Τμήμα:Ε.Π.Δ.Ο - Τ.Ε.Ι Μεσολογγίου Υπό την επιμέλεια των:Τασσοπούλου Χριστίνα Πούλιου Ουρανία ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ.

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Ηλεκτρονικός Φάκελος Υγείας
Advertisements

Απόστολος Πλεξίδας Περιφέρεια Κεντρικής Μακεδονίας
Ο ρόλος της Υποδομής Δημόσιου Κλειδιού στην ανάπτυξη ηλεκτρονικών αγορών Σωκράτης Κ. Κάτσικας Τμήμα Πληροφοριακών & Επικοινωνιακών Συστημάτων Πανεπιστήμιο.
Διαχείριση Δικτύων Ευφυή Δίκτυα
Το πρόβλημα της ασφάλειας Προστασία είναι ο μηχανισμός για έλεγχο πρόσβασης προγραμμάτων, διεργασιών ή χρηστών στους πόρους ενός Η/Υ. Αυτό δουλεύει όσο.
ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΙΝΗΣΗ ΑΓΑΘΩΝ & ΚΡΥΠΤΟΓΡΑΦΙΑ ΑΘΑΝΑΣΙΟΣ ΒΑΣΙΛΟΠΟΥΛΟΣ - ΓΟΥΤΑΣ ΔΗΜΗΤΡΙΟΣ PeLAB - Τμ. Η.Υ.Σ. - Τ.Ε.Ι. ΠΕΙΡΑΙΑ : Μάρτιος 1998.
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ και ΔΙΚΤΥΩΝ  Προστασία Πληροφοριών • Εξωτερικό • Εσωτερικό • Διαθεσιμότητα • Ακεραιότητα • ……
ΠΜΣ ΠΡΟΗΓΜΕΝΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΚΗΣ Κατεύθυνση ΤΕΔΑ Τεχνολογίες Διαχείρισης Ασφάλειας Security Management Engineering Τμήμα Πληροφορικής ΠΑΝΕΠΙΣΤΗΜΙΟ.
Κεφάλαιο 1ο: ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ ΤΩΝ ΛΕΙΤΟΥΡΓΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ
ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ
ΑΣΦΑΛΗΣ ΔΙΑΔΙΚΤΥΑΚΗ ΔΙΑΚΙΝΗΣΗ... Πιστωτικών Μονάδων, Βαθμολογιών, Εγγράφων.doc,.xls,...κ.τ.λ. Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α των Σπουδαστών: Τζούραλη Αντωνία.
Microsoft Exchange Server Τι είναι ο Exchange Ο Exchange Server χρησιμοποιείται για την παροχή υπηρεσίας ηλεκτρονικού ταχυδρομείου ( service).
 Αυδίκου Χριστίνα  Γιουμούκης Παναγιώτης  Κιντσάκης Θάνος  Πάπιστας Γιάννης.
Εισαγωγή στην Επιστήμη των Υπολογιστών και Επικοινωνιών Εισαγωγή στο ηλεκτρονικό και κινητό επιχειρείν Σπύρος Κοκολάκης ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ.
Η Μέθοδος RSA  Υποθέτουμε πως δυο άτομα ο Α και ο Β θέλουν να ανταλλάξουν μεταξύ τους κάποιο μήνυμα Μ, το οποίο θέλουν να κρυπτογραφήσουν για λόγους ασφαλείας.
Ασφάλεια Ηλεκτρονικού Εμπορίου
Μέθοδοι Υδατοσήμανσης για την Προστασία της Πνευματικής Ιδιοκτησίας
ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ
Ζητήματα Κρυπτογραφίας- Κέρβερος
Αρχιτεκτονικές Ασφάλειας στα B3G Δίκτυα Χριστόφορος Νταντογιάν Υποψ. Διδάκτορας Τμήμα Πληροφορικής και Τηλεπικοινωνιών.
Henric Johnson1 Κεφάλαιο 3 Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση αυθεντικότητας μηνυμάτων Henric Johnson Blekinge Institute of Technology, Sweden.
Δίκτυα Ι Βπ - 2ο ΕΠΑΛ ΝΕΑΣ ΣΜΥΡΝΗΣ 2011.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης 23/01/2012.
Διαδίκτυο Κίκα Χρυσοστόμου. Πρωτόκολλο https: HyperText Transfer Protocol Secure Χρησιμοποιείται για ασφαλή επικοινωνία Π.χ μια ασφαλή ιστοσελίδα που.
Τμήμα Αρχειονομίας- Βιβλιοθηκονομίας Ιόνιο Πανεπιστήμιο
Εισαγωγή στη Κρυπτογραφία
Ασφάλεια δικτύων.
Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens.
ΗΜΥ 007 – Τεχνολογία Πληροφορίας Διάλεξη 18
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΑΝΩΤΑΤΟ ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΣΕΡΡΩΝ
1 T.Ε.Ι. ΠΕΙΡΑΙΑ Τ ΜΗΜΑ Η/Υ Σ ΥΣΤΗΜΑΤΩΝ ΟΜΑΔΑ ΜΑΘΗΜΑΤΩΝ μΥ/Σ Εργαστήριο Περιφερειακών Μονάδων και Δικτύων Η/Υ PeLAB ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Σπουδαστής : ΓΚΑΔΟΛΟΣ.
Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος Εξάμηνο: Η’ Ασφάλεια Πληροφοριακών Συστημάτων Ενότητα Γ: Απομακρυσμένη Αυθεντικοποίηση.
Cryptography and Network Security Chapter 9
ΙΟΝΙΟ ΠΑΝΕΠΙΣΤΉΜΙΟ ΜΠ ΤΜ. ΑΡΧΕΙΟΝΟΜΙΑΣ ΒΙΒΛΙΟΘΗΚΟΝΟΜΙΑΣ « ΥΠΗΡΕΣΙΕΣ ΠΛΗΡΟΦΟΡΗΣΗΣ ΣΕ ΨΗΦΙΑΚΟ ΠΕΡΙΒΑΛΛΟΝ» «ΨΗΦΙΑΚΕΣ ΒΙΒΛΙΟΘΗΚΕΣ» «ΑΥΘΕΝΤΙΚΟΤΗΤΑ – ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ.
Άσκηση 6 Ασφάλεια Δικτύων.
Ασφάλεια Δικτύων (Computer Security). Τι Εννοούμε με τον Όρο Ασφάλεια Δικτύων; Ασφάλεια  Μόνο ο αποστολέας και ο προοριζόμενος παραλήπτης μπορούν να.
ΗΜΥ 007 – Τεχνολογία Πληροφορίας Διάλεξη 18 TΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΜΗΧΑΝΙΚΩΝ ΥΠΟΛΟΓΙΣΤΩΝ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ Ασφάλεια Πληροφοριών.
Τεχνολογία TCP/IP TCP/IP internet είναι ένα οποιοδήποτε δίκτυο το οποίο χρησιμοποιεί τα πρωτόκολλα TCP/IP. Διαδίκτυο (Internet) είναι το μεγαλύτερο δίκτυο.
Internet & Ηλεκτρονικό Εμπόριο Μάϊος 2001 NETMODE Network Management & Optimal Design Lab.
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
Διαδίκτυο Κίκα Χρυσοστόμου. Κίνδυνοι: 1.Λήψη ανεπιθύμητων Μηνυμάτων (Spam) 2.Phising 3.Κίνδυνος μόλυνσης Ηλεκτρονικών Ιών.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ I Β. Μάγκλαρης 20/11/2009.
© 2015 Ασφαλή Λειτουργικά Συστήματα Σχετικά με το μάθημα… Ασφαλή Λειτουργικά Συστήματα Διατμηματικό Πρόγραμμα Μεταπτυχιακών.
Κρυπτογραφία Ψηφιακά Πιστοποιητικά
Φεβρουάριος 2004Οικονομικό Πανεπιστήμιο Αθηνών 1 Ιδιωτική και Ανώνυμη Αυθεντικοποίηση Χρήστη σε Κινητά Δίκτυα Σανίνας Κωνσταντίνος Επιβλέπων καθηγητής:
Μπούρα Βασιλική Α.Ε.Μ:1669 Επιβλέπων Καθηγητής: Δρ. Κωνσταντίνος Σ. Χειλάς.
Η Κρυπτογραφία στην ζωή μας. Η Κρυπτογραφία ασχολείται με την μελέτη της ασφαλούς επικοινωνίας. Ο κύριος στόχος της είναι να παρέχει μηχανισμούς για 2.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά Μεικτά Συστήματα SSL/TLS Έλεγχος Πρόσβασης Χρήστη, Single Sign-On.
Πανεπιστήμιο Πειραιώς Τμήμα Διδακτικής της Τεχνολογίας & Ψηφιακών Συστημάτων Ζητήματα ασφάλειας στις εφαρμογές της ψηφιακής τηλεόρασης Σωκράτης Κ. Κάτσικας.
Εισαγωγή στην Επιστήμη των Υπολογιστών Κωδικός Μαθήματος: 2895 Κωδικός Διαφανειών: MKT110 Γεωπονικό Πανεπιστήμιο Αθηνών Γενικό Τμήμα Εργαστήριο Πληροφορικής.
S/MIME Στα πρώτα στάδια ανάπτυξης η εφαρμογή υποστήριζε αποκλειστικά τη μεταφορά κειμένου μεταξύ των χρηστών Το πρωτόκολλο MIME (Multipurpose Internet.
1 Πληροφορική Ι Ενότητα 10 : Ασφάλεια Δρ. Γκόγκος Χρήστος Ελληνική Δημοκρατία Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου.
Διαχείριση & Ασφάλεια Δικτύων Περίγραμμα Θεματικών Ενοτήτων Διδάσκων: Δρ. Γενειατάκης Δημήτρης Τμήμα Επιστήμης & Τεχνολ. Τηλεπικοινωνιών.
Β. Μάγκλαρης 14/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά.
Πρωτόκολλα Ασφάλειας στο Διαδίκτυο (1)
Προχωρημένα Θέματα Δικτύων
Επιχειρηματικός Σχεδιασμός
Secure Sockets Layer (SSL)
Διδάσκων: Δρ. Γενειατάκης Δημήτρης
ΑΣΦΑΛΕΙΑ ΙΑΤΡΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Κεφάλαιο 10: Υπηρεσίες και εφαρμογές Διαδικτύου
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ
Ανάλυση και σχεδιασμόσ πληροφοριακών συστημάτων
ΥΠΗΡΕΣΙΕΣ ΚΑΙ ΕΦΑΡΜΟΓΕΣ ΔΙΑΔΙΚΤΥΟΥ 10.1 Υπηρεσίες Διαδικτύου
Κεφάλαιο 7: Διαδικτύωση-Internet
Λύσεις Ασφάλειας στο Επίπεδο Διασύνδεσης
Πτυχιακή εργασία της Νικολαῒδου Μαρίας (ΑΜ: 3573)
Δίκτυα Ι Βπ - 2ο ΕΠΑΛ ΝΕΑΣ ΣΜΥΡΝΗΣ 2011.
ΔΙΟΙΚΗΣΗ ΟΛΙΚΗΣ ΠΟΙΟΤΗΤΑΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΕΡΙΒΑΛΛΟΝΤΟΣ
ΘΕΜΑΤΑ ΑΣΦΑΛΕΙΑΣ ΣΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ
Μεταγράφημα παρουσίασης:

Τμήμα:Ε.Π.Δ.Ο - Τ.Ε.Ι Μεσολογγίου Υπό την επιμέλεια των:Τασσοπούλου Χριστίνα Πούλιου Ουρανία ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

Ασφάλεια Πληροφοριακών & Επικοινωνιακών Συστημάτων ΘΕΜΑ : ΠΕΡΙΕΧΟΜΕΝΑ : Ορισμοί – Έννοιες - Απαιτήσεις Ασφάλειας Πληροφορίας Μοντέλα ασφαλείας Κρυπτογραφία – Πιστοποίηση Υποδομές Δημοσίου Κλειδιού Πρωτόκολλο SSL Ψηφιακές Υπογραφές Εξακρίβωση Γνησιότητας Δίκτυο – Ασφάλεια, Κρυπτογραφία στο Διαδίκτυο (web) e- Επιχειρίν Ασφάλεια του e- ταχυδρομείου Έξυπνες κάρτες

Ορισμοί – Έννοιες Ασφάλειας Πληροφοριακών Συστημάτων Πληροφοριακό σύστημα Είναι ένας πόρος που έχει αξία για έναν οργανισµό και κατά συνέπεια χρειάζεται επαρκή προστασία. Η ασφάλεια των πληροφοριών (information security) : Τις προστατεύει από ένα σύνολο απειλών ώστε : να διασφαλίσει την επιχειρησιακή συνέχεια (business continuity), να ελαχιστοποιήσει τη ζηµιά σε µια επιχείρηση να µεγιστοποιήσει τις επιχειρηµατικές ευκαιρίες και την απόδοση Σύνολο πέντε οντοτήτων : ανθρώπων υλικού λογισμικού τηλεπικοινωνιακών δικτύων δεδομένων Πληροφορία :

Απαιτήσεις ασφάλειας πληροφοριών Προστασία της ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑΣ …………ότι η πληροφορία θα διατηρηθεί ιδιωτική (data confidentiality) Προστασία της ΑΚΕΡΑΙΟΤΗΤΑΣ …………ότι η πληροφορία δεν περιέχει λάθη (data integrity) Προστασία της ΔΙΑΘΕΣΙΜΟΤΗΤΑΣ …………ότι η πληροφορία είναι συνεχώς διαθέσιμη ΑΔΥΝΑΜΙΑ ΑΠΑΡΝΗΣΗ (non-repudiation) …………ότι ο χρήστης δεν μπορεί να αρνηθεί τη συμμετοχή του σε μία συναλλαγή που έκανε Έλεγχος γνησιότητας της ταυτότητας (identification and authentication) Έλεγχος προσπέλασης και εξουσιοδοτήσεις (access control and authorizations)

Τι αφορά η ασφάλεια πληροφοριακών συστημάτων; Η Ασφάλεια Πληροφοριακών Συστηµάτων αφορά οντότητες και αντικείµενα που αξίζει να προστατευθούν. Ότι αξίζει να προστατευθεί ονοµάζεται Αγαθό (Asset). Τα Αγαθά αξίζει να προστατευθούν επειδή έχουν Αξία (Value) Αξία τους µπορεί να µειωθεί αν υποστούν Ζηµιά Τα Αγαθά χρειάζονται προστασία µόνον αν υπάρχουν Κίνδυνοι (Dangers) που µπορεί να τους προκαλέσουν Ζηµιά (Harm) Ο Ιδιοκτήτης σχεδιασµού (Owner) ενός προστατευόµενου Αγα- θού χρησιµοποιεί Μέσα Προστασίας (Safeguards) είτε για να µειώσει τον Κίνδυνο να προξενηθεί Ζηµιά στο Αγαθό είτε για να µειώσει τις συνέπειές της

ΕΥΑΛΩΤΑ ΣΗΜΕΙΑ ΚΑΙ ΑΠΕΙΛΕΣ Ευάλωτο σηµείο : είναι µια αδυναµία του συστήµατος Απειλή : είναι η πιθανή εκµετάλλευση του ευάλωτου σηµείου Ενεργητικές απειλέςΠαθητικές απειλές Απειλές

Ενεργητικές απειλές στα πληροφοριακά συστήματα Μέθοδοι µε τις οποίες κάποιος µπορεί να διαπράξει απάτη µέσω πληροφορικών συστηµάτων. o Παραποίηση καταχωρούµενων στοιχείων (Input manipulation) o Τροποποίηση προγράµµατος o Απευθείας τροποποίηση αρχείων o Κλοπή δεδοµένων o Δολιοφθορά o Κακή χρήση ή Κλοπή πληροφορικών πόρων Είδη Απειλών Υποκλοπή (interception) Μεταβολή (modification) Πλαστογραφία (fabrication) Διακοπή (interruption)

Εξαπάτηση κατά τη διαδικασία login Πραγματική οθόνη loginΠλαστή οθόνη login  Καμιά διαφορά στις οθόνες.  Ο εισβολέας αντικαθιστά την πλαστή οθόνη και φεύγει.  Ο χρήστης κάνει login η πλαστή οθόνη αποθηκεύει όνομα και password η πλαστή οθόνη δίνει το μήνυμα “login incorrect” και ξεκινά την πραγματική οθόνη. Ο χρήστης ξαναδίνει τα στοιχεία του νομίζοντας ότι κάνει λάθος.  Μία λύση : ALT+CTRL+DEL

Κακόβουλα προγράµµατα Βασικοί τύποι : Ιοί (viruses) Δούρειοι ίπποι (Trojan horses) Σκουλήκια (worms) Λογικές βόµβες (logic bombs) Χρονικές βόµβες (time bombs) Πίσω πόρτες (trapdoors/backdoors) Κουνέλια (rabbits) Ορισμός : = (εκτελούν καταστροφικές ενέργειες σε υπολογιστικά συστήµατα )

Μέσα προστασίας Πληροφοριακών Συστημάτων  Antivirus  IDS  Anonymous  Anti- spam  Sniffers - Antiscanning-port controls  Anti-spy-ware//ad ware  Cryptography (SSL)  Anti dialer-Anti key logger  Popup-stopper  Firewall

Πολιτική Ασφάλειας: Η πολιτική ασφάλειας (security policy) ενός υπολογιστικού συστήματος: - Προσδιορίζει τις απαιτήσεις ασφάλειας του ΥΣ - Eίναι ένα σύνολο από αρχές (principles) και οδηγίες υψηλού επιπέδου που αφορούν τη σχεδίαση και διαχείριση των συστημάτων ελέγχου προσπέλασης - Eίναι μια δήλωση – προδιαγραφές ( το επιθυμητό). Το σύνολο νόμων κανόνων και πρακτικών που ρυθμίζουν πως ένας οργανισμός προστατεύει και κατανέμει ευαίσθητες πληροφορίες. Είναι αυτό που θέλουμε να γίνει.

Ορισμός μιας Π.Α.: πολιτική ασφάλειας ορίζεται τυπικά στη βάση των όρων υποκείμενα και αντικείμενα. Ένα υποκείμενο είναι κάτι ενεργό στο σύστημα, π.χ.: - οι χρήστες (users), - οι διεργασίες (processes), - τα προγράμματα (programs). Αντικείμενο είναι κάτι στο οποίο ενεργεί το υποκείμενο, π.χ.: - τα αρχεία (files), - οι κατάλογοι (directories), - οι συσκευές (devices), - οι υποδοχές (sockets), - τα παράθυρα (windows).

Μοντέλο Bell-La-Padula:  Κάθε σύστημα θεωρείται ότι περιέχει: ένα σύνολο υποκειμένων S και ένα σύνολο αντικειμένων O.  Σε κάθε υποκείμενο (subject) και καθε αντικείμενο (object) εκχωρείται μια ετικέτα ασφάλειας (security label).  Κανόνες ροής πληροφορίας : - Ανάγνωση : ένα υποκείμενο α μπορεί να διαβάζει ένα αντικείμενο β Εάν και μόνο εάν SL α >= SL β - Εγγραφή : ένα υποκείμενο α μπορεί να εγγράψει ένα αντικείμενο β Εάν και μόνο εάν SLα <= SLβ  Ενισχύει την εμπιστευτικότητα των αντικειμένων

Μοντέλο ακεραιότητας Biba  Περιέχει ένα σύνολο υποκειμένων S και ένα σύνολο αντικειμένων O  Σε κάθε υποκείμενο (subject) και καθε αντικείμενο (object) χορηγείται μια ετικέτα ακεραιότητας I  Κανόνες ροής πληροφορίας : - Ανάγνωση : ένα υποκείμενο α μπορεί να μεταβάλλει ένα αντικείμενο β εάν και μόνο εάν I α >= I β - Εγγραφή : ένα υποκείμενο α μπορεί να διαβάσει ένα αντικείμενο β εάν και μόνο εάν I α <= I β

Δικτυωτό Μοντέλο : Για να έχει πρόσβαση μια οντότητα σε αντικείμενο πρέπει να είναι μέλος όλων των τμημάτων στο οποίο ανήκει το αντικείμενο. Ουσιαστικά δηλαδή η πρόσβαση περιορίζεται μόνο στις οντότητες που απαιτείται / χρειάζεται να γνωρίζουν και μόνο σε αυτές. Άκρως Απόρρητο ++ Απόρρητο ### Εμπιστευτικό Μη - απόρρητο **** ABCDEFGHI * : Αντικείμενο 1 # : Αντικείμενο 2 + : Αντικείμενο 3

Εφαρμογές στο διαδίκτυο Το διαδίκτυο αποτελεί ένα παγκόσμιο και χαμηλού κόστους μέσο για τη διακίνηση πληροφοριών και την παροχή υπηρεσιών. Διαδεδομένη χρήση του διαδικτύου σε εφαρμογές που περιλαμβάνουν επικοινωνία ευαίσθητων δεδομένων :  τραπεζικές συναλλαγές  ηλεκτρονικό εμπόριο  ιατρική πληροφορία Η ασφάλεια της πληροφορίας αποτελεί ζήτημα για την ηλεκτρονική κοινωνία.

Είδη Επιθέσεων στο Διαδίκτυο  Η υποκλοπή (Eavesdropping). Στην υποκλοπή η μεταφερόμενη πληροφορία παραμένει ακέραιη όχι όμως η εμπιστευτικότητά της.  Η παραποίηση (Tampering). Στην παραποίηση η πληροφορία που μεταφέρεται μπορεί να αλλαχθεί ή να αντικατασταθεί από κάποιον τρίτο.  Η πλαστοπροσωπία (Impersonation). Εδώ η πληροφορία μεταφέρεται σε μη εξουσιοδοτημένο υπολογιστή που παριστάνει το νόμιμο παραλήπτη πιστοποίηση (spoofing)  Η άρνηση παροχής υπηρεσιών. ΚΡΥΠΤΟΓΡΑΦΙΑ ΨΗΦΙΑΚΈΣ ΥΠΟΓΡΑΦΕΣ ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ

WWW Security Απαιτήσεις Για Ασφαλές Συναλλαγές: Ακεραιότητα των Δεδομένων Μυστικότητα των Δεδομένων Αυθεντικότητα των Δεδομένων Στο WWW μπορούμε να παρέχουμε: Ασφάλεια σε επίπεδο TCP Ασφάλεια σε επίπεδο IP Πρωτόκολλα Ασφάλειας: SSL SET

Κρυπτογραφία εμπιστευτικότητα « Μεταμφιέζει » ένα μήνυμα/ αρχείο έτσι ώστε μόνο ο σωστός Παραλήπτης να μπορεί να το διαβάσει. Παρέχει προστασία με : Κρυπτογράφηση :μετατρέπει το αρχικό κείμενο (plaintext) σε κρυπτογραφημένο (ciphertext) Αποκρυπτογράφηση : μετατρέπει το κρυπτογραφημένο κείμενο (ciphertext) στην αρχική μορφή του (plaintext). Κρυπτογραφικός αλγόριθμος (cipher): μαθηματική συνάρτηση που χρησιμοποιείται για κρυπτογράφηση και αποκρυπτογράφηση Κλειδί (key) : ένας αριθμός που χρησιμοποιείται μαζί με τον αλγό- ριθμο.

Είδη Κρυπτογραφικών Αλγορίθμων : Μη συμμετρικοί ή δημοσίου κλειδιού Συμμετρικοί ή μυστικού κλειδιού

Το ίδιο κλειδί χρησιμοποιείται τόσο για την κρυπτογράφηση όσο και για την αποκρυπτογράφηση του μηνύματος. Γνωστοί αλγόριθμοι Μυστικού Κλειδιού RC2 και RC4, RC5 IDEA (International Data Encryption Algorithm) Data Encryption Standard (DES) Triple - DES Πλεονέκτημα : εγγυάται την εμπιστευτικότητα των δεδομένων Μειονέκτημα : δεν μπορεί να εγγυηθεί το πώς θα γίνει η ανταλλαγή του κλειδιού.

Μη συμμετρικοί ή δημοσίου κλειδιού Περιλαμβάνει τη χρήση δύο κλειδιών : δημοσίου & προσωπικού κλειδιού Πλεονέκτημα : εγγυάται την πιστοποίηση του αποστολέα Μειονέκτημα : δεν εγγυάται εμπιστευτικότητα των δεδομένων Πλεονέκτημα : εγγυάται την πιστοποίηση του αποστολέα Μειονέκτημα : δεν εγγυάται εμπιστευτικότητα των δεδομένων

3. Εγγυάται και την εμπιστευτικότητα των δεδομένων & την πιστοποίηση του αποστολέα. Αλγόριθμοι Δημοσίου Κλειδιού RSA, Diffile-Hellmann, Hash Functions RSA Ο κυριότερος αλγόριθμος δημοσίου κλειδιού : Πλεονέκτημα: το δημόσιο κλειδί διανέμεται ελεύθερα με αποτέλεσμα την εύκολη σύσταση ασφαλών καναλιών επικοινωνίας μεταξύ δυο απο- μακρυσμένων χρηστών.

Μέγεθος κλειδιών : Η αυθεντικότητα της κρυπτογράφησης εξαρτάται περισσότερο από το μέγεθος των κλειδιών που χρησιμοποιούνται παρά από τους αλγόριθμους. Το μέγεθος των κλειδιών μετριέται σε bits. Η ανθεκτικότητα της κρυπτογράφησης είναι ανάλογη με το μέγε- θος των κλειδιών. Διαφορετικοί αλγόριθμοι απαιτούν διαφορετικά μήκη κλειδιών Για να πετύχουν το ίδιο επίπεδο ανθεκτικότητας κρυπτογράφησης.

Κωδικός πιστοποίησης μηνύματος MAC : Ένας κωδικός που παράγεται από τα δεδομένα με τη χρήση μυστικού Κλειδιού -Χρησιμοποιείται μόνο από αλγόριθμους μυστικού κλειδιού -Αποθηκεύεται μαζί με τα δεδομένα -Όποιος γνωρίζει το μυστικό κλειδί μπορεί να τον υπολογίσει εκ νέου και να τον συγκρίνει με αυτόν που έλαβε

Ταυτοποίηση –Αυθεντικοποίηση Είναι η διαδικασία επιβεβαίωσης της ταυτότητας ενός χρήστη. Γιατί: o Αποτελεί παράμετρο για την μετέπειτα λήψη αποφάσεων ελέγχου προσπέλασης o Η ταυτότητα του χρήστη καταγράφεται μαζί με πράξεις σχετικές με την ασφάλεια του συστήματος σε ειδικό χώρο (audit trail) Μηχανισμοί Εξακρίβωσης : Με βάση κωδικούς Με κρυπτογραφία, κάρτες Ατομικά χαρακτηριστικά Κέρβερος v5 : Authentication Εξυπηρετητής Παρέχει πιστοποίηση σε εφαρμογές πελάτη – εξυπηρετητή με χρήση κρυπτογράφησης μυστικού κλειδιού Δεν είναι αποτελεσματικός σε επιθέσεις για την εύρεση του κωδικού

Hash Functions συναρτήσεις :  Μια συνάρτηση Hash παίρνει ένα μεταβλητού μήκους μήνυμα (κείμενο) M και παράγει ένα καθορισμένου μήκους αποτέλεσμα H(M).  Για παράδειγμα : Μ= ¨Hello i am Bob and my password is hello_world ¨ Η(Μ) = shajf6h7uf7hf53h5fY Σχήµα : Σύνοψη µηνύµατος

Ψηφιακές Υπογραφές (Digital Signatures) Η υπογραφή σε ένα κείμενο είναι ένα στοιχείο το οποίο :  Επικυρώνει το κείμενο και επαληθεύει την προέλευση του.  Χρησιμοποιείται από τον παραλήπτη ως αποδεικτικό στοιχείο.  Χρησιμοποιείται από ένα τρίτο πρόσωπο με σκοπό τη λύση παρεξηγήσεων.  Είναι ο συνδυασμός κρυπτογραφικών μεθόδων και τεχνικών ελέγχου ακεραιότητας μηνυμάτων -Για συστήματα μυστικού κλειδιού, αυτό το ρόλο παίζει ο κωδικός πιστοποίησης μηνύματος MAC -Για συστήματα δημοσίου κλειδιού ο κρυπτογραφικός αλγόριθμος συνδυάζεται με αλγόριθμο σύνοψης μηνύματος (message digest)  Γνωστότεροι αλγόριθμοι DSS, SHS.

Υποδομές Δημοσίου κλειδιού - ΥΔΚ PKI – Public Key Infrastructure Παρέχουν ένα τρόπο οργάνωσης της φυσικής υποδομής, των εφαρμογών, της διαχείρισης και των διαδικασιών που υποστηρίζουν την ασφάλεια των πληροφοριών. Βασική τους μέριμνα είναι η διαχείριση των δημόσιων κλειδιών Διαφάνεια (transparency) δηλαδή οι χρήστες δεν χρειάζε- ται να καταλαβαίνουν τον τρόπο που γίνεται η διαχείριση των κλειδιών και των πιστοποιητικών ώστε να χρησιμοποι- ούν τις υπηρεσίες του PKI.

Υπηρεσίες PKI  Δημιουργία Κλειδιού (Generation)  Δημιουργία του ζεύγους ιδιωτικού-δημοσίου  Καταχώρηση κλειδιού (Registration)  Διανομή κλειδιού (Distribution)  Επιβεβαίωση κλειδιού (Verification)  Ανάκληση κλειδιού (Revocation)  Επαναφορά κλειδιού (Recovery)

Α.Συστήματα Ταυτοποίησης και Πιστοποίησης  Κάρτες Μνήμης  Χωρητικότητα περίπου 250B  Τα δεδομένα πιστοποίησης καταγράφονται σε λωρίδα μαγνητι- κού υλικού.  Η λωρίδα μαγνητικού υλικού προσαρμόζεται στη επιφάνεια της κάρτας.  Οι κάρτες ΜΟΝΟ αποθηκεύουν, ΔΕΝ επεξεργάζονται πληρο- φορία (π.χ ΑΤΜ κάρτες) που βασίζονται στην κατοχή αντικειμένου

……συνέχεια  Πλεονέκτημα : παρέχουν υψηλά σημαντικότερα επίπεδα ασφαλείας από τους κωδικούς πρόσβασης.  Προβλήματα : κόστος ειδικών συσκευών διαχείριση απώλεια κάρτας δυσαρέσκεια χρηστών παραχώρηση δεδομένων πιστοποίησης

 Έξυπνες Κάρτες (smart cards)  Χωρητικότητα περίπου 35KB  Έχουν ενσωματωμένο μικροεπεξεργαστή  Προσπελαύνονται μέσω ειδικών συσκευών  Οι επαφές με το εσωτερικό κύκλωμα τη μορφή επιχρυσωμένων περιοχών  Το πρωτόκολλο ISO/IEK 7816 καθορίζει: το μέγεθος της κάρτας την τοποθέτηση των επαφών τα πρωτοκολλά επικοινωνίας με τη συσκευή ανάγνωσης Β. Συστήματα Ταυτοποίησης και Πιστοποίησης που βασίζονται στην κατοχή αντικειμένου

 Έξυπνες Κάρτες (smart cards)  Κατηγορίες πρωτοκόλλων : Στατικής ανταλλαγής κωδικών πρόσβασης: όπως οι κάρτες μνήμης, με τη διαφορά ότι ο χρήστης πρώτα πιστοποιεί την ταυτότητα του στην κάρτα και μετά η κάρτα στο σύστημα. Δυναμικής δημιουργίας κωδικών πρόσβασης: η κάρτα πα- ράγει κωδικό που μεταβάλλεται περιοδικά. Ερώτησης- απάντησης (σε περίπτωση που ο κωδικός είναι αποθηκευμένος στην κάρτα) : βασίζονται στην κρυπτογρα- φία και η κάρτα πιστοποιεί το χρήστη

……συνέχεια  Έξυπνες Κάρτες (smart cards)  Πλεονεκτήματα: παρέχουν μεγαλύτερη ασφάλεια από τις μαγνητικές κάρτες, λόγω του ότι ο χρήστης πρώτα πιστοποιεί την ταυτότητα του στην κάρτα. δίνουν λύση στο πρόβλημα της ηλεκτρονικής παρακολούθησης με την χρήση περιοδικών κωδικών πρόσβασης. δεν μπορούν να αντιγραφούν παροχή πρόσβασης στο σύνολο των υπολογιστικών συστημάτων ενός οργανισμού, με πιστοποίηση μόνο μια φορά.

……συνέχεια  Έξυπνες Κάρτες (smart cards)  Μειονεκτήματα: κόστος χρήσης και διαχείρισης απώλεια κάρτας δυσαρέσκεια χρηστών κόστος συσκευής ανάγνωσης

Γ. Συστήματα Ταυτοποίησης και Πιστοποίησης που βασίζονται στην βιομετρία  Πιστοποίηση με βάση ατομικά χαρακτηριστικά :  δακτυλικά αποτυπώματα  χαρακτηριστικά ματιού  χροιά φωνής  γραφικός χαρακτήρας, κτλ.  Είναι κατάλληλα για περιβάλλοντα όπου απαιτείται πολύ υψηλός βαθμός ασφάλειας. Μειονεκτήματα: η τεχνολογία δεν είναι τόσο ώριμη η μεταβολή ατομικών χαρακτηριστικών τεχνική πολυπλοκότητα μεγάλο κόστος

Security Απειλές στο ηλεκτρονικό ταχυδρομείο. o Viruses, Trojan horses, Worms o Bombing o Spamming Τρόποι διασφάλισης του ηλεκτρονικού ταχυδρομείου  PGP (Pretty Good Privacy). Παρέχει: εξακρίβωση γνησιότητας εμπιστευτικότητα συμπίεση συμβατότητα ηλεκτρονικού ταχυδρομείου ( ) τμηματοποίηση

 PEM (Private Enhanced Mail). Παρέχει: Πιστοποίηση και αυθεντικότητα Πιστοποίηση ακεραιότητας του μηνύματος Συμβατότητα με διάφορους τρόπους για τη διαχείριση των κλειδιών. Interoperability. Υποστήριξη λίστας μηνυμάτων ……. συνέχεια

SNMP Αποτελείται : Πρωτόκολλο διαχείρισης δικτύου Βάση πληροφοριών διαχείρισης (MIB) Παράγοντας διαχείρισης (MA) Σταθμός διαχείρισης (MS) Οι υπηρεσίες του SNMP:  Η μυστικότητα  Εξακρίβωση της γνησιότητας ενός μηνύματος  Έλεγχος πρόσβασης

Το SSL (Secure Socket Layer), είναι ένα γενικού σκοπού πρω- τόκολλο για την αποστολή κρυπτογραφημένης πληροφορίας μέσω του internet.Είναι ένα επίπεδο που υπάρχει ανάμεσα στη σειρά του TCP/IP πρωτοκόλλου και στο επίπεδο εφαρμογής. SSL (Secure Socket Layer) Ορισμός:

SSL (Secure Socket Layer) ……συνέχεια  Πλεονεκτήματα: Απόδειξη γνησιότητας και απαγόρευση απάρνησης του server χρη- σιμοποιώντας ψηφιακές υπογραφές. Απόδειξη γνησιότητας και απαγόρευση απάρνησης του client χρη- σιμοποιώντας ψηφιακές υπογραφές. Εμπιστοσύνη δεδομένων μέσω της χρήσης της κρυπτογραφίας. Ακεραιότητα δεδομένων μέσω της χρήσης των κωδικών απόδειξης γνησιότητας μηνυμάτων.  Μειονεκτήματα: Δεν παρέχει υπηρεσίες µη αποποίησης. Δεν παρέχει υπηρεσίες προστασίας από επιθέσεις ανάλυσης κυκλο- φορίας.

Ερώτηση……… Πρέπει να χρησιμοποιείται το διαδίκτυο για τη διακίνηση ευαίσθητων πληροφοριών ;;;;;; ΝΑΙ, αν ληφθούν κατάλληλα μέτρα ασφάλειας (αυθεντικοποίηση, κρυπτογράφηση)

…. ευχαριστούμε