virtuelne privatne mreže -...
TRANSCRIPT
VirtuelneVirtuelne PrivatnePrivatne MreMrežžee
KriptoKripto zazašštitatita
MrMr Nenad Nenad KrajnoviKrajnovićć, , dipldipl. . ininžž..
ee--mail: [email protected]: [email protected]
2
VPN VPN -- kriptokripto zazašštitatita
prethodnoprethodno opisaneopisane metodemetode susuobezbeđivaleobezbeđivale virtuelnevirtuelne mremrežžeepopošštoto se se podacipodaci prenoseprenose u u ččitljivomitljivomoblikuobliku privatnostprivatnost se se nene momožžeegarantovatigarantovati, , posebnoposebno akoako se se zazarealizacijurealizaciju koristikoristi nekaneka javnajavna mremrežžaazaza prenosprenos podatakapodataka tipatipa InternetaInterneta
3
VPN VPN -- kriptokripto zazašštitatita
LL/ATM/FR mreža
VPN 1
VPN 2
4
VPN VPN -- kriptokripto zazašštitatita
ZahteviZahtevi kojikoji se se postavljajupostavljaju predpred VPN VPN mremrežžee susu::sigurnostsigurnostpouzdanostpouzdanostperformanseperformanse
5
VPN VPN -- kriptokripto zazašštitatita
koristikoristi se u se u kombinacijikombinaciji sasatunelovanjemtunelovanjem podatakapodataka pripri ččemuemu se se tuneltunel definidefiniššee vavažžnonoššććuu primenjeneprimenjeneššifreifreu u kombinacijikombinaciji sasa firewallfirewall--omomobezbeđujeobezbeđuje zazašštitutitu lokalnelokalne mremrežžee
6
VPNgateway
VPNgateway
javna mrežaabv abv
#%$&&
VPN VPN -- kriptokripto zazašštitatita
7
DvaDva osnovnaosnovna sistemasistema kriptokripto zazašštitetite::sistemsistem sasa simetrisimetriččnimnim kljuključčemem -- istiistitajnitajni kljuključč se se koristikoristi i i zaza ššifrovanjeifrovanje i i zaza dedeššifrovanjeifrovanje podatakapodatakasistemsistem sasa asimetriasimetriččnimnim kljuključčemem --postojepostoje dvadva kljuključčaa, , javnijavni i i tajnitajni
VPN VPN -- tipovitipovi kriptokripto zazašštitetite
8
VPN VPN -- sistemsistem sasa simetrisimetriččnimnimkljuključčemem
izvorište odredište
isti tajniključ
9
VPNVPN--sistemsistem sasa simetrisimetriččnimnimkljuključčemem
tajnost kljutajnost ključča utia utičče na sigurnost celog e na sigurnost celog sistemasistema
brz sistem brz sistem ššto je veoma dobro sa to je veoma dobro sa stanovistanoviššta performansi VPN ta performansi VPN gatewaygateway--aa
najnajččeeššćće se koriste AES, RCe se koriste AES, RC--4, DES, 4, DES, TripleDES i FWZTripleDES i FWZ--1 algoritmi1 algoritmi
dudužžina kljuina ključča utia utičče na kvalitet kripto e na kvalitet kripto zazašštite (danatite (današšnji kljunji ključčevi su 56evi su 56--bitni i bitni i vivišše)e)
10
DuDužžina kljuina ključčaa((menjamenja se se sasa napretkomnapretkom raraččunara)unara)
Tip informacije Životni vek tajne Minimalna veličina ključa
Vojne taktičke informacije Min/sati Min 64 bita
Berzanski podaci, razvoj proiz. Dani/nedelje 80
Biznis razvojni planovi Godine 112
Recept Coca Cole Decenije Min 112
Identiteti špijuna >50 god. 128
Strogo čuvane državne tajne 100 god 192
11
Vreme potrebno za razbijanje Vreme potrebno za razbijanje ššifreifre((podacipodaci iziz 2003. 2003. godinegodine))
Vreme potrebno za probijanjeNapadač Sredstva
56 bita 64 bita 80 bita 128 bita
Pojedinac~$400
mreža PC ili FPGA
1 god Neizvodivo
Neizvodivo
Neizvodivo
korporacija $300K ASIC 10 min 2 dana 300 god Neizvodivo
Multinacionalna kompanija $10 mil 14 sec 2 sata 7 god Neizvodiv
o
Država $300 mil Realno vreme 4 min 90 dana Neizvodiv
o
12
VPNVPN--sistemsistem sasa asimetriasimetriččnimnimkljuključčemem
problem tajnosti kljuproblem tajnosti ključča u sistemu sa a u sistemu sa simetrisimetriččnim kljunim ključčem razreem razreššen je u en je u sistemu sa asimetrisistemu sa asimetriččnim kljunim ključčemem
ovde se koriste dva kljuovde se koriste dva ključča, javni i tajnia, javni i tajni
javni kljujavni ključč se slobodno distribuira dok je se slobodno distribuira dok je tajni poznat samo vlasnikutajni poznat samo vlasniku
kombinacijom javnog i tajnog kljukombinacijom javnog i tajnog ključča a dobija se novi kljudobija se novi ključč koji se koristi za koji se koristi za ššifrovanjeifrovanje
13
novodobijeninovodobijeni kljuključč se se koristikoristi zazaššifrovanjeifrovanje kaokao i i kodkod sistemasistema sasasimetrisimetriččnimnim kljuključčememnajnajččeeššććee se se koristekoriste dvadva algoritmaalgoritmaDiffieDiffie--Hellman (DH) i Hellman (DH) i RivestRivest--ShamirShamir--AdlemenAdlemen (RSA)(RSA)problem problem akoako se se nekoneko ubaciubaci u u prenosprenosjavnihjavnih kljuključčevaeva ((manman--inin--thethe--middlemiddle))
VPNVPN--sistemsistem sasa asimetriasimetriččnimnimkljuključčemem
14
DH DH algoritamalgoritam
tajni ključ sa
lok.A
javni ključ sa
lok.B
tajni ključ sa
lok.B
javni ključ sa
lok.A
15
DH DH -- manman--inin--thethe--middlemiddle
A BM
16
VPN VPN -- RSA RSA algoritamalgoritam
problem problem tretreććegeg u u komunikacijikomunikacijiprevaziđenprevaziđen jeje korikoriššććenjemenjem RSA RSA algoritmaalgoritma i i uvođenjemuvođenjem digitalnogdigitalnogpotpisapotpisapodacipodaci ššifrovaniifrovani RSA RSA tajnimtajnim kljuključčememmogumogu bitibiti dedeššifrovaniifrovani SAMOSAMO RSA RSA javnimjavnim kljuključčemem
17
VPN VPN -- RSA RSA algoritamalgoritam
+ Data
Data +
AA- RSA
tajnitajni ključ RSA šifrovani podaci
šifrovani podaciA- RSA
javnijavni ključ
RSA bilo ko
18
RSA RSA -- digitalnidigitalni potpispotpis
RSA RSA algoritamalgoritam se se momožžee koristitikoristiti zazakriptovanjekriptovanje podatakapodataka iliili zaza ditalniditalnipotpispotpisobezbeđujeobezbeđuje sigurnostsigurnost u u porekloporekloporukeporuke jerjer se se samosamo sasaodgovarajuodgovarajuććimim javnimjavnim kljuključčemem momožžeededeššifrovatiifrovati porukaporuka
19
RSA RSA -- digitalnidigitalni potpispotpis
hash funkcije koje se danas koriste: MD4, MD5, SHA-1, CBC-DES-MAC
20
VPN VPN -- distribucijadistribucija kljuključčevaeva
DaDa bi se bi se obezbedilaobezbedila kriptovanakriptovanakomunikacijakomunikacija izmeđuizmeđu proizvoljnihproizvoljnihpartnerapartnera potrebnopotrebno jeje obezbeditiobezbeditidistribucijudistribuciju kljuključčevaeva izmeđuizmeđu njihnjih..To To jeje zadatakzadatak posebnihposebnih serveraservera kojikojise se zovuzovu Certificate AuthorityCertificate Authority (CA)(CA)CA CA ččuvauva javnejavne kljuključčeveeve svihsvihzainteresovanihzainteresovanih i i distribuiradistribuira ihih popožželjielji
21
VPN VPN -- tipitipiččnana komunikacijakomunikacija
22
VPN VPN -- generisanjegenerisanje kljuključčevaeva
celokupnicelokupni sistemsistem kriptokripto zazašštitetite zavisizavisiodod generisanjagenerisanja, , ččuvanjauvanja i i distribucijedistribucijekljuključčevaevaceoceo sistemsistem radarada sasa kljuključčevimaevimazasnivazasniva se se nana javnojavno definisanimdefinisanimpravilimapravilima kojakoja ččineine Public Key Public Key Infrastructure Infrastructure (PKI)(PKI)
23
VPN VPN -- implementacijaimplementacija (IP (IP mremrežžaa))
PrethodnoPrethodno navedenanavedena pravilapravila i i nanaččiniinikriptovanjakriptovanja podatakapodataka mogumogu bitibitirazlirazliččitoito implementiraniimplementirani..
U U zavisnostizavisnosti odod toga toga šštata se se kriptujekriptuje, , razlikujemorazlikujemo::In place transmission modeIn place transmission modeTransport modeTransport modeEncrypted tunnel modeEncrypted tunnel mode
24
In place transmission modeIn place transmission mode
ššifrujeifruje se se samosamo korisnikorisniččkiki deodeo IP IP datagramadatagramanene menjamenja se se dudužžinaina IP IP datagramadatagramazadrzadržžavaava se se originalnooriginalno IP IP zaglavljezaglavlješštoto omoguomoguććavaava dada se se vidividi koko susupartneripartneri u u komunikacijikomunikaciji
25
Transport modeTransport mode
kriptujukriptuju se se samosamo korisnikorisniččkiki podacipodaci izizIP IP datagramadatagramapostojepostojeććemem datagramudatagramu se se dodajedodaje jojoššjednojedno zaglavljezaglavlje kojekoje sadrsadržžiiinformacijeinformacije o o primenjenojprimenjenoj metodimetodikriptokripto zazašštitetite, , šštoto dovodidovodi do do produprodužženjaenja datagramadatagramaoriginalnooriginalno IP IP zaglavljezaglavlje ostajeostaje nenepromenjenopromenjeno šštoto omoguomoguććavaava uviduvid u u partnerepartnere u u komunikacijikomunikaciji
26
Encrypted tunnel modeEncrypted tunnel mode
kompletankompletan IP datagram, IP datagram, ukljuuključčivivššii i i zaglavljezaglavlje, se , se kriptujekriptuje, , dodajedodaje se novo se novo IP IP zaglavljezaglavlje i i novodobijeninovodobijeni datagram datagram se se ššaljealje krozkroz mremrežžuuobezbeđujeobezbeđuje potpunupotpunu privatnostprivatnost jerjer se se nene momožžee videtivideti ččakak nini koko komunicirakomunicira
27
VPN VPN -- standardizacijastandardizacija
prvobitneprvobitne realizacijerealizacije VPN VPN uređajauređajakoristilekoristile susu raznarazna proprieteryproprietery rereššenjaenjadada bi se bi se obezbedilaobezbedila interoperabilnostinteroperabilnostuređajauređaja raznihraznih proizvođaproizvođaččaa, , pristupilopristupilo se se definisanjudefinisanju standardastandarda izizoveove oblastioblastiIETF IETF formiraoformirao IP SecurityIP Security (IPSEC) (IPSEC) radnuradnu grupugrupu ččijiiji jeje zadatakzadatak dadadefinidefiniššee standardestandarde zaza VPN oblastVPN oblast
28
RezultatiRezultati IPSEC IPSEC radneradne grupegrupe
definisanadefinisana susu dvadva protokolaprotokola zazašštitiććenogenogprenosaprenosa kojikoji definidefiniššuu Authentication Authentication Header Header (AH) i (AH) i Encapsulating Security Encapsulating Security Payload Payload (EPS)(EPS)definisandefinisan nanaččinin komunikacijekomunikacije uvođenjemuvođenjempojmapojma Security AssociationsSecurity Associations (SA)(SA)definisandefinisan jeje nanaččinin razmenerazmene kljuključčevaevaposredstvomposredstvom InternetaInterneta, , Internet Key Internet Key Exchange Exchange (IKE)(IKE)
29
ZaZa IPv6 IPv6 definisandefinisan jeje ISAKMP/Oakley ISAKMP/Oakley ((Internet Security Association and Internet Security Association and Key ManagementKey Management) ) protokolprotokol pripri ččemuemujeje SKIP (SKIP (Simple Key management for Simple Key management for IPIP) ) definisandefinisan kaokao opcijaopcija..
RezultatiRezultati IPSEC IPSEC radneradne grupegrupe
30
QoS u VPN QoS u VPN mremrežžamaama
problem problem garantovanjagarantovanja QoS u VPN QoS u VPN mremrežžamaama jeje izraizražženen u u situacijamasituacijamakadakada se se kompletankompletan saobrasaobraććajaj kriptujekriptujeVPN VPN gatewaygateway uređajuređaj moramora dadaobezbediobezbedi šštoto boljebolje popošštovanjetovanježželjenogeljenog kvalitetakvaliteta servisaservisazavisizavisi i i odod izabraneizabrane mremrežžee zazakomunikacijukomunikaciju
31
ZakljuZaključčakak
potrebnopotrebno jeje znatiznati odod kogakoga se se šštitimotitimopotrebnopotrebno jeje znatiznati kojikoji susu to to podacipodacikojikoji se se šštitetiteproblem problem generisanjagenerisanja i i razmenerazmenekljuključčevaevavelikevelike mogumoguććnostinosti primeneprimene u u elektronskomelektronskom poslovanjuposlovanju
32
HVALA!HVALA!