Autentizace uživatelů



Podobné dokumenty
Správa přístupu PS3-2

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Identifikátor materiálu: ICT-2-04

Bezpečnostní mechanismy

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

Tel.: (+420)

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Asymetrická kryptografie

SSL Secure Sockets Layer

Bezpečnost internetového bankovnictví, bankomaty

Šifrová ochrana informací věk počítačů PS5-2

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

KRYPTOGRAFIE VER EJNE HO KLI Č E

Informatika / bezpečnost

PSK2-16. Šifrování a elektronický podpis I

9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

Složitost a moderní kryptografie

Hesla a bezpečnost na internetu MjUNI 2019 Dětská univerzita,

Šifrová ochrana informací věk počítačů PS5-2

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

MFF UK Praha, 22. duben 2008

asymetrická kryptografie

Šifrování dat, kryptografie

Bezpečnost elektronických platebních systémů

Základy šifrování a kódování

C5 Bezpečnost dat v PC

Elektronické bankovníctvo základy, priame distribučné kanály. Tradičné vs. elektronické bankovníctvo BIVŠ 2007/2008

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

Protokol pro zabezpečení elektronických transakcí - SET

Správa webserveru. Blok 9 Bezpečnost HTTP. 9.1 Úvod do šifrování a bezpečné komunikace Základní pojmy

Středoškolská technika Encryption Protection System


Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

PA159 - Bezpečnostní aspekty

Digitální podepisování pomocí asymetrické kryptografie

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

dokumentaci Miloslav Špunda

Informatika Ochrana dat

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Směry rozvoje v oblasti ochrany informací KS - 7

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Směry rozvoje v oblasti ochrany informací PS 7

UKRY - Symetrické blokové šifry

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Kerchhoffův princip Utajení šifrovacího algoritmu nesmí sloužit jako opatření nahrazující nebo garantující kvalitu šifrovacího systému

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

BEZPEČNOST INFORMACÍ

Bezpečnost v Gridech. Daniel Kouřil EGEE kurz 12. prosince Enabling Grids for E-sciencE.

PV157 Autentizace a řízení přístupu

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

Pokročilá kryptologie

České vysoké učení technické v Praze Fakulta elektrotechnická Katedra telekomunikační techniky Asymetrické kryptosystémy I

Diffieho-Hellmanův protokol ustanovení klíče

DSY-6. Přenosový kanál kódy pro zabezpečení dat Základy šifrování, autentizace Digitální podpis Základy měření kvality přenosu signálu

MXI řešení nabízí tyto výhody

Kryptografie - Síla šifer

Jihomoravske centrum mezina rodnı mobility. T-exkurze. Teorie c ı sel, aneb elektronicky podpis a s ifrova nı


Secure Shell. X Window.

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

Digitální podepisování pomocí asymetrické kryptografie

Šifrová ochrana informací věk počítačů PS5-1

Michaela Sluková, Lenka Ščepánková

2.1. Zásady bezpečného chování Asymetrické šifrování MD5 (Message Digest algorithm) SHA-1 (Secure Hash Algorithm)...

Šifrování (2), FTP. Petr Koloros p.koloros [at] sh.cvut.cz.

Odesílání citlivých dat prostřednictvím šifrovaného u s elektronickým podpisem standardem S/MIME

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Bezpečnost IS. Základní bezpečnostní cíle

egovernment DEFINICE

EU-OPVK:VY_32_INOVACE_FIL13 Vojtěch Filip, 2014

INFORMAČNÍ BEZPEČNOST

INFORMATIKA (ŠIFROVÁNÍ A PODPIS) 2010/11

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

Rozdělení šifer Certifikáty a jejich použití Podání žádosti o certifikát. Martin Fiala digri@dik.cvut.cz

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

bit/p6d-h.d 22. března

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Symetrické šifry, DES

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Uživatelé a jejich hesla 12IPG 2011/2012

Zapomeňte už na FTP a přenášejte soubory bezpečně

7. Aplikovaná kryptografie

Certifikáty a jejich použití

Digitální měna Bitcoin. Dalibor Hula Slezská univerzita v Opavě OPF v Karviné

Problematika Internetového bankovnictví v ČR a jeho bezpečnosti. Problems of Internet banking at Czech republic and its security

Uživatelská dokumentace

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

BEZPEČNOSTNÍ PROSTŘEDKY PRO ELEKTRONICKÝ PODPIS Miloslav Špunda

Andrew Kozlík KA MFF UK

Úvod - Podniková informační bezpečnost PS1-2

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Moderní metody substitučního šifrování

Kvantová kryptografie

Transkript:

Autentizace uživatelů základní prvek ochrany sítí a systémů kromě povolování přístupu lze uživatele členit do skupin, nastavovat různá oprávnění apod. nejčastěji dvojicí jméno a heslo další varianty: jednorázová hesla identifikace hardwarem kartou, klíčem,... biometrická identifikace otisky prstů, sítnice, hlas,...

Průnik jednou z nejsnadnějších cest k útoku je získat heslo existujícího uživatele (nejlépe superuživatele) útoky na hesla hrubou silou program zkouší hromady hesel sociální ze znalosti uživatele útočník zkouší uhodnout heslo

Útoky hrubou silou zkouší všechny možné kombinace slovníkový útok zkouší slova ze slovníku + jejich modifikace obrana před online útokem zablokování účtu po několika špatných heslech prodlužování časové odezvy obrana před offline útokem periodická změna hesla (frekvence podle důležitosti) kvalitní heslo

Sociální útoky útok využívá osobní informace (uživatelské jméno? obráceně? jména dětí? datum narození? SPZ auta? ) mnohdy je horší hesla na papírku na monitoru ochrana: hesla by neměla vycházet z vašich osobních údajů generátory hesel (http://www.converter.cz/passgen/ apod.) vytvářejí silná hesla, ale obtížně zapamatovatelná

Silná zapamatovatelná hesla pomocí mnemotechnické pomůcky vyjděte z průpovídky, názvu knihy nebo písně, měla by obsahovat nepísmenné znaky heslo z prvních znaků slov a nepísmenných znaků příklad: sndz,nl šla Nanynka do zelí, natrhala lupení Kz25.A:Ch Kurtizány z 25. Avenue: Chemie MV:Blpp,92 Michal Viewegh: Báječná léta pod psa, 1992 se znalostí sloganu se snadno pamatují, bez něj působí zcela chaoticky

Autentizace v síti základní problém: přenos hesla sítí nešifrované heslo minulost, lze odposlechnout šifrovaný přenos řada systémů i algoritmů centrální autentizace řada systémů, často jen pro jedno prostředí (Windows Domain, Novell) multiplatformní řešení Kerberos, DCE, Sesame

Kerberos (1) autentizační systém původem z MIT (projekt Athena) řeší centrální autentizaci uživatelů a služeb základem centrální server s databází uživatelů a serverů vhodný do distribuovaného prostředí jeden server lze zabezpečit snadněji jak z hlediska sítě, tak z hlediska fyzické bezpečnosti

Kerberos (2) základní princip: vstupenky (tickets) přenos hesla (i šifrovaný) je potenciálním rizikem lístek jednorázové oprávnění pro přístup ke službě, platí pro konkrétní službu omezenou dobu snižuje riziko zneužití základem práce v systému je TGT Ticket to Grant Ticket (vstupenka pro získání vstupenek), slouží jako identifikátor uživatele pro další autentizace

Získání TGT v přihlašovacím dialogu uživatel zadá jméno a heslo heslem se zašifruje aktuální čas (silné šifrování algoritmem 3DES) a spolu se jménem odeslán na autentizační server server příslušným heslem dešifruje čas a porovná se svým (ochrana proti podvržení vstupenky) je-li autentizace úspěšná, vygeneruje TGT a zašifrované heslem vrátí uživateli

Kerberos použití po autentizaci uživatel získá od serveru klíč k sezení a dále vstupenku pro další autentizaci zašifrovanou jak klíčem sezení, tak klíčem služby pro autentizaci při použití síťové služby (např, souborový server) pak s použitím klíče požádá autentizační server o vstupenku opravňující k jejímu použití; její součástí je identifikace používané služby klient má jistotu, že používá skutečně požadovaný server, nikoli jeho padělek

Kerberos výhody heslo se nepřenáší sítí v žádné podobě vstupenky mají omezenou životnost snižuje riziko jejich zneužití (opakování) klíč sezení se generuje náhodně a má omezenou životnost není technicky možné zjistit jej hrubou silou (nestihne se) multiplatformní lze autentizovat uživatele ve Windows, v Linuxu i dalších systémech

Kerberos nevýhody neřeší problém sociálních útoků každá služba, aplikace či operační systém, které chceme použít, musí být speciálně upraveny (tzv. kerberizovány) dojde-li k průniku na autentizační server, má útočník hesla všech uživatelů

Šifrování ochrana citlivých dat již staří Římané... značný rozmach ve 20. století (telegraf, války, sítě) Kryptologie věda o šifrách Kryptografie část kryptologie zabývající se převedením srozumitelné zprávy do nesrozumitelné podoby a zpět (šifrování a dešifrování) Kryptoanalýza část kryptologie zabývající se odhalením klíče

Šifrovací algoritmy základní dělení: symetrické obě strany používají stejný klíč asymetrické každá strana má jiný klíč

Symetrické šifrování stejný klíč pro šifrování i dešifrování algoritmy: DES, 3DES, CAST, IDEA, Blowfish většinou velmi rychlé algoritmy jsou veřejně popsány, bezpečnost vychází z jejich principů, síla šifer se vyjadřuje délkou klíče za bezpečné jsou považovány klíče nad 128 b problém: každá dvojice potřebuje svůj klíč, jak si je předávat?

Symetrické šifrování odesilatel původní zpráva DES šifrovaná zpráva přenos společný klíč šifrovaná zpráva DES původní zpráva příjemce

DES, 3DES Data Encryption Standard, navržený pro banky vznik: 1975 IBM, původně s klíčem 256 b (algoritmus Lucifer), později omezeno na 56 b DES není považován za bezpečný, HW dekodéry rozluští klíč během několika hodin 3DES data šifruje třikrát, stejným či několika klíči (celková délka klíče pak 168 b) podstatou algoritmu je 16 opakování základního permutačního kroku, implementován HW

Asymetrické šifrování dvojice klíčů: veřejný a soukromý veřejný může použít kdokoli pro zašifrování zprávy dešifrovat lze jen pomocí soukromého klíče soukromý klíč neopustí vlastníka, nelze jej odvodit z veřejného algoritmy RSA, Diffie-Hellman, DSS mnohem (řádově 1000x) pomalejší než symetrické klíče o velikosti i několika kilobitů

Asymetrické šifrování odesilatel původní zpráva RSA šifrovaná zpráva přenos příjemcův soukromý klíč příjemcův veřejný klíč šifrovaná zpráva RSA původní zpráva příjemce

RSA Ron Rivest, Adi Shamir, Len Adleman (1977) nejznámější asymetrická šifra, základ většiny asymetricky šifrujících systémů založen na problému faktorizace (rozklad na součin prvočísel) velmi velkých čísel velmi asymetrické: znám-li prvočísla, snadno spočítám jejich součin; znám-li součin, najít prvočísla je velmi těžké doporučují se klíče alespoň 2048 b

Digitální podpis vychází z asymetrického šifrování ke zprávě se vytvoří kontrolní součet (hash), např. algoritmem MD5 tento kontrolní součet se šifruje soukromým klíčem příjemce dešifruje veřejným klíčem odesilatele a pokud souhlasí s kontrolním součtem došlé zprávy zpráva pochází skutečně od odesilatele zpráva nebyla cestou změněna

Digitální podpis odesilatel odesilatelův veřejný klíč původní zpráva příjemce původní zpráva šifrovaný hash MD5 odesilatelův soukromý klíč hash zprávy MD5 RSA RSA hash zprávy hash zprávy shodné? původní zpráva šifrovaný hash přenos

Kombinované šifrování žádná z metod není ideální symetrické šifrování vyžaduje stejné klíče asymetrické šifrování je výpočetně náročné (pomalé) řešení: kombinace obou metod zpráva se zašifruje symetrickou šifrou klíč pro symetrickou šifru se zašifruje asymetricky a přiloží ke slávě asymetricky se šifrují/dešifrují jen malá data, klíč pro symetrickou šifru se přepraví bezpečně

Problém distribuce klíčů veřejné asymetrické klíče lze volně distribuovat jak důvěryhodně získat něčí veřejný klíč? certifikáty organizace (certifikační autorita, CA) potvrdí svým podpisem, že klíč patří danému uživateli či serveru veřejný klíč CA potvrdí svým certifikátem vyšší CA hierarchie CA Public Key Infrastructure (PKI) teoreticky stačí veřejný klíč kořene PKI k ověření všeho těžké politické a obchodní boje o kořen PKI nemáme

vytvořeno s podporou projektu ESF