IPec partner útválaztója felé. 4. A partner útválaztó kizámítja a kapott IP-fejléc é az adattartalom hah-értékét. 5. A partner útválaztó az AH fejlécből kivonja a kapott hah-értéket. 6. A partner útválaztó özehaonlítja a két hah-értéket, amelyeknek pontoan meg kell egyezniük. Az ESP protokoll Amikor az ESP végzi a hiteleítét é a titkoítát egyaránt, előzör a titkoítá történik meg. Ezt a orrendet az indokolja, hogy a fogadó fél így gyorabban tudja detektálni é eldobni az imételt vagy hami comagokat. Mivel a fogadó fél még a kikódolá előtt ellenőrizheti a bejövő comagok hiteleégét, cökkentheti egy eetlege eláraztáo (DoS) támadá káro hatáait. Az IPec alapértelmezé zerint a zállítái módot haználja, amely kizárólag a comag adattartalmát, valamint a magaabb rétegbeli protokollokat védi, de az eredeti IP-címet védtelenül hagyja. Ez tezi lehetővé, hogy a célhoz vezető útvonalat a comag az eredeti IP-címe alapján találja meg. Az ESP zállítái módja mindig két állomá között haználható. Az IPec alagútmódjának haználata eetén mind az IP-fejléc, mind pedig az adattartalom titkoítva lez. Az alagútmód biztoítja a telje IP-comag védelmét, amelyet AH vagy ESP adattartalomként kezel. 23

105 (Tulajdonképpen a telje IP-comag kap egy AH vagy ESP fejlécet, majd a beágyazott comag egy újabb IP-fejlécet.) Az ESP alagútmód általában egy állomá é egy biztonági átjáró, eetleg két biztonági átjáró között haználható. Távoli eléréű hozzáférénél általában az ESP alagútmód haználata jellemző. Az ESP zállítái, illetve alagútmódját a 11. ábra illuztrálja. 11. ábra: Az ESP működéi módjai A telephelyek közötti VPN működée Az IPec működée öt pontban foglalható öze, amelyet a 12. ábra i illuztrál: 1. Ha a VPN ezköz védelmet igénylő forgalmat érzékel, az érdeke forgalom elindítja az IPec folyamatot. 2. Az IKE elő fázia, amelynek orán az IKE hiteleíti az IPec partnereket (előre megoztott kulcok, RSA tanúítványok vagy RSA-val titkoított, egyzer haználato kulcok egítégével), majd egyezteti az IKE biztonági tárítáait, megteremtve ezzel a következő fázihoz zükége biztonágo kommunikáció catornát. Az IKE elő fázia kétféle módban lehetége: normál (main) vagy agrezív módban. Normál módban a felek között három kétirányú üzenetváltá zajlik. Az előben a két fél egyezteti, hogy milyen algoritmut é haht haználnak az IKE kommunikáció biztonágoá tételéhez. A máodikban egy Diffie- Hellmann által generált megoztott kulc, illetve egyzer haználato kulc (nonce) egítégével ellenőrzik egymá kilétét. Miután létrejön a megoztott kulc, ezzel generáljuk az öze további titkoítái é hiteleítéi kulcot. A harmadikban mindegyik fél 24

106 hiteleítéel ellenőrzi a máik fél kilétét. Agrezív módban keveebb üzenetváltá, ezáltal keveebb comag zükége, zinte minden az elő fáziban történik, a végeredmény ugyanaz. 3. Az IKE máodik fázia, amelynek orán az IKE egyezteti az IPec biztonági tárítáok paramétereit, majd beállítja az egymáal megegyező IPec biztonági tárítáokat a partnereknél. Ezek a paraméterek határozzák meg az átvitt adatok é üzenetek védelmét a végpontok között. Két pont közötti biztonágo kapcolat létrehozáakor zükége a biztonági protokoll által haznált algoritmuok imertetée. Ezeket nem egyenként, hanem ún. tranzformáció kézletekbe zervezve lehet özevetni. A tranzformáció kézlet tartalmazza a titkoítái algoritmut, a hiteleítéi algoritmut, módot, valamint a kulc hozát i. Amennyiben ninc egyezé a partnerek tranzformáció kézletei között, az alagút megzűnik. Pont-pont környezetben elég, ha egyetlen IKE házirendet határoz meg minden végpont. Küllő (hub-and-poke) környezetben vizont a központi zerepet betöltő helyzínhez több IKE házirendet i zükége lehet megadni, hogy az öze partner igényeinek meg tudjon felelni. Mivel a biztonági tárítá élettartama vége, ezért zükég lehet annak (é perze a kulcok) megújítáára. 4. Adatátvitel, a biztonági tárítá biztonági házirend-adatbáziban (SPD, Security Policy Databae) tárolt paraméterei é kulcai alapján történik. 5. Az IPec alagút megzüntetée törlé vagy időtúllépé miatt. Időtúllépét eredményezhet bizonyo mennyiégű idő eltelée vagy bizonyo adatmennyiég átvitele. Ha a folyamato átvitel biztoítáához új IPec biztonági tárítá zükége, az IKE máodik vagy zükég eetén az elő fázia hajtódik végre, jellemzően még az érvényben lévő biztonági tárítá lejárta előtt. 25

107 12. ábra: A telephelyek közötti IPec VPN működéének lépéei A telephelyek közötti IPec VPN beállítáa A telephelyek közötti VPN beállítáa az alábbi lépéek zerint történik: 1. Az IKE alagút létrehozáához zükége ISAKMP házirend beállítáa, amely kitérhet a kulc terjeztéi módjára, a titkoítához haznált algoritmura, a hah algoritmura, hiteleítéi módra, a kulccere menetére, valamint az IKE tárítá időtartamára. 2. A tranzformáció kézlet (tranform et) megadáa, amely rögzíti az IPec alagút paramétereit (pl.: a titkoítát, illetve az adatok értetlenéget biztoító algoritmuokat) 3. Egy kripto hozzáféréi lita (ACL) létrehozáa, amely meghatározza az IPec alagúton áthaladó forgalmat. A zabályra nem illezkedő comagok termézeteen nem kerülnek eldobára, hanem titkoítá nélkül, az irányítóprotokoll normál működéének megfelelően kerül továbbítára. 4. Kripto-leképezé létrehozáa, amely az előzőekben beállított paramétereket kombinálja, illetve megadja az IPec partnerezközt (peer). A bejegyzéek az alábbiakra terjedhetnek ki: Mely forgalmat kell az IPec-kel védeni (a kripto-acl alapján)? Milyen a védett adatfolyam finomága (a biztonági tárítáok alapján)? Hova kell az IPec által védett forgalmat továbbítani (vagyi ki az IPec partner)? 26

108 Mi az IPec forgalomhoz haznált lokáli cím (opcionáli)? Milyen IPec biztonágot válazunk a kérdée forgalomhoz (a tranzformáció kézletből kiválaztva)? 5. A kripto-leképezé alkalmazáa a VPN ezköz kimenő interfézére. 6. Az ACL létrehozáa é interfézre történő alkalmazáa. A határ-útválaztók jellemzően korlátozó ACL-eket haználnak, amelyek akaratlanul i blokkolhatják az IKE é IPec protokollt. Tippek, trükkök: Amennyiben az interfézen dinamiku irányítóprotokoll működik, annak forgalmát i engedélyeznünk kell. Amennyiben az IPec forgalom áthalad cím- vagy portfordítát (NAT, illetve PAT) haználó ezközökön, zükég van az IPec NAT-T (Network Addre Tranlation Traveral) funkciójára, amely az IPec comagot egy UDP fejléccel kiegézítve comagolja be. A megfelelő működéhez zükég lehet a tűzfalzabályok további módoítáára (kiegézítéére). A GRE protokoll A GRE (Generic Routing Encapulation) egy olyan alagútprotokoll, amely okféle protokoll- é comagtípu beágyazáát tezi lehetővé az IP-alagutakon belül, egyfajta virtuáli pont-pont kapcolatot létrehozva az IP-hálózaton két útválaztó között. Ezáltal a GRE-t alkalmazó IP-alagúttechnika lehetővé tezi a hálózat bővüléét mindöze egyetlen protokollt támogató gerinchálózatok fölött i. Így az alagútban haznált irányítóprotokollok i küldhetnek é fogadhatnak útvonal-friítéi információkat a virtuáli hálózatban. Ehhez mindöze annyi zükége, hogy az adattartalmi réz é az alagutazához haznált IP-fejléc közé bezúrjunk egy GRE fejlécet i. A GRE fejléc tartalmaz egy protokolltípu (protocol type) mezőt, amely bármilyen L3 rétegbeli protokoll beágyazáát támogatja. A GRE nem állapottartó, é nem biztoít különöebben erő biztonági mechanizmut em az adattartalom védelmének érdekében. Az eredeti, alagúton átutazó comaghoz képet legalább 24 bájtnyi többletet jelent a GRE, illetve. az alagutazához haznált fejléc. A GRE fejlécében előforduló alagútkulc (tunnel key) kétféle célra haználható: Egyzerű, titkoítá nélküli zövegként hiteleíthető vele minden áthaladó comag a GRE végpontok között, ugyanakkor a comagok útvonalán bárki könnyen megtekintheti a kulcot, é meghamiíthatja az alagútcomagokat i. Sokkal elterjedtebb a kulc haználata olyan környezetben, ahol két útválaztó között ugyanarról az IPcímről induló alagutat kell kialakítani. Ekkor a különböző alagutakhoz tartozó GRE comagok a kulc egítégével válnak megkülönböztethetővé. 27

109 Biztonágo GRE alagutak A GRE legfőbb előnye az erőtelje, ugyanakkor egyzerű alagúttechnika biztoítáa. A GRE bármilyen L3 rétegbeli protokollt elfogad adattartalomként, é azok zámára virtuáli pont-pont özeköttetét biztoít. A GRE egítégével az irányítóprotokollok haználata i lehetővé válik az alagút felett. A GRE fő hiányoága, hogy zegénye a biztonági kézlete. Kizárólag egyzerű, titkoítá nélküli zövege kulcot haznál a hiteleítéhez, amely nem tekinthető biztonágonak. A comagok útvonalán gyakorlatilag bárki könnyen megtekintheti a kulcot, é meghamiíthatja az alagútcomagokat i. A biztonágo VPN által megkövetelt alábbi feltételeknek a GRE önmagában nem felel meg. Erő titkoítá: az adatforrá hiteleítée, amelyet nem lehet kijátzani beékelődée (man-in-themiddle) támadáal az adat értetlenégének biztoítáa úgy, hogy ne leheen kijátzani beékelődée támadáal A GRE alagutak biztonágoá tétele az IPec egítégével Az IPec gyakorlatilag biztoítja a GRE-ből hiányzó öze alagútjellemzőt: zimmetriku algoritmut (pl.: 3DES-t vagy AES-t) haználó titkoítá Az adatforrá hiteleítée hah-alapú üzenethiteleítéi kódok (HMAC) (pl.: MD5 é SHA- 1) egítégével Az adat értetlenégének ellenőrzée HMAC egítégével Az IPec fenti zolgáltatáai vizont eredetileg kizárólag IP-forgalomhoz kézültek. Több protokoll egyidejű támogatáához mindig zükég van további alagútprotokollra. GRE az IPec fölött A pont-pont alapú GRE az IPec fölött legtöbb megvalóítáa a küllő topológiát haználja, mivel a VPN helyzínek közötti telje kapcolat létrehozáához ez igényli a legkeveebb alagutat. A küllő topológia minimalizálja az IPec alagutak karbantartáához zükége felügyeleti feleleget (többletet). OpenVPN alternatíva virtuáli magánhálózat megvalóítára Az OpenVPN egy GNU GPL alatt kiadott multiplatformo virtuáli magánhálózatot megvalóító zoftver. Elérhető többek közt Linux, BSD, Window, Solari, Android rendzerekre. Alkalma telephelyek közti é távoli eléréű VPN kiépítéére i. Egy binári openvpn programot tartalmaz, ami klienként é zerverként i tud vielkedni. Konfigurációját egy zövege állományon kereztül lehet beállítani. Egye rendzerekre elérhető hozzá grafiku konfiguráló egédprogram, de tudja kezelni a Linux világban népzerű Network-manager i. Tud működni inicializálá után felhaználói térben (uerpace) rendzergazdai jogoultág nélkül i. Az alagút titkoítáát az OpenSSL zoftver valóítja meg telje egézében, így haználható bármilyen titkoító algoritmual, amit az OpenSSL imer é haználni képe. Egy virtuáli hálózati kártyát hoz létre, melynek két típua lehet: TUN vagy TAP. TUN típu eetén IPforgalom zállítáára lez haználható. TAP típu eetén bármely ethernet forgalom továbbítható lez rajta kereztül. Ennek közönhetően működhet TAP felett minden olyan protokoll i, ami zórái címre 28

110 küldött comagokat i haznál a működééhez. Ilyen például a Window rendzereken a fálj- é nyomtatómegoztára haznált SMB (erver meage block) protokoll. A felek azonoítáa történhet előre kioztott kulcpárok é tanúítványok felhaználáával, de az hiteleítéi motorja kiegézíthető beépülő modulokkal, így az azonoítá elvégezhető PAM-on vagy RADIUS zerveren kereztül i. Tartalmaz egy zkriptgyűjteményt a gyor é egyzerű kulcpár é tanúítvány generálához. Ha kulco azonoítát válaztjuk, akkor minden kliennek zükége lez a zerver tanúítványhoz, valamint aját kulcpárra. A kulcpárban megjelölt név (CN, common name) mező egítégével megkülönböztethetjük a klieneket catlakozákor, é a közö, mindenkire vonatkozó beállítáok mellett klienre zabott beállítáokat i eljuttathatunk a távoli ezközhöz, így például egyedi útválaztó zabályokat. Egy OpenVPN folyamat több klien egyidejű catlakozáát i tudja kezelni. 9. Hálózatbiztonági architektúrák (terheléeloztá, azonnali helyreállítá) A tűzfal célja Tűzfalak alkalmazáa többe céllal történhet. Céljuk egyfelől, hogy forgalomzabályozái pontot képezzenek a zervezet belő hálózata é az internet között mindkét irányba. Az internet vagy a zervezet zemzögéből nézve bármely, külő hálózatnak minőülő irányból cak a zervezet házirendjének megfelelő, é cak a zükége hálózati forgalmat zabad beengednie. Máfelől aját zervezetünk kifelé irányuló hálózati forgalmát i zabályozhatjuk tűzfalakkal. Ennek megvalóítáához a tűzfalat a hálózat határán kell elhelyezni. Ugyanakkor alkalmazhatunk tűzfalakat zerverekre é munkaállomáokra telepítve i. Ezek célja, hogy kikényzeríték az adott zerverre vagy munkaállomára vonatkozó házirendet, valamint védjék azokat mind a külő, mind pedig a belő hálózat felől érkező támadáok ellen. Tipikuan elhárítandó jelenégnek zámít egy adott hálózat gépein futó zolgáltatáok miatt futtatott portzkennelé (port can) vagy a különböző eláraztáo támadáok. Ne feledjük, hogy egy adott hálózat állomáai nem cupán kívülről, hanem belülről i támadhatók, ha a támadó már ikereen hozzáférét zerzett valamely géphez vagy belő ezközhöz. Fonto zem előtt tartani, hogy a tűzfal nem tud védelmet nyújtani a felhaználók gondatlanága vagy rozhizemű vielkedée, valamint a megtéveztée támadáok (ocial engineering) ellen! Megvalóítá Tűzfalat zoftvere é hardvere ezközökkel egyaránt megvalóíthatunk, ahol a hardvere megvalóítá tartalmaz zoftverkomponent i. Láuk mot ezeket egyenként! Hardvere megvalóítá Ebben az eetben a tűzfal zerepét egy célhardver látja el, mely rendelkezik a hálózat forgalmához mért átereztőképeéggel, akár több hálózati interfézel, aját operáció rendzerrel, comagzűrő vagy proxy zoftverrel, konfiguráció felülettel, melyen kereztül beállíthatók a hálózati paraméterek, valamint kialakíthatók a zabályrendzerek. 29

111 Ezen kívül lehetége olyan hálózati kapcolók telepítée i, melyek képeek egyzerű hozzáféréi zabályok (acce control lit) alkalmazáára witch-portonként, vagy belő, cak a witch zoftvere által létrehozott hálózati interfézenként. A hardvere tűzfal truktúrája a 13. ábrán látható. 13. ábra: Tűzfal hardvere megvalóítáal Szoftvere megvalóítá Olyan megoldáok i zóba jöhetnek, melyeknél a tűzfalzoftver telepítée a zervezet határútválaztójára, illetve a zerverekre é munkaállomáokra történik. Ekkor az operáció rendzer, a hálózati interfézek már adottak, a tűzfalzoftver kiegézíti az útválaztó vagy a munkaállomá képeégeit. A hardvere tűzfal truktúrája a 14. ábrán látható. Szoftvere tűzfalra példa a Linux kernellel zállított Netfilter comagzűrő, valamint a hozzá kapcolódó, konfiguráció lehetőéget biztoító iptable zoftvercomag. A tűzfalak zabályrendzerei 14. ábra: Tűzfal zoftvere megvalóítáal A zabályrendzerek határozzák meg a tűzfal működéét. A tűzfal kétféle döntét hozhat: adott forgalmat engedélyez vagy em. A dönté meghozatala előre meghatározott zabályok zerint történik. A zabályoknak orrendjét mi határozzuk meg. A zabályok fentről lefelé (top-down) értékelődnek ki. Minden zabálynál megvizgálja a tűzfal, hogy a zabályban rögzített feltételeknek megfelel-e a beérkező forgalom. Addig folytatódik a zabályok kiértékelée, amíg olyan zabályhoz nem ér, ami illezkedik a beérkező comagra. Ekkor a zabály eldöntheti, hogy a forgalom áthaladhat, vizautaítára kerül, de akár utaíthatja a tűzfalat további zabálycoportok kiértékeléére. Ha egyik zabály eetén em volt illezkedé, akkor a beállított alapértelmezé zerinti akció hajtódik végre, azaz a tűzfal mindent vizautaít vagy mindent elfogad. Külön zabálycoportok i létrehozáára i van lehetőég. A zabálycoportok lehetővé tezik, hogy a vizgált forgalomnak keveebb zabályon kelljen végighaladnia, lerövidítve a kiértékeléhez zükége időt é erőforráigényt, valamint egíti a zabályrendzer olvahatóágát é áttekinthetőégét. Például a kiértékeléi folyamat elején elágazát iktathatunk be, külön zabálycoportra irányíthatjuk a 30

112 TCP/UDP/ICMP forgalmat, é ezekben folytathatjuk a zabályozát. De a coportoítá történhet a forrá- vagy célcímek oztályai zerint i. Azt em zabad elfelejteni, hogy napjainkban történik az IPv6 protokoll zélekörű bevezetée, ami azt jelenti, hogy nem cak IPv4, hanem IPv6 címtartományainkra i ki kell alakítanunk zabályrendzerünket. Tűzfalak coportoítáa A tűzfalakat coportoíthatjuk az alapján, hogy az OSI rétegmodell mely rétegében működnek. Ez alapján a következő típuokat különböztethetjük meg: Comagzűrő tűzfalak Nem állapottartó (tatele) működé Állapottartó (tateful) működé Proxy tűzfalak Comagzűrő tűzfalak A comagzűrő tűzfalak az OSI rétegmodell adatkapcolati (L2), hálózati (L3) é zállítái (L4) rétegében működnek. A tűzfal megkap minden comagot az operáció rendzer kernelétől, é azokat egyeével vizgálja, legyen az kintről befelé, vagy bentről kifelé irányított comag. A tűzfal dönti el, hogy adott comag áthaladhat vagy eldobára kerül, eetleg a megfelelő ICMP válazüzenet küldéével egy kapcolat vizautaítáa vagy már felépült kapcolatok eetén bontáa történjen meg. A zabályok a comag egy vagy több paraméterét i vizgálhatják. Ilyen lehet például a forrá- vagy célcím, a forrá- vagy célport, a zállítái protokoll (pl.: TCP/UDP/ICMP), IP-verzió (IPv4, IPv6), fizikai cím (MAC addre), eetleg valamely TCP/UDP jelzőbit (flag). A comagzűrő tűzfalak általában nem vizgálják a comagok adattartalmát, kizárólag a comagok fejléceiben található információk alapján hoznak döntét. Nem állapottartó működé Ebben a működéi módban a comagzűrő tűzfal nem tart fenn aját adatbázit az új, már felépült vagy lezárára váró kapcolatokról. Ninc úgynevezett kapcolatköveté (connection tracking), így ninc információ egy adott adatfolyam állapotáról. A dönté mindig kizárólag a kapott comag fejléceinek vizgálata alapján történik. Sok hálózati protokoll eetén ez a mechanizmu elegendőnek bizonyulhat, főleg olyanoknál, ahol egy zolgáltatá cak egy portot haznál. A webzervereknél elterjedt HTTP protokoll például tipikuan a 80-a TCP portot haználja. Amennyiben egy publiku IP-címen hallgató zerver webe zolgáltatáának eléréét engedélyezni kell az internet felől, akkor két zabály megadáa zükége. Egyfelől engedni kell a kapcolat létrejöttét külő címek felől, máfelől engedélyezni kell, hogy a zerver válazolhaon kifelé, a kezdeményező állomá irányába. Így a zerverenként minden egye zolgáltatához tartozó két zabály a zabályrendzerünk gyor hízáát eredményezi. Állapottartó működé Több olyan, napi zinten haználato protokoll létezik, amely nem cak egy portot haznál. Ilyen például az FTP protokoll, amely tipikuan a 21-e TCP porton figyel. Ezen a porton működik a protokoll működééhez zükége kontroll catorna, vizont az adatátvitel a 20-a TCP porton megy végbe. Ebben 31

113 az eetben vizonylag egyzerű a helyzet, vizont léteznek olyan protokollok, amelyeknél a különböző egédfolyamok portzáma nem előre definiált. Ilyen például az NFS protokoll, vagy a VoIP híváoknál a SIP/RTP protokollpáro. Látható, hogy ezekben az eetekben megoldá lehet a tűzfalon áthaladó kapcolatok nyomon követée. A tűzfal feljegyzi az engedélyezett kapcolatokat, az abban réztvevő állomáok IP-címeit, a portzámokat, a kapcolat állapotát (új kapcolat, felépült kapcolat, bontára váró kapcolat). Így megadhatók olyan zabályok i, amelyek megengedik, hogy a feljegyzett kapcolatok további ellenőrzé nélkül átjuanak a tűzfalon. Az előző példában zereplő webzerver eetén elegendő lenne egy zabályt definiálni, ami átengedi a feljegyzett kapcolatot, é egyet, ami engedi a webzerver eléréét. Minden további zolgáltatá engedélyezééhez elegendő egy új zabály felvétele. Haonlóan, az FTP eetében i elegendő a 21-e TCP port engedélyezée, a nyilvántartá miatt az adatátvitel i menni fog. Proxy tűzfalak A proxy tűzfal az OSI rétegmodell alkalmazái rétegében (L7) működik. Nem egyzerűen cak a comagok fejléceiben zereplő paramétereket vizgálja, hanem az adatrézt i. Imer több hálózati protokollt, okzor tranzparen módon működik a felhaználók zemzögéből nézve. Az imert protokollok zabályo működée i vizgálható proxy tűzfalakkal, amellett, hogy ezközt biztoít a hozzáférézabályozához i. Tipiku példa proxy tűzfalra a webe forgalom zabályozáára haznált webproxy. A HTTP kérét a klien gépek valójában a proxy irányába továbbítják. A proxy feldolgozza a kérét, a meghatározott zabályok alapján engedélyezi vagy vizautaítja azt. Engedélyezé eetén a webtartalmat a proxy tölti le a megadott célcímről, majd továbbítja a kérét indító klien felé. Ez a technika haználható egyfelől a zervezet gépeinek kifelé irányuló kéréeinek zabályozáára, de lehetőéget ad a webzerver külő támadáok elleni védelmére i az úgynevezett fordított proxy (revere proxy) mód haználatával, amely kikényzeríti a protokollzabályok ponto betartáát, valamint védhet az eláraztáo próbálkozáok ellen i. Hátránya, hogy nagyobb az erőforráigénye é kéleltetée a comagzűrő tűzfalalakkal zemben, mivel nem comagonként történik a vizgálat, hanem több comag beváráa, az adatmezők özefűzée után. Előnye, hogy naplózhatóvá tezi a tevékenyégeket, zűrhető, zabályozható lez az adatfolyam az alkalmazái rétegben. A comagzűrő tűzfal cak azt tudja zabályozni, hogy egy adott zervezet munkatárai elérheék az interneten levő FTP zerverek 21-e TCP portját. Azt vizont cak a proxy tűzfal képe kizűrni, hogy egy tetzőlege irányba indított, 21-e TCP portra irányuló kapcolat valóban egy FTP zervert ér-e el, é nem pedig a cég munkatára próbál olyan protokollt haználni, amelynek az alapértelmezett portja a házirend zerint tiltott, é kizárólag a tűzfal megkerülée a cél. Manapág zinte minden zerveren beállítható, hogy adott zolgáltatá mely porton figyeljen, ezért a rendzergazdának megfelelő technikákat kell alkalmaznia, hogy az elképzelt zabályrendzer valóban a kívánt zabályozát biztoíta. Helyreállítá áramzünet után Évente pár alkalommal zinte mindenhol elfordulnak rövidebb-hozabb ideig tartó áramzünetek. Fonto, hogy a hálózat központi tűzfala minél magaabb rendelkezére állát biztoíton! Ezért fonto, 32

114 hogy a tűzfalként zolgáló ezköz zünetmente tápellátáal legyen felzerelve, ami át tudja hidalni az átlago hozúágú áramzüneteket. Hogy milyen az átlago hozúágú áramzünet, azt tapaztalat útján tudjuk megállapítani, egy adott környezetre nézve. Ugyanakkor az áthidalandó idő hozúágát meghatározhatják a zervezettel zemben támaztott elváráok i. Ki iroda eetén elfogadható lehet, ha az áram vizakapcoláa után a tűzfal üzemkéz állapotáig el kell telnie egy-két percnek, é nem okoz gondot, ha az áramzünet alatt a tűzfal legfeljebb 30 percig üzemel, hiz az irodai aztali gépekhez catlakoztatott zokványo zünetmente tápok perce intervallumot tudnak áthidalni. Egy internetzolgáltató vagy irodaház gerinchálózati ezközei, illetve tűzfala eetén azonban jogoan elvárható a hozabb tartáidő, hizen a klienek nagy területen való elhelyezkedée miatt előfordulhat olyan zituáció, amikor cak a zerverzoba környékén illetve internetzolgáltató eetén cak a központi ezközöknél van áramzünet, de az épület má rézein vagy akár a telje felhordó hálózatban ninc áramkimaradá. Általánoágban elmondható, hogy minél nagyobb tudáal, feldolgozái é átereztőképeéggel rendelkezik egy tűzfalezköz, annál több időbe telik kikapcolt állapotból az üzemi állapot elérée. Azt i figyelembe kell venni, hogy újraindítá után a tűzfal elvezíti állapotterét! A kapcolatokról nyilvántartott minden információ elvezik az állapottartó é proxy tűzfalak eetén egyaránt, így a klieneknek újra fel kell építeniük a hálózati kapcolataikat, ami löketzerű terhelét jelenthet a tűzfal zámára. Tűzfal-architektúrák A tűzfalépítéi feladat komplexitáa, az elvárt rendelkezére állá é a megkövetelt biztonági zint határozza meg, hogy milyen architektúrát alkalmazunk. Az alábbiakban néhány építkezéi mód leíráa olvaható. Egyedülálló tűzfal Egyedülálló tűzfal eetén a belő hálózat é a külő hálózat között cak egy tűzfal helyezkedik el, amely minden irányból zabályoz. Előnye, hogy alacony a kialakítá költége, egy ezközt kell konfigurálni é üzemeltetni. Hátránya, hogy cak egy védelmi vonalat teremt, azaz kritiku meghibáodái pontnak (ingle point of failure) tekinthető. A tűzfal ikere feltörée vagy zabályainak kijátzáa a külő támadó zámára direkt hozzáférét biztoít a belő hálózathoz. Az egyedülálló tűzfal truktúrája a 15. ábrán látható. 15. ábra: Egyedülálló tűzfal 33

115 Kettő (zendvic) tűzfal Kettő tűzfalról akkor bezélünk, ha külön tűzfal zűri a külő hálózat forgalmát, amelynek a belő hálózat felé néző hálózati interféze egy demilitarizált zónához (DMZ) catlakozik. A DMZ-ben található zerverek kommunikálhatnak külő hálózatokkal, megbíznak egymában, a belő hálózat felé külön kapcolattal rendelkeznek, valamint forgalmuk a telje befelé irányuló forgalommal együtt áthalad egy belő tűzfalon, mely mögött húzódik a belő hálózat. Hátránya, hogy implementációja költégeebb, több tűzfal- é hálózati ezközt igényel. Fonto, hogy kettő tűzfal eetében két helyen kell a zabályrendzerünket felépíteni é karbantartani! Előnye, hogy a külő tűzfal kompromittáláa cak az elő védelmi vonal eletét jelenti, a rendzer-üzemeltetőnek detektálái lehetőéget é időt ad a támadá megállítáához, a zükége lépéek megtételéhez. A támadó nem jut direkt hozzáféréhez a belő hálózat irányába, mivel a DMZ-ből cak erően korlátozott kommunikáció indítható a belő hálózat irányába. A kettő tűzfal truktúrája a 16. ábrán látható. 16. ábra: Kettő tűzfal topológia Tűzfalak tartalékoláa, hibatűrő eloztott tűzfalak A rendelkezére állá növelhető, a zolgáltatá-kieé pedig cökkenthető, amennyiben tartalék tűzfal(ak) áll(nak) folyamato kézenlétben. Olyan architektúra kialakítáa zükége, amelyben alapértelmezé zerint az elődlege tűzfal üzemel, de ki van jelölve egy tartalék tűzfal. Ha az elődlege ezköz meghibáodik vagy tervzerű karbantartáon megy kereztül, akkor a tartalék átvezi a zerepét. Nem állapottartó tűzfalaknál a váltá zinte ézrevehetetlen lehet a klienek zemzögéből. Vizont az állapottartó é proxy tűzfalak eetében ahhoz, hogy az átállá ézrevehetetlen legyen, az állapottér folyamato replikációja, az elődlege ezközzel való zinkronban tartáa lenne zükége. A nagy hálózati átviteli ebeég, a klienek nagy záma é a folyamato kapcolatnyitái é -lezárái kéréek, a maga akár több tízezer máodpercenkénti áthaladó comagzám miatt ez nem ki feladat, implementációja nem triviáli, é nagy körültekintét igényel, ezért a legtöbb megvalóítá ezt nem foglalja magába. 34

116 17. ábra: Tartalékolt tűzfal topológia Léteznek megoldáok klazterezett tűzfalakra i, ahol nem egy, hanem több, erre a célra dedikált tűzfal végzi a munkát. A klazter egy tagjának kieée eetén a klazter többi tagja megoztva vezi át a zerepét. Implementációja költége, cak nagy zervezeteknél haználatoak. A tartalékolt tűzfal topológia a 17. ábrán látható. A tűzfalak ellenőrzée Tűzfalépíté orán kerül meghatározára a házirend, amelyben megadott paraméterek alapján körültekintően kialakítjuk a zabályrendzerünket. Fonto, hogy ne fogadjuk el ellenőrzé nélkül, hogy a kigondolt logika pontoan fedi a megálmodott házirendet! Munkánkat mindig egézítük ki ellenőrzéekkel! Vizgáljuk meg, hogy adott klien eléri-e a zámára zükége hálózati erőforráokat, é caki kizárólag azokat! Ugyanígy ellenőrizzük a zervereknél i, hogy zolgáltatáaik cak a meghatározott klienek zámára elérhetőek! A vizgálatokhoz az egyzerű kapcolódái teztek mellett zámtalan ingyene é fizető ezköz érhető el. A kapcolódái tezt egyik legegyzerűbb módjához mindöze egy telnet klien zükége. Egy webzerver elérée például zinte bármely operáció rendzer alól teztelhető a telnet 80 paranc kiadáával. Ha a zolgáltatá elérhető, akkor ikere TCP kapcolat épül fel a klien é a zerver között. Ha a zolgáltatát blokkolja a tűzfal, akkor a kapcolódái kíérlet ikertelen lez (pl.: időtúllépé miatt). Ha kívánciak vagyunk, hogy egy zerver milyen zolgáltatáai érhetőek el adott gépről, akkor a klien gépen haználhatjuk az ingyene Nmap programot, amely többek között portzkennelét tez lehetővé. Képe nem cak a nyitott, de a zűrt cak bizonyo irányból elérhető portokat i felderíteni, valamint a kapott válazcomagok mintázata alapján megállapítani a vizgált cél operáció rendzerét. A zoftverrel feltérképezhetők a hálózatban található gépek i. Fonto a körültekintő haználat, tanáco cak aját hálózatunk ellenőrzéére haználni, hizen a portzkennelé ok helyen tiltott tevékenyégnek é automatikuan támadának minőül! Hazno é ingyene ezköz a Wirehark i. Létezik konzolo é grafiku felülete i, így alkalmazható zervereken é munkaállomáokon egyaránt. A Wirehark a kijelölt hálózati interféz telje forgalmához hozzáfér, ennek elérééhez rendzergazdai jogoultággal kell futtatni. Képe a comagokat elfogni, azokat elmenteni, fejlécüket é adatrézüket egyaránt elemezni, imert protokollok eetén a zabályo működét ellenőrizni, telje analizálát végezni. Az így kapott információk birtokában a rendzergazda képe lehet hálózati kommunikáció hibák felderítéére é megoldái terv kidolgozáára. 35

117 A hálózati forgalmi adatok é a hálózati hozzáféré auditáláa Előfordulhat, hogy egy támadát már cak akkor vezünk ézre, ha már ikereen lezajlott. Megtörténhet az i, hogy egy rozhizemű alkalmazott a biztonági házirendet meg nem értve adatokat zivárogtat ki harmadik fél zámára. De adatzivárgá előfordulhat akaratlanul i, például kémprogrammal fertőzött gépekről. Az em ritka, hogy egy oktatái intézmény a hallgatói zámára publiku Wi-Fi hozzáférét biztoít, amely eetben a hálózat haználata a nap bármely zakában történhet, időtartama eltérő lehet. Ugyanakkor az intézmény elvárja a hallgatóktól, hogy betarták a házirendet é a hatályo jogzabályokat, törvényeket. Ezekből az életzerű zituációkból i látzik, hogy a legrézleteebb házirend kidolgozáa eetén i történhetnek biztonági incidenek, vagy kaphat érteítét az intézmény, hogy hálózatából jog- vagy törvényértő tartalmat tettek közzé (pl.: webe feltöltő űrlap vagy FTP haználatával). A hálózat üzemeltetőjének ilyenkor zükége lenne arra, hogy viza tudja kereni, mi történt egy adott időzakban a hálózaton. Ezért fonto, hogy minden zerverzolgáltatá naplózva legyen az alkalmazái rétegben. Ha egy zervezet tagjai zámára lehetége a világhálón történő böngézé, akkor webforgalmukat cak a zervezet webproxy ezközén kereztül engedélyezzük, közvetlenül ne érheenek el külő webzervereket! Az SMTP zerver i jegyezze fel a ponto levélmozgáokat mindkét irányban, levelet küldeni é fogadni cak a kijelölt SMTP zerveren kereztül leheen! A DNS zerver i rögzíte a feloldái kéréeket! A belő hálózat állandó gépei előre kialakított címzéi logika alapján kapjanak IP-címet a zervezet DHCP zerverétől! Az időzakoan megjelenő (pl.: az előbb említett hallgatói) gépek kerüljenek külön hálózatba, mivel nem zámítanak megbízhatónak, ninc közvetlen kontroll felettük! Legalább a határ-útválaztó jegyezze fel az öze hálózati kapcolatot! Egy inciden okainak feltáráa é a lezajlá ponto menetének kielemzée akkor lehetége, ha rendelkezünk megfelelő adathalmazzal a vizgált időzakról. Ehhez nyújt kiváló egédezközt a Netflow. Netflow a hálózati audit egítéére A Netflow eredetileg egy olyan zoftvere ezköz, amelyet a Cico fejleztett ki, de ma már a legtöbb neve gyártó útválaztói é hálózati kapcolóezközei imerik, emellett elérhető Linux, BSD, VMware vsphere 5 rendzerekre i. A Netflow jelenleg haználato verziói már ipari zabvánnyá váltak, működéük többek közt RFC dokumentumokban rögzített irányelvek alapján valóul meg. A Netflow rendzer három rézre tagolódik: A Netflow Exporter az útválaztóban vagy hálózati kapcolóban megvalóított adatzolgáltató zoftverkomponen, ami a hálózati folyamokról gyűjt adatokat. Jegyzi a forrá- é célcímeket, forrá- é célportot, protokollt, átvitt adatmennyiéget a kijelölt hálózati interfézen. A Netflow Exporter a beállított időérték leteltével vagy a hálózati folyam befejeztével küldi tovább az adatokat. A Netflow Collector vezi át az adatokat a Netflow Exporter-től, majd letárolja megfelelő rekordzerkezetet haználva a háttértáron. Általában pár percenként új állományt nyit, mivel kiebb állományokban gyorabban lehet kereni a kéőbbiekben. A Netflow Analyzer kéréünkre kiolvaa a letárolt rekordokat, é megjeleníti a vizgált hálózati folyamokról kapott adatokat. Így az elemzét végző rendzergazda lekérdezéeket intézhet bármely tárolt paraméterre vonatkozóan, de vizakövetheti egy adott időzak 36

118 hálózati történéeit i. Az elemzé időben bármikor történhet, amíg a gyűjtött adatokat megőrizzük. Fonto látni a hárma tagolá előnyeit, hizen ennek közönhetően: Az adatgyűjté ki erőforráigénnyel megvalóítható nagy forgalmú é nagy ávzéleégű kapcolatokon. Az adatok tárolááról külő tároló gondokodik, például egy Linuxot futtató PC, így nagy mennyiégű adat olcón tárolható, az adatok több hónapra vizamenőleg i megőrizhetők, nem a hálózati forgalmat bonyolító ezköz erően vége memóriaterülete határozza meg a megőrzött adatok mennyiégét. Az elemzé a tárolt adatokon végezhetők, nem kell előre meghatározni, hogy mire lezünk kívánciak a kéőbbiekben. Szabadon elemezhetjük a rendelkezére álló adatokat, ugyanakkor lehetőég van időzített jelentéek generáláára i. A Netflow Analyzer kimenete nfdump haználatával (példa): Date flow tart Duration Proto Src IP Addr:Port Dt IP Addr:Port Packet Byte Flow :40: TCP :80 -> : :40: UDP : > : :40: UDP :53 -> : :40: TCP : > : :40: ICMP :0 -> : :40: TCP :80 -> : :40: TCP : > : :40: TCP : > : :40: TCP :80 -> : Támadá bármikor érheti a hálózatot. A biztonági felkézűltég zinten tartáához fonto alkalmazni a már rendelkezére álló biztonági, naplózái é auditegítő tehcnológiákat. De ne feledjük el, hogy gyor é robbanázerű fejlődéen megy kereztül az informatika, ezért nem elég, ha a hálózat biztonági truktúrája egy adott technológiai fejlettéghez é felhaználói zokáokhoz kerül kidolgozára. A házirendeket, zabályrendzereket, az alkalmazott IDS é IPS rendzereket folyamatoan hozzá kell igazítani a változó körülményekhez! 37

119 10. Vezeték nélküli hálózatok biztonága A vezeték nélküli hálózati kommunikációt a vezetéke kommunikáció kiegézítéére kezdték el kidolgozni. Tervezői nem zámítottak akkora térhódítára, mint amit elért napjainkra. Kiegítő alternatívának zánták olyan zituációkra, amikor a vezetéke hálózat kiépítée nem volt lehetége, vagy cak ad-hoc, ideiglene hálózati hozzáférére volt zükég. A kezdeti elgondoláok nyújtotta zolgáltatái zint hamar zűkönek bizonyult. Nem cak otthoni környezetben, de nagyvállalati zinten i egyre nagyobb piaci rézeedére tett zert. Kényelme, gyoran implementálható hálózati megoldáá, zéle körben elterjedt kommunikáció ezközzé vált. A népzerűég é a vállalatok rézéről érkező elváráok arra kéztették a technológiai újítókat, hogy a vezeték nélküli kommunikációt több lépcőben fejlezék. Nézzük végig ezeket az állomáokat a biztonág oldaláról, kezdve a technológia alapjainak rövid áttekintéével! Betekinté a vezeték nélküli technológia alapjaiba Ugyan az elő próbálkozáok 1979-ben indultak infravörö fény alkalmazáával, rövideen kézenfekvővé vált, hogy az átviteli közeget érdeme levegőben terjedő rádióhullámokra cerélni. Hozabb előkézítő munka után 1997-ben zabványoította az IEEE (Intitute of Electrical and Electronic Engineer) zervezet a nevű zabványban azt a fajta vezeték nélküli, rádióhullámokkal működő kommunikáció technológiát, ami napjainkra meghódította a világot, kéőbb több utódzabvány követte. A zabványokban közö, hogy mindegyik elnevezéel kezdődik, de kiegézül különböző betűjelöléekkel, így például a kezdeti zabványt követte az IEEE a, majd az IEEE b, IEEE g, é jelenleg az IEEE n a manapág kapható legfejlettebb megoldá. Kik kommunikálnak? Több felállát tez lehetővé a technológia. Az architektúra építőkövei az állomáok. Azokat az ezközöket nevezzük állomának, melyek rézt veznek a kommunikációban, rendelkeznek megfelelő rádió adóvevő komponenel. Állomá lehet egy vezeték nélküli hálózati kártyával rendelkező munkaállomá vagy laptop, illetve a vezetéke hálózat oldaláról nézve tipiku özekötő elem: a vezeték nélküli hozzáféréi pont (AP, Acce Point). Manapág elterjedtek már az okotelefonok, tabletek, melyek ugyancak rendelkeznek a megfelelő képeégekkel, hogy egy vezeték nélküli hálózatban állomáok leheenek. Azon ezközök kommunikálhatnak egymáal, akik azono catornán tartózkodnak. Ezen ezközök gyűjtőneve a Baic Service Set (BSS). A kommunikáció rögzített protokollt követve zajlik. Rádióhullámok é az interferencia A kijelölt frekvenciatartomány a 2.4GHz volt kezdetekben. Az IEEE n hozott változát ebben, hizen ez a zabvány megengedi már a 2.4GHz mellett az 5GHz-e tartomány haználatát i 20, illetve 40MHz zéle catornákkal. Fizikai tanulmányainkból imerő lehet, hogy azono frekvenciájú rádióhullámok találkozáakor a hullámok cillapíthatják, erőíthetik vagy teljeen kiolthatják egymát. Ezt nevezzük interferenciának. Ez nyilván nem kívánato jelenég eetünkben. Az interferencia minimalizáláa érdekében 20MHz-e catornákat alakítottak ki. Az Európában érvénye zabályozáok zerint 11 darab catorna áll 38

120 rendelkezére 2.4GHz-en é lényegeen több 5GHz-en, de ez utóbbi tartományban orzágonként változik a haználható catornák záma. Ha egy időben több állomá ad, akkor fellép az interferencia jelenége. A küldött comag érülhet, nem jut célba, újraküldée zükége, ami erően degradálja a hálózat teljeítményét. Ennek cökkentéére a közö oztott közegben időoztáo átviteli technikákat alkalmaznak. De a jelenéget így em lehet teljeen elkerülni. Mivel azono földrajzi helyen több, egymától független hálózat i üzemelhet. Előfordulhat, hogy egymá hatóugarán belül találhatók olyan hálózatok, amelyek azono catornán üzemelnek, vizont egymá forgalmát zabályozni nem tudják. Törvényi előíráok zerint a vezeték nélküli rádióadók legfeljebb 100mW teljeítménnyel ugározhatnak, hogy a hálózati frekvenciaátlapolódá kiebb területen lépheen fel. Tanáco telepíté előtt feltérképezni, hogy mely catornák foglaltak, é a aját hozzáféréi pontokat olyan frekvenciára hangolni, amelyen a legkeveebb hálózat érzékelhető. Azt azonban fonto megjegyezni, hogy egy eetlegeen zabad catorna em garantálja a zavartalan működét. Egyrézt az elterjedtég miatt bármikor megjelenhetnek új állomáok az addig zabad catornán, márézt a 2.4GHz-e frekvenciatartományt haználja a Bluetooth i, valamint zámo háztartái gép (pl.: mikrohullámú ütő) i itt kelt hullámokat. Ezért ha az ezközök támogatják é lehetőég van rá, javaolt az 5GHz-e tartomány haználata. Látható, hogy már az átviteli közeg i zámtalan lehetőéget ad a vezeték nélküli hálózat zavaráára. A támadó érkezhet olyan ezközzel, ami folyamatoan zavaró jelet ugároz a megfelelő frekvencián, ezzel haználhatatlanná téve a hálózatot. Továbbá érkezhet adatgyűjtéi zándékkal, hizen a comagok a levegőben terjednek, a rádióadók pedig körugárzó antennával rendelkeznek, így a tér minden irányába indulnak rádióhullámok. A támadónak ninc má dolga, mint elhelyezni ezközét a hatóugáron belül, é lehallgatni a forgalmat. Topológiák Alapvetően két topológia létezik: ad-hoc é infratruktúra kialakítá. Ad-hoc hálózatról akkor bezélünk, amikor az állomáok halmazában nem található AP. A kommunikáció partnerek pont-pont kapcolatokat építenek fel zomzédjaikkal. Ez a topológia tartalmazhat mindöze két állomát, de megengedett több állomá catlakoztatáa i, a felek aját pont-pont kapcolatot alakítanak ki a közelükben levő réztvevőkkel, a hálózat további tagjait a zomzédokon kereztül éri el. Az ad-hoc vezeték nélküli hálózatok működéét a 18. ábra zemlélteti. 39

121 18. ábra: Ad-hoc vezeték nélküli hálózati topológia Az infratruktúra mód haználatához zükége legalább egy AP, ami egy zövege hálózati azonoítót hirdet aját interfézének MAC-címével együtt. Az állomáok az AP-hez catlakoznak egy tárítái folyamat keretén belül, melynek orán egyeztetik a hálózat paramétereit, felépítik munkamenetüket. A hálózat bármely két állomáa közti kommunikáció az AP ezközön kereztül történik. Jellemzően az AP kapcolódik a vezetéke hálózathoz, így kapcolja öze a vezeték nélküli ezközöket a vezetéke belő hálózattal, illetve az internettel. De nem cupán ez az előnye az AP-k alkalmazáának. Fonto zempont lehet az i, hogy egy AP-hez nem cak azono zabványt támogató állomáok catlakozhatnak, hanem egyzerre azociálhatnak a b, illetve a g zabványt támogató ezközök i. Az infratruktúra mód működéét a 19. ábra illuztrálja. 40