Alaptechnológiák BCE 2006
Alaptechnológiák Biztonság, titkosítás, hitelesítés RSA algoritmus Digitális aláírás, CA használata PGP SSL kapcsolat
Biztonságpolitika - Alapfogalmak Adatvédelem Az adatvédelem a hatályos jogszabályok és a vállalat érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok védelmét jelenti Adatbiztonság A gazdasági szervezetben adatbiztonságon egy olyan állapotot értünk, ahol az információ-rendszer erıforrásai rendelkezésre állásának, bizalmasságának és sértetlenségének a fenyegetettsége minimális
Biztonságpolitika - Alapfogalmak Értékrendszer védelme Vagyonbiztonság Információrendszer védelme Környezeti biztonság Fizikai biztonság Logikai biztonság Humánbiztonság
Biztonságpolitika - Megelızés Logikai védelem: a számítástechnikai rendszerek adatai és programjai bizalmasságának, sértetlenségének és rendelkezésre állásának sérelmére rendszertechnikai eszközökkel elkövethetı támadások elleni védelem Hozzáférés (jelszó, adatforgalom-elemzés) Hitelesítés (rejtjelezés, hitelesség) Rendelkezésre állás (vírusvédelem, tárolás)
Védettség Feltétlen biztonság túl költséges Gyakorlati biztonság költség élettartam
A hitelesítés sarokkövei Autenticitás (Authenticity) kitıl származik az üzenet? Bizalmasság (Privacy) csak a küldı és címzett ismerheti meg a tartalmat Integritás (Integrity) az üzenet nem módosulhat (szándékos, véletlenkár) Visszavonhatatlanság (Non-repudiation) a küldı nem tagadhatja le
Rejtjelezés Kódolás : M = E(M) védett helyen Továbbítás védetlen csatorna itt valószínő a behatolás Dekódolás : M = D(M ) védett helyen
Mi lehet, mi legyen nyilvános? Nem lehet minden titkos bizalmatlanság, áttekinthetetlenség E és D rendszere lehet nyílt Az adott kódolás paraméterei legyenek titkosak, tömörek, mozgathatóak, nagy alaphalmazból választottak
Rejtjelezés - eljárások Hagyományos E ismeretében D meghatározható Steganográfia, bető/blokkrejtés, OneTimePad Nyilvános kulcsú (csapóajtó - trapdoor) az E algoritmus, és a rejtı kulcs ismeretében sem lehet D-t meghatározni! A fejtıkulcs védése külön probléma
Rejtjelezés - Kulcsok Rejtjelezés (DES - Szimmetrikus) Üzenet Kódolt üzenet Üzenet K1 K1 Rejtjelezés (RSA Aszimetrikus) [Rivest, Shamir, Adleman] Üzenet Kódolt üzenet Üzenet K1 (Nyilvános) K2 (titkos)
Az RSA tulajdonságai A fejtés és rejtés, a kulcselıállítás egyszerő és olcsó A feltörés nagyon nehéz feladat, a prímtényezıkre bontásra nincs jó algoritmus A technikai fejlıdéssel a hatásossága növekszik 3 nagyságrenddel lassabb a szimmetrikusnál
Rejtjelezés Prímek RSA Válasszunk ki két nagy prímszámot, amelyek > 10 100, n=p*q és z=(p-1)*(q 1)*(q-1), 1), legyen d z-hez z képest relatív prím. Keressünk egy olyan e-t, e amelyre e*d mod z=1. A titkos kulcs a (d,n) pár, a nyilvános kulcs az (e,n) pár. Kódolás E=P e mod n, dekódolás D=C d mod n. A kódolás fix mérető blokkokra tördelve történik, a kódolandó blokkok log 2 n-nél nél kevesebb bites egységek A kód feltöréséhez n-et n fel kellene bontani p-re p és q-ra, q hogy z és ebbıl d meghatározható legyen.
Rejtjelezés - behatolás Passzív lehallgatás a rejtjelezés feltörése Aktív szabotázs - integritás károsítása megtévesztés - hitelesítés kijátszása
Rejtjelezés - védekezés A folyamatok idıben való viselkedésének, láncolatának figyelése Kapcsolathitelesítés Kulcskezelés, kulcsgondozás kulcselıállítás kulcstárolás kulcskiosztás
Rejtjelezés kulcskezelés Igen fontos, hogy ha valakinek a nyilvános kulcsát használjuk, akkor biztosak legyünk abban, hogy nem hamis, lejárt, vagy érvénytelen a kulcs. Ha rossz kulcsot használunk, akkor a nekünk küldött hamisított üzenetet hitelesnek hihetjük, vagy illetéktelenek is olvashatják titkosnak szánt üzenetünket. A legegyszerőbb, és legbiztonságosabb, ha személyesen cserélünk kulcsot. Megfelelı megoldás, ha valaki a névjegyén közli, nem a nyilvános kulcsát, hanem annak egy ujlenyomatát. Szokás elektronikus levélben, a Finger szolgáltás segítségével közölni a nyilvános kulcsot.
Rejtjelezés Hitelesítés Ha egy közjegyzı vagy valamilyen hivatal hitelesíti digitális aláírásával valakinek a nyilvános kulcsát, akkor azt nem csak a polgári életben, hanem az államigazgatásban és a jogban is használhatjuk. Több ilyen szervezet, cég van már, ameklyik nyilvános kulcsok hitelesítésével foglalkozik. Ilyenek a Verisign, a Four11 vagy Európában a Deutsche Telekomn egy leányvállalata. A hálózaton ezeken kívül is számos kulcsszerver érhetı el, ahonnan személyek, intézmányek nyilvános kulcsát tölthetjük le. A PGP kulcsszerverek a világon elszórtan, de szinkronban mőködnek.
Digitális aláírás Jellemzı legyen az üzenetre és az aláíróra Csak az üzenet létrehozója tudja elıállítani A hitelességet a címzett, sıt harmadik személy is ellenırizhesse Viszont nem automatikusan kapcsolódik a tulajdonosához eltulajdonítható, ha nem vigyáznak rá, ill. fennáll a más nevével való visszaélés lehetısége
Digitális aláírás - Követelmények A Hitelesítı Kulcsgenerálás Kulcsırzés Felelısség vállalás Magyarországi hitelesítık http://e-alairas.lap.hu/index.html http://www.matav.hu/akcio/e-szigno/ http://www.netlock.hu http://www.giro.hu/
Digitális aláírás - Követelmények A tartalom eredetiségének megırzése A küldés ténye nem letagadható A fogadás ténye nem letagadható Harmadik fél részére nem felfedhetı Üzenet Terminál Nyilvános kulcs Hash titkos kulccsal Rejtjelezett üzenet Üzenet Terminál Titkos kulcs Hash nyilvános kulccsal
Kivonat készítése Tetszıleges hosszúságú szöveghez rögzített hosszúságú kivonat Egyirányú függvény (gyakorlatilag) Egy bit változása az eredmény bitjeinek 50%-át megváltoztatja Hash algoritmusok SHA-1, MD2, MD5, RIPEMD128, stb. Jelölés: KM = H(KM)
Digitális aláírás titkos szövegben
Digitális aláírás - Linkek http://www.infopen.hu/archivum/97/9709/niif2.htm http://amirisc.jpte.hu/network/aj0901.htm http://www.iif.hu/dokumentumok/niif_fuzetek/vedelem.html http://www.crysys.hu/publications/files/bertab2003hwsw1.pdf
Digitális aláírás Felhasználások Eszközök E-mail PGP SSL OpenSSL HTTP HTTPS FTP SFTP SSH Biztonságos telnet http://www.netlock.hu/html/tankiad.html http://www.ieb.hu/onlineter/ecommerce/default.asp http://www.dbassoc.hu/maksign/dak/nemetzb.htm
PGP Ha olyan aláírással kapunk egy nyilvános kulcsot, amit hitelesnek tekintünk, akkor magát ezt a nyilvános kulcsot is elfogadhatjuk. Az ilyen bemutetott kulcs aztán újabb kulcsokat hitelesíthet. Ez a bizalmi háló a PGP nevő népszerő, szabadon terjeszthetı titkosítási programcsomagra jellemzı. Ennél is szabályozhatjuk, hogy milyen mélységben Fogadunk el bemutatott által bemutatottakat, és hogy hány hitelesnek ismert bemutetó bemutetása kell ahhoz, hogy egy nyilvános kulcsot hitelesnek ismerjünk el. http://www.pgpi.org/
PGP Pretty Good Privacy Szimmetrikus: IDEA, DES, 3DES Aszimmetrikus: RSA, DH Phil Zimmermann USA az erıs titkosítási eszközök exportjának tiltása: source kivitele Ingyenes használat Pl.: Greenpeace
Secure Socket Layer (SSL) Az adatcsomagokat hitelesíti (és rejtjelzi) Transzparens, bármilyen alkalmazás futhat fölötte A teljes kapcsolatot védi
SSL Az SSL protokoll elınye, hogy független az alkalmazás-protokolloktól. A magasabb szintő alkalmazás-protokoll (pédául HTTP, FTP, TELNET, stb) fennakadás nélkül mőködik az SSL protokoll fölött. Az SSL protokoll minden új kommunikációs kapcsolat felvételekor kiválaszt egy kódolási algoritmust és egy eseti kulcsot, és egyúttal autentikálja a szervert, mielıtt az alkalmazás- protokoll elküldi, vagy fogadja az elsı adatbájtot. Minden alkalmazás-protokoll szintő adat küdolva kerül elküldésre a kétoldali biztonság érdekében. A titkosítási eljárás gyakorlatilag megegyezik a digitális aláírásoknál ismertetettel, azzal az eltéréssel, hogy a hitelességet harmadik fél nem igazolja. http://ludens.elte.hu/~papp/hitelesi.html
HTTPS Az alkalmazás file-szinten kommunikál Azok az alkalmazások használhatják, amelyekbe beleépítették. Az adott applikációhoz tartozó kommunikációt védi Tud digitális aláírást készíteni egy filehoz
Biztonságos protokollok Csomagaláírási technika IPX (Amikor kell) Kerberos TCP/IP (Mindent egy helyen) Elektronikus Adatcsere TCP/IP (EDI) http://www.itb.hu/ajanlasok/a17/html/a17_4.htm Alkalmazás EDI Alrendszer Üzenetkezelı Hálózatkezelı
Secure Electronic Transactions A teljes tranzakciót védi autentikáció, bizalmasság, az üzenet integritása, kapcsolat hitelesítés Egyéb szolgáltatásai Vásárló (kártya) regisztráció Eladó regisztráció Vásárlási igény Fizetéshez azonosítás Fizetés lebonyolítása