Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Podobné dokumenty
Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

12. Bezpečnost počítačových sítí

Autentizace uživatelů

PA159 - Bezpečnostní aspekty

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

PA159 - Bezpečnost na síti II

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

Správa přístupu PS3-2

SSL Secure Sockets Layer

Y36SPS Bezpečnostní architektura PS

Šifrová ochrana informací věk počítačů PS5-2

Identifikátor materiálu: ICT-2-04

Šifrování a bezpečnost. Bezpečnost. Definice. Úvod do počítačových sítí Lekce 12 Ing. Jiří ledvina, CSc.

Základy počítačových sítí Šifrování a bezpečnost

Úvod - Podniková informační bezpečnost PS1-2

Inovace bakalářského studijního oboru Aplikovaná chemie

Informatika / bezpečnost

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Y36SPS Bezpečnostní architektura PS

Šifrová ochrana informací věk počítačů PS5-2

PV157 Autentizace a řízení přístupu

PSK2-16. Šifrování a elektronický podpis I

Digitální podepisování pomocí asymetrické kryptografie

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Směry rozvoje v oblasti ochrany informací KS - 7

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

Tel.: (+420)

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Kerchhoffův princip Utajení šifrovacího algoritmu nesmí sloužit jako opatření nahrazující nebo garantující kvalitu šifrovacího systému

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Asymetrická kryptografie

ElGamal, Diffie-Hellman

Kryptografie a počítačová

Šifrování dat, kryptografie

Bezpečnost v sítích Cíl. Kryptografické funkce. Existují čtyři oblasti bezpečnosti v sítích. Každá úroveň se může podílet na bezpečnosti

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

C5 Bezpečnost dat v PC

KRYPTOGRAFIE VER EJNE HO KLI Č E

UKRY - Symetrické blokové šifry

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

Složitost a moderní kryptografie

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Diffieho-Hellmanův protokol ustanovení klíče

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Kryptografie - Síla šifer

RSA. Matematické algoritmy (11MA) Miroslav Vlček, Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. čtvrtek 21.

Michaela Sluková, Lenka Ščepánková

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Čínská věta o zbytcích RSA

KLASICKÝ MAN-IN-THE-MIDDLE

Bezpečnost vzdáleného přístupu. Jan Kubr

Směry rozvoje v oblasti ochrany informací PS 7

Zero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS

Moderní metody substitučního šifrování

České vysoké učení technické v Praze Fakulta elektrotechnická Katedra telekomunikační techniky Asymetrické kryptosystémy I



Bezpečnost IS. Základní bezpečnostní cíle

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

RSA. Matematické algoritmy (11MAG) Jan Přikryl. Ústav aplikované matematiky ČVUT v Praze, Fakulta dopravní. verze: :01

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

klasická kryptologie základní pojmy požadavky na kryptosystém typologie šifer transpoziční šifry substituční šifry

Správa webserveru. Blok 9 Bezpečnost HTTP. 9.1 Úvod do šifrování a bezpečné komunikace Základní pojmy

Hesla a bezpečnost na internetu MjUNI 2019 Dětská univerzita,

MFF UK Praha, 22. duben 2008

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

klasická kryptologie základní pojmy požadavky na kryptosystém typologie šifer transpoziční šifry substituční šifry

Bezpečnostní mechanismy

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

INFORMAČNÍ BEZPEČNOST

dokumentaci Miloslav Špunda

EU-OPVK:VY_32_INOVACE_FIL13 Vojtěch Filip, 2014

Digitální podepisování pomocí asymetrické kryptografie

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Základy šifrování a kódování

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Inovace bakalářského studijního oboru Aplikovaná chemie

Technologie počítačových komunikací

Kryptografie založená na problému diskrétního logaritmu

Ochrana dat Obsah. Výměna tajných klíčů ve veřejném kanálu. Radim Farana Podklady pro výuku. Kryptografické systémy s tajným klíčem,

Andrew Kozlík KA MFF UK

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

Protokol pro zabezpečení elektronických transakcí - SET

9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

Petr Grygárek, FEI VŠB-TU Ostrava, Směrované a přepínané sítě,

Informatika Ochrana dat

Univerzita Karlova v Praze

Identifikace a autentizace

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

PB169 Operační systémy a sítě

5. a 6. přednáška z kryptografie

Transkript:

Y36PSI Bezpečnost v počítačových sítích Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Osnova základní pojmy typy šifer autentizace integrita distribuce klíčů firewally typy útoků zabezpečení aplikací Jan Kubr - 10_11_bezpecnost Jan Kubr 2/41

Základní pojmy síťová bezpečnost utajení přenášených dat šifrování a dešifrování autentizace ověření totožnosti odesílatele a příjemce integrita a nepopiratelnost dostupnost a řízení přístupu řízení přístupu ke zdrojům zamezení zneužití zdrojů znesnadnění DoS útoků detekce útoků reakce na útoky Intruder Detection System Jan Kubr - 10_11_bezpecnost Jan Kubr 3/41

Komunikace secure sender secure receiver Alice Bob Trudy Jan Kubr - 10_11_bezpecnost Jan Kubr 4/41

Principy kryptografie počátky v období Julia Caesara moderní techniky cca 30 let šifrovací algoritmus umožňuje odesílateli zašifrovat otevřený text na text šifrovaný příjemci dešifrovat šifrovaný text na text otevřený klíč K A K B sdílené tajemství využívané šifrovacím algoritmem stejné klíče symetrické šifrování různé klíče asymetrické šifrování, šifrování s veřejným klíčem m otevřený text c=k A (m) šifrovaný text K B (K A (m))=m otevřený (dešifrovaný) text Jan Kubr - 10_11_bezpecnost Jan Kubr 5/41

Principy kryptografie II otevřený text šifrovaný text otevřený text šifrovací dešifrovací algoritmus algoritmus Alice K A K B Bob Trudy Jan Kubr - 10_11_bezpecnost Jan Kubr 6/41

Symetrické šifry substituce, transpozice Caesarova šifra substituce abcdefghijklmnop... defghijklmnopqrs... klíč K=3 ahoj dkrm 25 klíčů monoalfabetické šifry náhrada jednoho písmena abecedy jiným písmenem 26! klíčů (cca 10 26 ) statistický útok Jan Kubr - 10_11_bezpecnost Jan Kubr 7/41

Symetrické šifry polyalfabetické šifry náhrada jednoho písmena abecedy různými písmeny více monoalfabetických šifer určených pozicí abcdefghijklmnop... defghijklmnopqrs... rstuvwxyzabcdefg... klíč K 1 =3 K 2 =16 vzor: C 1,C 2,C 2,C 1 ahoj dyfm Jan Kubr - 10_11_bezpecnost Jan Kubr 8/41

Symetrické šifry II 3 4 1 5 2 A H O J A L I C E Z D R A V I T E B O B AHOJALICEZDRAVITEBOB OAAHJCZLIEAIDRVBTEBO Jan Kubr - 10_11_bezpecnost Jan Kubr 9/41

Data Encryption Standard DES, publikován 1977 56b symetrický klíč (+8b parita) původní návrh 112b klíč, IBM Lucifer několikrát obnovený standard v současnosti slabá šifra 1997 4 měsíce 2/1998 41 dní 7/1998 56 hodin 1/1999 22h 15m Jan Kubr - 10_11_bezpecnost Jan Kubr 10/41

DES 64b input 56b key L1 L2 L3... R1 f(l1,r1,k1) R2 f(l2,r2,k2) R3 f(l16,r16,k16) 48b K1 48b K2 48b K16 L17 R17 64b output Jan Kubr - 10_11_bezpecnost Jan Kubr 11/41

Asymetrické šifry řešení problému předání sdíleného klíče množství klíčů při komunikaci různých subjektů privátní klíč K - B k dispozici pouze Bobovi veřejný klíč K + B veřejně k dispozici je složité je vzájemně odvodit c 1 =K + B (m), nebo c 2 =K- B (m) K - B (K+ B (m))=k+ B (K- B (m))=m Jan Kubr - 10_11_bezpecnost Jan Kubr 12/41

Asymetrické šifry otevřený text šifrovací algoritmus šifrovaný text K + B (m) dešifrovací algoritmus otevřený text m= K - B (K+ B (m)) Alice K + B K - B Bob Trudy Jan Kubr - 10_11_bezpecnost Jan Kubr 13/41

RSA Ron Rivest, Adi Shamir, Leonard Adleman výběr (vytváření) klíčů dvě prvočísla p,q (cca 1024b, 768b) n=pq; z=(p-1)(q-1) e (e<n, nesoudělné se z) d (e*d mod z = 1) K + B =(e,n); K- B =(d,n) algoritmus pro šifrování a dešifrování šifrování c=me mod n dešifrování m=cd mod n Jan Kubr - 10_11_bezpecnost Jan Kubr 14/41

RSA - příklad p=11; q=13 n=143; z=120 e=17 (<143, nesoudělné s 120) d=113 ((17*101-1)/120=16) K + B =(17,143) šifrování: c=m e mod n a 97 15 h 104 91 o 111 89 j 106 6 K - =(113,143) 97 5958260438588051333281183456765537 15 B 104 19479004955562800041143429584912384 91 111 58950927085808534612621863737327471 89 106 26927727857668114717879465805479936 6 dešifrování: m=c d mod n 15 7912473587054162145177528994231061743778010900350190448846387999370221107500824737250596867775553899804208413115702569484710693359375 97 91 235330020306433888581424803782979895833988112645915012928091461931015209041921281141423188605893790789892256195891639038011777159440723864868389202730650215311698134079596531469164024580497081700375937796851962658130610971 104 89 19101644179342991163077317940645270940278040079903283744458805689067655926701304966817426090261522381889164892394209611370166934888400335479246590897170500695447734901931142180766471642556505023248705616315309920133297369 111 6 8532794636488733058832740489676687102871474765106158220600648717419444560622670122582016 106 Jan Kubr - 10_11_bezpecnost Jan Kubr 15/41

Autentizace poskytnutí informace o identitě jednoho subjektu subjektu druhému provádí se před použitím dalších protokolů často se provádí oboustranně Jan Kubr - 10_11_bezpecnost Jan Kubr 16/41

Autentizační protokoly 1.0 Alice se pouze představí velmi nedostatečný Alice Alice Jan Kubr - 10_11_bezpecnost Jan Kubr 17/41

Autentizační protokoly 2.0 Alice se představí a použije velmi známou IP adresu (rlogin) možnost podvržení adresy Alice, IP addr Alice, IP addr Jan Kubr - 10_11_bezpecnost Jan Kubr 18/41

Autentizační protokoly 3.0, 3.1 Alice použije heslo (telnet, ftp) možnost odposlechnutí hesla, zašifrování hesla je nedostatečné Alice, heslo OK Alice, heslo OK Jan Kubr - 10_11_bezpecnost Jan Kubr 19/41

Autentizační protokoly 4.0 Alice použije pokaždé jiné heslo (S/KEY) problém generování hesel, race útok Alice, heslo OK Alice, heslo Alice, heslo[n] OK Jan Kubr - 10_11_bezpecnost Jan Kubr 20/41

Autentizační protokol 4.1 Alice použije heslo pro zašifrování výzvy bezpečné, problém s předáním klíčů Alice R K AB (R) Alice R K AB (R)??!!!!!??? Jan Kubr - 10_11_bezpecnost Jan Kubr 21/41

Autentizační protokoly 5.0 využití asymetrické šifry Alice R K - (R) A K +? A K + A K + A (K- A (R)) Jan Kubr - 10_11_bezpecnost Jan Kubr 22/41

Autentizační protokoly 5.0 chyba při získání veřejného klíče možnost zjistit, že Alice nekomunikovala Alice R K - (R) T K +? A K + T K + T (K- T (R)) Jan Kubr - 10_11_bezpecnost Jan Kubr 23/41

Autentizační protokoly 5.0 chyba při získání veřejného klíče nemožnost zjistit, že Alice nekomunikovala Alice Alice R K - T (R) K + A? K + T K + T (K- T (R)) R K - A (R) K + A? K + A Jan Kubr - 10_11_bezpecnost Jan Kubr 24/41

Autentizační protokoly 5.0 nutnost bezpečného předání veřejného klíče osobní předání obecné zveřejnění důvěryhodný prostředník certifikační autorita digitální podpis asymetrická šifra je výpočetně složitější (xor x ^) předání dočasného klíče pro symetrickou šifru Jan Kubr - 10_11_bezpecnost Jan Kubr 25/41

Integrita, digitální podpis integrita zaručení, že dokument nebyl změněn nepopiratelnost podpis zodpovědného subjektu doručenka využití asymetrického šifrování podpis soukromým klíčem ověření veřejným klíčem Alice,... Bob šifrovací alg. K - B qwdv... wess Jan Kubr - 10_11_bezpecnost Jan Kubr 26/41

Podpis šifrujeme celý dopis - zbytečně náročné použití otisku vytvoření otisku zašifrování otisku dešifrování otisku vytvoření a porovnání otisku využití hashovacích funkcí problém kolizí (řízených) Jan Kubr - 10_11_bezpecnost Jan Kubr 27/41

Podpis Alice, hash wajoffsjvoiajfoj ofjoaifjoifjoaifv Bob send djflkasmcvkvj lksvslvkjslvvj šifrovací alg. K - B Jan Kubr - 10_11_bezpecnost Jan Kubr 28/41

Podpis - ověření receive djflkasmcvkvj lksvslvkjslvvj dešifrovací alg. K + B Alice, wajoffsjvoiajfoj ofjoaifjoifjoaifv Bob hash wajoffsjvoiajfoj ofjoaifjoifjoaifv compare Jan Kubr - 10_11_bezpecnost Jan Kubr 29/41

Distribuce klíčů symetrické i asymetrické řešení symetrické KDS (Key Distribution Center) Kerberos každý uživatel má vlastní klíč Kerberos přiděluje dočasné komunikační klíče asymetrické CA (Certification Authority) ověření uživatele průkaz totožnosti,... vystavení certifikátu podepsaného CA průkaznost CA obecně známá osobní kontakt doporučená důvěryhodným prostředníkem Jan Kubr - 10_11_bezpecnost Jan Kubr 30/41

KDC K A-KDC (A,B) K A-KDC (R1,K B-KDC (A,R1)) KDC K B-KDC (A,R1) komunikace pomocí R1 Jan Kubr - 10_11_bezpecnost Jan Kubr 31/41

CA - vytvoření certifikátu K - CA (K + B,B) šifrovací alg. Bobův certifikát obsahující K + B podepsaný CA Jan Kubr - 10_11_bezpecnost Jan Kubr 32/41

Řízení přístupu zamezení útočníkům v přístupu k prostředkům ochrana ve vstupním bodě firewall firewall HW prostředky SW prostředky pravidla politika vlastnosti zahazování, akceptace a forwardování paketů logování paketové filtry rozhodují se jen podle obsahu paketu kontextové filtry rozhodují se podle kontextu spojení aplikační brány speciální aplikace (např. proxy) Jan Kubr - 10_11_bezpecnost Jan Kubr 33/41

Fajrvol Jan Kubr - 10_11_bezpecnost Jan Kubr 34/41

Filtr Internet ± interní síť Jan Kubr - 10_11_bezpecnost Jan Kubr 35/41

Filtr a proxy Internet interní síť Jan Kubr - 10_11_bezpecnost Jan Kubr 36/41

Filtry, proxy, DMZ Internet www,smtp ftp DMZ interní síť Jan Kubr - 10_11_bezpecnost Jan Kubr 37/41

Typy útoků I mapování (mapping) první fáze útoku, sběr informací, ping, portscanner dobrý předpoklad pro DDoS odposlouchávání (sniffing) možnost zjištění hesel fyzický přístup k síti zneužití směrování (přepínače i směrovače) podvrhnutí (spoofing) podvrhnutí zdrojové adresy poměrně jednoduše lze omezit na fw DoS(Denial-of-Service) omezení dostupnosti služby pro legitimní uživatele využívá chyby, nebo přetížení SYN flooding attack podvržený SYN paket, alokace zdrojů smurf attack podvržené ping pakety, zahlcení odpověďmi dlouhý ping využívá chybu v TCP/IP zásobníku Jan Kubr - 10_11_bezpecnost Jan Kubr 38/41

Typy útoků II DDoS (Distributed DoS) velmi nebezpečná varianta DoS útoku téměř bez možnosti obrany únos spojení (hijacking) možnost ukradení navázaného spojení šifrování tento problém řeší Jan Kubr - 10_11_bezpecnost Jan Kubr 39/41

Zabezpečení aplikací na více vrstvách aplikační vrstva zabezpečení souboru např. PGP transportní vrstva SSL Secure Socket Layer zabezpečení spoje síťová vrstva IPsec zabezpečení mezi dvěma uzly linková vrstva šifrování modemů, IEEE 802.11 zabezpečení linky šifrování může být na libovolné vrstvě, nižší vrstvy šifrují i hlavičky vyšších vrstev Jan Kubr - 10_11_bezpecnost Jan Kubr 40/41

co dál? SSL, IPsec pravidla pro firewally bezpečnostní politiky IDS co po útoku... zase někdy jindy? Jan Kubr - 10_11_bezpecnost Jan Kubr 41/41

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář