Co musíte vědět o šifrování

Podobné dokumenty
Co musíte vědět o šifrování

Bezpečné placení na Internetu

StartSSL: certifikáty zdarma

Ondřej Caletka. 13. března 2014

Ondřej Caletka. 27. března 2014

Ondřej Caletka. 21. října 2015

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Stránka, doména, URL, adresa

Jen správně nasazené HTTPS je bezpečné

Ochrana soukromí v DNS

INFORMATIKA (ŠIFROVÁNÍ A PODPIS) 2010/11

Import kořenového certifikátu CA ZŠ O. Březiny

Příručka pro dodavatele. Systém EZVR 1.1 Verze dokumentu 1.3 Datum vydání:

Bezpečnější pošta aneb DANE for SMTP

Bezpečnost internetového bankovnictví, bankomaty

EU-OPVK:VY_32_INOVACE_FIL13 Vojtěch Filip, 2014

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnější pošta díky DANE

Elektronické bankovníctvo základy, priame distribučné kanály. Tradičné vs. elektronické bankovníctvo BIVŠ 2007/2008

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Bezpečnost. Michal Dočekal

Identifikátor materiálu: ICT-2-04

Informatika / bezpečnost

Aktivace RSA ověření

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Falšování DNS s RPZ i bez

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

Odesílání citlivých dat prostřednictvím šifrovaného u s elektronickým podpisem standardem S/MIME

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

Postup nastavení bezpečné ové schránky pro zákazníky Logicentra

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Napadnutelná místa v komunikaci

KLASICKÝ MAN-IN-THE-MIDDLE

. CryptoParty Základy počítačové bezpečnosti pro začátečníky. Ondřej Profant. 18. kvˇetna 2013

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

DNSSEC na vlastní doméně snadno a rychle

Akreditovaná certifikační autorita eidentity

Bezpečnější bezpečnější díky DANE

PSK2-16. Šifrování a elektronický podpis I

Elektronické záznamy, elektronické podpisy

NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ ROK INFORMATIKY SLAVKOV U BRNA 6. ČERVNA 2019

Zákon o elektronickém zdravotnictví. Řízení identitních prostředků zdravotnických pracovníků a důsledky pro práci se zdravotnickou dokumentací

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/ , Modernizace výuky

KLÍČ K e-identitě. PhDr. Radek Muška. STÁTNÍ TISKÁRNA CENIN, státní podnik

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

eidentita 2019 NÁRODNÍ IDENTITNÍ AUTORITA V PRAXI MICHAL PEŠEK ŘEDITEL SPRÁVY ZÁKLADNÍCH REGISTRŮ PRAHA 24. DUBNA 2019

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Má elektronický podpis identifikovat podepsanou osobu?

Systém zabezpečení dat

PA159 - Bezpečnostní aspekty

Kerio VPN Client. Kerio Technologies

Bezpečnost SingleCase

mhtml: Elektronická%20komunikace%20s%20CÚ%20záruky.mht.

1.1. Základní informace o aplikacích pro pacienta

Náhradní způsoby předávání a přebírání datových souborů

Mobilita a roaming Možnosti připojení

Bezpečnost sítí

Andrew Kozlík KA MFF UK

Průvodce aplikací. Aplikaci easyeldp spusťte z nabídky Start pomocí ikony KomixFiller, kterou naleznete ve složce Komix.

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

E-DOKLAD. Elektronický občanský průkaz. STÁTNÍ TISKÁRNA CENIN, státní podnik. Petr Fikar, ředitel rozvoje produktů a služeb

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Postup získání certifikátu pro uživatele WEB aplikací určených pro Sběry dat pro IS VaV

Autentizace uživatelů

STORK Secure Identity Across Borders Linked

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

Certificate Transparency

SSL Secure Sockets Layer

Náhradní způsoby předávání a přebírání datových souborů

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

Vystavení osobního komerčního certifikátu PostSignum v operačním systému MAC OSx

Elektronický podpis význam pro komunikaci. elektronickými prostředky

Adobe Reader, Podpisy Sídlo firmy: Telefon: Provozovna: Fax: internet:

Nejbezpečnější prostředí pro vaše data

Směry rozvoje v oblasti ochrany informací KS - 7

Připojení ke vzdálené aplikaci Target 2100

Hesla a bezpečnost na internetu MjUNI 2019 Dětská univerzita,

Variace. Elektronický podpis

Elektronizace obchodních dokumentů Jak na to s využitím služeb I.CA

Ondřej Caletka. 23. května 2014

Petr Zahálka. Čte Vám někdo za zády Vaše y?

Elektronická komunikace s CSÚIS. Jak to řeší Fenix

PODMÍNKY. pro dálkový přenos dat

Současné problémy certifikačních autorit

Registrace a aktivace uživatelského profilu k přístupu do systému erecept pro pacienta

Federativní přístup k autentizaci

I.CA SecureStore Uživatelská příručka

Elektronické záznamy, elektronické podpisy

[1] ICAReNewZEP v1.2 Uživatelská příručka

OTEVŘENÉ BANKOVNICTVÍ INFORMACE K NOVÝM SLUŽBÁM

CZ.1.07/1.5.00/

Transkript:

Co musíte vědět o šifrování Ondřej Caletka 31. října 2017 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 1 / 23

Internet jako nepřátelské prostředí mnoho uzlů předávání zpráv předem neznámou cestou každý uzel může nahlížet do zpráv každý uzel může zprávy nedetekovatelně modifikovat Nesvěřujte Internetu nic, co byste nenapsali na zadní stranu pohlednice. - ze starodávné příručky o internetu Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 2 / 23

Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 3 / 23

Šifrování jako záchrana utajení zprávy před přenosem obsah zprávy vidí jen koncové strany šifrování ostatní neznají obsah, nemohou zprávu modifikovat stále mají přístup k metadatům komunikace u kvalitního šifrování není k dispozici výjimka pro veřejnou moc ani nikoho jiného hop-by-hop vs. end-to-end hop-by-hop zpráva se při průchodu sítí rozšifrovává a zašifrovává (typicky e-mail) end-to-end zpráva se jednou zašifruje u původce a rozšifruje až u příjemce (typicky HTTPS) Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 4 / 23

Šifrujeme úplně všichni Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 5 / 23

Šifrujeme úplně všichni Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 5 / 23

Jenom šifrovat nestačí Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 6 / 23

Kdo je na druhé straně? nedílnou součástí je autentizace určení, kdo je na druhé straně šifrovacího kanálu nejčastěji pomocí Infrastruktury veřejného klíče (PKI) méně často také TOFU (např. SSH), či síť důvěry (WOT) (např. PGP) Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 7 / 23

Infrastruktura veřejného klíče řeší problém důvěryhodného ověření identity protistrany certifikát = průkaz totožnosti vystavený důvěryhodnou autoritou svazuje virtuální identitu (šifrovací klíč) s reálnou identitou (jméno a příjmeni, adresa, doménové jméno) zapečetěný elektronickým podpisem autority důvěryhodné autority jsou předinstalovány v počítači Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 8 / 23

Pojmy z oblasti PKI privátní klíč tajné číslo, umožňující rozšifrovat zprávu a vytvořit elektronický podpis veřejný klíč číslo, umožňující zašifrovat zprávu a ověřit elektronický podpis certifikát podepsaný veřejný dokument, obsahující veřejný klíč, identifikaci subjektu a omezení využití certifikátu self-signed certifikát podepsaný stejným klíčem, jehož veřejnou část certifikuje. nedůvěryhodný pevný bod důvěry certifikát, jehož věrohodnost byla ověřena jiným způsobem a je považován za důvěryhodný Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 9 / 23

Co autority ověřují že entita držící certifikát opravdu existuje a žádá vydání certifikátu s důkladným prověřením (Extended Validation, ) se zběžným prověřením (Organization Validation, ) že majitel certifikátu mohl v době jeho vydání ovládat doménové jméno, případně e-mailovou adresu, pro kterou byl certifikát vydán (Domain Validation, ) držitele doménového jména lze dohledat v doménových registrech Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 10 / 23

Slabiny certifikačních autorit možnost vydání certifikátu neoprávněnému držiteli záruky především právní, méně už technické minimum odhalených případů Zdroj: Jason Bourne s Passports Prop Replicas Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 11 / 23

Jak to má vypadat Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 12 / 23

Nedůvěryhodná stránka Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 13 / 23

Nedůvěryhodná stránka Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 14 / 23

Nedůvěryhodná platební brána Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 15 / 23

Šifrování garantuje, že data vidíme pouze my a ten, jehož certifikát vidíme nikdo další data neviděl nikdo další nemohl komunikaci pozměnit Šifrování negarantuje, že protistrana použije data pouze k danému účelu náš počítač před zašifrováním data nepozmění Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 16 / 23

Man-in-the-browser častý útok, prováděný pomocí zlomyslných rozšíření pozmění viditelný i neviditelný obsah stránky může odesílat stisknuté klávesy může přidat věrohodnou výzvu k instalaci nové bankovní aplikace adresní řádek přitom ukazuje správnou adresu! Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 17 / 23

Šifrování by mělo být všude původní myšlenka: šifrování jen pro banky později: a stránky, kam se uživatel přihlašuje dnes: a všechny ostatní stránky hlavním důvodem je autenticita přenášených dat Známé případy zásahů do komunikace vkládání/náhrada reklam vkládání sledovacích kódů vkládání kódu zneuživajícího známé slabiny Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 18 / 23

Wi-Fi nebo internetová kavárna? Wi-Fi snadná možnost pozměňování komunikace nemožné nedetekovaně vstoupit do šifrovaného spojení pro šifrované spojení s ověřením certifikátu zcela bezpečné Internetová kavárna počítač mimo naší kontrolu může být napaden nejrůznějším malwarem může zaznamenávat stisky kláves nelze důvěřovat ničemu, co počítač zobrazuje Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 19 / 23

Problém nešifrovaných Wi-Fi sítí nulová autentizace provozovatele sítě zařízení sítě aktivně vyhledává útočník dokáže síť vyrobit na míru danému klientovi bezpečné jen pro šifrovaný provoz typický útok: načítání reklam v mobilních aplikacích a hrách stejnou zranitelností trpí i šifrované sítě s veřejně známým heslem, ale útočit na nešifrované je jednodušší Nikdy neukládejte nešifrované sítě do seznamu známých sítí! Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 20 / 23

Použítí veřejných VPN Virtuální privátní síť představuje šifrovaný tunel, kterým proudí veškerý provoz např. pro nešifrovaná spojení na nešifrované Wi-Fi poskytovatel VPN vidí veškrou komunikaci poskytovatel dokáže spárovat provoz s konkrétním uživatelem Tor speciální VPN, která data šifruje několikanásobně a posílá různými směry často zneužívána k trestné činnosti výstupní uzly vidí všechna data nešifrovaně často zasahují do komunikace Spoiled Onions: Exposing Malicious Tor Exit Relays Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 21 / 23

Shrnutí nespoléhejte jen na techniku naučte se rozlišovat EV certifikáty (zelený pruh) a ostatní pokud si nejste jisti, konzultujte s registry nebo odborníky nepište svá hesla do cizích počítačů pravidelně mažte uložené nešifrované sítě jste-li nuceni nešifrovanou síť používat, pořiďte VPN a nastavte automatické spojení Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 22 / 23

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Prezentace již nyní ke stažení. Ondřej Caletka (CESNET, z. s. p. o.) Co musíte vědět o šifrování 31. října 2017 23 / 23

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář