Správa přístupu PS3-2

Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Správa přístupu PS3-2 1

Osnova II základní metody pro zajištění oprávněného přístupu; autentizace; autorizace; správa uživatelských účtů; srovnání současných metod ochrany proti neoprávněnému přístupu; nové technologické možnosti. 2

Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis DSM - Data security management Doporučená Smejkal V.: Informační systémy veřejné správy ČR, VŠE Praha, 2003 3

Metody ochrany oprávněného přístupu Autentizační nástroje využívají: znalosti něčeho unikátního heslo, PIN; vlastnictví něčeho unikátního prostředek typu token, čipová karta; unikátnosti znaků osoby otisk prstů, biometrika; unikátnosti osoby v prostoru - využití satelitů, při lokalizaci pozice dané osoby 4

Použití hesla základní problémy Příliš mnoho hesel; Slabá hesla; Líní uživatelé; (slovníková metoda) Důvěra v paměť uživatele; (helpdesk) Snadné získání; (poznámky, nechráněné uložení v PC, phishing,) Nevyžadování jednoznačné identifikace; Omezená bezpečnost; (krádež hesla => nezabezpečený systém) Síla zvyku. 5

Náhrada hesel v podnikovém IS informačního prostředí (hesla jsou kontrolována Podnikový systém se single-sign sign-on Základní požadavky: Zadávání jednoho hesla při vstupu do na kvalitu) Automatizovaná správa přístupových práv (ochrana parametrů přístupu) Víceparametrová základní autentizace 6

Elektronický podpis Elektronický podpis - údaje v elektronické podobě, připojené k datové zprávě nebo s ní logicky spojené a které slouží jako způsob autentizace (zákon č. 227/2000 Sb.) 7

Zaručený elektronický podpis Zaručený elektronický podpis - elektronický podpis, který splňuje následující podmínky: jednoznačně spojen s podepisující osobou umožňuje identifikaci podepisující osoby vzhledem k datové zprávě byl vytvořen pomocí prostředků, které může podepisující osoba udržet pod svou kontrolou je k datové zprávě připojen takovým způsobem, že je možné zjistit následnou změnu dat (zákon č. 227/2000 Sb.) 8

Asymetrická šifra Všichni znají klíč příjemce, určený k odeslání zprávy 9

Asymetrická šifra - podrobněji A VEŘEJNÝ SEZNAM B ZPRÁVA: HALÓ B. ZDE JSOU DŮVĚRNÁ DATA VEŘEJNÝ KLÍČ B??????????????? VEŘEJNÝ KLÍČ E B C C = E B (M)??????????????? ZPRÁVA: SOUKROMÝ KLÍČ D B M M = D B (C) HALÓ B. ZDE JSOU DŮVĚRNÁ DATA

Asymetrický šifrovací algoritmus RSA (Rivest, Shamir, Adleman) Nejrozšířenější šifrovací algoritmus s veřejným klíčem. Bezpečnost algoritmu je založena na obtížném rozkladu velkých čísel (tvořených součinem dvou velkých prvočísel) a závisí tak na možnostech řešení úlohy faktorizace. 11

Šifrovací algoritmus základní popis Tvorba veřejného a privátního klíče Vygenerování dvou náhodných dostatečně velkých prvočísel p a q ; (p=3 q=11) Výpočet n = pq (33) a F(n) = (p - 1)(q - 1) (20) volba náhodného čísla e, kde 1< e < F(n) (e=7) tak, že NSD (e, F(n)) = 1 jsou nesoudělná [NSD je největší společný dělitel ] 12

Šifrovací algoritmus základní popis Tvorba veřejného a privátního klíče (pokr.) s užitím Eukleidova algoritmu výpočet čísla d, kde 1< < d < F(n) F a ed = 1 mod F(n) (7*3=1mod20) Veřejný klíč je dvojice (n,e) (33,7) Privátní klíč je číslo d (3) 13

Šifrovací algoritmus základní popis Šifrování a dešifrace Bob zná veřejný klíč Alice, tj, (n,e) a posílá zprávu m Bob zprávu m { m; 0 < m < a - 1} zašifruje do c = m e mod a a odešle Alici Alice dešifruje c pomocí d, kdy m = c d mod a 14

Šifrovací algoritmus příklad Šifrování a dešifrace Bob zná veřejný klíč Alice (n,e), tj, (33,7) a posílá zprávu m = 2 Bob zprávu m zašifruje do c = m e mod n; 29 = 2 7 mod33 =128mod33 a odešle Alici Alice dešifruje c=29 pomocí d=3, kdy m = c d mod a; 2= 29 3 mod33=24389mod33 15

Proces podpisu Zašifrování dat privátním klíčem odesilatele 16

Použití Hash funkce Zašifrování vzorku dat privátním klíčem odesilatele 17

Bezpečnost RSA základní metoda kryptoanalýzy = faktorizace modulu n (rozklad na prvočísla) Rok 2003 - proveden rozklad modulu o délce 576 bitů 700 600 500 400 425 428 462 512 528 576 300 200 100 129 130 140 155 160 174 0 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 délka modulu v bitech dekadicky Postupné výsledky faktorizace (zdroj: J.Janečko 2003) 18

Automatizace elektronických podpisů Elektronická razítka elektronické značky Prostředky pro vytváření elektronických značek Data pro vytváření elektronických značek jsou dostatečným způsobem utajena a jsou spolehlivě chráněna proti zneužití třetí osobou, Prostředek pro vytváření elektronických značek musí být nastaven tak, označil pouze ty datové zprávy, které označující osoba k označení zvolí. Prostředek pro vytváření elektronických značek musí být chráněn proti neoprávněné změně a musí zaručovat, že jakákoli jeho změna bude patrná označující osobě. 19