Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens."— Μεταγράφημα παρουσίασης:

1 Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens

2 Σύνοψη Εισαγωγή Απαιτήσεις Ασφάλειας Κατηγορίες Απειλών Κατηγορίες Επιθέσεων Κρυπτογραφία Συμμετρική Κρυπτογραφία Ασύμμετρη Κρυπτογραφία Ψηφιακή Υπογραφή Υποδομή Δημοσίου Κλειδιού Ψηφιακά Πιστοποιητικά Αρχές Πιστοποίησης Λίστες Ανάκλησης Πιστοποιητικών National Technical University of Athens Τεχνολογίες Διαδικτύου 2

3 ΕΙΣΑΓΩΓΗ National Technical University of Athens Τεχνολογίες Διαδικτύου 3

4 Γιατί η ασφάλεια πληροφορίας είναι σημαντική; Κρατικά, επιχειρησιακά και προσωπικά δεδομένα διατηρούνται σε ηλεκτρονική μορφή Εύκολη πρόσβαση, άμεσα ανταλλαγή δεδομένων Πιο αποδοτική χρήση δεδομένων  μεγαλύτερη αύξηση της αξίας της πληροφορίας Η διατήρηση της πληροφορίας ηλεκτρονικά διευκολύνει: την κλοπή της, ακόμη και απομακρυσμένα την παραποίησή της Η ασφάλεια των δεδομένων ενός συστήματος εξαρτάται από την ασφάλεια όλων των συστημάτων, με τα οποία αυτό επικοινωνεί. 4 Τεχνολογίες Διαδικτύου National Technical University of Athens

5 Ασφάλεια Πληροφορίας Ο όρος ασφάλεια πληροφορίας σχετίζεται με την προστασία της πληροφορίας και των πληροφοριακών συστημάτων από μη εξουσιοδοτημένη πρόσβαση, χρήση, αποκάλυψη, παρακώλυση, τροποποίηση και καταστροφή ώστε να παρέχεται: Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα Η πληροφορία (δεδομένα) μπορεί να βρίσκεται είτε αποθηκευμένη σε κάποιο πληροφοριακό σύστημα είτε να διακινείται μεταξύ πληροφοριακών συστημάτων. National Technical University of Athens Τεχνολογίες Διαδικτύου 5

6 Θεμελιώδεις Απαιτήσεις Ασφάλειας Εμπιστευτικότητα (Confidentiality) Ακεραιότητα (Integrity) Διαθεσιμότητα (Availability) National Technical University of Athens Τεχνολογίες Διαδικτύου 6 Ασφάλεια Πληροφορίας Ακεραιότητα Διαθεσιμότητα Εμπιστευτικότητα

7 Εμπιστευτικότητα (1/2) Προστασία από μη εξουσιοδοτημένη πρόσβαση στην πληροφορία. Μόνο εξουσιοδοτημένες οντότητες: Έχουν πρόσβαση στην πληροφορία Γνωρίζουν ότι πραγματοποιείται ανταλλαγή δεδομένων μεταξύ δύο οντοτήτων National Technical University of Athens Τεχνολογίες Διαδικτύου 7 Data

8 Εμπιστευτικότητα (2/2) Απαίτηση που δέχεται τις περισσότερες επιθέσεις Μέσο εξασφάλισης εμπιστευτικότητας: κρυπτογράφηση μεταδιδόμενων δεδομένων Εξακρίβωση ταυτότητας: μοναδικό αναγνωριστικό για κάθε χρήστη Αυθεντικοποίηση: διασφάλιση ότι οι εμπλεκόμενες οντότητες είναι όντως αυτές που ισχυρίζονται ότι είναι Εξουσιοδότηση: χρήση πόρων μόνο από ταυτοποιημένους χρήστες 8 Τεχνολογίες Διαδικτύου National Technical University of Athens

9 Παράδειγμα Ανάγκης για Εμπιστευτικότητα Διατήρηση διαδικτυακού καταστήματος Απαιτείται η προστασία των δεδομένων των πελατών Αριθμός πιστωτικής κάρτας Διεύθυνση οικίας/εργασίας Τηλέφωνο οικίας/εργασίας National Technical University of Athens Τεχνολογίες Διαδικτύου 9

10 Ακεραιότητα Αξιοπιστία πληροφορίας Προστασία των δεδομένων από μη εξουσιοδοτημένη μεταβολή τους. Μεταβολή: Δημιουργία νέων δεδομένων. Τροποποίηση ήδη υπαρχόντων δεδομένων. Διαγραφή ήδη υπαρχόντων δεδομένων. Εξασφαλίζει: Αυθεντικότητα των δεδομένων. Μη απάρνηση των δεδομένων (εγγύηση συμμετοχής όλων των εμπλεκομένων μερών στη διακίνηση της πληροφορίας). Πρέπει να διασφαλίζεται η αναστρεψιμότητα πιθανών τροποποιήσεων National Technical University of Athens Τεχνολογίες Διαδικτύου 10

11 Παράδειγμα Ανάγκης για Ακεραιότητα Διατήρηση διαδικτυακού καταστήματος Απαιτείται η ορθότητα σε ό,τι αφορά τις αναγραφόμενες τιμές και τις διαθέσιμες ποσότητες των προϊόντων Απαιτείται οι τιμές και ποσότητες των προϊόντων σε μία συναλλαγή να μην είναι δυνατό να μεταβληθούν Απαιτείται η αυθεντικότητα και η πληρότητα των προϊόντων Ηλεκτρονικά βιβλία Λογισμικό National Technical University of Athens Τεχνολογίες Διαδικτύου 11 Data

12 Διαθεσιμότητα (1/2) Εύκολος τρόπος διασφάλισης Εμπιστευτικότητας και Ακεραιότητας: αποσύνδεση του υπολογιστή από το Διαδίκτυο Διαθεσιμότητα: το σύστημα πρέπει να αποκρίνεται σε αιτήματα 12 Τεχνολογίες Διαδικτύου National Technical University of Athens Data

13 Διαθεσιμότητα (2/2) Εξασφάλιση έγκαιρης και έγκυρης πρόσβασης στην πληροφορία Τα μέτρα που έχουν ληφθεί για την ασφάλεια του συστήματος δε θα πρέπει να κάνουν το σύστημα απαγορευτικά αργό ή δύσκολο στη χρήση Επιθέσεις άρνησης παροχής υπηρεσίας (denial of service attacks). National Technical University of Athens Τεχνολογίες Διαδικτύου 13

14 Παράδειγμα Ανάγκης για Διαθεσιμότητα Διατήρηση διαδικτυακού καταστήματος Από τη μεριά του πελάτη του διαδικτυακού καταστήματος Απαιτείται η δυνατότητα αγορών οποιαδήποτε χρονική στιγμή Από τη μεριά του ιδιοκτήτη του διαδικτυακού καταστήματος Απαιτείται η ροή εσόδων να πραγματοποιείται χωρίς διακοπές National Technical University of Athens Τεχνολογίες Διαδικτύου 14

15 Βασικές Κατηγορίες Απειλών Διαρροή (Leakage): Απόκτηση πληροφορίας από μη εξουσιοδοτημένους χρήστες Μη εξουσιοδοτημένη απόκτηση πληροφορίας σχετικής με τις τραπεζικές κινήσεις ή το υπόλοιπο ενός τραπεζικού λογαριασμού Πλαστογραφία (Tampering): Τροποποίηση της πληροφορίας από μη εξουσιοδοτημένους χρήστες Μη εξουσιοδοτημένη τροποποίηση του υπολοίπου ενός τραπεζικού λογαριασμού Βανδαλισμός (Vandalism): Παρεμπόδιση της ορθής λειτουργίας του συστήματος Μη εξουσιοδοτημένη παρεμπόδιση οποιασδήποτε συναλλαγής για έναν τραπεζικό λογαριασμό National Technical University of Athens Τεχνολογίες Διαδικτύου 15

16 Βασικές Κατηγορίες Επιθέσεων (1/6) 16 Τεχνολογίες Διαδικτύου National Technical University of Athens Επιθέσεις Ασφάλειας Υποκλοπή Μεταμφίεση Πλαστογραφία Μηνύματος Επανάληψη Άρνηση Παροχής Υπηρεσίας Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα

17 Βασικές Κατηγορίες Επιθέσεων (2/6) Υποκλοπή (Eavesdropping): Μη εξουσιοδοτημένη απόκτηση αντιγράφων των μηνυμάτων που ανταλλάσσονται μεταξύ πληροφοριακών συστημάτων. Απειλεί την Εμπιστευτικότητα της πληροφορίας National Technical University of Athens Τεχνολογίες Διαδικτύου Δημόσιο Δίκτυο Μπομπ Αλίκη Νταρθ Ανάγνωση μηνύματος από τον Μπομπ προς την Αλίκη 17

18 Δημόσιο Δίκτυο Μπομπ Αλίκη Νταρθ Μήνυμα από τον Νταρθ, υποδυόμενος τον Μπομπ Βασικές Κατηγορίες Επιθέσεων (3/6) Μεταμφίεση (Masquerading): Μη εξουσιοδοτημένη χρήση της ταυτότητας από ένα τρίτο μέρος σε ανταλλαγή πληροφοριών. Παράδειγμα: Ένας χρήστης ζητά πρόσβαση σε ένα αρχείο. Ο επιτιθέμενος «φροντίζει» να δοθεί πρόσβαση σε διαφορετικό αρχείο από αυτό που ζήτησε. Απειλείται η Ακεραιότητα της πληροφορίας National Technical University of Athens Τεχνολογίες Διαδικτύου 18

19 Βασικές Κατηγορίες Επιθέσεων (4/6) Πλαστογραφία Μηνύματος (Message Tampering): Υποκλοπή μηνύματος από τον αποστολέα, τροποποίησή του και αποστολή του τροποποιημένου στον παραλήπτη. Απειλείται η Ακεραιότητα της πληροφορίας National Technical University of Athens Τεχνολογίες Διαδικτύου Δημόσιο Δίκτυο Μπομπ Αλίκη Νταρθ Ο Νταρθ τροποποιεί το μήνυμα από τον Μπομπ στην Αλίκη 19

20 Δημόσιο Δίκτυο Μπομπ Αλίκη Νταρθ Λήψη μηνύματος από τον Μπομπ στην Αλίκη, αποστολή απάντησης στην Αλίκη σε μεταγενέστερη ημερομηνία Βασικές Κατηγορίες Επιθέσεων (5/6) National Technical University of Athens Τεχνολογίες Διαδικτύου 20 Επανάληψη (Replaying): Υποκλοπή μηνύματος από ενδιάμεσο, αποθήκευσή του και αποστολή του σε μεταγενέστερη ημερομηνία. Απειλείται η Ακεραιότητα της πληροφορίας

21 Βασικές Κατηγορίες Επιθέσεων (6/6) Άρνηση Παροχής Υπηρεσίας (Denial of Service): Πλημμύρα του καναλιού με μηνύματα, ώστε να είναι αδύνατο για την υπηρεσία να εξυπηρετήσει όλες τις εισερχόμενες αιτήσεις. Απειλείται η Διαθεσιμότητα της πληροφορίας National Technical University of Athens Τεχνολογίες Διαδικτύου Δημόσιο Δίκτυο Μπομπ Νταρθ Εξυπηρετητής Ο Νταρθ διακόπτει τις υπηρεσίες που προσφέρει ο εξυπηρετητής 21

22 ΚΡΥΠΤΟΓΡΑΦΙΑ National Technical University of Athens Τεχνολογίες Διαδικτύου 22

23 Βασικοί Όροι Κρυπτογραφίας Αρχικό κείμενο (plain text): το μήνυμα προτού κρυπτογραφηθεί Κρυπτογράφημα (cipher text): το μήνυμα μετά την κρυπτογράφηση Κλειδί: πληροφορία που χρησιμοποιείται για τη μετατροπή του αρχικού κειμένου σε κρυπτογράφημα και το αντίστροφο Συνάρτηση: ο αλγόριθμος κρυπτογράφησης ή αποκρυπτογράφησης που χρησιμοποιείται σε συνδυασμό με το κλειδί για την κρυπτογράφηση ή την αποκρυπτογράφηση του μηνύματος, αντίστοιχα 23 Τεχνολογίες Διαδικτύου National Technical University of Athens

24 Ένα μήνυμα κρυπτογραφείται από τον αποστολέα όταν εφαρμόζει κάποιον κανόνα για το μετασχηματισμό του από απλό κείμενο (plaintext) σε κρυπτογράφημα (ciphertext). Έστω ένα μήνυμα κειμένου Μ που θέλουμε να κρυπτογραφήσουμε με ένα κλειδί Κ. Το αποτέλεσμα της συνάρτησης: είναι το κρυπτογράφημα, με τη συνάρτηση Ε να ορίζει έναν κρυπτογραφικό αλγόριθμο που μετατρέπει το κείμενο σε κρυπτογράφημα. Κρυπτογραφικοί Αλγόριθμοι National Technical University of Athens Τεχνολογίες Διαδικτύου 24 Ε (Κ, Μ) = { Μ } Κ

25 Βασικές Κατηγορίες Κρυπτογραφικών Αλγορίθμων Συμμετρικοί Αλγόριθμοι – Χρησιμοποιείται το ίδιο κλειδί για κρυπτογράφηση και αποκρυπτογράφηση. Ασύμμετροι Αλγόριθμοι – Χρησιμοποιούνται διαφορετικά κλειδιά για κρυπτογράφηση και αποκρυπτογράφηση. National Technical University of Athens Τεχνολογίες Διαδικτύου Hello world  ЖЛЙК Бэъю Hello world απλό κείμενο κρυπτογράφημα συμμετρικό κλειδί συμμετρικό κλειδί Hello world  ЖЛЙК Бэъю Hello world απλό κείμενο κρυπτογράφημα κλειδί κρυπτογράφησης κλειδί αποκρυπτογράφησης 25

26 Συμμετρικοί Αλγόριθμοι Κρυπτογράφησης Χρησιμοποιείται το ίδιο μυστικό κλειδί (secret, shared key) για κρυπτογράφηση και αποκρυπτογράφηση Το κλειδί έχει διανεμηθεί εκ των προτέρων στα εμπλεκόμενα μέρη της επικοινωνίας National Technical University of Athens Τεχνολογίες Διαδικτύου 26

27 Συμμετρική Κρυπτογραφία National Technical University of Athens Τεχνολογίες Διαδικτύου 27 Αρχικό Κείμενο Κρυπτογράφηση Δημόσιο Δίκτυο Αποκρυπτογράφηση Αρχικό κείμενο Μυστικό Κλειδί Κρυπτογράφημα

28 Συμμετρική Κρυπτογραφία Παράδειγμα Ο αλγόριθμος κρυπτογράφησης ανήκει στην κατηγορία των Αλγορίθμων Αντικατάστασης. Αλγόριθμος κρυπτογράφησης: Δεξιά μετατόπιση κατά 15 χαρακτήρες Αλγόριθμος αποκρυπτογράφησης: Αριστερή μετατόπιση κατά 15 χαρακτήρες Κλειδί = 15 Αρχικό κείμενο: «hello» 28 Τεχνολογίες Διαδικτύου National Technical University of Athens

29 Συμμετρική Κρυπτογραφία Παράδειγμα Κρυπτογράφημα: wtaad 29 Τεχνολογίες Διαδικτύου National Technical University of Athens Αρχικό κείμενο: h  Δεξιά μετατόπιση κατά 15 χαρακτήρες  Κρυπτογράφημα: w Αρχικό κείμενο: e  Δεξιά μετατόπιση κατά 15 χαρακτήρες  Κρυπτογράφημα: t Αρχικό κείμενο: l  Δεξιά μετατόπιση κατά 15 χαρακτήρες  Κρυπτογράφημα: a Αρχικό κείμενο: l  Δεξιά μετατόπιση κατά 15 χαρακτήρες  Κρυπτογράφημα: a Αρχικό κείμενο: o  Δεξιά μετατόπιση κατά 15 χαρακτήρες  Κρυπτογράφημα: d

30 Συμμετρική Κρυπτογραφία Παράδειγμα Ο αλγόριθμος αντικατάστασης ανήκει στην κατηγορία των Αλγορίθμων Μετάθεσης. Αλγόριθμος κρυπτογράφησης: Το αρχικό κείμενο χωρίζεται σε ομάδες των 5 χαρακτήρων. Οι χαρακτήρες κάθε ομάδας μετατοπίζονται σύμφωνα με την πληροφορία που φέρει το μυστικό κλειδί. Εάν η τελευταία ομάδα αποτελείται από λιγότερους από 5 χαρακτήρες, συμπληρώνουμε τον αντίστοιχο αριθμό από έναν τυχαίο χαρακτήρα, έστω z. 30 Τεχνολογίες Διαδικτύου National Technical University of Athens

31 Συμμετρική Κρυπτογραφία Παράδειγμα 31 Τεχνολογίες Διαδικτύου National Technical University of Athens enemyattackstonightz Αποκρυπτογράφηση Κρυπτογράφηση eemyntaacttkonshitzg Αρχικό κείμενο: «enemy attacks tonight» Κλειδί: Κρυπτογράφημα: eemyntaacttkonshitzg

32 Συμμετρική Κρυπτογραφία: Πλεονεκτήματα Απλή: απαιτείται μόνο ο καθορισμός και ο διαμοιρασμός ενός μυστικού κλειδιού Πιο γρήγορη σε σχέση με την ασύμμετρη κρυπτογραφία Εμποδίζει τη διαδεδομένη έκθεση της ασφάλειας της πληροφορίας σε κίνδυνο: Για κάθε ζεύγος οντοτήτων, απαιτείται ένα ξεχωριστό μυστικό κλειδί. National Technical University of Athens Τεχνολογίες Διαδικτύου 32

33 Συμμετρική Κρυπτογραφία: Μειονεκτήματα Ανάγκη για ένα ασφαλές κανάλι για τη μετάδοση του μυστικού κλειδιού Μεγάλος αριθμός κλειδιών Προβλήματα στη διαχείριση και προστασία όλων των κλειδιών Δύσκολο να εξακριβωθεί η προέλευση του μηνύματος Οι εμπλεκόμενες οντότητες χρησιμοποιούν το ίδιο κλειδί National Technical University of Athens Τεχνολογίες Διαδικτύου 33

34 Ασύμμετροι Αλγόριθμοι Κρυπτογράφησης Χρησιμοποιείται ζεύγος κλειδιών (ιδιωτικό/δημόσιο), με το ένα να αποκρυπτογραφεί ό,τι κρυπτογραφεί το άλλο: Κρυπτογραφούμε με το ιδιωτικό κλειδί → Αποκρυπτογραφούμε με το δημόσιο κλειδί Κρυπτογραφούμε με το δημόσιο κλειδί → Αποκρυπτογραφούμε με το ιδιωτικό κλειδί Στο δημόσιο κλειδί ενός μέλους της επικοινωνίας έχει πρόσβαση ο οποιοσδήποτε θέλει να επικοινωνήσει μαζί του. Στο ιδιωτικό κλειδί έχει πρόσβαση μόνο ο κάτοχός του. National Technical University of Athens Τεχνολογίες Διαδικτύου 34

35 Ασύμμετρη Κρυπτογραφία (1) Όταν ο αποστολέας επιθυμεί να στείλει ένα μήνυμα σε κάποιον παραλήπτη, κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί του παραλήπτη και στη συνέχεια του το στέλνει. Το μήνυμα αυτό μπορεί να αποκρυπτογραφηθεί μόνο με το αντίστοιχο ιδιωτικό κλειδί. Ο παραλήπτης όταν λάβει το μήνυμα, το αποκρυπτογραφεί με το ιδιωτικό κλειδί του. National Technical University of Athens Τεχνολογίες Διαδικτύου 35

36 Ασύμμετρη Κρυπτογραφία (2) National Technical University of Athens Τεχνολογίες Διαδικτύου Ιδιωτικό Κλειδί Δημόσιο Κλειδί Αρχικό κείμενο Κρυπτογράφηση Δημόσιο Δίκτυο Αποκρυπτογράφηση Αρχικό κείμενο Κρυπτογράφημα 36

37 Ασύμμετρη Κρυπτογραφία Παράδειγμα - RSA Κάθε χρήστης δημιουργεί ένα ζεύγος δημόσιου/ιδιωτικού κλειδιού επιλέγει δύο μεγάλους πρώτους αριθμούς p (17) και q (11) Υπολογίζει το modulus n = p x q = 187 έτσι ώστε : φ(n) = (p-1) x (q-1) = 160 Επιλέγει έναν τυχαίο αριθμό e (7) έτσι ώστε: 1 < e < φ(n), ΜΚΔ(e, φ(n)) = 1 είναι το δημόσιο κλειδί Υπολογίζει έναν αριθμό d (23), τέτοιο ώστε e x d = 1 mod φ(n), 0≤d≤n Είναι το ιδιωτικό κλειδί 37 Τεχνολογίες Διαδικτύου National Technical University of Athens

38 Ασύμμετρη Κρυπτογραφία Παράδειγμα - RSA Δημοσιοποιεί το κλειδί κρυπτογράφησης Pu = {e, n} Κρατά μυστικό το κλειδί αποκρυπτογράφησης Pr = {d, n}. Για την αποστολή του μηνύματος Μ=88 Κρυπτογράφηση: C = M e mode n = 88 7 mod 187 = 11 Αποκρυπτογράφηση: M = C d mod n = mod 187 = Τεχνολογίες Διαδικτύου National Technical University of Athens

39 Ασύμμετρη Κρυπτογραφία: Πλεονεκτήματα Λύνει το πρόβλημα διαμοιρασμού του μυστικού κλειδιού Επιτρέπει τη χρήση ψηφιακών υπογραφών Η επαλήθευση της προέλευσης του μηνύματος είναι δυνατή Επιτρέπει την ανίχνευση επιθέσεων πλαστογραφίας Ένα μήνυμα που φέρει μία ηλεκτρονική υπογραφή δε γίνεται να τροποποιηθεί χωρίς να ακυρωθεί η υπογραφή National Technical University of Athens Τεχνολογίες Διαδικτύου 39

40 Ασύμμετρη Κρυπτογραφία: Μειονεκτήματα Πιο αργή σε σχέση με τη συμμετρική κρυπτογραφία Ευρεία έκθεση της ασφάλειας της πληροφορίας σε κίνδυνο Εάν το μυστικό κλειδί γίνει γνωστό σε τρίτους Η απώλεια του μυστικού κλειδιού μπορεί να είναι ανεπανόρθωτη: Συνεπάγεται την αδυναμία αποκρυπτογράφησης των ληφθέντων μηνυμάτων National Technical University of Athens Τεχνολογίες Διαδικτύου 40

41 Κρυπτογραφικές Συναρτήσεις Κατακερματισμού (Hash) (1) Μετατροπή μιας μεταβλητού μήκους συμβολοσειράς σε μια συμβολοσειρά σταθερού μήκους. ίσου ή μικρότερου του μεγέθους της εισόδου Για μήνυμα Μ και συνάρτηση κατακερματισμού Η Η(Μ): αποτύπωμα (fingerprint) ή σύνοψη (digest) National Technical University of Athens Τεχνολογίες Διαδικτύου 41 Εύκολος υπολογισμός του αποτελέσματος της συνάρτησης Υπολογιστικά αδύνατο να φτάσουμε από το αποτέλεσμα της κρυπτογραφικής συνάρτησης κατακερματισμού στο αρχικό κείμενο. Συναρτήσεις μίας κατεύθυνσης

42 Κρυπτογραφικές Συναρτήσεις Κατακερματισμού (Hash) (2) National Technical University of Athens Τεχνολογίες Διαδικτύου 42 Ντετερμινιστικές: για μια είσοδο παράγουν κάθε φορά την ίδια έξοδο. Είναι απίθανο μία συνάρτηση κατακερματισμού να επιστρέψει το ίδιο αποτέλεσμα για δύο διαφορετικές εισόδους Μικρή μεταβολή στα δεδομένα προκαλεί πλήρη αλλαγή στην έξοδο

43 Κρυπτογραφικές Συναρτήσεις Κατακερματισμού (Hash) (3) 43 Τεχνολογίες Διαδικτύου National Technical University of Athens Κρυπτογραφική συνάρτηση κατακερματισμού Fox The red fox jumps over the blue dog The red fox jumps ouer the blue dog The red fox jumps oer the blue dog DFCD 3454 BBEA 788A 751A 696C 24D CA99 2D BB FB7D CBE2 823C ACC7 6CD1 90B1 EE6E 3ABC 8FD F32 D1C6 76B1 79A9 0DA4 AEFE ACA D682 D588 4C75 4BF D88 BCF8 92B9 6A6C Είσοδος Έξοδος

44 Κρυπτογραφικές Συναρτήσεις Κατακερματισμού (Hash) (4) Μας εξασφαλίζουν ότι ένα μήνυμα δεν έχει αλλαχθεί. Ο έλεγχος αυτός γίνεται ως εξής: Αποστολέας και παραλήπτης συμφωνούν σε μια συνάρτηση κατακερματισμού. Εναλλακτικά, μπορεί ο αποστολέας να ενημερώνει κάθε φορά τον παραλήπτη για τη συνάρτηση που χρησιμοποιεί. Ο αποστολέας στέλνει το αρχικό μήνυμα μαζί με το αποτέλεσμα της συνάρτησης κατακερματισμού. Ο παραλήπτης εφαρμόζει στο αρχικό μήνυμα τη συνάρτηση κατακερματισμού: Αν το αποτέλεσμα είναι ίδιο με αυτό που του έστειλε ο αποστολέας τότε επιβεβαιώνεται η ακεραιότητα του μηνύματος. Αλλιώς, αποδεικνύεται ότι το μήνυμα έχει τροποποιηθεί σε κάποιο στάδιο της επικοινωνίας. National Technical University of Athens Τεχνολογίες Διαδικτύου 44

45 Κρυπτογραφικές Συναρτήσεις Κατακερματισμού: Εφαρμογές (1) Επιβεβαίωση της ακεραιότητας ενός αρχείου 45 Τεχνολογίες Διαδικτύου National Technical University of Athens

46 Κρυπτογραφικές Συναρτήσεις Κατακερματισμού: Εφαρμογές (2) Αποθήκευση κωδικών πρόσβασης 46 Τεχνολογίες Διαδικτύου National Technical University of Athens

47 Ψηφιακή (Ηλεκτρονική) Υπογραφή (1) Εφαρμογή Κρυπτογραφικών Συναρτήσεων Κατακερματισμού και Ασύμμετρης Κρυπτογραφίας. Ο αποστολέας επιλέγει ολόκληρο ή κάποια κομμάτια του μηνύματος προς αποστολή και εφαρμόζει κάποια κρυπτογραφική συνάρτηση κατακερματισμού. Στη συνέχεια κρυπτογραφεί τα αποτελέσματα της συνάρτησης με το ιδιωτικό του κλειδί (ψηφιακή υπογραφή) και τα επισυνάπτει στο μήνυμα. Τελικά κρυπτογραφεί ολόκληρο το μήνυμα μαζί με την ψηφιακή υπογραφή με το δημόσιο κλειδί του παραλήπτη και του στέλνει το κρυπτογραφημένο μήνυμα που προκύπτει. National Technical University of Athens Τεχνολογίες Διαδικτύου 47

48 Ψηφιακή (Ηλεκτρονική) Υπογραφή (2) Ο παραλήπτης λαμβάνει το κρυπτογραφημένο μήνυμα και το αποκρυπτογραφεί με το ιδιωτικό κλειδί του. Τώρα έχει το αρχικό μήνυμα και την ψηφιακή υπογραφή. Για να ελέγξει την ψηφιακή υπογραφή: Την αποκρυπτογραφεί με το δημόσιο κλειδί του αποστολέα και έτσι παίρνει το αποτέλεσμα της κρυπτογραφικής συνάρτησης κατακερματισμού στο αρχικό μήνυμα. Ελέγχει αν αυτό το αποτέλεσμα της κρυπτογραφικής συνάρτησης κατακερματισμού ανταποκρίνεται στο αρχικό μήνυμα. National Technical University of Athens Τεχνολογίες Διαδικτύου 48

49 Ψηφιακή (Ηλεκτρονική) Υπογραφή (3) 49 Τεχνολογίες Διαδικτύου National Technical University of Athens DF01….AB45 Υπολογισμός σύνοψης Κρυπτογράφηση της σύνοψης χρησιμοποιώντας το ιδιωτικό κλειδί του αποστολέα DF01….AB45 Ψηφιακά υπογεγραμμένο έγγραφο DF01….AB45 Υπολογισμός σύνοψης DF01….AB45 ? Δημιουργία ψηφιακά υπογεγραμμένου εγγράφου (αποστολέας) Αποκρυπτογράφηση της σύνοψης χρησιμοποιώντας το δημόσιο κλειδί του αποστολέα Επαλήθευση ψηφιακής υπογραφής (παραλήπτης) Εάν η σύνοψη που υπολογίστηκε δεν είναι ίδια με την αποκρυπτογραφημένη ψηφιακή υπογραφή, είτε το κείμενο τροποποιήθηκε αφού υπογράφηκε ψηφιακά, είτε η ψηφιακή υπογραφή δε παράχθηκε χρησιμοποιώντας το ιδιωτικό κλειδί του αποστολέα. Κρυπτογράφηση ολόκληρου του μηνύματος με το δημόσιο κλειδί του παραλήπτη

50 Ψηφιακή (Ηλεκτρονική) Υπογραφή (4) Πλεονεκτήματα: Αυθεντικοποίηση του αποστολέα του μηνύματος (χρήση ιδιωτικού κλειδιού) Διατήρηση ακεραιότητας: η παραμικρή αλλαγή στο μήνυμα ακυρώνει την ψηφιακή υπογραφή Μειονεκτήματα Προβλήματα σε περίπτωση κλοπής του ιδιωτικού κλειδιού National Technical University of Athens Τεχνολογίες Διαδικτύου 50

51 ΥΠΟΔΟΜΗ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ National Technical University of Athens Τεχνολογίες Διαδικτύου 51

52 Ανάγκη για ΥΔΚ Ο Μπομπ λαμβάνει ένα μήνυμα υπογεγραμμένο από την Αλίκη. Θέλει να επιβεβαιώσει ότι η υπογραφή είναι όντως της Αλίκης. Απαιτείται να έχει στην κατοχή του το δημόσιο κλειδί της Αλίκης. Με κάποιο τρόπο, ο Μπομπ αποκτά ένα δημόσιο κλειδί, το οποίο υποτίθεται ότι ανήκει στην Αλίκη. Το χρησιμοποιεί για να επιβεβαιώσει ότι η υπογραφή ανήκει όντως στην Αλίκη. Αν όμως το δημόσιο κλειδί δεν ήταν έγκυρο? 52 Τεχνολογίες Διαδικτύου National Technical University of Athens

53 Ψηφιακό (Ηλεκτρονικό) Πιστοποιητικό Ηλεκτρονικό έγγραφο που εκδίδεται από κάποια Αρχή Πιστοποίησης για να συνδέσει μία οντότητα με μία τιμή δημόσιου κλειδιού. Περιλαμβάνει: Το όνομα της οντότητας Ενός ατόμου, μίας συσκευής, ενός ρόλου. Μία τιμή δημόσιου κλειδιού Την περίοδο κατά την οποία το κλειδί είναι έγκυρο Ημερομηνία και ώρα, από την οποία το κλειδί είναι έγκυρο Ημερομηνία και ώρα λήξης του κλειδιού Υπογραφή Ο δημιουργός του πιστοποιητικού υπογράφει τα δεδομένα που συνθέτουν το ψηφιακό πιστοποιητικό, εγγυώμενος την ορθότητά τους National Technical University of Athens Τεχνολογίες Διαδικτύου 53

54 Βασικές Λειτουργίες ΥΔΚ ΥΔΚ: Σύστημα για τη δημιουργία ζεύγους κλειδιών και τη δημοσίευση του δημόσιου κλειδιού μίας πιστοποιημένης οντότητας Χορήγηση ψηφιακών (ηλεκτρονικών) πιστοποιητικών (Certification): Διαδικασία με την οποία συνδέουμε μια οντότητα με την τιμή ενός δημοσίου κλειδιού. Επαλήθευση (Validation): Διαδικασία επαλήθευσης ισχύος ενός πιστοποιητικού (τα πιστοποιητικά περιλαμβάνουν πολλές φορές ημερομηνία λήξης). National Technical University of Athens Τεχνολογίες Διαδικτύου 54

55 Αρχιτεκτονική ΥΔΚ (1) Υπηρεσίες που ενεργοποιούν την ασφάλεια του συστήματος: συσχέτιση οντότητας με τις πράξεις της στο σύστημα (π.χ. Logon). Στοιχεία Υπηρεσίας της Κρυπτογραφίας: παρέχουν τις κρυπτογραφικές διεργασίες, στις οποίες βασίζεται η ασφάλεια του δημόσιο κλειδιού (π.χ. Κρυπτογράφηση, συνάρτηση κατακερματισμού κ.α.). Υπηρεσίες Κλειδιού Μακράς Διαρκείας: επιτρέπουν στις διάφορες οντότητες να διαχειρίζονται κλειδιά και πιστοποιητικά. Υπηρεσίες Ασφάλειας Πρωτοκόλλων: παρέχουν λειτουργίες για να εξασφαλίζονται οι βασικές απαιτήσεις ασφάλειας. National Technical University of Athens Τεχνολογίες Διαδικτύου 55

56 Αρχιτεκτονική ΥΔΚ (2) Ασφαλή Πρωτόκολλα: Ομότιμο προς Ομότιμο Προσανατολισμένα σε Σύνδεση: επιτρέπουν σε δύο οντότητες να επικοινωνούν με ασφάλεια πάνω από μια σύνδεση με το δίκτυο. Ομότιμο προς Ομότιμο Άνευ Συνδέσεως: επιτρέπουν σε δύο οντότητες, η μια εκ των οποίων δεν είναι συνδεδεμένη στο δίκτυο, να επικοινωνούν με ασφάλεια. Πολλαπλών Προορισμών Άνευ Συνδέσεως: επιτρέπουν σε μια οντότητα να επικοινωνεί με πολλές άλλες οντότητες, εκ των οποίων κάποιες μπορεί να μην είναι καν συνδεδεμένες στο δίκτυο. National Technical University of Athens Τεχνολογίες Διαδικτύου 56

57 Αρχιτεκτονική ΥΔΚ (3) Υπηρεσίες Πολιτικής Ασφάλειας: διαχείριση πληροφοριών για τα προνόμια των χρηστών και την πολιτική ελέγχου πρόσβασης. Υποστηρίζουσες Υπηρεσίες: παρέχουν λειτουργίες απαραίτητες στις βασικές υπηρεσίες ασφάλειας, χωρίς όμως να αποτελούν δομικά συστατικά της διαδικασίας ασφάλειας. National Technical University of Athens Τεχνολογίες Διαδικτύου 57

58 Έκδοση Πιστοποιητικών ΥΔΚ Θεμελιώδης λειτουργία μίας ΥΔΚ Προσωπικά πιστοποιητικά: συσχετίζουν την ταυτότητα μιας οντότητας με ένα δημόσιο κλειδί. Πιστοποιητικά εξυπηρετητών: δηλώνουν την ταυτότητα εξυπηρετητών Πιστοποιητικά Αρχής Πιστοποίησης: πιστοποιούν την ταυτότητα μίας Αρχής Πιστοποίησης Πιστοποιητικά εταιριών λογισμικού: χρησιμοποιούνται για την πιστοποίηση προγραμμάτων National Technical University of Athens Τεχνολογίες Διαδικτύου 58

59 Αρχή Πιστοποίησης Εκδίδει πιστοποιητικά Αποθηκεύει τα πιστοποιητικά σε δημόσια ευρετήρια, προσβάσιμα από οποιονδήποτε για να μπορούν να ελεγχθούν ως προς την εγκυρότητα και την ισχύ τους. Ανακαλεί πιστοποιητικά (π.χ. επειδή παρήλθε η ημερομηνία λήξης, επειδή ο εργαζόμενος στον οποίο είχε εκδοθεί το πιστοποιητικό έφυγε από την εταιρεία κτλ). Εμπιστευόμαστε όμως τη CA? (Trusted Third Party) National Technical University of Athens Τεχνολογίες Διαδικτύου 59

60 PKI με μόνο μια CA Όλοι οι συναλλασσόμενοι χρήστες χρησιμοποιούν πιστοποιητικά που έχει εκδώσει η ίδια Αρχή Πιστοποίησης (CA). Κάθε ομάδα χρηστών μπορεί να εμπιστεύονται διαφορετικές CA. Θα πρέπει να υπάρξει μια σχέση εμπιστοσύνης σε ανώτερο επίπεδο μεταξύ των CA. Για να γίνει αυτό θα έπρεπε να υπήρχε μια CA σε ανώτερο επίπεδο για να τις πιστοποιεί – άτοπο λόγω υπόθεσης του μοντέλου. National Technical University of Athens Τεχνολογίες Διαδικτύου 60 ΑΠ-1ΑΠ-2ΑΠ-3 ΑλίκηΜπομπΝταρθΤρούντυ

61 Ιεραρχικό μοντέλο PKI Όλοι οι χρήστες εμπιστεύονται τη ρίζα CA. Η ρίζα CA εκδίδει πιστοποιητικά μόνο σε υφιστάμενες CA –όχι σε τελικούς χρήστες. Με αυτόν τον τρόπο, πιστοποιούνται οι υφιστάμενες CA, οι οποίες τελικά εκδίδουν τα πιστοποιητικά στους χρήστες. National Technical University of Athens Τεχνολογίες Διαδικτύου 61 ΑΠ-1ΑΠ-2ΑΠ-3 ΑλίκηΜπομπΝταρθ Τρούντυ ΑΠ

62 Ιεραρχικό μοντέλο PKI – Πλεονεκτήματα/Μειονεκτήματα Πλεονεκτήματα: Εύκολη επεκτασιμότητα. Εύκολα αναγνωρίσιμες διαδρομές από το Πιστοποιητικό στη ρίζα. Μικρές διαδρομές από το Πιστοποιητικό στη ρίζα. Σχετικά μικρά και απλά Πιστοποιητικά. Μειονεκτήματα: Ρίζα  Μοναδικό σημείο αποτυχίας. Μη ρεαλιστική η ύπαρξη συμφωνίας για μια μόνο ρίζα. Δύσκολη η μετάβαση από σχήμα με μία CA σε ιεραρχικό καθώς οι χρήστες πρέπει να αλλάξουν το σημείο εμπιστοσύνης τους. National Technical University of Athens Τεχνολογίες Διαδικτύου 62

63 Μικτό μοντέλο PKI Ομότιμο μοντέλο. Οι CA αναπτύσσουν σχέσεις εμπιστοσύνης με τη μία να εκδίδει πιστοποιητικό για την άλλη. National Technical University of Athens Τεχνολογίες Διαδικτύου 63 ΑΠ-1 ΑΠ-2 ΑΠ-3 Αλίκη Μπομπ Νταρθ Τρούντυ

64 Μικτό μοντέλο PKI – Πλεονεκτήματα/Μειονεκτήματα Πλεονεκτήματα: Εύκολη προσαρμογή του μοντέλου σε εισόδους/εξόδους CA. Απώλεια αξιοπιστίας μιας CA οδηγεί απλά στην απομόνωσή της και όχι στην κατάρρευση του μοντέλου. Οι χρήστες των απομονωμένων CA μπορούν να συνεχίσουν να βρίσκονται σε αυτές χωρίς κανένα πρόβλημα. Μειονεκτήματα: Πολλαπλές δυνατές διαδρομές – κάποιες μπορεί να οδηγούν σε αδιέξοδα. Επεκτασιμότητα ως προς το μέγεθος των διαδρομών που μπορεί να αυξάνεται γραμμικά. National Technical University of Athens Τεχνολογίες Διαδικτύου 64

65 Εγκυρότητα Πιστοποιητικών Online/Offline επαλήθευση ενός πιστοποιητικού. Περίοδος ισχύος του πιστοποιητικού. Ανάκληση Πιστοποιητικού: Υποκλοπή κλειδιού Αλλαγή προσωπικών πληροφοριών του χρήστη κ.α. National Technical University of Athens Τεχνολογίες Διαδικτύου 65

66 Λίστες Ανακληθέντων Πιστοποιητικών Λίστες από άκυρα πιστοποιητικά που εκδίδονται περιοδικά. Προβλήματα: Τι γίνεται μεταξύ δύο εκδόσεων; Δημοσιεύονται λίστες (Delta CRL) που περιλαμβάνουν πιστοποιητικά που έχουν ανακληθεί από την προηγούμενη δημοσίευση της λίστας μέχρι την τρέχουσα χρονική στιγμή. Μέγεθος CRL Καλύτερη οργάνωση – βελτίωση της υφιστάμενης τεχνολογίας (bandwidht, distributed indexes, κ.α.). National Technical University of Athens Τεχνολογίες Διαδικτύου 66

67 Το Πρότυπο Χ.500 Δομή ευρετηρίου όπου μπορούμε να προσθέσουμε προσωπικές πληροφορίες μιας οντότητας (π.χ. ονοματεπώνυμο, επάγγελμα, κ.α.). Αναπαράσταση φυσικών προσώπων, εταιριών, προϊόντων Ιεραρχική δομή – Δέντρο Πληροφορίας Καταλόγου. Αναζήτηση μέσα στο δέντρο με το Σχετικό Ξεχωριστό Όνομα (Relative Distinguished Name). Εξέλιξη του Χ.500 είναι το Χ.509 στο οποίο βασίζονται τα ψηφιακά πιστοποιητικά. National Technical University of Athens Τεχνολογίες Διαδικτύου 67 ROOT DIR Greece RDN(Χώρας=GR) MIL RDN (Όνομα εταιρίας, Οργανισμού, υπηρεσίας) JOHN KARAS RDN (Όνομα = JOHN KARAS) NAMEJOHN KARAS mil AddressXiou 34


Κατέβασμα ppt "Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google