Az adatfeldolgozás és adatátvitel biztonsága Automatikus adatazonosítás, adattovábbítás, adatbiztonság Az adatfeldolgozás biztonsága A védekezés célja Védelem a hamisítás és megszemélyesítés ellen Biztosított kézbesítés Az üzenet teljessége (integritása). Az információcsere hatékonyság folyamatossága A helyhez kötött és a mobil felhasználók azonos szintű védelme Adatbiztonság A felhasználók ellenőrzése Titkosítás Privát kulcsos rejtjelezés Nyilvános kulcsú rejtjelezés A feladó azonosítása (autentikálás: az üzenet hitelesség, eredetiség, valódiság bizonyítása) Az elektronikus közjegyző Az üzenet teljessége, integritása Az Internet üzenetkezelés védelmi eljárásai
Adatbiztonság Biztonsági intézkedések titkosítás digitális aláírás üzenetek eredetiségének (autentikusságának) biztosítása felhasználók azonosítása és valódiságuk ellenőrzése Titkosítási alapfogalmak Alapfogalmak Eredeti szöveg Titkosított szöveg Titkosítási kulcs Titkosító algoritmus Titkos szöveg 02030507 m%a a?w Titkosítási módszerek I. Privát kulcsos titkosítás Más néven szimmetrikus Egy kulcs van, melyet a kommunikáció megkezdése előtt kicserélnek a felek A titkosításhoz és a visszafejtéshez ugyanazt a kulcsot használjuk Jól ismert algoritmusok DES (Data Encyption Standard 56 bit kulcs) Triple-DES (3DES) Advanced Encryption Standard (AES) 2001-től
A kulcsdisztribúció problémái N embernek N*(N-1)/2 kulcsra van szüksége 30.000 ember esetén ez 449,985,000 kulcsot jelent Nem tudunk minden potenciális partnerrel egy kulcsot cserélni és azt tárolni A 22-es csapdája, hogy kommunikáljunk titkosítva, ha még nem értettünk egyet a titkosítás kulcsán A titkosítási kulcs szükségképpen titkosítatlanul megy át a csatornán? Key Distribution Center KDC K a Alice K b K session Bob Titkosítási módszerek II. Nyilvános kulcsú titkosítás Más néven aszimmetrikus Minden kommunikáló félhez két kulcs tartozik Nyilvános kulcs (bárki ismerheti) Privát kulcs (csak én ismerem) A titkosításhoz és a dekódoláshoz más-más kulcsot használunk Jól ismert algoritmus RSA (Ron Rivest, Adi Shamir, és Leonard Adleman )
K b-privát K a-nyilvános Holnap Bob Hogy működik? A nyilvános kulcsú titkosítás K b-nyilvános *#$fjd a^j u539 Alice K a-nyilvános K a-privát K a-privát Holnap Nyilvános vs Privát kulcsos titkosítás Nyilvános kulcsos módszer előnyei A nyilvános kulcs bárkinek kiadható, a kulcs menedzsment problémája megszűnik Ez a módszer lehetőséget ad digitális aláírások használatára Nyilvános kulcsos módszer hátrányai Az algoritmusok lényegesen lassabbak, kb. 1000 szeres eltérés van a Privát kulcsos módszerhez képest Hash algoritmusok Tetszőleges hosszúságú üzenetet fix hosszúság értékké alakítanak (ujjlenyomat, digitális pecsét) Céljuk nem a titkosítás Csak egyirányú Gyorsan elvégezhető művelet Nagy valószínűséggel nem lehet két olyan bemenő üzenetet találni, melynek Hash értéke azonos (1/2 n a valószínűsége, hogy azonos az érték) Holnap Hash függvény Hash érték
Hash Hash Algoritmusok Hash algoritmusok MD4, MD5 (Message Digest 5-128 bit ) Secure Hash Algorithm SHA-1-160 bit SHA-256-256 bit DEMO http://www.xorbin.com/tools/sha256-hash-calculator Hivatalos becslések szerint már évekkel ezelőtt is 10 milliárd forintot tett ki a hazai cégek informatikai adatlopásokból eredő kára, miközben minden ötödik hazai cég áldozatául esett külső vagy belső visszaélésnek. Hivatalos becslések szerint már évekkel ezelőtt is 10 milliárd forintot tett ki a hazai cégek informatikai adatlopásokból eredő kára, miközben minden ötödik hazai cég áldozatául esett külső vagy belső visszaélésnek Egy példa DEMO Bob Digitális aláírás Alice Holnap Holnap K b-privát K b-nyilvános =? Hash érték SDcF dsa4 Hash érték
public Tanúsítvány (Certificate) Felhasználót, számítógépet, programot,... azonosító digitális adatcsomag Tartalmazza többek között: a tulajdonos adatait (név, e-mail cím,...) a tulajdonos nyilvános kulcsát azokat a szerepköröket, amelyekre a tanúsítvány használható a tanúsítvány érvényességének időtartamát a tanúsítványt kiállító szervezet nevét, azonosítóját A tulajdonos valódiságát a tanúsítványkiadó (Hitelesítés Szolgáltató) szervezet digitális aláírása szavatolja Tanúsítvány (Certificate) Egy természetes személy azonosságát és tulajdonságait egy nyilvános kulcshoz köti Egy Certification Authority (CA) írja alá Gondoljunk az útlevélre A tulajdonos személye A kiáll llító személye CA adja Bővítmények Subject: Peter Szalatnay Issuer: autodc1.auto.hu Subject s Public key: Serial Number: 29483756 Not Before: 6/18/99 Not After: 6/18/12 Secure Email Client Authentication Signed: Cg6&^78#@dx A tulajdonos nyilvános nos kulcsa Ettől érvényes Eddig érvényes A CA digitális aláí áírása Nyíltkulcsú infrastruktúra Public Key Infrastructure (PKI) Szoftverek, titkosítási eljárások, folyamatok és szolgáltatások összessége, a kommunikáció és az adatok biztonsága érdekében Célok és megoldások Adatbiztonság titkosítás Adatok integritása, eredetiségvizsgálat, szerző azonosítása, időbélyeg, letagadhatatlanság digitális aláírás
Két elterjedt PKI szabvány X.509 version 3 A tanúsítványok formátumát előíró szabvány PKCS #... Az RSA által kiadott ajánlások a tanúsítványokkal kapcsolatos műveletekre, pl.: PKCS #10: tanúsítvány kérelem PKCS #7: tanúsítvány kiadása X509 v3 tanúsítvány Verziósz szám Tanúsítv tvány sorozatszáma Aláí áíró algoritmus Kibocsátó Érvényességi időtartam Tulajdonos Tulajdonos nyilvános nos kulcsa Kibocsátó egyedi azonosítója (opc) Tulajdonos egyedi azonosítója (opc) Kiterjesztések sek (opc.) A kibocsátó elektronikus aláí áírása Elektronikus aláí áírás a kibocsátó (HSz) magán kulcsával Certification Authority (CA) Kinek állíthat ki tanusítványt? Saját magának (Root) Egy másik CA-nak (Subordinate) Egy regisztrációs személynek (enrollment agent, pl. az administrator) Végfelhasználóknak (tényleges emberek vagy számítógépek) Egy CA-nak, amelyben megbízunk, kell hogy legyen Érvényes eredetiség igazolása Visszavonási státusza
CA-k közötti kapcsolat Hierarchiát alkotnak Hagyományos, fa típusú hierarchia Tagjai vagy root vagy alárendelt (subordinate) CA-k Lehetővé teszi az offline (kikapcsolt) CA-kat (biztonságosabb) Kereszthivatkozásos hierarchia esetén Egy CA lehet root és alárendelt is Nem lehet kikapcsolt CA Issuer : Root Subject : Fn1CA CA fa hierarchia Issuer : Root Subject : Root Issuer : Root Subject : Fn2CA Root CA Funkció CA-k Kiadó CA-k Issuer : Fn1CA Subject : Kiadó1CA Issuer : Fn1CA Subject : Kiadó2CA Issuer : Fn2CA Subject : Kiadó3CA Tanusítványok ellenőrzése Issuer : Root Subject : Root Public Key: <Root> Issuer : Root Subject : Fn1CA Public Key: <Fn1CA> Issuer : Fn1Ca Subject : Alice Public Key: <Alice> 3., A Root CA-ban eleve megbízunk és megvan a nyilvános kulcsa 2., Az Fn1CA tanúsítványának ellenőrzése a Root nyilvános kulcsának segítségével 1., Alice tanúsítványának ellenőrzése az Fn1CA nyilvános kulcsának segítségével
Hitelesítés Szolgáltatók Közigazgatási Gyökér Hitelesítésszolgáltató (KGYHSZ) NetLock MICROSEC http://www.kgyhsz.gov.hu/ http://www.netlock.net/html/tankiad.html http://srv.e-szigno.hu/menu/ MÁV INFORMATIKA Zrt. http://hiteles.mavinformatika.hu/szolgaltatasok. php?id=1&cmd=view_all Visszavont tanusítványok listája Certificate Revocation List (CRL) A már kiadott tanúsítványok érvényteleníthetőek (feketelista) A CRL-t a CA írja alá A CRL automatikusan vagy manuálisan juttatható el az ügyfélhez A CRL nagy is lehet Sablonok segítségével partícionálhatjuk (skálázhatóság) Certificate Revocation List tartalmazza A visszavont tanusítványok sorozatszámát A visszavonás okát Az elektronikus dokumentumok fajtái Elektronikus dokumentum Elektronikus irat Elektronikus okirat Elektronikus dokumentum: bármely fajta elektronikus eszköz útján érzékelhető adat, melyet elektronikus aláírással láttak el. ( hang, kép, szoftver is) Elektronikus irat: olyan elektronikus dokumentum, melynek funkciója az, hogy szöveget közöljön és más adat legfeljebb ennek illusztrálására, hatósági azonosítására (pl. fejléc) szerepel benne. (csak szöveg) Elektronikus okirat: olyan elektronikus irat, mely nyilatkozattételt, illetőleg nyilatkozat elfogadását, vagy nyilatkozat kötelezőnek elismerését foglalja magában. (szöveges nyilatkozat)
Az elektronikus aláírások fajtái Elektronikus aláírás Fokozott biztonságú elektronikus aláírás : elektronikus aláírás+ a) alkalmas az aláíró azonosítására és Fokozott biztonságú elektronikus aláírás Minősített elektronikus aláírás Elektronikus aláírás : elektronikus dokumentumhoz azonosítás céljából végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt elektronikus adat, illetőleg dokumentum. egyedülállóan az aláíróhoz köthető, b) olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll, c) a dokumentum tartalmához olyan módon kapcsolódik, hogy minden az aláírás elhelyezését követően az iraton, illetve dokumentumon tett módosítás érzékelhető. Minősített elektronikus aláírás : fokozott biztonságú elektronikus aláírás + a) biztonságos aláírás-létrehozó eszközzel készült ( BALE ) ; b) hitelesítése céljából minősített tanúsítványt bocsátottak ki. A digitális aláírás folyamata BALE Időbélyeg-szolgáltató Aláíró alkalmazás Aláíró Hitelesítés-szolgáltató Elektronikus irat Nyilvános csatorna Aláíró (Feladó) Szabványos lenyomat készítő algoritmus (Hash) Aláírás ellenőrző (Címzett) Elektronikus aláírás készítésének és ellenőrzésének folyamata Szabványos lenyomat készítő algoritmus (Hash) Lenyomat Generálás Továbbítás Ellenőrzés Megegyezik? Lenyomat Lenyomat magán kulcs aláírás-létrehozó adat Kódoló algoritmus Elektronikus aláírás Dekódoló algoritmus nyilvános kulcs aláírás-ellenőrző adat HSz Tanúsítvány Hiteles, érvényes?
Milyen jogi hatások kapcsolódnak az elektronikus aláíráshoz Egyszerű aláírás nincs joghatása Fokozott biztonságú elektronikus aláírás Ha jogszabályi rendelkezés folytán valamilyen nyilatkozat vagy közlés írásba foglalása kötelező, akkor ennek eleget tesz a fokozott biztonságú elektronikus aláírással ellátott elektronikus dokumentumba foglalás is. (osztalék kifizetési nyilatkozat) Minősített elektronikus aláírás A minősített elektronikus aláírás egyenértékű sajátkezű aláírással. A minősített elektronikus aláírással ellátott elektronikus dokumentumok vonatkozásában azt kell vélelmezni, hogy azok tartalma az aláírás óta nem változott, feltéve, hogy az elektronikus aláírás ellenőrzésének eredményéből más nem következik. Az ilyen dokumentumok a bírósági bizonyítási eljárás szempontjából teljes bizonyító erejű magánokiratnak, vagy a közokiratokra előírt követelmények teljesítése esetén közokiratnak számítanak. Forrás: http://www.nhh.hu/index.php?id=kerdes&cid=53 A PKI felhasználási területei Smart Card Titkosított fájlrendszer (EFS) Titkosított levelezés SSL Kiszolgáló hitelesítés Titkos adatátvitel Ügyfél hitelesítés 1-1 vagy több-1 értelmű felhasználó megfeleltetés Authenticode RAS/VPN, IPSec Smart Card a valóságban Elég lassú 8-bit/16-bites adathozzáférés Fél-duplex soros interfész Korlátozott adatterület Tanúsítványok, kulcsok,... Nincs szabvány az adatok tárolására
Smart Card előnyök Sehogyan sem férhetünk hozzá a privát kulcshoz Ott keletkezik és soha nem hagyja el a kártyát Minden crypto művelet belül fut le, mi csak megkérjük a soros porton Hordozható igazolvány Smart Card a gyakorlatban Csak a Users csoport tagjai élhetnek meg egy szál kártyával Mi történjen, ha kihúzzuk a kártyát? Lehetőségek: Semmi Képernyő zárolása Kijelentkezés Mindez házirenddel szabályozható PIN kód menedzsment PIN jelszó A kártyához és nem a hálózathoz való hozzáférést szabályozza A PIN soha, semmilyen formátumban nem megy át a hálózaton A PIN-nek nem kell hosszúnak lennie A Smart Card zárolja magát, ha ismételten próbálkoznak A Windows 2000 éppen ezért NEM kezeli a PIN kódokat
Encrypted File System Biztonságos adatvédelem Az alkalmazások számára átlátszó és gyors Elérhető a grafikus felületről vagy parancssorból Alkalmazható egyes fájlokra vagy egész könyvtárakra (rekurzív) Nagyvállalati szolgáltatások Helyreállítás (a dolgozó kilépett a cégtől) Titkosítás fájlszervereken és nem csak a munkaállomáson vagy notebook-okon Automatikus kulcs menedzsment Holnap Felhasználó nyilvános nos kulcsa Dokumentum titkosítás Titkosítás (DES) Data Decryption Field generálása (RSA) Data Recovery Field generálása (RSA) *#$fjd a^j u539 DDF DRF File encryption key (FEK) Random Generátor Helyreáll llító ügynök nyilvános nos kulcsa (Házirend) Holnap Dokumentum dekódolás File encryption key (FEK) Visszafejtés (DES) DDF kibontás (RSA) *#$fjd a^j u539 A felhasználó privát kulcsa DDF
Holnap Dokumentum helyreállítás File encryption key (FEK) Visszafejtés (DES) DRF kibontás (RSA) *#$fjd a^j u539 A Recovery Agent privát kulcsa DRF Titkosítás, helyreállítás Fájltulajdonságok Titkosított mappa Titkosított fájl Helyreállítás DEMO