biztonság, titkosítás, hitelesítés rsa algoritmus...

EE--Business Business -- Internet Tárgyfőzér Internet Tárgyfőzér 20042004

AlaptechnológiákAlaptechnológiák

��Biztonság, titkosítás, hitelesítésBiztonság, titkosítás, hitelesítés��RSA algoritmusRSA algoritmus��Digitális aláírás, CA használataDigitális aláírás, CA használata�� PGPPGP��SSL kapcsolatSSL kapcsolat


Biztonságpolitika Biztonságpolitika -- AlapfogalmakAlapfogalmak

�� AdatvédelemAdatvédelemAz adatvédelem a hatályos jogszabályok és a Az adatvédelem a hatályos jogszabályok és a vállalat érdekeinek figyelembevételével vállalat érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó meghatározott, a titoktartás körébe tartozó adatok védelmét jelentiadatok védelmét jelenti

�� AdatbiztonságAdatbiztonságA gazdasági szervezetben adatbiztonságon egy A gazdasági szervezetben adatbiztonságon egy olyan állapotot értünk, ahol az információolyan állapotot értünk, ahol az információ--rendszer erıforrásai rendelkezésre állásának, rendszer erıforrásai rendelkezésre állásának, bizalmasságának és sértetlenségének a bizalmasságának és sértetlenségének a fenyegetettsége minimális fenyegetettsége minimális


Biztonságpolitika Biztonságpolitika -- AlapfogalmakAlapfogalmak

�� Értékrendszer védelmeÉrtékrendszer védelme–– VagyonbiztonságVagyonbiztonság

�� Információrendszer védelmeInformációrendszer védelme–– Környezeti biztonságKörnyezeti biztonság–– Fizikai biztonságFizikai biztonság–– Logikai biztonságLogikai biztonság–– HumánbiztonságHumánbiztonság


Biztonságpolitika Biztonságpolitika -- Megel zésMegel zés

�� Logikai védelem:Logikai védelem:a számítástechnikai rendszerek adatai és a számítástechnikai rendszerek adatai és programjai bizalmasságának, sértetlenségének programjai bizalmasságának, sértetlenségének és rendelkezésre állásának sérelmére és rendelkezésre állásának sérelmére rendszertechnikai eszközökkel elkövethetı rendszertechnikai eszközökkel elkövethetı támadások elleni védelemtámadások elleni védelem–– Hozzáférés (jelszó, adatforgalomHozzáférés (jelszó, adatforgalom--elemzés)elemzés)–– Hitelesítés (rejtjelezés, hitelesség)Hitelesítés (rejtjelezés, hitelesség)–– Rendelkezésre Rendelkezésre álásálás (vírusvédelem, tárolás)(vírusvédelem, tárolás)


VédettségVédettség

�� Feltétlen biztonságFeltétlen biztonság–– túl költségestúl költséges

��Gyakorlati biztonságGyakorlati biztonság–– költségköltség–– élettartamélettartam


A hitelesítés sarokköveiA hitelesítés sarokkövei

�� AutenticitásAutenticitás ((AuthenticityAuthenticity))–– kitıl származik az üzenet?kitıl származik az üzenet?

�� Bizalmasság (Bizalmasság (PrivacyPrivacy))–– csak a küldı és címzett ismerheti meg a csak a küldı és címzett ismerheti meg a tartalmattartalmat

�� Integritás (Integritás (IntegrityIntegrity))–– az üzenet nem módosulhat (szándékos, az üzenet nem módosulhat (szándékos, véletlenkár)véletlenkár)

�� Visszavonhatatlanság (Visszavonhatatlanság (NonNon--repudiationrepudiation))–– a küldı nem tagadhatja lea küldı nem tagadhatja le


RejtjelezésRejtjelezés

��Kódolás : M’ = E(M)Kódolás : M’ = E(M)–– védett helyenvédett helyen

�� TovábbításTovábbítás–– védetlen csatornavédetlen csatorna–– itt itt valószínıvalószínı a behatolása behatolás

��Dekódolás : M = D(M’)Dekódolás : M = D(M’)–– védett helyenvédett helyen


Mi lehet, mi legyen nyilvános?Mi lehet, mi legyen nyilvános?

��Nem lehet minden titkosNem lehet minden titkos–– bizalmatlanság, áttekinthetetlenségbizalmatlanság, áttekinthetetlenség

�� E és D rendszere lehet nyíltE és D rendszere lehet nyílt��Az adott kódolás paraméterei Az adott kódolás paraméterei legyeneklegyenek–– titkosak,titkosak,–– tömörek,tömörek,––mozgathatóak,mozgathatóak,–– nagy alaphalmazból választottaknagy alaphalmazból választottak


Rejtjelezés Rejtjelezés -- eljárásokeljárások

�� HagyományosHagyományos–– E ismeretében D meghatározhatóE ismeretében D meghatározható–– SteganográfiaSteganográfia, , betı/blokkrejtésbetı/blokkrejtés, , OneTimePadOneTimePad

�� Nyilvános kulcsú (csapóajtó Nyilvános kulcsú (csapóajtó -- trapdoortrapdoor))–– az E algoritmus, ésaz E algoritmus, és–– a rejtı kulcs ismeretében sem lehet Da rejtı kulcs ismeretében sem lehet D--t t meghatározni!meghatározni!

�� A fejtıkulcs védése külön problémaA fejtıkulcs védése külön probléma


Rejtjelezés Rejtjelezés -- KulcsokKulcsok

–– Rejtjelezés (DES Rejtjelezés (DES -- Szimmetrikus)Szimmetrikus)Üzenet Kódolt üzenet Üzenet Kódolt üzenet ÜzenetÜzenet

K1 K1 K1 K1

–– Rejtjelezés (RSA Rejtjelezés (RSA –– AszimetrikusAszimetrikus))[[RivestRivest, , ShamirShamir, , AdlemanAdleman]]Üzenet Kódolt üzenet Üzenet Kódolt üzenet ÜzenetÜzenet

K1 K1 (Nyilvános)(Nyilvános) K2 K2 (titkos)(titkos)


Az RSA tulajdonságaiAz RSA tulajdonságai

��A fejtés és rejtés, a A fejtés és rejtés, a kulcselıállításkulcselıállításegyszerıegyszerı és olcsóés olcsó

��A feltörés nagyon nehéz feladat, a A feltörés nagyon nehéz feladat, a prímtényezıkreprímtényezıkre bontásra nincs jó bontásra nincs jó algoritmusalgoritmus

��A technikai fejlıdéssel a hatásossága A technikai fejlıdéssel a hatásossága növeksziknövekszik

�� 3 nagyságrenddel lassabb a 3 nagyságrenddel lassabb a szimmetrikusnálszimmetrikusnál


Rejtjelezés Rejtjelezés –– Prímek Prímek –– RSARSA

Válasszunk ki két nagy prímszámot, amelyek > 10Válasszunk ki két nagy prímszámot, amelyek > 10100100, , n=p*qn=p*q ésész=(pz=(p--1)*(q1)*(q--1), legyen d z1), legyen d z--hez képest relatív prím. Keressünkhez képest relatív prím. Keressünkegy olyan eegy olyan e--t, amelyre t, amelyre e*de*d modmod z=1. A titkos kulcs a (z=1. A titkos kulcs a (d,nd,n) pár,) pár,a nyilvános kulcs az (a nyilvános kulcs az (e,ne,n) pár. ) pár.

Kódolás Kódolás E=PE=Peemodmod n, dekódolás n, dekódolás D=CD=Cdd modmod n.n.

A kódolás fix mérető blokkokra tördelve történik, a kódolandó A kódolás fix mérető blokkokra tördelve történik, a kódolandó blokkok logblokkok log2 2 nn--nél kevesebb bites egységeknél kevesebb bites egységek

A kód feltöréséhez A kód feltöréséhez nn--etet fel kellene bontani pfel kellene bontani p--re és qre és q--ra, ra, hogy z és ebbıl d meghatározható legyen.hogy z és ebbıl d meghatározható legyen.


Rejtjelezés Rejtjelezés -- behatolásbehatolás

�� PasszívPasszív–– lehallgatás lehallgatás –– a rejtjelezés feltörésea rejtjelezés feltörése

��AktívAktív–– szabotázs szabotázs -- integritás károsításaintegritás károsítása––megtévesztés megtévesztés -- hitelesítés kijátszásahitelesítés kijátszása


Rejtjelezés Rejtjelezés -- védekezésvédekezés

��A folyamatok idıben való A folyamatok idıben való viselkedésének, láncolatának viselkedésének, láncolatának figyelésefigyelése

��KapcsolathitelesítésKapcsolathitelesítés��Kulcskezelés, kulcsgondozásKulcskezelés, kulcsgondozás–– kulcselıállításkulcselıállítás–– kulcstároláskulcstárolás–– kulcskiosztáskulcskiosztás


Rejtjelezés Rejtjelezés –– kulcskezeléskulcskezelés

Igen fontos, hogy ha valakinek a nyilvános kulcsátIgen fontos, hogy ha valakinek a nyilvános kulcsáthasználjuk, akkor biztosak legyünk abban, hogy nemhasználjuk, akkor biztosak legyünk abban, hogy nemhamis, lejárt, vagy érvénytelen a kulcs. Ha rossz kulcsothamis, lejárt, vagy érvénytelen a kulcs. Ha rossz kulcsothasználunk, akkor a nekünk küldött hamisított üzenetethasználunk, akkor a nekünk küldött hamisított üzenetethitelesnek hihetjük, vagy illetéktelenek is olvashatjákhitelesnek hihetjük, vagy illetéktelenek is olvashatjáktitkosnak szánt üzenetünket. A legegyszerőbb, éstitkosnak szánt üzenetünket. A legegyszerőbb, éslegbiztonságosabb, ha személyesen cserélünk kulcsot.legbiztonságosabb, ha személyesen cserélünk kulcsot.Megfelelı megoldás, ha valaki a névjegyén közli, nem aMegfelelı megoldás, ha valaki a névjegyén közli, nem anyilvános kulcsát, hanem annak egy nyilvános kulcsát, hanem annak egy ujlenyomatátujlenyomatát..Szokás elektronikus levélben, a Szokás elektronikus levélben, a FingerFinger szolgáltásszolgáltássegítségével közölni a nyilvános kulcsot.segítségével közölni a nyilvános kulcsot.


Rejtjelezés Rejtjelezés –– HitelesítésHitelesítés

Ha egy közjegyzı vagy valamilyen hivatal hitelesíti digitálisHa egy közjegyzı vagy valamilyen hivatal hitelesíti digitálisaláírásával valakinek a nyilvános kulcsát, akkor azt nemaláírásával valakinek a nyilvános kulcsát, akkor azt nemcsak a polgári életben, hanem az államigazgatásban és acsak a polgári életben, hanem az államigazgatásban és ajogban is használhatjuk. Több ilyen szervezet, cég van már,jogban is használhatjuk. Több ilyen szervezet, cég van már,ameklyikameklyik nyilvános kulcsok hitelesítésével foglalkozik. Ilyeneknyilvános kulcsok hitelesítésével foglalkozik. Ilyeneka a VerisignVerisign, a Four11 vagy Európában a , a Four11 vagy Európában a DeutscheDeutsche TelekomnTelekomnegy leányvállalata. A hálózaton ezeken kívül is számosegy leányvállalata. A hálózaton ezeken kívül is számoskulcsszerver érhetı el, ahonnan személyek, kulcsszerver érhetı el, ahonnan személyek, intézmányekintézmányeknyilvános kulcsát tölthetjük le. A PGP kulcsszerverek a világonnyilvános kulcsát tölthetjük le. A PGP kulcsszerverek a világonelszórtan, de szinkronban mőködnek.elszórtan, de szinkronban mőködnek.


Digitális aláírásDigitális aláírás

�� Jellemzı legyen az üzenetre és az aláíróraJellemzı legyen az üzenetre és az aláíróra�� Csak az üzenet létrehozója tudja Csak az üzenet létrehozója tudja elıállítanielıállítani�� A hitelességet a címzett, sıt harmadikA hitelességet a címzett, sıt harmadikszemély is ellenırizhesseszemély is ellenırizhesse

�� Viszont nem automatikusan kapcsolódik a Viszont nem automatikusan kapcsolódik a tulajdonosához tulajdonosához –– eltulajdonítható, ha nem eltulajdonítható, ha nem vigyáznak rá, ill. fennáll a más nevével vigyáznak rá, ill. fennáll a más nevével való visszaélés való visszaélés lehetıségelehetısége


Digitális aláírás Digitális aláírás -- KövetelményekKövetelmények

�� A HitelesítıA Hitelesítı–– KulcsgenerálásKulcsgenerálás–– KulcsırzésKulcsırzés–– Felelısség vállalásFelelısség vállalás

�� Magyarországi hitelesítıkMagyarországi hitelesítıkhttp://ehttp://e--alairas.lap.hu/index.htmlalairas.lap.hu/index.htmlhttp://www.matav.hu/akcio/ehttp://www.matav.hu/akcio/e--szignoszigno//http://www.netlock.huhttp://www.netlock.huhttp://www.giro.huhttp://www.giro.hu//


Digitális aláírás Digitális aláírás -- KövetelményekKövetelmények�� A tartalom eredetiségének megırzéseA tartalom eredetiségének megırzése�� A küldés ténye nem letagadhatóA küldés ténye nem letagadható�� A fogadás ténye nem letagadhatóA fogadás ténye nem letagadható�� Harmadik fél részére nem felfedhetıHarmadik fél részére nem felfedhetı

Terminál Nyilvános kulcs

Hash – titkos kulccsal

Titkos kulcsTerminál

Hash – nyilvános kulccsal

Üzenet

Üzenet

Rejtjelezett üzenet


Kivonat készítéseKivonat készítése

�� Tetszıleges hosszúságú szöveghez Tetszıleges hosszúságú szöveghez rögzített hosszúságú kivonatrögzített hosszúságú kivonat

�� Egyirányú függvény (gyakorlatilag)Egyirányú függvény (gyakorlatilag)�� Egy bit változása az eredmény Egy bit változása az eredmény bitjeinekbitjeinek50%50%--át megváltoztatjaát megváltoztatja

��HashHash algoritmusokalgoritmusok–– SHASHA--1, MD2, MD5, RIPEMD128, stb.1, MD2, MD5, RIPEMD128, stb.–– Jelölés: KM = H(KM)Jelölés: KM = H(KM)


�� http://www.infopen.hu/archivum/97/9709/niif2.htmhttp://www.infopen.hu/archivum/97/9709/niif2.htm

�� http://amirisc.jpte.hu/network/AJ0901.htmhttp://amirisc.jpte.hu/network/AJ0901.htm

�� http://www.iif.hu/dokumentumok/niif_fuzetek/vedelem.htmlhttp://www.iif.hu/dokumentumok/niif_fuzetek/vedelem.html

�� http://www.crysys.hu/publications/files/BertaB2003hwsw1.pdfhttp://www.crysys.hu/publications/files/BertaB2003hwsw1.pdf

Digitális aláírás Digitális aláírás -- LinkekLinkek


Digitális aláírás Digitális aláírás –– FelhasználásokFelhasználások

EszközökEszközök�� EE--mail PGPmail PGP�� SSL SSL –– OpenSSLOpenSSL

–– HTTP HTTPSHTTP HTTPS–– FTP SFTP FTP SFTP –– SSH Biztonságos SSH Biztonságos telnettelnet

�� http://www.netlock.hu/html/tankiad.htmlhttp://www.netlock.hu/html/tankiad.html�� http://www.ieb.hu/onlineter/ecommerce/default.asphttp://www.ieb.hu/onlineter/ecommerce/default.asp�� http://www.dbassoc.hu/maksign/dak/Nemetzb.htmhttp://www.dbassoc.hu/maksign/dak/Nemetzb.htm


PGPPGP

http://www.pgpi.org/

Ha olyan aláírással kapunk egy nyilvános kulcsot, amitHa olyan aláírással kapunk egy nyilvános kulcsot, amithitelesnek tekintünk, akkor magát ezt a nyilvános kulcsothitelesnek tekintünk, akkor magát ezt a nyilvános kulcsotis elfogadhatjuk. Az ilyen is elfogadhatjuk. Az ilyen bemutetottbemutetott kulcs aztán újabbkulcs aztán újabbkulcsokat hitelesíthet. Ez a ”bizalmi háló” a PGP nevőkulcsokat hitelesíthet. Ez a ”bizalmi háló” a PGP nevőnépszerő, szabadon terjeszthetı titkosítási programcsomagranépszerő, szabadon terjeszthetı titkosítási programcsomagrajellemzı. Ennél is szabályozhatjuk, hogy milyen mélységben jellemzı. Ennél is szabályozhatjuk, hogy milyen mélységben Fogadunk el ”bemutatott által bemutatottakat”, és hogy hányFogadunk el ”bemutatott által bemutatottakat”, és hogy hányhitelesnek ismert hitelesnek ismert bemutetóbemutetó bemutetásabemutetása kell ahhoz, hogy egykell ahhoz, hogy egynyilvános kulcsot hitelesnek ismerjünk el.nyilvános kulcsot hitelesnek ismerjünk el.


PGPPGP

�� PrettyPretty GoodGood PrivacyPrivacy–– Szimmetrikus: IDEA, DES, 3DESSzimmetrikus: IDEA, DES, 3DES–– Aszimmetrikus: RSA, DHAszimmetrikus: RSA, DH

�� PhilPhil ZimmermannZimmermann��USA USA –– az erıs titkosítási eszközök az erıs titkosítási eszközök exportjának tiltása: exportjának tiltása: sourcesource kivitelekivitele

�� Ingyenes használatIngyenes használat�� Pl.: Pl.: GreenpeaceGreenpeace


SecureSecure SocketSocket LayerLayer (SSL)(SSL)

��Az adatcsomagokat hitelesíti (ésAz adatcsomagokat hitelesíti (ésrejtjelzirejtjelzi))

�� Transzparens, bármilyen alkalmazásTranszparens, bármilyen alkalmazásfuthat fölöttefuthat fölötte

��A teljes kapcsolatot védiA teljes kapcsolatot védi


SSLSSL

http://ludens.elte.hu/~papp/hitelesi.html

Az SSL protokoll elınye, hogy független az Az SSL protokoll elınye, hogy független az alkalmazásalkalmazás--protokolloktól. A magasabb szintő protokolloktól. A magasabb szintő alkalmazásalkalmazás--protokoll (protokoll (pédáulpédául HTTP, FTP, TELNET, HTTP, FTP, TELNET, stbstb))fennakadás nélkül mőködik az SSL protokoll fölött. Az SSLfennakadás nélkül mőködik az SSL protokoll fölött. Az SSLprotokoll minden új kommunikációs kapcsolat felvételekorprotokoll minden új kommunikációs kapcsolat felvételekorkiválaszt egy kódolási algoritmust és egy eseti kulcsot, éskiválaszt egy kódolási algoritmust és egy eseti kulcsot, ésegyúttal egyúttal autentikáljaautentikálja a szervert, mielıtt az alkalmazása szervert, mielıtt az alkalmazás--protokoll elküldi, vagy fogadja az elsı adatbájtot.protokoll elküldi, vagy fogadja az elsı adatbájtot.Minden alkalmazásMinden alkalmazás--protokoll szintő adat protokoll szintő adat küdolvaküdolva kerülkerülelküldésre a kétoldali biztonság érdekében. A titkosításielküldésre a kétoldali biztonság érdekében. A titkosításieljárás gyakorlatilag megegyezik a digitális aláírásoknáleljárás gyakorlatilag megegyezik a digitális aláírásoknálismertetettel, azzal az eltéréssel, hogy a hitelességetismertetettel, azzal az eltéréssel, hogy a hitelességetharmadik fél nem igazolja.harmadik fél nem igazolja.


SHTTPSHTTP

��Az alkalmazás Az alkalmazás filefile--szintenszintenkommunikálkommunikál

��Azok az alkalmazások használhatják,Azok az alkalmazások használhatják,amelyekbe beleépítették.amelyekbe beleépítették.

��Az adott applikációhoz tartozó Az adott applikációhoz tartozó kommunikációt védikommunikációt védi

�� Tud digitális aláírást készíteni egy Tud digitális aláírást készíteni egy filehozfilehoz


Biztonságos protokollokBiztonságos protokollok

�� CsomagaláírásiCsomagaláírási technika technika –– IPX (Amikor IPX (Amikor kell)kell)

�� KerberosKerberos TCP/IP (Mindent egy helyen)TCP/IP (Mindent egy helyen)�� Elektronikus Adatcsere TCP/IP (EDI)Elektronikus Adatcsere TCP/IP (EDI)

http://www.itb.hu/ajanlasok/a17/html/a17_4.htmhttp://www.itb.hu/ajanlasok/a17/html/a17_4.htm

–– AlkalmazásAlkalmazás–– EDI AlrendszerEDI Alrendszer–– ÜzenetkezelıÜzenetkezelı–– HálózatkezelıHálózatkezelı


Secure Electronic Transactions

��A teljes tranzakciót védiA teljes tranzakciót védi–– autentikációautentikáció, bizalmasság, az üzenet , bizalmasság, az üzenet integritása, kapcsolat hitelesítésintegritása, kapcsolat hitelesítés

�� Egyéb szolgáltatásaiEgyéb szolgáltatásai–– Vásárló (kártya) regisztrációVásárló (kártya) regisztráció–– Eladó regisztrációEladó regisztráció–– Vásárlási igényVásárlási igény–– Fizetéshez azonosításFizetéshez azonosítás–– Fizetés lebonyolításaFizetés lebonyolítása

biztonság, titkosítás, hitelesítés rsa algoritmus...

Documents