Alaptechnológiák BCE E-Business - Internet Mellékszakirány 2006

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Alaptechnológiák BCE 2006. E-Business - Internet Mellékszakirány 2006"

Máté Orsós
8 évvel ezelőtt
Látták:

1 Alaptechnológiák BCE 2006

2 Alaptechnológiák Biztonság, titkosítás, hitelesítés RSA algoritmus Digitális aláírás, CA használata PGP SSL kapcsolat

3 Biztonságpolitika - Alapfogalmak Adatvédelem Az adatvédelem a hatályos jogszabályok és a vállalat érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok védelmét jelenti Adatbiztonság A gazdasági szervezetben adatbiztonságon egy olyan állapotot értünk, ahol az információ-rendszer erıforrásai rendelkezésre állásának, bizalmasságának és sértetlenségének a fenyegetettsége minimális

Adatbiztonság A gazdasági szervezetben adatbiztonságon egy olyan állapotot értünk, ahol az

4 Biztonságpolitika - Alapfogalmak Értékrendszer védelme Vagyonbiztonság Információrendszer védelme Környezeti biztonság Fizikai biztonság Logikai biztonság Humánbiztonság

5 Biztonságpolitika - Megelızés Logikai védelem: a számítástechnikai rendszerek adatai és programjai bizalmasságának, sértetlenségének és rendelkezésre állásának sérelmére rendszertechnikai eszközökkel elkövethetı támadások elleni védelem Hozzáférés (jelszó, adatforgalom-elemzés) Hitelesítés (rejtjelezés, hitelesség) Rendelkezésre állás (vírusvédelem, tárolás)

rendszertechnikai eszközökkel elkövethetı támadások elleni védelem Hozzáférés (jelszó,

6 Védettség Feltétlen biztonság túl költséges Gyakorlati biztonság költség élettartam

7 A hitelesítés sarokkövei Autenticitás (Authenticity) kitıl származik az üzenet? Bizalmasság (Privacy) csak a küldı és címzett ismerheti meg a tartalmat Integritás (Integrity) az üzenet nem módosulhat (szándékos, véletlenkár) Visszavonhatatlanság (Non-repudiation) a küldı nem tagadhatja le

Bizalmasság (Privacy) csak a küldı és címzett ismerheti meg a tartalmat

8 Rejtjelezés Kódolás : M = E(M) védett helyen Továbbítás védetlen csatorna itt valószínő a behatolás Dekódolás : M = D(M ) védett helyen

9 Mi lehet, mi legyen nyilvános? Nem lehet minden titkos bizalmatlanság, áttekinthetetlenség E és D rendszere lehet nyílt Az adott kódolás paraméterei legyenek titkosak, tömörek, mozgathatóak, nagy alaphalmazból választottak

10 Rejtjelezés - eljárások Hagyományos E ismeretében D meghatározható Steganográfia, bető/blokkrejtés, OneTimePad Nyilvános kulcsú (csapóajtó - trapdoor) az E algoritmus, és a rejtı kulcs ismeretében sem lehet D-t meghatározni! A fejtıkulcs védése külön probléma

Nyilvános kulcsú (csapóajtó - trapdoor) az E algoritmus, és a

11 Rejtjelezés - Kulcsok Rejtjelezés (DES - Szimmetrikus) Üzenet Kódolt üzenet Üzenet K1 K1 Rejtjelezés (RSA Aszimetrikus) [Rivest, Shamir, Adleman] Üzenet Kódolt üzenet Üzenet K1 (Nyilvános) K2 (titkos)

12 Az RSA tulajdonságai A fejtés és rejtés, a kulcselıállítás egyszerő és olcsó A feltörés nagyon nehéz feladat, a prímtényezıkre bontásra nincs jó algoritmus A technikai fejlıdéssel a hatásossága növekszik 3 nagyságrenddel lassabb a szimmetrikusnál

prímtényezıkre bontásra nincs jó algoritmus A technikai

13 Rejtjelezés Prímek RSA Válasszunk ki két nagy prímszámot, amelyek > , n=p*q és z=(p-1)*(q 1)*(q-1), 1), legyen d z-hez z képest relatív prím. Keressünk egy olyan e-t, e amelyre e*d mod z=1. A titkos kulcs a (d,n) pár, a nyilvános kulcs az (e,n) pár. Kódolás E=P e mod n, dekódolás D=C d mod n. A kódolás fix mérető blokkokra tördelve történik, a kódolandó blokkok log 2 n-nél nél kevesebb bites egységek A kód feltöréséhez n-et n fel kellene bontani p-re p és q-ra, q hogy z és ebbıl d meghatározható legyen.

Kódolás E=P e mod n, dekódolás D=C d mod n.

14 Rejtjelezés - behatolás Passzív lehallgatás a rejtjelezés feltörése Aktív szabotázs - integritás károsítása megtévesztés - hitelesítés kijátszása

15 Rejtjelezés - védekezés A folyamatok idıben való viselkedésének, láncolatának figyelése Kapcsolathitelesítés Kulcskezelés, kulcsgondozás kulcselıállítás kulcstárolás kulcskiosztás

16 Rejtjelezés kulcskezelés Igen fontos, hogy ha valakinek a nyilvános kulcsát használjuk, akkor biztosak legyünk abban, hogy nem hamis, lejárt, vagy érvénytelen a kulcs. Ha rossz kulcsot használunk, akkor a nekünk küldött hamisított üzenetet hitelesnek hihetjük, vagy illetéktelenek is olvashatják titkosnak szánt üzenetünket. A legegyszerőbb, és legbiztonságosabb, ha személyesen cserélünk kulcsot. Megfelelı megoldás, ha valaki a névjegyén közli, nem a nyilvános kulcsát, hanem annak egy ujlenyomatát. Szokás elektronikus levélben, a Finger szolgáltás segítségével közölni a nyilvános kulcsot.

Ha rossz kulcsot használunk, akkor a nekünk küldött hamisított üzenetet hitelesnek hihetjük, vagy illetéktelenek is olvashatják titkosnak szánt

17 Rejtjelezés Hitelesítés Ha egy közjegyzı vagy valamilyen hivatal hitelesíti digitális aláírásával valakinek a nyilvános kulcsát, akkor azt nem csak a polgári életben, hanem az államigazgatásban és a jogban is használhatjuk. Több ilyen szervezet, cég van már, ameklyik nyilvános kulcsok hitelesítésével foglalkozik. Ilyenek a Verisign, a Four11 vagy Európában a Deutsche Telekomn egy leányvállalata. A hálózaton ezeken kívül is számos kulcsszerver érhetı el, ahonnan személyek, intézmányek nyilvános kulcsát tölthetjük le. A PGP kulcsszerverek a világon elszórtan, de szinkronban mőködnek.

Több ilyen szervezet, cég van már, ameklyik nyilvános kulcsok hitelesítésével foglalkozik.

18 Digitális aláírás Jellemzı legyen az üzenetre és az aláíróra Csak az üzenet létrehozója tudja elıállítani A hitelességet a címzett, sıt harmadik személy is ellenırizhesse Viszont nem automatikusan kapcsolódik a tulajdonosához eltulajdonítható, ha nem vigyáznak rá, ill. fennáll a más nevével való visszaélés lehetısége

ellenırizhesse Viszont nem automatikusan kapcsolódik a tulajdonosához

19 Digitális aláírás - Követelmények A Hitelesítı Kulcsgenerálás Kulcsırzés Felelısség vállalás Magyarországi hitelesítık

Magyarországi hitelesítık http://e-alairas.lap.hu/index.

20 Digitális aláírás - Követelmények A tartalom eredetiségének megırzése A küldés ténye nem letagadható A fogadás ténye nem letagadható Harmadik fél részére nem felfedhetı Üzenet Terminál Nyilvános kulcs Hash titkos kulccsal Rejtjelezett üzenet Üzenet Terminál Titkos kulcs Hash nyilvános kulccsal

részére nem felfedhetı Üzenet Terminál Nyilvános kulcs Hash titkos

21 Kivonat készítése Tetszıleges hosszúságú szöveghez rögzített hosszúságú kivonat Egyirányú függvény (gyakorlatilag) Egy bit változása az eredmény bitjeinek 50%-át megváltoztatja Hash algoritmusok SHA-1, MD2, MD5, RIPEMD128, stb. Jelölés: KM = H(KM)

22 Digitális aláírás titkos szövegben

23 Digitális aláírás - Linkek

24 Digitális aláírás Felhasználások Eszközök PGP SSL OpenSSL HTTP HTTPS FTP SFTP SSH Biztonságos telnet

25 PGP Ha olyan aláírással kapunk egy nyilvános kulcsot, amit hitelesnek tekintünk, akkor magát ezt a nyilvános kulcsot is elfogadhatjuk. Az ilyen bemutetott kulcs aztán újabb kulcsokat hitelesíthet. Ez a bizalmi háló a PGP nevő népszerő, szabadon terjeszthetı titkosítási programcsomagra jellemzı. Ennél is szabályozhatjuk, hogy milyen mélységben Fogadunk el bemutatott által bemutatottakat, és hogy hány hitelesnek ismert bemutetó bemutetása kell ahhoz, hogy egy nyilvános kulcsot hitelesnek ismerjünk el.

26 PGP Pretty Good Privacy Szimmetrikus: IDEA, DES, 3DES Aszimmetrikus: RSA, DH Phil Zimmermann USA az erıs titkosítási eszközök exportjának tiltása: source kivitele Ingyenes használat Pl.: Greenpeace

27 Secure Socket Layer (SSL) Az adatcsomagokat hitelesíti (és rejtjelzi) Transzparens, bármilyen alkalmazás futhat fölötte A teljes kapcsolatot védi

28 SSL Az SSL protokoll elınye, hogy független az alkalmazás-protokolloktól. A magasabb szintő alkalmazás-protokoll (pédául HTTP, FTP, TELNET, stb) fennakadás nélkül mőködik az SSL protokoll fölött. Az SSL protokoll minden új kommunikációs kapcsolat felvételekor kiválaszt egy kódolási algoritmust és egy eseti kulcsot, és egyúttal autentikálja a szervert, mielıtt az alkalmazás- protokoll elküldi, vagy fogadja az elsı adatbájtot. Minden alkalmazás-protokoll szintő adat küdolva kerül elküldésre a kétoldali biztonság érdekében. A titkosítási eljárás gyakorlatilag megegyezik a digitális aláírásoknál ismertetettel, azzal az eltéréssel, hogy a hitelességet harmadik fél nem igazolja.

29 HTTPS Az alkalmazás file-szinten kommunikál Azok az alkalmazások használhatják, amelyekbe beleépítették. Az adott applikációhoz tartozó kommunikációt védi Tud digitális aláírást készíteni egy filehoz

30 Biztonságos protokollok Csomagaláírási technika IPX (Amikor kell) Kerberos TCP/IP (Mindent egy helyen) Elektronikus Adatcsere TCP/IP (EDI) Alkalmazás EDI Alrendszer Üzenetkezelı Hálózatkezelı

31 Secure Electronic Transactions A teljes tranzakciót védi autentikáció, bizalmasság, az üzenet integritása, kapcsolat hitelesítés Egyéb szolgáltatásai Vásárló (kártya) regisztráció Eladó regisztráció Vásárlási igény Fizetéshez azonosítás Fizetés lebonyolítása

Hasonló dokumentumok

5.1 Környezet. 5.1.1 Hálózati topológia

5.1 Környezet. 5.1.1 Hálózati topológia 5. Biztonság A rendszer elsodleges célja a hallgatók vizsgáztatása, így nagy hangsúlyt kell fektetni a rendszert érinto biztonsági kérdésekre. Semmiképpen sem szabad arra számítani, hogy a muködo rendszert