Směry rozvoje v oblasti ochrany informací KS - 7

Transkript

1 VŠFS; Aplikovaná informatika; SW systémy 2005/ Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Směry rozvoje v oblasti ochrany informací KS - 7

2 VŠFS; Aplikovaná informatika; SW systémy 2005/ Osnova vývoj symetrických a asymetrických metod; kvantové šifrování; bezpečnostní protokoly; PKI; šifrová ochrana v Internetu; elektronický obchod.

3 VŠFS; Aplikovaná informatika; SW systémy 2005/ Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Doporučená Přibyl J, Kodl J.: Ochrana dat v informatice,čvut, 1998 Kuchař M.: Bezpečná síť, Grada 1999

4 VŠFS; Aplikovaná informatika; SW systémy 2005/ Vývoj kryptografických metod Kryptografie je nezbytná vždy pracujeme-li v nechráněném informačním nebo komunikačním prostředí (typický případ Internet); Každá komunikace v nezabezpečeném prostředí na úrovni aplikace aplikace vyžaduje použití bezpečnostních nástrojů, postupů a metod, které zajistí následující požadavky: Autentizace důkaz identity ( Internet základní autentizace host hostna úrovni jmen, adres je nedostatečná) Důvěrnost, privátnost pouze oprávněný uživatel má přístup k dané informaci; Integrita informace není v průběhu doručování modifikována; Neodmítnutelnost důkaz o zpracování informace proklamovaným uživatelem.

5 Využití kryptografických funkcí VŠFS; Aplikovaná informatika; SW systémy 2005/2006 5

6 VŠFS; Aplikovaná informatika; SW systémy 2005/ Základní typy kryptografických algoritmů 1. Symetrická kryptografie: Použití jednoho tajného klíče pro šifrování a dešifraci 2. Kryptografie s veřejným klíčem (PKC): Použití jednoho klíče pro šifrování a druhého pro dešifraci 3. Hash Funkce: Používají matematickou funkci k ireversibilnímu zašifrování informace PKC je založena na existenci tzv. jednosměrných funkcích, Příklady: Násobení vs. faktorizace Umocňování vs. logaritmus Základní matematická myšlenka v PKC je nalezení tzv. zadních vrátek u jednosměrné funkce, takových, že inverzní výpočet je snadný při znalosti definované informace. Bezpečnost hash funkce je postavena na obtížnosti nalezení dvou zpráv se stejnou hodnotou vzorku.

7 VŠFS; Aplikovaná informatika; SW systémy 2005/ Kvantová kryptografie Využití principu neurčitosti Světelné kvantum (foton) při šíření prostoročasem se chová jako vlnění s definovaným úhlem roviny vlnění polarizované světlo šíření fotonů v jedné rovině přenos klíče využití polarizovaných filtrů při shodnosti soustavy pro polarizaci fotonu a soustavy ve které probíhá měření lze určit polarizaci fotonu využití soustavy: horizontálně vertikální levoúhlopříčně pravoúhlopříčné

8 VŠFS; Aplikovaná informatika; SW systémy 2005/ Kvantová kryptografie Vygenerování tajného klíče vyslání sledu fotonových impulsů stranou A I I / - - \ - I - / strana B náhodně nastavuje svůj detektor X + + X X X + X + + při správném nastavení - lze určit polarizaci fotonu, jinak je výsledek náhodný / I - \ / \ - / - I strana B sdělí straně A své nastavení a strana A sdělí, která nastavení jsou správná

9 VŠFS; Aplikovaná informatika; SW systémy 2005/ Kvantová kryptografie Vygenerování tajného klíče pokračování jsou správná nastavení v pro impulsy 2,6,7,9 tedy:. I... \ dle dohodnuté konvence lze stanovit impulz v jedné soustavě = 1, v druhé soustavě = vygenerovaný klíč

10 VŠFS; Aplikovaná informatika; SW systémy 2005/ Bezpečnostní protokoly SSH (Ssh, the Secure Shell) Základní a neměnný rys protokolu je počáteční konfigurace obou stran inicializované komunikace tak, aby veškerá přenášená data byla šifrovaná již před zahájením autentizace uživatelů; Lze nastavit režim šifrování pro jakýkoliv port TCP/IP; Zajišťuje autentizaci uživatelů.

11 VŠFS; Aplikovaná informatika; SW systémy 2005/ Bezpečnostní protokoly Kerberos Nejstarší kryptografický protokol, který se přes svou složitost stále používá. Kerberos představuje distribuovaný autentizační protokol. Zajištění autentizačních služeb mezi zabezpečeným serverem a zabezpečenými klienty. Zajišťuje ale autentizaci i v případě kompromitovaného klienta. V případě autorizace uživatele (elektronická pošta) je nutné další ID a heslo.

12 VŠFS; Aplikovaná informatika; SW systémy 2005/ Bezpečnostní protokoly SSL SSL is Secure Socket Layer; Protokol navržený pro zajištění bezpečného přenosu dat přes počítačové sítě; Bezpečnost zajišťuje pomocí šifrování přenášených dat (symetrická kryptografie) - po úvodní výměně vizitek pro stanovení tajného klíče na správu dojde k zašifrování dat; Umožňuje rovněž provést ověření obou komunikujících stran autentizace uživatelů s použitím asymetrické kryptografie (RSA, DSS, ); Využívá kryptografie s veřejným klíčem a další symetrické šifry. Byl navržen tak, že podporuje nejrůznější šifrovací metody a algoritmy. Přenos zpráv zahrnuje kontrolní součet (MAC s klíčem); pro výpočet MAC se používají hash funkce (SHA, )

13 VŠFS; Aplikovaná informatika; SW systémy 2005/ Bezpečnostní protokoly IPSEC Protokol poskytuje kryptografické funkce na transportní úrovni neviditelně pro aplikace; Přidává k standardním paketům hlavičku s autentizačními daty; Podporuje zašifrování přenášených dat; Nepodporuje distribuci klíčů; Využitelný při návrhu VPN.

14 VŠFS; Aplikovaná informatika; SW systémy 2005/ Bezpečnostní protokoly GP - Pretty good privacy Volně šířený program na ochranu zpráv posílaných elektronickou poštou. autor Philip Zimmermann; program k účinné ochraně přenášených zpráv elektronickou poštou; kvalitní nástroj pro šifrování předávaných zpráv a k autentizaci uživatelů, využití elektronického podpisu u předávaných ů.

15 VŠFS; Aplikovaná informatika; SW systémy 2005/ PGP Soubor programů: ke generování páru klíčů pro asymetrické šifry používané u elektronických podpisů. prostředky pro generování klíčů k šifrování zpráv elektronické pošty a pro komunikaci s serverem veřejných klíčů. symetrické šifry pro šifrování zpráv, kdy je uživateli poskytnuta možnost volby z několika algoritmů. ucelený systém pro zabezpečení komunikace.

16 VŠFS; Aplikovaná informatika; SW systémy 2005/ PGP Distribuce klíčů Pro každou zprávu se vygeneruje náhodný klíč ( tzv. klíč na zprávu), je jednorázový a po přenesení a dešifrování zprávy je zničen. odesilatel po vytvoření zprávy, kterou chce zašifrovat vygeneruje náhodný klíč, který je použit pouze pro tuto zprávu zpráva je zašifrována vygenerovaným klíčem pomocí např. algoritmu IDEA nebo AES klíč je zašifrován pomocí asymetrické šifry (například DSS) veřejným klíčem příjemce a předřazen přenášené zprávě příjemce dešifruje klíč na zprávu svým privátním klíčem a poté dešifruje zprávu samotnou

17 VŠFS; Aplikovaná informatika; SW systémy 2005/ PGP Certifikáty veřejných klíčů PGP je založeno na tzv. síti důvěry Každý uživatel generuje a rozesílá svůj veřejný klíč. Uživatelé si navzájem stvrzují pravost veřejných klíčů a vytvářejí tak propojenou strukturu v prostředí PGP. Příklad komunikace mezi uživateli A, B, C, D. Před zahájením vlastní komunikace doručí A svůj veřejný klíč B. B uživatele A dobře zná a tak podepíše jeho veřejný klíč. Když pak A chce komunikovat s C, tak mu pošle kopii s klíčem podepsaným B. C zná veřejný klíč B, který mu mohl být již například doručen a věří B, že certifikoval klíč A, protože jej pokládá za oprávněného účastníka. C si ověří podpis B u klíče účastníka A a tím si zjistí, že klíč A je správný a de facto právoplatný. B se tak stal prostředníkem komunikace mezi A a C.

18 VŠFS; Aplikovaná informatika; SW systémy 2005/ Pretty good privacy Poslední verze programu PGP jsou již hybridní a umožňují, aby kromě PGP certifikace byly veřejné klíče opatřeny certifikátem vydaným poskytovateli certifikačních služeb. Propojení certifikačních politik. Certifikační politika s poskytovateli certifikačních služeb splňuje mezinárodní standard X.509v3. Certifikáty veřejných klíčů vydané poskytovateli certifikačních služeb jsou součástí distribuce veřejných klíčů.

19 VŠFS; Aplikovaná informatika; SW systémy 2005/ PKI Infrastruktura veřejných klíčů správa systému veřejných klíčů subjekty PKI: certifikační autorita (CA) registrační autorita (RA) prostředky PKI certifikáty kryptografické prostředky dokumentace (politiky, CRL (seznamy neplatných certifikátů)) služby adresářové služby časové služby (časová razítka)

20 VŠFS; Aplikovaná informatika; SW systémy 2005/ Certifikační autorita Systém PKI zajišťuje správu informací, které přiděluji uživatele k jejich vlastním veřejným klíčům. Vazba zajištěna certifikátem. Certifikáty poskytuje certifikační autorita (CA). Certifikační autorita reprezentuje třetí (důvěryhodný) subjekt. Certifikační autorita vytváří, rozděluje a ruší certifikáty. Aby CA mohla uživateli B vystavit certifikát, musí prověřit jeho totožnost a potvrdit vlastnictví veřejného klíče E B. CA potom podepíše vlastním soukromým klíčem D CA zprávu tvořenou identifikací uživatele B ( např. jméno, adresa a EM adresa), jeho veřejným klíčem a nějakými jinými užitečnými daty, ke kterým například patří datum ukončení platnosti certifikátu a práva uživatele. Pokud A bude chtít získat veřejný klíč uživatele B, vyzvedne si z veřejného adresáře jeho certifikát a ověří na tomto certifikátu podpis certifikační autority. Ověřením pravosti podpisu A získává od důvěryhodné CA jistotu, že klíč E B skutečně patři uživateli B. A nyní může pod ochranou certifikátu použít veřejný klíč uživatele B k zašifrování důvěrné informace, kterou mu hodlá odeslat, nebo verifikovat jeho podpisy.

21 Certifikační autorita IDENTIFIKACE B CA IDENTIFIKACE A A B VEŘEJNÝ KLÍČ E A VEŘEJNÝ KLÍČ E B B D CA (I A, E A, X) D CA (I B, E B, X) E CA E CA Veřejný seznam certifikovaných klíčů E B A A B 21 A

22 VŠFS; Aplikovaná informatika; SW systémy 2005/ Certifikáty Zajištění autentičnosti veřejného klíče CA po příslušném ověření identity žadatele podepíše jeho veřejný klíč svým soukromým klíčem; certifikát = veřejný klíč uživatele s podpisem CA;

23 Hierarchie poskytovatelů certifikačních služeb (certifikačních autorit) VŠFS; Aplikovaná informatika; SW systémy 2005/

24 VŠFS; Aplikovaná informatika; SW systémy 2005/ E -commerce Využití IT a komunikačního prostředí (Internetu) v souvislosti s prodejem zboží a služeb. B2B business to business B2C business to customer Bezpečnost e-commerce = hlavní regulační prvek rozvoje; OECD (Organization for Economic Cooperation and Development) Organizace pro ekonomickou spolupráci a rozvoj Směrnice pro bezpečnost informačních systémů Implementace popisující základní soubor opatření a postupů při zajištění ochrany informací