Információs technológiák 8. Ea: Lakat alatt. Az informatikai biztonságról

Átírás

1 Információs technológiák 8. Ea: Lakat alatt Az informatikai biztonságról 126/1 B ITv: MAN

2 Az informatikai biztonságról 126/2

3 Témakörök Általános alapfogalmak Adatvédelem Adatbiztonság Ellenőrző kérdések 126/3

4 Adat, jel, információ Adat: tények, fogalmak, eligazítások olyan formai megjelenése, amely alkalmas az emberi vagy az automatikus eszközök által történő kommunikációra, értelmezésére, feldolgozására. Az adat valamilyen formában tárolt ismeretet jelent. Jel: Az adat hordozója, mely valamilyen módon felfogható: hallható, látható, valamilyen eszközzel érzékelhető. Információ: az adatok feldolgozásával keletkező hatás, (értelmezett adat) amely a befogadó számára megnövekedett jelentéstartalmat hordoz. 126/4

5 Kommunikáció Információátadás, szereplői: emberek és gépek. A sikeres kommunikáció feltételei: A kommunikáló felek között olyan kapcsolatnak kell kialakulnia, amely lehetővé teszi a kommunikáció megtörténtét. Szükség van a kommunikáló feleket összekötő csatornára, amely alkalmas üzenet továbbítására. Szükség van egy közös kódrendszerre (annak mindkét fél általi ismeretére). Az üzenetnek olyan tartalommal kell bírnia, amelyet a címzett megért. 126/5

6 A kommunikáció modellje Claude Elwood Shannon, 1948 Forrás 126/6 kódolás Adó jel csatorna jel Vevő dekódolás Felhasználó Kódolás: a közlemény csatornán átvihető jelekké történő alakítása valamilyen kódrendszer segítségével. Dekódolás: a jelek visszaállítása közleménnyé. Csatorna: az a (fizikai) közeg, melyen keresztül a közlemény eljut a feladótól a vevőhöz. Redundancia: általában bizonyos adatokat megismétlünk az üzenetben, ezeket az újabb információt nem adó elemeket redundáns adatoknak nevezzük. zaj

7 Kommunikáció - Dokumentum Kommunikáció: Az információk cseréje, átadása. Adó Vevő Információ Kódolás Csatorna Dekódolás Információ Dokumentum: Az információ megjelenési formája. Olyan önálló szellemi termék, független információegység, melynek célja az információ közlése, a tudás átadása. Számítógépes környezetben a dokumentumok fájlok formájában jelennek meg, így tárolódnak, így továbbíthatók. 126/7

8 Adatvédelem - Adatbiztonság Adatvédelem: Adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Adatbiztonság: Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni technikai megoldások (műszaki és szervezési intézkedések és eljárások) együttes rendszere. 126/8

9 Témakörök Általános alapfogalmak Adatvédelem Adatbiztonság Ellenőrző kérdések 126/9

10 Adatvédelem Adatvédelem: Adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Fő ellentmondás: Az információ szabad áramlása Személyes adatok védelme 126/10

11 Adatvédelmi ajánlások Európa tanács 1973 Az egyének magánéletének védelméről, a magán, ill. az állami szektorban tárolt elektronikus adatbankokkal szemben. Európa Tanács A kormányzati dokumentumok nyilvánosságáról és az információszabadságról Gazdasági Együttműködés és Fejlesztési Szervezet (OECD) A magánélet védelméről és a személyes adatok határt átlépő áramlásáról 126/11

12 Adatvédelmi ajánlások 2. Európa Tanács Titokvédelmi egyezmény a személyes adatok automatikus kezelésével kapcsolatos védelméről Általános Vám- és Kereskedelmi Egyezmény Egyezmény a szellemi tulajdon kereskedelmével összefüggő kérdésekről Európai Unió és az Európa Parlament Irányelv az adatbázisok jogi védelméről NATO Az információ biztonságáról Európai Unió és az Európa Parlament Akcióterv az Internet biztonságos használatának előkészítésére 126/12

13 Hazai szabályozás Az Alkotmány XII. fejezete, 59. A Magyar Köztársaságban mindenkit megillet a jó hírnévhez, a magánlakás sérthetetlenségéhez, valamint a magántitok és a személyes adatok védelméhez való jog. 126/13

14 1992. évi LXIII. törvény Az állampolgárnak döntési és cselekvési joga van a róla szóló információk felett, valamint joga van a közérdekű információk megismeréséhez. A törvény főbb pontjai: A törvény célja Értelmező rendelkezések A személyes adatok védelme A közérdekű adatok nyilvánossága Az adatvédelmi biztos és az adatvédelmi nyilvántartás 126/14

15 Személyes adatok Az érintett személlyel kapcsolatba hozható adat, melyből következtetés vonható le az érintettről. Pl: név, születési dátum, hely, anyja neve, végzettség, foglakozás 126/15

16 Különleges adatok A magánszféra leginkább védelemre szoruló adatai, amelyek a következőkre vonatkoznak: Faji, nemzeti, nemzetiségi és etnikai eredetre, Politikai véleményre, pártállásra, Vallási vagy más meggyőződésre, Egészségi állapotra, Káros szenvedélyre, Szexuális beállítottságra, Büntetett előéletre. 126/16

17 Az adatkezelés szabályozása Adatkezelő: Az a természetes vagy jogi személy (hatóság, intézmény vagy más szervezet), amelynek törvényes joga van meghatározni az adatkezelés célja szerint tárolandó személyes adatok fajtáit és végrehajtani velük a szükséges műveleteket (adatgyűjtés, módosítás, nyilvánosságra hozás, törlés). Személyes adat kezelhető, ha az érintett hozzájárul, vagy a törvény elrendeli. Különleges adat kezelhető, ha az érintett írásban hozzájárul, vagy külön törvény elrendeli. 126/17

18 Közérdekű adatok Az állami vagy helyi önkormányzati feladatot ellátó szerv kezelésében, a személyes adat fogalma alá nem eső, és törvényben meghatározott kivételek körébe nem tartozó adat. Közfeladatot ellátó szerv köteles tájékoztatást adni tevékenységéről. Belső használatra és döntés-előkészítésre használt adat 30 évig nem nyilvános. De! Létezik: Állam- és szolgálati titok, Banktitok, üzleti titok, levéltitok 126/18

19 Témakörök Általános alapfogalmak Adatvédelem Adatbiztonság Ellenőrző kérdések 126/19

20 Adatbiztonság Alapfogalmak Az informatikai biztonság megvalósítása Titkosítási módszerek 126/20

21 Adatbiztonság Adatbiztonság: Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni technikai megoldások (műszaki és szervezési intézkedések és eljárások) együttes rendszere. Alapkövetelmények: Rendelkezésre állás A rendszer szolgáltatásai és adatai a megfelelő időben legyenek működőképesek. Sértetlenség Az adatokat és a programokat csak az arra jogosultak változtathatják meg, véletlenül sem módosulnak. 126/21

22 Adatbiztonság Alapkövetelmények 2. Bizalmasság Az adatokhoz az arra jogosultak, és csak az előírt módokon férhetnek hozzá. Hitelesség A partnerek kölcsönösen és kétségtelenül felismerhetik egymást, és ez az állapot a kapcsolat egész idejére változatlanul fennmarad. Működőképesség A rendszernek és elemeinek az elvárt és igényelt üzemelési állapotban való tartása. 126/22

23 Kockázatmenedzsment Fenyegető tényezők: a biztonsági alapkövetelmények teljesítését zavaró körülmények vagy események. A kockázatmenedzsment feladata a rendszert fenyegető veszélyek felmérése, és a megfelelő védelmi stratégia kidolgozása. Törekedni kell egy egyenszilárdságú rendszer kiépítésére, mely minden pontján egyforma erősségű védelmet nyújt. Fontos: a védelemre fordított energia és tőkebefektetés ne haladja meg a lehetséges kár által okozott veszteséget. 126/23

24 Támadások Az adat a támadások célja, de általában nem közvetlenül érhetők el az adatok, hanem az azokat "körülvevő" rendszerelemeken (a hardver és/vagy szoftver elemeken, a környezeti infrastruktúrán) keresztül. Támadás: Azok az akciók, amelyek az adatok 126/24 bizalmasságát, sértetlenségét, hitelességét, rendelkezésre állását, a funkcionális követelményeknek megfelelő felhasználásukat veszélyeztetik.

25 Áramellátás Villámvédelem Veszélyforrások Megvesztegetés Szakképzetlenség Bosszúállás Szabályok hiánya Fizikai behatolás Üzemzavar Szakszerűtlen üzemeltetés Személyek (belső, külső) Épület, szerverszoba Hardver + Hálózat Op.Rendszer Alkalmazások ADAT Vírusok Illetéktelen szoftverek Illetéktelen rácsatlakozás Programhibák Tűzvédelem, Hűtés Illetéktelen hozzáférés Kémprogramok Tűz Túlmelegedés Villámcsapás 126/25

26 Veszélyforrások 2. Szervezési gyengeségek Szervezési hiányosságokból eredő veszélyek, nem megfelelő erőforrás és kapacitástervezés Természeti veszélyforrások Tűz, csőtörés, árvíz, villám, földrengés Fizikai veszélyek Betörés, lopás, rongálás Logikai fenyegetések Informatikai csalás, hálózati betörés, lehallgatás Humán veszélyforrások Belső munkatársak gondatlansága, visszaélések, szándékos rongálás 126/26

27 Az informatikai biztonság az az állapot, amikor az informatikai rendszer védelme a rendszer által kezelt adatok bizalmassága, hitelessége, sértetlensége rendelkezésre állása, a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folyamatos és a kockázatokkal arányos. 126/27

28 Az informatikai biztonság 2. Zárt védelem: az összes releváns fenyegetést figyelembe vevő védelem. Teljes körű védelem: a védelmi intézkedések a rendszer összes elemére kiterjednek. Folyamatos védelem: az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósuló védelem. A kockázattal arányos védelem: egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel. 126/28

29 Az informatikai biztonság 3. A védelmi költségek és a kárérték arányát a biztonságpolitika határozza meg, és ezt, mint a védelem erősségét is értékelhetjük. A védelem akkor kielégítő erősségű (mértékű), ha a védelemre akkora összeget és olyan módon fordítanak, hogy ezzel egyidejűleg a releváns fenyegetésekből eredő kockázat a szervezet számára még elviselhető szintű vagy annál kisebb. 126/29

30 Biztonságpolitika A szervezetek, intézmények biztonságpolitikájának elemzéséhez és meghatározásához azok alapfeladataiból, illetve az azokat gátló, veszélyeztető hatásokból kell kiindulni. A biztonsági koncepció az adott intézményre vonatkozó informatikai biztonsági alapelveket fogalmazza meg és az informatikai biztonságpolitika alapját képzi. A biztonságpolitika a szervezet és tagjainak az informatikai biztonsághoz kívánatos viszonyulást, az érvényesítés alapelveit fogalmazza meg egységes szemlélettel és az intézmény egészére. 126/30

31 A biztonsági stratégia Meghatározzuk a védelmi célokat, kiválasztjuk és elhatároljuk azokat a területeket, amelyeken a biztonsági rendszereket kialakítani és az intézkedéseket érvényesíteni kell, meghatározzuk a biztonsági tervezés módszerét, körvonalazzuk a minimális követelményeket, megtervezzük és ütemezzük az intézményre vonatkozó biztonsági intézkedéseket, beleértve a katasztrófaelhárítást is, meghatározzuk a követhetőség és a menedzselhetőség követelményeit, valamint a felügyelet és az ellenőrzés rendszerét. 126/31

32 Az adatvesztés főbb okai Forrás: Contigency Planning Research 126/32

33 Keletkező károk Dologi károk: közvetlen vagy közvetett költségvonzat Károsodás az infrastruktúrában (épület, vízellátás, áramellátás, klímaberendezés stb.), károsodás az informatikai rendszerben (hardver, hálózat sérülése stb.), a dologi károk bekövetkezése utáni helyreállítás költségei. 126/33

34 Keletkező károk 2. Politikai és társadalmi károk: Állam- vagy szolgálati titok megsértése, személyiséghez fűződő jogok megsértése, személyek vagy csoportok jó hírének károsodása, bizalmas adatok nyilvánosságra hozatala, hamis adatok nyilvánosságra hozatala, közérdekű adatok titokban tartása, bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben. 126/34

35 Keletkező károk 3. Gazdasági károk: Lopás károk, az intézmény vagy cég image-ének romlása, rossz üzleti döntések hiányos vagy hamis információk alapján. Személyek biztonságában esett károk: Személyek megsérülése, megrokkanása, haláleset. 126/35

36 Keletkező károk 4. A tudomány területén okozott károk: Eredmények idő előtti, illetve hamis név alatti nyilvánosságra kerülése, tudományos eredmények meghamisítása. 126/36

37 Kárérték szintek Anyagi kár Helyreállítás időtartama Hatások 0 Jelentéktelen kár Néhány Ft < 1 nap Jelentéktelen személyi sérülések Szervezeten belül maradó problémák Nem védett adat bizalmassága vagy hitelessége sérülhet 1 Csekély kár Néhány Ft < 1 hónap Könnyű személyi sérülések Kínos helyzet a szervezeten belül Védett adatok bizalmassága vagy hitelessége sérülhet Néhány súlyos személyi sérülés 2 Közepes kár Néhány millió Ft < 1 év Bizalomvesztés a szervezet középvezetésében Fegyelmi intézkedések Jogszabállyal védett adatok (levélorvosi-, üzleti titkok) bizalmassága vagy hitelessége sérülhet 126/37

38 Kárérték szintek 2. Anyagi kár Helyreállítás időtartama Hatások 3 Nagy kár Néhány tízmillió Ft > 1 év Tömeges személyi sérülések Bizalomvesztés a szervezet vezetésében, vezetők lemondása Szolgálati titkok, és/vagy nagy tömegű védett személyes adatok bizalmassága vagy hitelessége sérülhet 4 Kiemelkedően nagy kár Néhány százmillió Ft > 10 év Halálesetek, és/vagy tömeges személyi sérülések Államtitkárok, tárcavezetők leváltása Katonai-, nagy értékű üzleti titkok, bizalmassága vagy hitelessége sérülhet 4+ Katasztrofális kár 126/38 Néhány milliárd Ft > 10 év Tömeges halálesetek Kormányon belüli személyi változás Államtitkok bizalmassága vagy hitelessége sérülhet

39 Információbiztonsági osztályozás A besorolás az informatikai rendszert maximálisan fenyegető események alapján történik: Alapbiztonsági: a rendszerben maximum 2, azaz legfeljebb közepes kárértékű esemény bekövetkezése fenyeget. Fokozott biztonsági: a rendszerben maximum 3, azaz legfeljebb nagy kárértékű esemény bekövetkezése fenyeget. Kiemelt biztonsági: a rendszerben a 4+, azaz a katasztrofális kárértékig terjedő esemény bekövetkezése fenyeget. 126/39

40 Információbiztonsági osztályozás 2. Alapbiztonsági: Személyes adatok,pénzügyi adatok, illetve az intézmény belső szabályozásában hozzáféréskorlátozás alá eső és a nyílt adatok feldolgozására, tárolására alkalmas rendszer biztonsági osztálya. Fokozott biztonsági: A szolgálati titok, valamint a különleges személyes adatok, nagy tömegű személyes adatok, banktitkok, közepes érték üzleti titkok feldolgozására, tárolására is alkalmas rendszer biztonsági osztálya. Kiemelt biztonsági: Az államtitok, a katonai szolgálati titok, valamint a nagy tömegű különleges személyes adatok és nagy érték üzleti titkok feldolgozására, tárolására alkalmas rendszer biztonsági osztálya. 126/40

41 Rendelkezésre állás Az a valószínség, amellyel egy definiált időintervallumon belül az alkalmazás a tervezéskor meghatározott funkcionalitási szintnek megfelelően a felhasználó által használható. T üz = 1 hónap Rendelkezésre állás Megengedett kiesési idő Egyszeri max. kiesés hossza IB-A Alapbiztonsági IB-F Fokozott biztonsági IB-K Kiemelt biztonsági 126/41 95,5 % 23,8 óra - 99,5 % 2,6 óra 30 perc 99,95 % 16 perc 1 perc

42 Az alapbiztonsági (IB-A) osztály kialakítása Az intézkedéseknek az alábbiakra kell kiterjednie: Az infrastruktúra kialakítása Hardver-, szoftver védelem Adathordozók védelme Dokumentumok, dokumentációk védelme Adatok védelme A kommunikáció, és az osztott rendszerek védelme Személyi intézkedések 126/42

43 Az IB-A osztály infrastruktúrája Irányelvek a kialakításhoz: Az adatok feldolgozását, tárolását, a hálózat működését biztosító berendezésekre és a tárolt szoftverekre, adatokra és dokumentációkra kell megvalósítani a védelmet. A védelemnek az alkalmazások rendelkezésre állásának értékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével kell arányban lennie. A védelem teljes kör, mindenre kiterjedő legyen. 126/43

44 Az IB-A osztály infrastruktúrája 2. Követelmények: A mechanikai védelemnél, a falazatok, a nyílászárók, a zárak biztonsági kialakításánál az építészeti szabványok, a MABISZ és a Rendőrség ajánlásai szerint kell eljárni. Az intézmény őrzés-védelmét mind munkaidőben, mind azon túl biztosítani kell, az épület zárását, a belépést ezen időszakoknak megfelelően szabályozni és érvényesíteni kell. Az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni és a helyiséget távollét esetén zárva kell tartani. Biztosítani kell az adathordozók és dokumentációk tűz- és vagyonvédett tárolását. 126/44

45 Hardver-, szoftver védelem A számítástechnikai eszközökre a vagyonvédelem szempontjából a MABISZ ajánlásait kell alkalmazni. A PC-s munkaállomásokat a felhasználói igények figyelembevételével úgy kell konfigurálni, hogy a felhasználóhoz kötött jelszó használat biztosított, illetve az illetéktelen adathordozó használat megakadályozható legyen. Biztosítani kell az intézmény egészére kiterjedő, rendszeres és folyamatos vírusvédelmet. A szoftverben megvalósított védelmeket az operációs rendszer és a felhasználói rendszer védelmi tulajdonságai kölcsönös gyengítése nélkül kell kialakítani. 126/45

46 Hardver-, szoftver védelem 2. Követelmény, hogy az alkalmazások szintjén megvalósított védelmi funkciók az operációs rendszer megfelelő védelmi eszközeire - ha ilyenek léteznek - épüljenek. Össze kell állítani és elérhető helyen kell tartani a számítástechnikai eszközök használatára felhatalmazott személyek névsorát, feladataikat körül kell határolni. A programok, alkalmazások és eszközök tervezése, fejlesztése, tesztelése és üzemeltetése során a biztonsági funkciókat kiemelten és elkülönítetten kell kezelni. 126/46

47 Adathordozók védelme Az adathordozó eszközök elhelyezésére szolgáló helyiségeket úgy kell kialakítani, hogy elegendő biztonságot nyújtsanak illetéktelen vagy erőszakos behatolás, tűz vagy természeti csapás ellen. Adatátvitelre, valamint mentésre, archiválásra használt adathordozók tárolása csak megbízhatóan zárt helyen történhet. Az adathordozók beszerzését, tárolását, felhasználását és hozzáférését szabályozni, nyilvántartani, rendszeresen és dokumentáltan ellenőrizni kell. A mentésre, archiválásra szolgáló adathordozók tartalmáról nyilvántartást kell vezetni. 126/47

48 Adathordozók védelme 2. Az intézménynél csak leltár szerint kiadott, azonosítóval ellátott adathordozót szabad használni. Idegen adathordozó használata nem megengedhető. Az intézményen kívüli adatforgalomban használt adathordozók előállítása, kiadása és fogadása csak kijelölt helyeken, írásban szabályozott, dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőrző eljárások (pl. vírusellenőrzés) után szabad. Minden adathordozót újra alkalmazás előtt, felszabadítás, selejtezés után az adatok megsemmisítését eredményező megfelelő eljárással törölni kell. 126/48

49 Dokumentumok, dokumentációk védelme A nyomtatott anyagok kezelését az iratkezelési szabályzat szerint kell elvégezni. Az informatikai rendszer biztonságával kapcsolatos dokumentációt az informatikai rendszer biztonsági fokozatának megfelelően kell kezelni. Az informatikai rendszer vagy annak bármely elemének dokumentációját változásmenedzsment keretében kell aktuális szinten tartani. 126/49

50 Adatok védelme Az információs rendszer hozzáférési kulcsait (azonosító kártya, jelszó), a jogosultságokat és más, a biztonsággal kapcsolatos paramétereket titkosítva kell továbbítani. A rendszer biztonságát érintő adatok (pl. jelszavak, jogosultságok, naplók) védelméről a hozzáférési jogosultságok kiosztásánál kell gondoskodni. Külső személy - pl. karbantartás, javítás, fejlesztés céljából - a számítástechnikai eszközökhöz úgy férhet hozzá, hogy a kezelt adatokat ne ismerhesse meg. Az adatbevitel során a bevitt adatok helyességét az alkalmazási követelményeknek megfelelően ellenőrizni kell. 126/50

51 Adatok védelme 2. Programfejlesztés vagy próba céljára valódi adatok felhasználását - különösen akkor, ha a próbát külső szerv vagy személy végzi, vagy annak eredményeit megismerheti - el kell kerülni. Ha ez nem valósítható meg, akkor az adatok bizalmasságát más módszerekkel kell megőrizni. Gondoskodni kell arról, hogy a számítógépen feldolgozott minden adatállomány az adattípust jelölő biztonsági címkével legyen ellátva. 126/51

52 A kommunikáció, és az osztott rendszerek védelme Az elektronikus úton továbbított üzenetek, állományok tekintetében az iratkezelési szabályzatnak megfelelően kell eljárni. Az alanyokra a szolgáltatások indítása vagy az azokkal történ kommunikáció megkezdése előtt megvalósítandó a hitelesítési eljárás. Az adott hálózati alrendszer hitelesítési mechanizmusa nem érintheti a hálózat többi alrendszerének hitelesítési rendszerét. Egy adott alhálózatban azonosítani kell a más alhálózatból importált adatok feladóját. Ha ilyen nincs, ezeket az adatok el kell különíteni. 126/52

53 A kommunikáció, és az osztott rendszerek védelme 2. Az osztott rendszerben a jelszavak, a jogosultságok és a biztonsággal kapcsolatos más paraméterek, adatok csak titkosítva továbbíthatók. A hálózati erőforrások használata a felhasználók számára szabályozandó, korlátozandó. A hálózat elosztott és diszkrét elemeit rendszeresen ellenőrizni kell annak érdekében, hogy a hálózatban a hálózati forgalom monitorozására és rögzítésére alkalmas erőforrást illetéktelenül ne használjanak. Egy alhálózatban definiált azonosító hozzáférési joga delegálható egy másik alhálózatba és ez alapján kell érvényesíteni az eredeti azonosítóhoz rendelt jogokat. A szabad belátás szerint kialakított hozzáférés-vezérlést ki kell terjeszteni a teljes osztott rendszerre. 126/53

54 A kommunikáció, és az osztott rendszerek védelme 3. Központi hozzáférés-menedzsment esetén az alanyoknak egy privilegizált hálózati szolgáltatás (pl. egy biztonsági szerver) által kezelt hozzáférési jogai biztonságos úton eljutnak az osztott rendszer többi feldolgozó egységéhez a hozzáférés-vezérlés végrehajtása céljából. Ehhez elosztott hozzáférésvezérlési táblakezelés szükséges. Az ilyen információk titkosítva kerüljenek továbbításra. A biztonságos adatcsere követelményének teljesítéséhez biztosítani kell az adatintegritást mind a protokollvezérlő, mind a felhasználói adatokra. Az adatvesztés és sérülés elkerülése céljából hibadetektáló és javító eljárásokat kell alkalmazni. 126/54

55 Személyi intézkedések Az intézmény területén ki kell alakítani a kitűzők viselésével kapcsolatos szabályozást. A belépés rendjét a hozzáférési jogosultságokkal összhangban kell szabályozni. A magasabb jogosultságú személyeknél el kell kerülni a jogok túlzott koncentrációját. Munkába álláskor minden munkatárs számára biztosítani kell az informatikai biztonsággal kapcsolatos oktatást, valamint az összes munkatárs számára a rendszeres továbbképzést. Az informatikai rendszer biztonságát meghatározó munkakörökben dolgozó munkatársak helyettesítési rendjét ki kell alakítani. 126/55

56 Személyi intézkedések 2. A fontosabb alkalmazásokhoz rendszergazdákat kell kinevezni, akiknek feladatkörét pontosan meg kell határozni. A fejlesztő környezetet el kell választani az alkalmazói környezettől, szét kell választani a fejlesztői, működtetői és adminisztrációs hozzáférési jogköröket. Külső partnerekkel kötött fejlesztési, karbantartási szerződések biztonsággal kapcsolatos részeinek kialakítására pontos szabályozást kell adni. 126/56

57 Adatbiztonság Alapfogalmak Az informatikai biztonság megvalósítása Titkosítási módszerek 126/57

58 Az informatikai biztonság megvalósítása Fizikai védelem Ügyviteli védelem Algoritmusos védelem 126/58

59 Fizikai védelem Zárható géptermek, irodák, Beléptető rendszerek, mozgásérzékelők, Mechanikus rögzítés, Kamerás megfigyelő rendszerek használata, Szünetmentes áramforrások, Rejtett hálózati kábelek, Szekrényekbe zárt aktív hálózati elemek, Hő-, füstérzékelők, Elzárt adathordozók, Lelakatolt számítógépek, Hordozható eszközökben RFID csipek. 126/59

60 Ügyviteli védelem Szűkebb értelemben: Dokumentumok kezelési szabályozása (létrehozás, iktatás, továbbítás, tárolás, törlés) Tágabb értelemben: Az intézmény informatikai biztonsági koncepciója: Minden olyan előírás, hogy mit, mikor, hogyan lehet, és hogyan kell lebonyolítani. Mi mit jelent, mire kell figyelni, hogyan kell észrevenni Feladatkörök, felelősségi körök, hatáskörök definiálása Módszerek, teendők, felelősök, szankciók 126/60

61 Ügyviteli védelem 2. Az ügyviteli védelem érint a következő területeket: Eszközök azonosítása (vonalkód, RFID), Rendszeres ellenőrzés (biztonsági szolgálat), Rendszeres eszközleltár, Csak munkaidőben igénybe vehető hardverek, szolgáltatások, Eszközök mozgatása csak engedéllyel, Javítás, szervízelés csak üres adathordozókkal, Adathordozók (CD, DVD) megsemmisítése (ledarálás), Jelszavak használata (rendszeres módosítás!), 126/61

62 Ügyviteli védelem 3. WiFi használatának tiltása, Internet szűrése, Frissítések tiltása, Szoftverek telepítésének szabályozása, Rendszeres adatmentések, mentési terv, Katasztrófa gyakorlat, Események naplózása (rendszeres olvasással), Kötelező vírusvédelem, A személyzet rendszeres tájékoztatása, továbbképzése, Intézkedési mechanizmusok betartásának ellenőrzése. 126/62

63 Ügyviteli védelem 4. A jelszavak minősége, és az összes lehetséges variáció kipróbálása közötti összefüggés (átlagos sz.gép esetén): Karakterkészlet Jelszó hossza Megfejtési idő a - z 4 <1 mp 6 30 mp 8 5,5 óra nap 126/63 Karakterkészlet Jelszó hossza Megfejtési idő a - z 8 5,5 óra a z, ,2 nap A Z, a z 8 62 nap A z, nap magyar abc, ,3 év fenti + spec.karakterek 8 33 év

64 Algoritmusos védelem Azokból az eljárásokból, protokollokból áll, amelyek a rendszer szolgáltatásaival egyidejűleg, velük szorosan együttműködve látják el a védelmi feladatokat. Kriptográfia: az információ algoritmikus módszerekkel történő védelmének tudománya. Olyan módszerekkel foglalkozik, amelyek biztosítják az üzenetek vagy tárolt információk titkosságát, védettségét, illetve hitelességét. Matematikai módszereket alkalmazó algoritmusok az eszközei, amelyek használatának pontos leírását a kriptográfiai protokollok tartalmazzák. 126/64

65 A kriptográfia alapvető szolgáltatásai Titkosítás: egy üzenet olyan leképezése, átalakítása, hogy annak információtartalma csak meghatározott eszközök birtokában állítható vissza. Az üzenet bármilyen típusú állomány lehet, titkosítására kulcsot használnak. Ezzel lehet az állományt visszafejteni. Az adattitkosítás leírható matematikai függvénnyel, amely az eredeti szöveghez a kódolt szöveget rendeli. Hitelesítés: a tárolt adatok vagy kommunikációs üzenetek tartalmára vonatkozó védelmi eljárás. Az adatokat a hamisítás, manipulálás, megváltoztatás, kiegészítés ellen védi. Azt bizonyítja, hogy az adatok a keletkezésük óta nem változtak meg. 126/65

66 A kriptográfia alapvető szolgáltatásai 2. Partnerazonosítás: a partnerek kétséget kizáró, kölcsönös azonosítására használt eljárás. A küldő biztosítja, hogy az üzenetet csak az általa kiválasztott vevő partner értheti csak meg, a fogadó fél pedig egyértelműen tudja bizonyítani, hogy az üzenetet a küldőtől kapta. Digitális aláírás és időbélyeg: Az üzenethez kapcsolva képes bizonyítani azt, hogy ki volt az üzenet kibocsátója, és hogy az üzenet sértetlen. Az időbélyeg pedig a keletkezés idejét bizonyítja, így véd az újra kibocsátás ellen. 126/66

67 A kriptográfia alapvető szolgáltatásai 3. Hozzáférés-védelem, jogosultság: a valamit tud és valamivel rendelkezik elvet alkalmazva valósítja meg a különféle informatikai rendszerekhez való szelektív hozzáférést. Jelszavakat menedzselő, ellenőrző, illetve hozzáférési jogosultságot és hardverkulcsot kezelő részekből áll. Eseménynapló: automatikusan rögzíti az informatikai rendszerben történ összes lényeges aktivitás időpontját és körülményeit. Beállításai és működési mechanizmusai csak a legmagasabb jogosultsággal rendelkező felhasználók számára elérhető. 126/67

68 Adatbiztonság Alapfogalmak Az informatikai biztonság megvalósítása Titkosítási módszerek 126/68

69 Titkosítás Történelmi áttekintés Eredete: Ókor. Görög háborúk. Üzenetküldés úgy, hogy csak a címzett tudja megfejteni, más ne. Szteganográfia: adatok elrejtése Üzenet írótáblára írása, beborítása viasszal Emberi fej leborotválása, üzenet a fejbőrre kerül, és meg kell várni, még kinő a haj Üzenet becsomagolása, lenyelése, Kriptográfia: kódolás, rejtjelezés Az üzenet jeleinek összekeverése, helyettesítése más jelekkel 126/69

70 Szteganográfia Láthatatlan tinták alkalmazás: Írás tejjel vagy ecettel, melegítéskor megbarnulnak, láthatóvá válnak. UV fényben látható tinták, kréták Ártalmatlan szövegbe rejteni a titkos üzenetet: Benedek! Idén talán már akad Neked valaki, aki gyönyörű, okos, kedves, akinek Te adhatsz nagyon ábrándos reményeket. 126/70

71 Szteganográfia 2. Adatrejtés képbe: 126/71 A képpontokat leíró bitek egy megfelelő részét ha megváltoztatjuk, attól a kép még értelmezhető lesz, sőt a változás olyan kis mértékű lesz, hogy azt szabad szemmel nem is lehet észrevenni. BMP formátum esetén a kép méretének egy nyolcadát tudjuk az üzenet rejtésére felhasználni. Adatrejtés hang vagy video állományba: Tömörítetlen formátumok esetén akár az állomány fele is felhasználható adatrejtésre. Szöveges állományok felhasználása: 1-2 % adat elrejtésére használhatók.

72 Titkosítás Történelmi áttekintés Caesar módszer: Egy betűt egy másik betűvel helyettesít mégpedig úgy, hogy a helyettesítő betűt az abc betűit valamennyi pozícióval eltolva kapjuk meg. Az eredeti Caesar helyettesítés 3 betűnyi eltolást használt vagyis "A" helyett "D" betűt írt, "B" helyett "E"-t, és így tovább. Pl: A módszer a holnap 8-kor üzenetet hroqds 1-nrv karaktersorozattá alakítja. Próbálgatással könnyen megfejthető a módszer. Továbbfejlesztés: nem eltolást használunk, hanem a második sor betűit összekeverjük és így rendeljük hozzá a helyettesítő karaktereket az eredeti nyílt szöveghez. 126/72

73 Titkosítás 2. Továbbfejlesztés: nem eltolást használunk, hanem a második sor betűit összekeverjük és így rendeljük hozzá a helyettesítő karaktereket az eredeti nyílt szöveghez. a b c d e f g h i j k l m n o p q r s t u v w x y z f k b o j h w n u i q a z s x t e y d p v r c l g m A módszer a holnap 8-kor üzenetet nxasft 7-qxy karaktersorozattá alakítja. 126/73

74 Titkosítás Szintén a Caesar módszer az alapja a következő módszernek: Megfelezzük az abc betűit, párba állítjuk őket, és a nyílt szöveg betűit a neki megfelelő betűpárral helyettesítjük. a b c d e f g h i j k l m b i t m a n n o p q r s t u v w x y z o v g z n a 126/74

75 126/75

76 Titkosítás 3. Csoportos helyettesítés: A nyílt szöveg betűit betűcsoporttal helyettesítjük. A titkosított szöveg hossza a nyílt szöveg hosszának annyi szorosa lesz, ahány betűből állnak a helyettesítő csoportok. Példa egy 3 betűs csoportos helyettesítésre: aa ab ac ba bb bc ca cb cc a g o j 0 e w 9 c 2 b b k 3 s 5 6 r x l c v y f a 8 m d 7 p d h u q 1 n i 4 t z holnap 8-kor 126/76 daaaabbccdbbcbaccc cbb-babaabbca

77 Titkosítás 4. Vigenere módszere 1560-ból: A titkosítás során először a betűknek számokat feleltet meg aszerint, hogy hányadik helyen áll az abc-ben. Ez angol abc esetén azt jelenti, hogy A=0, B=1,..., Z=25, 0=26,, 9=35. Ezután a kulcsszót ismétlődően a nyílt szöveg fölé írja. A kulcs és a nyílt szöveg betűinek megfeleltetett számokat betűnként összeadja, majd 36-tal maradékos osztást végez rajta. Az így kapott számokat betűvé alakítja és máris kész a titkos szöveg. 126/77

78 Titkosítás 5. a b c d e f g h i j k l m n o p q r s t u v w x y z / Kulcsszó r e t e k r e t e k Érték Nyílt szöveg h o l n a p 8 k o r Érték Összeg Mod Rejtjelezett szöveg y s 4 r k 6 c 3 s

79 Titkosítás 6. Visszafejtésnél természetesen szükség van a kulcsszóra. A titkos szöveget számokká alakítjuk, kivonjuk belőle betűnként a kulcs betűinek számát és végül ahol kell, 36-tal maradékos osztást végzünk. Rejtjelezett szöveg y 2 4 r k 6 c 3 s 1 Érték Kulcsszó r e t e k r e t e k Érték Kivont érték Mod Visszafejtett szöveg h o l n a p 8 k o r 126/79

80 Titkosítás 7. Keverő titkosítók: A keverő titkosítók a betűket nem helyettesítik más karakterrel, változatlanul hagyják őket, de a szövegbeli sorrendjüket megváltoztatják a kulcs függvényében. Egyszerű módszer, ha a szöveget egy adott oszlopszámú táblázatba beírjuk sorfolytonosan, majd oszlop folytonosan kiolvassuk a titkosított szöveget. Visszafejtésnél szükségünk van az oszlopok számára, vagyis a kulcsra. 126/80 h o l n a p 8 k o r t a l á l k o z u n k holnap 8kor találkozunk hptkko8aolklznoáuarln

81 Titkosítás 8. Titkosítás sablonnal: Készítünk egy négyzetrácsos és négyzet alakú sablont, amelyen néhány cellát kivágunk. Egy a sablonnal azonos méretű négyzetrácsos papírra írjuk az üzenetet, úgy hogy a sablon lyukaiba egy-egy betűt írunk, majd a sablont 90 fokkal elforgatva folytatjuk a felírást. (Legfeljebb háromszor fordíthatunk és a négyzetháló betelik.) A felírás befejeztével a papíron csak egy négyzethálót látunk tele betűkkel. Ez a módszer is keverő titkosító. 126/81

82 Titkosítás 9. holnap 8kor randi h n o l h a o p l n 8 k h a o p l o n r 8 k r a h a o p n d l o n r 8 k i t a 126/82

83 Titkosítás 10. Az Enigma: A történelem talán leghíresebb titkosító berendezése, amit a német hadsereg használt a II. világháborúban. A gép működési elvét Arthur Scherbius dolgozta ki 1918-ban. Az Enigma egy elektromechanikus, rotoros elven működő titkosító gép volt. A rotor egy egyszerű egyábécés helyettesítést valósított meg. Valójában ez két együtt forgó korong, amelyeken 26 elektromos érintkező van (mivel 26 betűs az abc). A két korong érintkezői tetszőlegesen vannak összekötve, így a bemenő oldal "A" érintkezője például a kimenőoldalon az "F" érintkezőre van kötve. Ilyen rotorból típustól függően 3, 4 vagy 5 volt a gépben. 126/83

84 Titkosítás 11. Az első rotor helyettesítését a második tovább helyettesítette, amit a harmadik még tovább. Hogy mindez ne legyen elég minden egyes betű után az első rotor fordult egy betűnyit, így máris más helyettesítő abc-t használt. Amint az első rotor egyszer körbefordult, a második lépett egyet, és így tovább. A dolgot tovább bonyolították azzal, hogy a harmadik rotoron kijövő betűt visszavezették a rotor egy másik érintkezőjére, így az újra áthaladt a három rotoron és megjelent az első rotoron. A visszavezető eszközt reflektornak nevezték, amelyet kézzel lehetett huzalozni, így az szabadon konfigurálható volt. A gép működése szimmetrikus, tehát ugyanazokkal a beállításokkal a titkosított üzenetet begépelve a nyílt szöveget olvashatták le róla. 126/84

85 A titkosítás folyamata Feladó Címzett Szigorúan bizalmas! Elmarad az akció, mert elfelejtettük a pontos címet! :-( Titkosítás kulcs 410F 396D 5CF3 B00A 3CDA 4107 FAC4 660D 00F1 300BD CCD4 BAF0 337DD 239C 33F5 0B6A Visszafejtés kulcs Szigorúan bizalmas! Elmarad az akció, mert elfelejtettük a pontos címet! :-) 1. A feladó titkosítja a dokumentumot egy titkos kulccsal, 2. A dokumentumot valamilyen csatornán keresztül eljuttatja a címzettnek. 3. A címzett visszafejti a kódolt dokumentumot. 126/85

86 A titkosítás folyamata 2. Feladó Címzett Szigorúan bizalmas! Elmarad az akció, mert elfelejtettük a pontos címet! :-( Titkosítás kulcs 410F 396D 5CF3 B00A 3CDA 4107 FAC4 660D 00F1 300BD CCD4 BAF0 337DD 239C 33F5 0B6A Visszafejtés kulcs Szigorúan bizalmas! Elmarad az akció, mert elfelejtettük a pontos címet! :-) Kétféle megoldás lehetséges: Szimmetrikus titkosítás a feladó és a címzett ugyanazt a kulcsot használja (egykulcsos megoldás) Aszimmetrikus titkosítás a címzett más kulcsot használ, mint a feladó (kétkulcsos megoldás) 126/86

87 A szimmetrikus titkosítók jellemzői A szimmetrikus algoritmusok gyorsak, így jól használhatók olyan alkalmazásokban, melyek nagy adatátviteli sebességet igényelnek. Az alkalmazott kulcsok viszonylag rövidek. ( bit) A rövid kulcsok kedveznek a brute-force támadásnak, ezért azokat minél sűrűbben cserélni kell. A kulcsok száma a résztvevők számával négyzetesen arányos. A kulcsoknak mind a feladó, mint a címzett oldalán titokban kell maradniuk! 126/87

88 Brute-force A kulcsot a teljes kipróbálás módszerével fejtik meg, vagyis minden lehetséges variációt kipróbálnak. A megoldás elvileg mindig eredményre vezet, időszükséglete a kulcs hosszától függ. 126/88

89 DES Data Encryption Standard Szimmetrikus kulcsú titkosítási eljárás, IBM fejlesztés, Az USA kormányának szabványa, 1977 óta nyilvános. 64 bites blokkos rejtjelezés, vagyis a nyílt szöveg egy 64 bit méretű blokkjához rendel egy ugyanekkora rejtjeles blokkot. A kulcs 56 bites, (ez az algoritmus gyenge pontja) Ma is élő, még engedélyezett szabvány, széles körben használják a polgári élet minden területén,de: Egy gyorsabb mai géppel kb. 1 óra alatt feltörhető! Továbbfejlesztése a 3DES, mely háromszor hajtja végre egymás után a DES algoritmust. 126/89

90 AES - Advanced Encryption Standard Az USA kormányának szabványa 2001-től, ezzel váltották le a DES-t. 128 bites blokkos rejtjelezés, 128 (192, 256) bites kulccsal, Kitalálói (Vincent Rijmen és Joan Daemen) a Rijndael névre keresztelték, de AES néven terjedt el. Jellemzői: kicsi méret, nehéz törhetőség, gyorsaság és a kis méretű eszközökben való alkalmazhatóság. 126/90

91 IDEA International Data Encryption Algorithm Szimmetrikus kulcsú algoritmus, Svájcban fejlesztették ki 1990 és 1992 között. Nyolc input bájtot nyolc output bájtra képező blokkos rejtjelező algoritmus. Kulcsmérete 128 bit. Kifejezetten adatátvitelhez tervezték, beleértve a digitalizált hang/kép valós idejű kódolását is. Egyelőre nem törhető. 126/91

92 Aszimmetrikus titkosítás Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-( Feladó: Jim Titkosítás Joe-kulcs 410F 396D 5CF3 B00A 3CDA 4107 FAC4 660D 00F1 300BD CCD4 BAF0 Címzett: Joe Visszafejtés Joe-kulcs Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-) Válasz Címzett: Jim Feladó: Joe Jim! OK. Ez esetben elmegyünk csajozni. Joe -o Visszafejtés Jim-kulcs 472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A D B52F A200 Titkosítás Jim-kulcs Jim! OK. Ez esetben elmegyünk csajozni. Joe -o 126/92

93 Aszimmetrikus titkosítás 2. Lényege, hogy minden résztvevő (címzett és feladó egyaránt) rendelkezik két kulccsal: egy titkossal és egy nyilvánossal. A kulcsokat egy erre a célra fejlesztett programmal állítja elő mindenki, saját magának. A két kulcs egyszerre jön létre; a titkosat eltesszük magunknak, a nyilvánost pedig (akár en is) elküldjük mindazoknak, akikkel levelezni szeretnénk. A két kulcs egymásból nem számítható ki, vagyis nem állítható elő a nyilvános kulcsból a titkos kulcs. 126/93

94 Aszimmetrikus titkosítás 3. Olyan algoritmust használ, ahol a kódoláshoz használt paraméter nem azonos a dekódoláshoz használt paraméterrel, és a kódoláshoz használt paraméterből nem határozható meg a dekódoláshoz szükséges paraméter a módszer ismeretében sem. A nyilvános kulcsú titkosítással elküldött üzenet egy olyan ládához hasonlítható, melyet bezárni a nyilvános kulccsal, de kinyitni már csak egy másik, a titkos kulccsal lehet. Ezek a kulcsok egymással összefüggnek: a titkos kulccsal lehet megfejteni azt az üzenetet, amit a nyilvános kulccsal kódoltak. 126/94

95 Aszimmetrikus titkosítás 4. A rendszer képes a titkosítás és az azonosítás kombinálására is: 1. Küldés előtt a feladó a titkosító algoritmussal és saját titkos kulcsával rejtjelezi az üzenetet. Ezzel olyan átalakítást végez, amit csak ő tud végrehajtani, mert a titkos kulcsot csak ő ismeri. 2. A következő lépésben az imént kapott eredményt titkosítja a címzett nyilvános kulcsa segítségével. Ezzel azt biztosítja, hogy az üzenetet csak a címzett tudja megfejteni. 3. A címzett a megkapott küldeményt saját titkos kulcsával és a megfejtő algoritmussal kibontja. 126/95

96 Aszimmetrikus titkosítás A kapott eredményt még nem tudja olvasni, hiszen az a feladó titkos kulcsával titkosítva van, ezért a feladó nyilvános kulcsával meg kell fejtenie azt. 5. A feladó biztos lehet benne, hogy csak a címzett képes az üzenet elolvasására, mert a 3-as lépéshez szükséges kulcsot csak ő ismeri. 6. A címzett biztos lehet a feladó személyét illetően, mert a 4-es lépésben csak akkor tudja megfejteni az üzenetet, ha azt a feladó titkos kulcsával rejtjelezték. 126/96

97 126/97

98 RSA algoritmus Aszimmetrikus kulcsú megoldás 1976-ból. Elnevezés: Ron Rivest, Adi Shamir és Leonard Adleman (matematikusok) A kulcsok hossza bit, emiatt nagyon biztonságos, A kulcs hossza miatt az eljárás viszonylag lassú, A brute-force támadás a kulcs hossza miatt gyakorlatilag lehetetlen, Ma az ek titkosítása, aláírása ezzel az algoritmussal történik, A banki átutalások is ezt a módszert alkalmazzák. 126/98

99 PGP algoritmus Elnevezés: Pretty Good Privacy 1991, alkotója Philip Zimmermann, Ingyenes szoftverként megjelent az Interneten, Hibrid titkosítás, mely egyesíti a szimmetrikus titkosítás gyorsaságát az aszimmetrikus titkosítás biztonságával. Az alkalmazott módszer miatt a dekódoláshoz elég egy átlagos PC is. Használható levelekhez, fájlokhoz, digitális aláíráshoz. 126/99

100 PGP algoritmus 2. A kódolási folyamat esetén: 1. Véletlen generálású, egyszer használatos kulcs előállítása (session key), 2. A nyílt szöveg titkosítása az egyszeri kulccsal, 3. Az egyszeri kulcs titkosítása a címzett nyilvános kulcsával, 4. A küldendő csomag a kódolt szöveget és a titkosított egyszeri kulcsot tartalmazza. 126/100

101 PGP algoritmus random 1x-kulcs Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-( 1x-kulcs Titkosítás 1x-kulcs 3 Titkosítás 472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A D BB07CAFFA 53108DA Feladó: Jim 472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A D BB07CAFFA 53108DA Joe-kulcs 126/101

102 PGP algoritmus 4. A dekódolási folyamat esetén: 1. Az üzenet fogadása, 2. A véletlen generálású, egyszer használatos kulcs (session key) visszafejtése a címzett titkos kulcsával, 3. Az üzenet visszafejtése a véletlen generálású kulcs (session key) segítségével, 4. Az üzenet megjelenítése. 126/102

103 PGP algoritmus 5. 1 Fogadó: Joe BB07CAFFA 53108DA Visszafejtés 1x-kulcs 472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A D Joe-kulcs BB07CAFFA 53108DA 472F 4ABD 3CDA 4107 BB52 616C 5CA3 B00A D 2 Visszafejtés 1x-kulcs Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-( 126/103

104 Digitális aláírás PGP algoritmussal A digitális aláírás segítségével a címzett meggyőződhet a neki küldött üzenet hitelességéről. Vagyis arról, hogy a levél feladója tényleg az, akinek mondja magát, és a levél tartalma továbbítás közben nem változott meg. Módszer: hash függvényt alkalmazása, amely az üzenetből egy kis méretű ellenőrző összeget készít (ez a digitális aláírás). Az ellenőrző összeg az üzenet részeként szintén eljut a címzetthez, így az ellenőrzés során azonnal kiszűrhető az esetleges módosítás. 126/104

105 A hash függvények jellemzői Egyirányú - lehetetlen belőle előállítani az eredeti szöveget, Lavina hatással rendelkezik - 1 bit változtatás az ellenőrző összegen hatalmas (50%) változással jár, Ütközésmentes - két szöveg ellenőrző összeg értéke mindig eltérő. Néhány hash algoritmus: MD5 (Message Digest): 128 bites lenyomat SHA-1 (Secure Hash Algorithm): 160 bites lenyomat 126/105

106 Digitális aláírás PGP algoritmussal 2. Joe! Feladó: Jim Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-( Címzett: Joe Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-( Aláírás Jim-kulcs BB07CAFFA 53108DA Ellenőrzés Jim-kulcs Elmarad az akció, mert elfelejtettük a pontos címet! :-) A folyamat esetén: Aláírás a feladó titkos kulcsával Ellenőrző összeg készítése és beillesztése az üzenetbe Küldés Fogadás 126/106 Ellenőrzés a feladó nyilvános kulcsával

107 Időbélyeg Az időbélyeg egy olyan igazolás, melyet egy biztonságos harmadik fél ebben az esetben időbélyeg-szolgáltató bocsát ki annak igazolására, hogy az adott dokumentum, állomány a kibocsátás pillanatában adott állapotban volt. Az időbélyeg a szolgáltató által két nagypontosságú megbízható időforrásból vett referenciaidő adatból és a szolgáltató elektronikus aláírásából áll. Nem szükséges az ügyfélnek a teljes dokumentumot elküldenie, elegendő annak egy rövid lenyomata, ehhez csatolják az időbélyeget és azt írják alá, így nem sérül a dokumentum bizalmassága, viszont bármikor lekérhető annak keltezése. 126/107

108 Időbélyeg 2. Joe! Időbélyeg szolgáltató Elmarad az akció, mert elfelejtettük a pontos címet! :-( Lenyomat Hash-fgv. A001B7CCF B52CCD46A E66B2792CD 43D72B88A2 Időpont Aláírás Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-( A001B7CCF B52CCD46A E66B2792CD 43D72B88A2 126/108

109 Hitelesítés Az adatokat a hamisítás, manipulálás, megváltoztatás, kiegészítés ellen védi. Azt bizonyítja, hogy az adatok a keletkezésük óta nem változtak meg. A hitelesítés egy olyan igazolás (certificate), melyet egy biztonságos harmadik fél ebben az esetben hitelesítésszolgáltató (Certification Authory) bocsát ki, a kibocsátott tanúsítványok hitelt érdemlően azonosítják az adott partnert, rendszert, kapcsolatot vagy szolgáltatást. 126/109

110 Hitelesítés 2. Személy azonosítás: Kis Béla Hitelesítés szolgáltató Adatbázis Kis Béla Sz.Ig.szám: AA BB17FD 25CCA007 Azonosító Aláírás Ellenőrzés: A személy az azonosítója alapján a szolgáltató adatbázisából kikereshető, beazonosítható. 126/110

111 Hitelesítés 3. Szoftvertanúsítvány: program Hitelesítés szolgáltató program Gyártó: P&Q Dátum: Méret: 30b Hash-kód 00BB17FD Azonosító Szoftver gyártó Adatbázis 25CCA007 Aláírás Ellenőrzés: A program az azonosítója alapján a szolgáltató adatbázisából kikereshető, beazonosítható. 126/111

112 Hitelesítés 4. Megtekintés Windowsban: Sajátgép Eszközkezelő 2x az adott eszközre\illesztőprogram 126/112

113 Hitelesítés 5. Webhely-hitelesítés: index.html Hitelesítés szolgáltató index.html Dátum: Méret: 6k Hash-kód 00BB17FD Azonosító 25CCA007 Aláírás Adatbázis Ellenőrzés: A böngésző a szolgáltató adatbázisa alapján ellenőrzi, hogy a weblap internet címe, és az ellenőrző kódja megegyezik-e a betöltött oldaléval. 126/113

114 Hitelesítés 6. Megtekintés Firefoxban: Eszközök\Beállítások\Haladó\ Titkosítás\Tanúsítványkezelő\Hitelesítésszolgáltatók 126/114

115 Hitelesítés /115

116 Titkosítási módszerek Kódolások Klasszikus Tárcsagépek Modern Áthelyező Helyettesítő Szimmetrikus Aszimmetrikus 126/116

117 Információs technológiák Ellenőrző kérdések 126/117

118 Ellenőrző kérdések Írja a meghatározás elé a megfelelő fogalom betűjelét! A rendszer szolgáltatásai és adatai a megfelelő időben legyenek működőképesek. Az adatokat és a programokat csak az arra jogosultak változtathatják meg, véletlenül sem módosulnak. Az adatokhoz az arra jogosultak, és csak az előírt módokon férhetnek hozzá. A partnerek kölcsönösen és kétségtelenül felismerhetik egymást. A: Működő képesség B: Bizalmasság C: Rendelkezésre állás D: Sértetlenség E: Hitelesség 126/118

119 Ellenőrző kérdések Alakítson ki két kategóriát, és sorolja az alábbi veszélyforrásokat az egyes kategóriákba! Kategóriák: Veszélyforrások: A: Kémprogramok B: Vírusok C: Szakképzetlenség D: Illetéktelen szoftverek E: Programhibák F: Bosszúállás G: Szabályok hiánya H: Megvesztegetés 126/119

120 Ellenőrző kérdések Igaz vagy Hamis az állítás? Különleges adat kezelhető, ha az érintett szóban hozzájárul. A büntetett előéltre vonatkozó adatok személyes adatok. Az adatvédelem az adatok jogosulatlan megszerzését akadályozza meg. Az adatvédelemmel foglalkozik az évi LXIII. törvény. Az adatvesztést legnagyobbrészt a hardver- és szoftverhibák okozzák. A szteganográfia az adatok elrejtésével foglalkozik. 126/120

121 Ellenőrző kérdések Caesar módszerrel, 2 betűnyi eltolással kódolja a zsebora szöveget! Ékezetek nélkül! 5. Keverő titkosítással, 4-es oszlopszélességgel kódolja a zsebóralánc szöveget! 6. Keverő titkosítással, 4-es oszlopszélességgel kódolt a síézztptáóaamgsl szöveg. Mi az eredeti szöveg? 126/121

122 Ellenőrző kérdések A DES A: 32 B: 56 C: 64 D: 128 E: 160 bites kulcsot használ, ez az algoritmus F: gyenge pontja. G: erőssége. 8. Az IDEA A: 32 B: 56 C: 64 D: 128 E: 160 bites kulcsot használ, ez az algoritmus F: gyenge pontja. G: erőssége. 9. Melyik algoritmus alkalmaz véletlen generálású, egyszer használatos kulcsot? A: AES B: DES C: PGP D: RSA 126/122

123 Ellenőrző kérdések Andi aszimmetrikus titkosítású üzenetet küld Benőnek. Jellemezze a folyamatban részt vevő kulcsokat! Feladó: Andi Címzett: Benő Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-( Titkosítás kulcs 410F 396D 5CF3 B00A 3CDA 4107 FAC4 660D 00F1 300BD CCD4 BAF0 Visszafejtés kulcs Joe! Elmarad az akció, mert elfelejtettük a pontos címet! :-) A: Andi kulcsa B: Benő kulcsa C: Titkos kulcs D: Nyilvános kulcs 126/123

124 126/124

125 Felhasznált irodalom F. Ható Katalin: Adatbiztonság, adatvédelem (Számalk, 2005) Ködmön József: Kriptográfia (ComputerBooks, 1999.) Virrasztó Tamás: Titkosítás és adatrejtés (Netakadémia, 2004) 126/125

126 VÉGE VÉGE 126/126