9. DSA, PKI a infrastruktura. doc. Ing. Róbert Lórencz, CSc.

Podobné dokumenty
8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Digitální podepisování pomocí asymetrické kryptografie

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

Identifikátor materiálu: ICT-2-04

Projekt 2 - Nejčastější chyby. Ing. Dominik Breitenbacher

Digitální podepisování pomocí asymetrické kryptografie

MFF UK Praha, 22. duben 2008

SMĚRNICE. Certifikační politika k certifikátu šifrování dat pro pracovníka PČS nebo externího uživatele PKI-PČS

dokumentaci Miloslav Špunda

Pokročilá kryptologie

Autentizace uživatelů

Kryptografie založená na problému diskrétního logaritmu

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 2. Podpisová schémata -elementární principy- (1)

asymetrická kryptografie

Elektronické bankovníctvo základy, priame distribučné kanály. Tradičné vs. elektronické bankovníctvo BIVŠ 2007/2008

Certifikační autorita EET. Veřejný souhrn certifikační politiky

Diffieho-Hellmanův protokol ustanovení klíče

PSK2-16. Šifrování a elektronický podpis I

Asymetrická kryptografie

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

SMĚRNICE. Certifikační politika k certifikátu pro elektronický podpis a ověření pracovníka PČS nebo externího uživatele PKI-PČS Číselná řada: 5/2006

Česká pošta, s.p. Certifikační autorita PostSignum

Informatika / bezpečnost

Elektronický podpis. Marek Kumpošt Kamil Malinka

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Správa přístupu PS3-2

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Certifikáty a jejich použití

Pokročilá kryptologie

ZNALECKÝ POSUDEK Znalecký posudek č /2017

ElGamal, Diffie-Hellman

Elektronické pasy v praxi. Zdeněk Říha

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Protokol pro zabezpečení elektronických transakcí - SET

Obsah přednášky. Pozn: pokud je v přednáškách zmíněn Občanský zákoník, jedná se o zákon č. 89/2012 Sb., občanský zákoník ( nový občanský zákoník )

Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních

Digitální důvěra osnova přednášky

Využití elektronického podpisu v praxi VŠ Milan Hála SVŠES, s. r. o.

Směry rozvoje v oblasti ochrany informací KS - 7

I.CA SecureStore Uživatelská příručka

BEZPEČNOST INFORMACÍ

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

ŠIFROVÁNÍ, EL. PODPIS. Kryptografie Elektronický podpis Datové schránky

VYHLÁŠKA ze dne 23. června 2009 o stanovení podrobností užívání a provozování informačního systému datových schránek

Obnovování certifikátů

Elektronický podpis význam pro komunikaci. elektronickými prostředky

I.CA SecureStore Uživatelská příručka

[1] ICAReNewZEP v1.2 Uživatelská příručka

ING Public Key Infrastructure ING PKI Postup při vydávaní certifikátů. Verze 5.2 květen 2012

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

bit/p6d-h.d 22. března

Komerční výrobky pro kvantovou kryptografii

Směry rozvoje v oblasti ochrany informací PS 7

Andrew Kozlík KA MFF UK

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Příručka pro dodavatele. Systém EZVR 1.1 Verze dokumentu 1.3 Datum vydání:

Postup pro vytvoření žádosti o digitální certifikát pro ověřovací a produkční prostředí Základních registrů

Robert Hernady, Regional Solution Architect, Microsoft

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

pomocí asymetrické kryptografie 15. dubna 2013

Tel.: (+420)

496/2004 Sb. VYHLÁŠKA Ministerstva informatiky ze dne 29. července 2004 o elektronických podatelnách

PA159 - Bezpečnostní aspekty

PV157 Autentizace a řízení přístupu

KRYPTOGRAFIE VER EJNE HO KLI Č E

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Postup pro vytvoření žádosti o digitální certifikát pro produkční prostředí Základních registrů

EURO ekonomický týdeník, číslo 17/2001

ZPRÁVA PRO UŽIVATELE

Federativní přístup k autentizaci

Odesílání citlivých dat prostřednictvím šifrovaného u s elektronickým podpisem standardem S/MIME

Akreditovaná certifikační autorita eidentity

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

Uživatelská příručka Popis postupu nastavení zabezpečené komunikace s CDS pomocí aplikace MS Outlook 2003

INFORMATIKA (ŠIFROVÁNÍ A PODPIS) 2010/11

ELEKTRONICKÝ PODPIS V PODNIKOVÝCH APLIKACÍCH. Tomáš Vaněk ICT Security Consultant

ZPRÁVA PRO UŽIVATELE

ERP-001, verze 2_10, platnost od

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

BEZPEČNÁ VÝMĚNA DOKUMENTŮ NA PŘÍKLADĚ VIRTUÁLNÍHO PODNIKU

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Certifikáty a jejich použití

Závěrečná zpráva. Spoluřešitelé: Ing. Jiří Slanina Ing. et Bc. Ondřej Prusek, Ph.D. Ing. Luboš Kopecký

Bezpečnostní aspekty informačních a komunikačních systémů KS2

INFORMAČNÍ BEZPEČNOST

Bezpečnost elektronických platebních systémů

Rozdělení šifer Certifikáty a jejich použití Podání žádosti o certifikát. Martin Fiala digri@dik.cvut.cz

Instalační manuál. Uživatelská příručka informačního systému. Popis postupu nastavení zabezpečené komunikace s CDS pomocí aplikace MS Outlook 2007.

Postup pro vytvoření žádosti o digitální certifikát pro přístup k Základním registrům

Transkript:

Bezpečnost 9. DSA, PKI a infrastruktura doc. Ing. Róbert Lórencz, CSc. České vysoké učení technické v Praze Fakulta informačních technologií Katedra počítačových systémů Příprava studijních programů Informatika pro novou fakultu ČVUT je spolufinancována Evropským sociálním fondem a rozpočtem Hlavního města Prahy v rámci Operačního programu Praha adaptabilita (OPPA) projektem CZ.2.17/3.1.00/31952 Příprava a zavedení nových studijních programů Informatika na ČVUT v Praze. Praha & EU: Investujeme do vaší budoucnosti R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 1 / 31

Obsah přednášky Distribuce veřejných klíčů Digitální podpis, DSA Formáty certifikátů podle X.509 Certifikační strom Distribuce tajných klíčů Digitální podpis DSA R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 2 / 31

Distribuce veřejných klíčů (1) Úvod - distribuce tajných klíčů pomocí kryptografie VK 1 Distribuce veřejných klíčů. 2 Použití šifrování s VK pro distribuci tajných klíčů Distribuce veřejných klíčů S distribucí VK souvisí hrozba podvržení veřejného klíče ohrožení bezpečnosti kryptografických systémů s VK. VK A ID A U VK U ID A A E VK (M) A E VK (M) U B R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 3 / 31

Distribuce veřejných klíčů (2) Způsob podvržení veřejného klíče Subjekt A pošle svůj VK A a svůj identifikátor ID A, tj zprávu VK A ID A subjektu B. Předpoklad: útočník U má aktivní přístup k veřejnému kanálu. U zachytí zprávu VK A ID A a vytvoří novou zprávu VK U ID A a odešle ji B - podvržení VK U subjektu B. B se domnívá, že VK A = VK U B zašifruje každou zprávu M klíčem VK U, tj vytvoří E VKU (M) a odešle ji A. U zachytí E VKU (M) a dešifruje ji SK U a získavá zprávu M. U zná VK A zašifruje M E VKA (M) a pošle ji A. Důsledek: U čte korespondenci zaslanou sujektem A subjektu B! Tato činnost nemusí být vůbec subjektem B detekována. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 4 / 31

Distribuce veřejných klíčů (3) Distribuce veřejných klíčů lze realizovat technikou: 1 zveřejnění veřejných klíčů (public announcement) 2 veřejně dostupný adresář (public available directory) 3 autorita pro veřejné klíče (public-key authority) 4 certifikace veřejných klíčů (public-key certification) Zveřejnění veřejných klíčů Zasíláním VK individuálně nebo hromadně v rámci nějaké komunity. Na internetu připojením k emailu, vystavením na webu apod. Rychlý a jednoduchý způsob. Nízká bezpečnost! Není odolný proti podvržení VK nepovolaný subjekt může číst zprávy dotčeného subjektu až do odhalení. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 5 / 31

Distribuce veřejných klíčů (4) Veřejně dostupný adresář Vyšší stupeň bezpečnosti. Distribuci VK zabezpečuje důvěryhodná autorita - zodpovídá za obsah, je správcem adresáře. Účastníci registrují svůj VK prostřednictvím autorizovaného správce adresáře. Bezpečná registrace: osobně nebo přes bezpečnou komunikaci. Položky v adresáři jsou tvořeny: [jmeno;vk ]. Účastníci mění VK podle potřeby - bezpečnost, velký objem dat jedním VK, zkompromitovaný VK atd. Správce periodicky aktualizuje adresář elektronicky nebo fyzicky. Tento systém je bezpečnější než předchozí, má ale slabá místa: Pokud nepovolaný subjekt získá SK správce adresáře může modifikovat adresář a provádět odposlech jako v předchozí metodě. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 6 / 31

Distribuce veřejných klíčů (5) A B VK A VK B Správce adresáře Veřejný adresář Autorita pro veřejné klíče Přísnější dohled na distribuci VK z adresáře znamená vyšší stupeň bezpečnosti. Autorita vykonává činnost správce adresáře VK. Každý účastník zná veřejný klíč autority VK Aut, která vlastní odpovídající soukromý klíč SK Aut. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 7 / 31

Distribuce veřejných klíčů (6) Distribuce veřejných klíčů pomocí autority pro veřejné klíče Autorita pro VK 1. Req. T 1 4. Req. T 2 A 2. E SK (VK B Req. T 1 ) Aut 3. E VK (ID A N 1 ) B 6. E VK (N 1 N 2 ) A 5. E SK (VK A Req. T 2 ) 7. E VK (N 2 ) B Aut B R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 8 / 31

Distribuce veřejných klíčů (7) A chce inicializovat výměnu zprávy s B - scénař distribuce VK: 1 A ve zprávě Autoritě požaduje (Req.- Request) VK B za účelem komunikace s B. Žádost je doplněná časovou značkou T 1 (Time). 2 Autorita odpoví zprávou zašifrovanou SK Aut. A dešifruje zprávu VK Aut - potvrzení, že zpráva je od Autority. Zpráva obsahuje: VK B - A může šifrovat zprávy pro B kopii žádosti Req. od A A může verifikovat kopii s vyslanpou žádostí, tj. zda žádost nebyla modifikována před přijetím Autoritou kopii T1 - umožňuje A verifikovat aktualitu žádosti. 3 A použije VK B pro zašifrování zprávy pro B obsahující identifikátor A ID A a náhodné číslo N 1 (potvrzuje jedinečnost výměny). 4 B po obdržení zprávy od A vyžádá od Autority VK A (jako A v 1.). 5 B obdrží VK A od Autority stejným způsobem jako A v bodě 2. 6 B zašle A zprávu N 1 N 2 zašifrovanou VK A, N 2 generuje B. 7 A zašle B zprávu N 2 zašifrovanou VK B. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 9 / 31

Distribuce veřejných klíčů (8) Zvýšení bezpečnosti předaných zpráv Postup v bode 6. a 7 zvyšuje bezpečnost výměny zpráv. B zasláním zprávy N 1 N 2 subjektu A, kde N 2 je náhodné číslo generované B, dá jistotu A, že autorem zprávy je B, protože obsahuje N 1 vygenerované A. Dešifrování na obou stranách je možné jen se znalostí přislušných SK A a B. V kroku 7. získá B jistotu, že zpráva pochází od A, protože obsahuje N 2. Distribuce VK pomocí Autority pro VK má své nevýhody. Autorita představuje "úzké hrdlo"této koncepce. Každý účastnik na získání VK adresáta musí nejdříve komunikovat s Autoritou pro VK. Alternativní přístup v distribuci VK představuje použití certifikátů. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 10 / 31

Distribuce veřejných klíčů (9) Certifikace veřejných klíčů Distribuce VK bez kontaktu s třetím důvěryhodným subjektem. Tento přístup vyžaduje definici certifikátu a certifikační autority. Definice certifikátu Certifikát je utajovaná struktura, ktera obsahuje: veřejný klíč žadatele/držitele certifikátu identifikační údaje držitele certifikátu dobu platnosti certifikátu další údaje vytvořené certifikační autoritou. Tato struktura je podepsána soukromým klíčem certifikační autority SK Aut a každý účasnik může verifikovat obsah certifikátu pomocí veřejného klíče certifikační autority VK Aut. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 11 / 31

Distribuce veřejných klíčů (10) Definice certifikační autority Certifikační autorita (CA) je důvěryhodná třetí strana, která na základě žádosti vydává a aktualizuje certifikáty. Každý účastník může verifikovat to, že certifikát byl vytvořen CA, pomocí jejího veřejného klíče VK Aut. Žádost o vydání certifikátu lze CA doručit osobně nebo elektronicky s využitím bezpečné komunikace. Příjímaní žádostí, kontrola údajů v žádosti a odevzdávání certifikátů žadatelům se realizuje registrační autoritou Princip výměny veřejných klíčů na bázi certifikátů Subjekt A před započetím jakékoliv komunikace požádá CA o vydání certifikátu na svůj veřejný klíč VK A. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 12 / 31

Distribuce veřejných klíčů (11) CA vydá certifikát C A pro subjekt A, který obsahuje: dobu platnosti - T1 identifikační údaje A - IDA veřejný klíč - A - VKA Tuto strukturu certifikátu podepíše svým soukromým klíčem SK Aut a odešle A. Certifikát pro A má potom tvar: C A = E SK (T 1, ID A, VK A ) Certifikát v této podobě lze poskytnout subjektu A, který ho může zveřejnit, protože ho lze číst/verifikovat pomocí veřejného klíče CA - VK Aut : D VKAut (C A ) = D VKAut (E SKAut (T 1, ID A, VK A )) = (T 1, ID A, VK A ) Tento proces dešifrování klíčem CA je současně ověřením toho, že certifikát byl vytvořen CA. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 13 / 31

Distribuce veřejných klíčů (12) Distribuce veřejných klíčů pomocí certifikátů Certifikační autorita VK A VK B C A = E SK (T 1,ID A,VK A ) Aut C B = E SK (T 2,ID B,VK B ) Aut 1. C A A B 2. C A R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 14 / 31

Distribuce veřejných klíčů (13) Dešifrováním se získají jméno a veřejný klíč držitele certifikátu a také časový údaj o platnosti. Analogicky požádá o vydání certifikátu subjekt B. Certifikát C B má analogickou strukturu jako C A. Distribuce veřejných klíčů potom představuje výměnu certifikátů C A a C B mezi subjekty A a B (kroky 1. a 2. na obrázku). Certifikáty podle doporučení X.509 Formáty certifikátů určuje doporučení ITU-T X.509, které je částí doporučení X.500. Doporučení X.509 definuje také autentizační protokoly používané v různých typech sítí a aplikacích sít ové bezpečnosti. Všeobecný formát podle X.509 je následující: R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 15 / 31

Formáty certifikátů podle X.509 (1) Formát certifikátu Sériové číslo certifikátu Algorit. vytvoření podpisu certifikátu Identifikační údaje CA Doba platnosti certifikátu Identifikační údaje uživatele Veřejný klíč uživatele Formát 1 Formát 2 Formát 3 Jednoznačný identifikátor CA Jednoznačný identifikátor uživatele Rozšíření Digitální podpis CA R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 16 / 31

Certifikační strom (1) Vlastnosti certifikátů vydávaných CA: Kterýkoliv subjekt prostřednictvím veřejného klíče CA může verifikovat veřejné klíče jiných subjektů. Žádný jiný subjekt než CA nemůže modifikovat vydané certifikáty Certifikáty jsou nefalšovatelné jsou umístněny v adresáři CA přístupném všem subjektům bez nutnosti zvláštni ochrany. Uvedená koncepce má nevýhodu při velkém počtů uživatelů. Každý uživatel musí mít kopii veřejného klíče CA. Výhodnější je vytvořit více CA pro různé okruhy uživatelů. Vytvoření více CA předpokládá vzájemné propojení mezi CA například ve formě stromové struktury certifikačního stromu. Každý strom reprezentuje kořenová CA, která vlastní kořenový certifikát. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 17 / 31

Certifikační strom (2) Posloupnost certifikátů od certifikátu uživatele až k certifikátu kořenové CA se nazývá řetězec certifikátů Řetězec certifikátů CA n CA n-1 CA 2 CA 1 Certifikát uživatele Ověřování certifikátu uživatele Certifikát důvěryhodné CA R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 18 / 31

Certifikační strom (3) Certifikát je platný platné všechny certifikáty v řetězci certifikátů. Kořenový certifikát musí být shodný s kořenovým certifikátem jiné důvěryhodné CA ověřený jinou bezpečnou cestou. Je možné prohlásit za důvěryhodný i certifikát v řetězci certifikátů se ověřovaní urychlí. Řetěz certifikátů předpokládá stromovou strukturu CA. Uživatelé mající certifikát jedné stromové struktury mohou získat v rámci této struktury certifikáty ostatních uživatelů. Prolém vzniká se získáním certifikátů uživatelů jiné stromové struktury. V tomto případě získaní certifikátů mezi uživateli dvou různych CA umožňuje křížová certifikace: jednosměrná obousměrná R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 19 / 31

Certifikační strom (4) CA 3 Nemusí existovat CA 1 CA 2 Držitel certifikátu A Držitel certifikátu B Držitel certifikátu C Držitel certifikátu D Jednosměrná certifikace CA 1 CA 2 Obousměrná certifikace Držitel certifikátu A Držitel certifikátu B Držitel certifikátu C Držitel certifikátu D R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 20 / 31

Certifikační strom (5) V případě, že C (obrazek Křížová certifikace) chce komunikovat s A, musí A poslat C množinu certifikátů: certifikát A, podepsaný CA 1 certifikát CA 1 podepsaný CA 1, tj. kořenový certifikát CA 1 certifikát CA 1 podepsaný CA 2, tj. křížový certifikát Certifikát CA 2 podepsaný CA 2, tj. kořenový certifikát CA 2 subjekt C zná, protože patří do stromové struktury CA 2. Touto křížovou certifikaci se CA 1 a její uživatelé stanou důvěryhodnými pro CA 2 a její uživatele, neplatí to naopak! Aby tento vztah byl obousměrný, je nutné, aby i CA 2 si vyžádala křížový certifikát podepsaný CA 1. Obousměrná křížová certifikace znamená, že CA 1 a CA 2 vlastní kromě kořenových certifikatů také křížové. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 21 / 31

Certifikační strom (6) Platnost certifikátu Každý certifikát má vymezenou dobu platnosti. Nový certifikát je vydaný těsně před uplynutím této doby platnosti. Na žádost držitele certifikátu může certifikát ztratit platnost žádostí odvolání certifikátu podanou na CA. Motivace: kompromitace soukromého klíče uživatel chce změnit aktuální CA kompromitace certifikátu vydaného CA CA zveřejňuje seznam odvolaných certifikátů. PKI (Public Key Infrastructure) Norma v sítí Internet vycházející z norem ITU-T X.500 Specifikace technických a organizačních opatření pro vydávaní, správu, používaní a odvolávaní klíčů a certifikátů. Hlavní cíl zabezpečení kompatibility SW pro Internet. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 22 / 31

Distribuce tajných klíčů (1) Distribuce tajných klíčů existuje taktéž v kryptografických systémech s VK. Kryptografické systémy VK poskytují lepší možnosti pro tuto distribuci než klasická (symetrická) kryptografie. 1. VK A ID A A B 2. E VK (k s ) A Pokud A chce komunikovat s B, musí oba realizovat uvedené kroky. po vyslání subjektem A zprávu B obsahující VK A a identifikátor ID A obdrží A od B tajný klíč k s zašifrovaný VK A. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 23 / 31

Distribuce tajných klíčů (2) Podvržením veřejného klíče aktivním útočníkem U lze získat tajný klíč k s. Podvržení je provedeno stejným způsobem jako u podvržení veřejného klíče. 1. VK A ID A U 2. VK U ID A A 4. E VK (k s ) 4. E VK (k s ) A U B Výsledek: tajný klíč k s určený pro tajnou komunikaci mezi A a B zná také U, který může dešifrovat tajnou komunikaci mezi A a B. Jednoduchou koncepci distribuce tajných klíčů lze použít jen v prostředí s možností pasivních útoků. R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 24 / 31

Distribuce tajných klíčů (3) Distribuce tajných klíčů v prostředí s aktivními a pasivními útoky lze provést na bázi VK jen za předpokladu: A a B si bezpečným způsobem vyměnili svoje veřejné klíče. 1. E VK (N 1 ID A ) B 2. E VK (N 1 N 2 ) A A B 3. E VK (N 2 ) 4. E VK (E SK (k S )) B Tato koncepce zaručuje důvěrnost a autentizaci při výměně tajného klíče. B A R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 25 / 31

Digitální podpis (1) Digitální podpis je obvykle formou asymetrického kryptografické schématu Soukromý klíč podepsání Veřejný klíč ověření Vlastnosti digitálního podpisu Nezfalšovatelnost, autentizace podpis se nedá napodobit jiným subjektem než podepisujícím Ověřitelnost příjemce dokumentu musí být schopen ověřit, že podpis je platný Integrita podepsaná zpráva se nedá změnit, aniž by se zneplatnil podpis Nepopiratelnost podepisující nesmí mít později možnost popřít, že dokument podepsal R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 26 / 31

Digitální podpis (2) Další vlastnosti Skupina bitů, jejichž hodnoty závisí na celém podepisovaném dokumentu Využívá informaci, kterou zná jen podepisující (soukromý klíč) Implementace digitálního podpisu by měla být snadná, ale... falšování digitálního podpisu by mělo být výpočetně obtížné neschůdné vyrobit falešný podpis pro existující zprávu neschůdné vyrobit falešnou zprávu pro existující podpis Kategorie digitálních podpisů Přímé digitální podpisy (direct digital signature) Mezi dvěma subjekty, příjemce zná VK odesílatele Problém s popiratelností Verifikované digitální podpisy (arbitrated digital signature) Využívá důvětyhodnou třetí stranu (arbitra), který ověřuje podpisy všech zpráv R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 27 / 31

DSS (1) M Postupy v digitálních podpisech RSA H E SK A M E SK (H (M)) A H D Srovnání DSS VK A M H k Podpis VK G SK A s r M s r H VK G VK A Verifikace Srovnání R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 28 / 31

DSA (1) DSA - Inicializace schématu vygenerujeme náhodné prvočíslo q, 2 159 < q < 2 160 vygenerujme náhodné prvočíslo p, 2 1023 < p < 2 1024, tak, aby q p 1 nalezneme generátor g podgrupy G Z p řádu q, tj. g = h (p 1) q 1 < h < (p 1) h (p 1) q (mod p) > 1. veřejné parametry schématu jsou (p, q, g) zvolíme privátní klíč x, 0 < x < q nutno zajistit integritu čtveřice (p, q, g, x) nevhodné chránit jen x samostatně coby privátní klíč vypočteme veřejný klíč y, y = g x mod p R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 29 / 31

DSA (2) DSA - Podpis zprávy vstup: veřejné parametry (p, q, g), privátní klíč x, zpráva pro podpis m výpočet: vygenerujeme tajné náhodné číslo k, 0 < k < q. NONCE Number used ONCE k bývá označováno jako dočasný klíč zprávy prozrazení k kompromituje privátní klíč vypočteme r = (g k mod p) mod q vypočtěme s = k 1 (h(m) + xr) mod q, kde kk 1 1 (mod q) kontrola, že r 0 a s 0, jinak se výpočet opakuje podpisem je dvojice (r, s) R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 30 / 31

DSA (3) DSA - Ověření podpisu vstup: veřejné parametry (p, q, g), veřejný klíč y, zpráva m, ověřovaný podpis (r, s) výpočet: ověříme, že 0 < r < q a 0 < s < q; jinak podpis odmítneme jako neplatný vypočteme w = s 1 mod q vypočteme u 1 = wh(m) mod q a u 2 = wr mod q vypočteme v = (g u 1y u 2 mod p) mod q podpis je platný v = r R. Lórencz (ČVUT FIT) DSA, PKI a infrastruktura BI-BEZ, 2011, Předn. 9. 31 / 31