1 Ασφάλεια στην Ηλεκτρονική Διακυβέρνηση
2 Ορισμός της Ασφάλειας πληροφοριών ή πληροφοριακών συστημάτων Το τρίπτυχο της ασφάλειας Άλλες απαιτήσεις ασφάλειας Κρυπτογραφία
3 Ασφάλεια στην Ηλεκτρονική Διακυβέρνηση Στην ψηφιακή εποχή που διανύουμε, η προστασία των δεδομένων που διακινούνται με ηλεκτρονικά μέσα, από κακόβουλες ή ακούσιες ενέργειες κρίνεται επιτακτική. Ασφάλεια Πληροφοριών (ή ασφάλεια πληροφοριακών συστημάτων) ονομάζεται η προστασία των υπολογιστικών πόρων και δεδομένων από μη εξουσιοδοτημένη ή κακή χρήση τους.
4 Ασφάλεια στην Ηλεκτρονική Διακυβέρνηση Η ασφάλεια πληροφοριών έχει κυρίως εφαρμογή στα παρακάτω: Ασφάλεια επικοινωνιών: Πρόκειται για την προστασία των πληροφοριών κατά την επικοινωνία ενός συστήματος με ένα άλλο και κατά τη διακίνηση τους μέσα από δημόσιο και μη ασφαλές δίκτυο. Ασφάλεια υπολογιστών: Η προστασία των πληροφοριών όσο είναι αποθηκευμένες και είναι αντικείμενο επεξεργασίας από ένα πληροφοριακό σύστημα (λειτουργικό σύστημα, βάσεις δεδομένων, εφαρμογές). Φυσική ασφάλεια: Η φυσική προστασία του εξοπλισμού στον οποίο αποθηκεύονται και επεξεργάζονται τα δεδομένα.
5 Ασφάλεια στην Ηλεκτρονική Διακυβέρνηση Στόχος της ασφάλειας πληροφοριών στο πλαίσιο της Η.Δ. είναι η προστασία όλων των περιουσιακών στοιχείων ενός φορέα: ο εξοπλισμός, οι εφαρμογές και τα δεδομένα. Η Ασφάλεια πληροφοριών βασίζεται στο τρίπτυχο: Εμπιστευτικότητα (Confidentiality) Ακεραιότητα (Integrity) Διαθεσιμότητα (Availability)
6 Ασφάλεια στην Ηλεκτρονική Διακυβέρνηση Η Ασφάλεια ωστόσο δεν περιορίζεται στις τρεις αυτές απαιτήσεις αλλά πρέπει να καλύπτει και ζητήματα όπως: Ταυτοποίηση (Identification). Αυθεντικοποίηση - Πιστοποίηση της ταυτότητας (Authentication). Μη αποποίηση (Non repudiation). 1. Μη αποποίηση αποστολής. 2. Μη αποποίηση παραλαβής.
7 Ασφάλεια στην Ηλεκτρονική Διακυβέρνηση Ειδικότερα: Ταυτοποίηση: Η διαδικασία κατά την οποία μια οντότητα (π.χ. άνθρωπος, υπολογιστής, διαδικασία, πιστωτική κάρτα) αναγνωρίζει μια άλλη οντότητα. Αυθεντικοποίηση: Η διαδικασία κατά την οποία μια οντότητα διαβεβαιώνεται για την ταυτότητα μια άλλης οντότητας.
8 Ασφάλεια στην Ηλεκτρονική Διακυβέρνηση Μη αποποίηση Η εξασφάλιση της διαθεσιμότητας αδιάψευστων αποδείξεων που μπορούν να χρησιμοποιηθούν σε μια διαφωνία. Μη αποποίηση αποστολής. Η διαθεσιμότητα αδιάψευστων στοιχείων που αποδεικνύουν ότι μια οντότητα έστειλε συγκεκριμένα δεδομένα κατά τη συμμετοχή της σε μια συναλλαγή. Μη αποποίηση παραλαβής. Η διαθεσιμότητα αδιάψευστων στοιχείων που αποδεικνύουν ότι μια οντότητα παρέλαβε συγκεκριμένα δεδομένα κατά τη συμμετοχή της σε μια συναλλαγή.
9 Ασφάλεια στην Ηλεκτρονική Διακυβέρνηση Παράδειγμα: Υπάλληλος αποστέλλει με ηλεκτρονικά μέσα π.χ. με ηλεκτρονικό ταχυδρομείο, μια απόφαση που αφορά συγκεκριμένο πολίτη και στην οποία γίνεται αναφορά σε προσωπικά δεδομένα του πολίτη. Βασικό μέλημα του υπαλλήλου είναι κατά την αποστολή της απόφασης να πάρει όλα τα απαραίτητα μέτρα που θα εξασφαλίσουν τι;
10 Ασφάλεια στην Ηλεκτρονική Διακυβέρνηση Την εμπιστευτικότητα στα διακινούμενα δεδομένα. Την ακεραιότητα στα διακινούμενα δεδομένα. Την αυθεντικοποίηση του μηνύματος. Τη μη αποποίηση της αποστολής Τη μη αποποίηση της παραλαβής
11 Κρυπτογραφία Κρυπτογραφία Πώς ξεκίνησε. Η χρήση της «κρυφής γραφής» ξεκίνησε στην αρχαιότητα. Το πρώτο κρυπτογραφημένο κείμενο χρονολογείται το 1500 π.Χ. στη Βαβυλώνα. Ιούλιος Καίσαρας δεν εμπιστευόταν τους αγγελιοφόρους του και εφάρμοσε ένα σύστημα κρυπτογράφησης με το οποίο αντικαθιστούσε κάθε γράμμα του μηνύματος με ένα άλλο που ήταν τρεις θέσεις μπροστά στο ρωμαϊκό αλφάβητο. Β΄ Παγκόσμιος πόλεμος οι Γερμανοί ανέπτυξαν το σύστημα Enigma για να μεταδίδουν απόρρητες πληροφορίες. Οι Βρετανοί τότε επιστράτευσαν γνωστούς μαθηματικούς οι οποίοι κατάφεραν να σπάσουν τον κώδικα και να διαβάσουν τα μηνύματα.
12 Κρυπτογραφία Βασικοί ορισμοί: Κρυπτογραφία: Η επιστήμη (και η τέχνη) η οποία έχει ως αντικείμενο την εξεύρεση μεθόδων για το μετασχηματισμό των κειμένων έτσι ώστε να είναι αναγνωρίσιμα μόνο από εξουσιοδοτημένα άτομα. Κρυπτογράφηση – Encryption: Η διαδικασία μετατροπής ενός κειμένου από την αρχική του μορφή σε μη αναγνωρίσιμη ή μη επεξεργάσιμη μορφή. Αποκρυπτογράφηση – Decryption: Η διαδικασία με την οποία το κρυπτογραφημένο κείμενο μετασχηματίζεται στην αρχική του, αναγνωρίσιμη ή/ και επεξεργάσιμη μορφή.
13 Κρυπτογραφία Κρυπτογράφημα (ή κρυπτοκείμενο ή κρυπτομήνυμα) – Ciphertext. Το κρυπτογραφημένο κείμενο. Αλγόριθμοι κρυπτογραφίας – Cryptographic Algorithm: Οι μέθοδοι και οι τεχνικές με τις οποίες πραγματοποιείται ο μετασχηματισμός των κειμένων. Τυπικά ένας αλγόριθμος κρυπτογράφησης αποτελείται από δύο διακριτά τμήματα: τη διαδικασία της κρυπτογράφησης και τη διαδικασία αποκρυπτογράφησης. Κλειδί (ή κρυπτογραφικό κλειδί) Ένα σύνολο χαρακτήρων που ενεργοποιεί τον αλγόριθμο κρυπτογράφησης ή αποκρυπτογράφησης.
14 Κρυπτογραφία Συμμετρική κρυπτογραφία Ασύμμετρη κρυπτογραφία
15 Συμμετρική Κρυπτογραφία Συμμετρική κρυπτογραφία (ή κρυπτογραφία μυστικού κλειδιού) είναι η κρυπτογραφία που για τη διαδικασία της κρυπτογράφησης και της αποκρυπτογράφησης χρησιμοποιείται το ίδιο κλειδί το οποίο στη περίπτωση της συμμετρικής κρυπτογραφίας είναι γνωστό ως μυστικό ή κρυφό κλειδί (secret key). Το μυστικό αυτό κλειδί είναι γνωστό μόνο στους εξουσιοδοτημένους χρήστες.
16 Συμμετρική κρυπτογραφία
17 Συμμετρική κρυπτογραφία
18 Συμμετρική κρυπτογραφία Η συμμετρική χρησιμοποιείται κυρίως για την προστασία των μηνυμάτων από μη εξουσιοδοτημένη αποκάλυψη (εμπιστευτικότητα) έτσι ώστε μόνο οι χρήστες που διαθέτουν το μυστικό κλειδί να έχουν πρόσβαση στο αρχικό κείμενο. Η συμμετρική κρυπτογραφία είναι γρήγορη. Όλοι οι χρήστες μπορούν να κατέχουν το ίδιο κλειδί ή ανά δύο να έχουν κοινό κλειδί. Εάν ο αριθμός των χρηστών αυξηθεί είναι πολύ δύσκολη η ασφαλής διαχείριση του κλειδιού καθώς αυτό θα πρέπει να μεταφερθεί προς όλους τους εξουσιοδοτημένους χρήστες με ασφαλή τρόπο οι οποίοι θα πρέπει να πάρουν όλα τα απαραίτητα μέτρα για την προστασία του.
19 Ασύμμετρη Κρυπτογραφία Ασύμμετρη είναι η κρυπτογραφία που χρησιμοποιεί ένα κλειδί για την κρυπτογράφηση και ένα άλλο για την αποκρυπτογράφηση. Μηνύματα που κρυπτογραφούνται με το ένα κλειδί, αποκρυπτογραφούνται μόνο με το άλλο κλειδί και αντιστρόφως, Το ένα κλειδί ονομάζεται δημόσιο και δημοσιοποιείται στο κοινό ενώ το άλλο ονομάζεται ιδιωτικό κλειδί και είναι απόρρητο.
20 Ασύμμετρη Κρυπτογραφία
21 Ασύμμετρη Κρυπτογραφία Δημόσιο κλειδί: Το ένα από τα δύο κλειδιά της ασύμμετρης κρυπτογραφίας το οποίο γνωστοποιείται στο κοινό μέσω δημοσίων καταλόγων ή δημόσιας βάσης δεδομένων. Ιδιωτικό κλειδί. Το ένα από τα δύο κλειδιά της ασύμμετρης κρυπτογραφίας το οποίο είναι απόρρητο και το γνωρίζει μόνο ο κάτοχος του ζεύγους.
22 Ασύμμετρη Κρυπτογραφία Στην ασύμμετρη κρυπτογραφία, κάθε χρήστης εφοδιάζεται τουλάχιστον με ένα ζευγάρι κρυπτογραφικών κλειδιών έτσι ώστε να υπάρχει μονοσήμαντη αντιστοιχία μεταξύ ζευγαριών κλειδιών και χρηστών (ένα ζεύγος αντιστοιχεί μόνο σε έναν χρήστη ωστόσο ένας χρήστης μπορεί να έχει πολλά ζεύγη κλειδιών). Το ένα κλειδί του ζεύγους μαζί με τα στοιχεία ταυτοποίησης του κατόχου (ονοματεπώνυμο, διεύθυνση κ.λπ.) ανακοινώνεται μέσω ηλεκτρονικών βάσεων δεδομένων και γι’ αυτό το λόγο ονομάζεται δημόσιο κλειδί.
23 Ασύμμετρη Κρυπτογραφία Κάθε ενδιαφερόμενος μπορεί να έχει πρόσβαση στη Βάση Δημόσιων Κλειδιών για να πληροφορείται το δημόσιο κλειδί οποιουδήποτε χρήστη μαζί με τα αντίστοιχα στοιχεία ταυτοποίησης του ιδιοκτήτη που το συνοδεύουν. Το άλλο κλειδί του ζευγαριού κρατείται απόρρητο, δεν κυκλοφορεί ποτέ στο διαδίκτυο και το γνωρίζει μόνο ο ιδιοκτήτης του και για αυτό το λόγο ονομάζεται ιδιωτικό κλειδί. Η συμπληρωματικότατα δράσης που υπάρχει στο ζευγάρι δημόσιου – ιδιωτικού κλειδιού χρησιμοποιείται κυρίως για δύο εφαρμογές: Ανταλλαγή εμπιστευτικών μηνυμάτων Επιβεβαίωση ταυτότητας του αποστολέα (αυθεντικοποίηση)
24 Ασύμμετρη Κρυπτογραφία 1. Για την ανταλλαγή εμπιστευτικών μηνυμάτων Ο αποστολέας κρυπτογραφεί με το δημόσιο κλειδί του παραλήπτη Ο παραλήπτης αποκρυπτογραφεί με το ιδιωτικό του κλειδί 2. Για την επιβεβαίωση της ταυτότητας του αποστολέα Ο αποστολέας κρυπτογραφεί με το ιδιωτικό του κλειδί Ο παραλήπτης αποκρυπτογραφεί με το δημόσιο κλειδί του αποστολέα.