ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά Μεικτά Συστήματα SSL/TLS Έλεγχος Πρόσβασης Χρήστη, Single Sign-On.

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Διαχείριση Δικτύων Ευφυή Δίκτυα
Advertisements

ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ και ΔΙΚΤΥΩΝ  Προστασία Πληροφοριών • Εξωτερικό • Εσωτερικό • Διαθεσιμότητα • Ακεραιότητα • ……
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 20/12/2010.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 17/12/2012.
ΑΣΦΑΛΗΣ ΔΙΑΔΙΚΤΥΑΚΗ ΔΙΑΚΙΝΗΣΗ... Πιστωτικών Μονάδων, Βαθμολογιών, Εγγράφων.doc,.xls,...κ.τ.λ. Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α των Σπουδαστών: Τζούραλη Αντωνία.
Microsoft Exchange Server Τι είναι ο Exchange Ο Exchange Server χρησιμοποιείται για την παροχή υπηρεσίας ηλεκτρονικού ταχυδρομείου ( service).
Η Μέθοδος RSA  Υποθέτουμε πως δυο άτομα ο Α και ο Β θέλουν να ανταλλάξουν μεταξύ τους κάποιο μήνυμα Μ, το οποίο θέλουν να κρυπτογραφήσουν για λόγους ασφαλείας.
Ασφάλεια Ηλεκτρονικού Εμπορίου
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 26/05/2011.
ΤCP/IP Τι είναι; Σύντομο Ιστορικό
Ζητήματα Κρυπτογραφίας- Κέρβερος
Henric Johnson1 Κεφάλαιο 3 Κρυπτογραφία δημόσιου κλειδιού και πιστοποίηση αυθεντικότητας μηνυμάτων Henric Johnson Blekinge Institute of Technology, Sweden.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης 23/01/2012.
Διαδίκτυο Κίκα Χρυσοστόμου. Πρωτόκολλο https: HyperText Transfer Protocol Secure Χρησιμοποιείται για ασφαλή επικοινωνία Π.χ μια ασφαλή ιστοσελίδα που.
Τμήμα Αρχειονομίας- Βιβλιοθηκονομίας Ιόνιο Πανεπιστήμιο
Ασφάλεια δικτύων.
Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens.
Ανάλυση Δικτυακής Κίνησης – Πρωτοκόλλων – Υπηρεσιών Ασφάλεια Δικτύων (4 η άσκηση) ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ - ΕΜΠ ΣΧΟΛΗ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ & ΜΗΧ.
ΗΜΥ 007 – Τεχνολογία Πληροφορίας Διάλεξη 18
1 T.Ε.Ι. ΠΕΙΡΑΙΑ Τ ΜΗΜΑ Η/Υ Σ ΥΣΤΗΜΑΤΩΝ ΟΜΑΔΑ ΜΑΘΗΜΑΤΩΝ μΥ/Σ Εργαστήριο Περιφερειακών Μονάδων και Δικτύων Η/Υ PeLAB ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Σπουδαστής : ΓΚΑΔΟΛΟΣ.
Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος Εξάμηνο: Η’ Ασφάλεια Πληροφοριακών Συστημάτων Ενότητα Γ: Απομακρυσμένη Αυθεντικοποίηση.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ III Β. Μάγκλαρης 18/12/2009.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 05/05/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 3 Β. Μάγκλαρης 17/01/2011.
Άσκηση 6 Ασφάλεια Δικτύων.
Ασφάλεια Δικτύων (Computer Security). Τι Εννοούμε με τον Όρο Ασφάλεια Δικτύων; Ασφάλεια  Μόνο ο αποστολέας και ο προοριζόμενος παραλήπτης μπορούν να.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 07/01/2013.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. SSL & ΑΣΦΑΛΕΙΑ 2. ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ Β. Μάγκλαρης
Τεχνολογία TCP/IP TCP/IP internet είναι ένα οποιοδήποτε δίκτυο το οποίο χρησιμοποιεί τα πρωτόκολλα TCP/IP. Διαδίκτυο (Internet) είναι το μεγαλύτερο δίκτυο.
Ασφάλεια σε Ασύρματα Τοπικά Δίκτυα ΙΕΕΕ “IEEE WLAN Security” Μεταπτυχιακή Εργασία Μαλατράς Απόστολος Ο.Π.Α. MScIS Φεβρουάριος 2003.
Internet & Ηλεκτρονικό Εμπόριο Μάϊος 2001 NETMODE Network Management & Optimal Design Lab.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ – ΣΗΜΑΤΟΔΟΣΙΑ & ΕΥΦΥΗ ΔΙΚΤΥΑ Β. Μάγκλαρης
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 16/01/2012.
Β. Μάγκλαρης 10/11/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΚΤΥΑ EDI Ζητήματα Ασφάλειας 9/5/08.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 14/11/07. 2 Κατηγορίες Λειτουργιών Διαχείρισης ΜΟΝΤΕΛΟ ΑΝΑΦΟΡΑΣ Fault (Βλάβες) Configuration (Διάρθρωση) Accounting (Λογιστική) Performance.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΠΡΩΤΟΚΟΛΛΑ ΔΙΑΧΕΙΡΙΣΗΣ ΣΤΟ INTERNET – SNMP, ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ I Β. Μάγκλαρης 20/11/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 2 Β. Μάγκλαρης 10/01/2011.
© 2015 Ασφαλή Λειτουργικά Συστήματα Σχετικά με το μάθημα… Ασφαλή Λειτουργικά Συστήματα Διατμηματικό Πρόγραμμα Μεταπτυχιακών.
Διαχείριση Δικτύων - Ευφυή Δίκτυα Διαχείριση Ασφάλειας – 2 ο Μέρος (Β. Μάγκλαρης, Χ. Σιατερλής, Γ. Κουτέπας) 16/1/08.
Ασφάλεια και Διαχείριση Δικτύων Διαχείριση Δικτύων – Ευφυή Δίκτυα 19/12/07.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Β. Μάγκλαρης 22/10/2008.
Κρυπτογραφία Ψηφιακά Πιστοποιητικά
Ασφάλεια σε Ασύρματα Τοπικά Δίκτυα ΙΕΕΕ “IEEE WLAN Security” Μεταπτυχιακή Εργασία Μαλατράς Απόστολος Ο.Π.Α. MScIS Φεβρουάριος 2003.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Μέρος Β’ Β. Μάγκλαρης 04/02/2009.
Aσφάλεια. Περιεχόμενα Πλευρές Ασφάλειας Ιδιωτικό Απόρρητο – Μέθοδος Μυστικού Κλειδιού (Συμμετρική Κρυπτογράφηση) – Μέθοδος Δημόσιου Κλειδιού (Ασύμμετρη.
Η Κρυπτογραφία στην ζωή μας. Η Κρυπτογραφία ασχολείται με την μελέτη της ασφαλούς επικοινωνίας. Ο κύριος στόχος της είναι να παρέχει μηχανισμούς για 2.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ FIREWALLS ΕΙΚΟΝΙΚΑ.
Πανεπιστήμιο Πειραιώς Τμήμα Διδακτικής της Τεχνολογίας & Ψηφιακών Συστημάτων Ζητήματα ασφάλειας στις εφαρμογές της ψηφιακής τηλεόρασης Σωκράτης Κ. Κάτσικας.
S/MIME Στα πρώτα στάδια ανάπτυξης η εφαρμογή υποστήριζε αποκλειστικά τη μεταφορά κειμένου μεταξύ των χρηστών Το πρωτόκολλο MIME (Multipurpose Internet.
Προχωρημένα Θέματα Δικτύων
Β. Μάγκλαρης 14/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά.
Προχωρημένα Θέματα Δικτύων
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Secure Sockets Layer (SSL)
Διδάσκων: Δρ. Γενειατάκης Δημήτρης
Κεφάλαιο 10: Υπηρεσίες και εφαρμογές Διαδικτύου
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
ΥΠΗΡΕΣΙΕΣ ΚΑΙ ΕΦΑΡΜΟΓΕΣ ΔΙΑΔΙΚΤΥΟΥ 10.1 Υπηρεσίες Διαδικτύου
Κεφάλαιο 7: Διαδικτύωση-Internet
Λύσεις Ασφάλειας στο Επίπεδο Διασύνδεσης
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Υπηρεσίες και εφαρμογές Διαδικτύου
Β. Μάγκλαρης 21/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙI) Έλεγχος Πρόσβασης Χρήστη, Single Sign-On.
Β. Μάγκλαρης 12/12/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (ΙΙ) ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΧΡΗΣΗ ΔΗΜΟΣΙΩΝ ΚΛΕΙΔΙΩΝ ΣΥΣΤΗΜΑΤΑ.
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Πληροφοριακά Συστήματα Διοίκησης 4ο Μάθημα - Ασφάλεια
Μεταγράφημα παρουσίασης:

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά Μεικτά Συστήματα SSL/TLS Έλεγχος Πρόσβασης Χρήστη, Single Sign-On (SSO) Authentication & Authorization Infrastrucures (AAI), Πάροχοι Ταυτότητας (IdP) SAML - Security Assertion Mark-up Language Β. Μάγκλαρης 30/11/2015

ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ Είδη Απειλών και Επιθέσεων Προστασία –Πολιτικές –Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authentication & Authorization Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) –Εργαλεία (Access Control Lists – ACLs, Firewalls) –Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) Κρυπτογραφία Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ Απόκτηση πληροφοριών για το σύστημα: –Port Scanning –Fingerprinting Μη εξουσιοδοτημένη πρόσβαση –Υποκλοπή κωδικών –Λάθος διαμορφώσεις (ανοικτά συστήματα) –Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών –Packet sniffing –"Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) –Ιοί, Δούρειοι ίπποι (trojans) –Αυτόματα διαδιδόμενοι ιοί (worms)

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Packet sniffing –Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch –Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί Telnet passwords Web passwords Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά , αριθμοί πιστωτικών καρτών κ.λπ.) "Man-in-the-Middle" attacks –Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας ARP "poisoning" TCP "session hijacking" DNS "poisoning" – URL redirection

Ιοί, Δούρειοι ίπποι (trojans – προγράμματα "σε απόκρυψη") Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα Αυτόματα διαδιδόμενοι ιοί (worms) Εκμεταλλεύονται συνήθως προβλήματα λογισμικού σε Λειτουργικά Συστήματα ή εφαρμογές για να μεταδοθούν στο Διαδίκτυο Διαδίδονται σε υπολογιστές με γειτονικές διευθύνσεις IP και το ίδιο πρόβλημα ή από προκαθορισμένη λίστα διευθύνσεων Σε ορισμένες περιπτώσεις χρησιμοποιούνται παραπλανητικά μηνύματα που παρασύρουν το χρήστη στο να εκτελέσει συγκεκριμένες ενέργειες στον υπολογιστή του Μέσω χρησιμοποιούν τον κατάλογο διευθύνσεων του χρήστη για τη μετάδοση τους σε νέους χρήστες Εφόσον χρησιμοποιήσουν ιδιαίτερα διαδεδομένο πρόβλημα είναι δυνατόν να εξαπλωθούν με μεγάλη ταχύτητα σε ολόκληρο το Διαδίκτυο Οι Δούρειοι Ίπποι πολλές φορές χρησιμοποιούν worms για τη μετάδοση τους ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ malware

ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography) –Χρήση μοναδικού κλειδιού και από τα δύο μέρη –Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit σε συνεχή ροή δεδομένων (stream cipher) –Αλγόριθμοι κρυπτογράφησης: DES, triple DES, RC2, RC4, RC5, IDEA, AES –Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography) –Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα –Αλγόριθμοι κρυπτογράφησης: RSA, Diffie-Hellman –Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5 –Ισχυρά σημεία: Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά –Αδύνατα σημεία: Αργή στην εκτέλεση Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών Πιστοποίησης (Certification Authorities, CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI) –Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Ο Αποστολέας A γνωρίζει το Δημόσιο Κλειδί του Παραλήπτη Π (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA, self- signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια Υποδομής Δημοσίου Κλειδιού - Public Key Infrastructure PKI) –Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π –Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π ΜήνυμαΚρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα Μετάδοση Ιδιωτικό Κλειδί Π Αποστολέας Α Παραλήπτης Π Αλγόριθμος Δημόσιο Κλειδί Π

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation – Message Integrity Οι Αποστολέας Α και Παραλήπτης Π κατέχουν ζεύγη Δημοσίου & Ιδιωτικού Κλειδιού και έχουν αμοιβαία γνώση των Δημοσίων Κλειδιών & αλγορίθμων κρυπτογράφησης - κατακερματισμού Ο Αποστολέας Α προσθέτει Ψηφιακή Υπογραφή (Digital Signature) στο μήνυμα με κρυπτογράφηση με το Ιδιωτικό του κλειδί περίληψης (hash) του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm) Ο Παραλήπτης Π επιβεβαιώνει (authenticate) την ταυτότητα του Α, χωρίς δυνατότητά του Α άρνησης της αποστολής (non-repudiation) & επιβεβαιώνει την μη αλλοίωση του μηνύματος (message integrity) με βάση την σύγκριση: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης στον Π με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος που δημιουργεί ο Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Μήνυμα Μετάδοση Αποστολέας ΑΠαραλήπτης Π Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Περίληψη Μηνύματος (Hash) Ιδιωτικό Κλειδί Α Αλγόριθμος Κρυπτογραφίας Αλγόριθμος Κατακερματισμού Σύγκριση Δημόσιο Κλειδί Α Digital Signature

ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ 9

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)

ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα : Φάση hand-shaking (αρχική φάση) –Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key Cryptography –Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο- μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα) –Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με δεδομένα που αφορούν στη σύνοδο Κυρίαρχο σχήμα στο Internet –Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP –Secure Sockets Layer - SSL  Transport Layer Security - TLS: Ταυτοποίηση Web server από τους χρήστες – clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https (http over TLS over TCP), imaps (IMAP over TLS over TCP), OpenVPN (απαιτείται OpenVPN server και προ-εγκατεστημένο client S/W)

ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ (SSL/TLS - Secure Sockets Layer / Transport Layer Security) 12 1 η Φάση: Handshaking –Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή (Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI –Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στον S κρυπτογραφημένο με το Δημόσιο Κλειδί του S 2 η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί –Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύS – U (το Συμμετρικό Κλειδί ισχύει μόνο για το συγκεκριμένο session) ΠΑΡΑΤΗΡΗΣΗ: –Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή), μόνο ο S (Server Based Authentication) –Αν απαιτείται Ταυτοποίηση – Εξουσιοδότηση του U από τον S (Client & Server Based Authentication) απαιτείται μετάδοση από το secure channel Digital Identity του Client (συνήθως User_Name/Password ή Client Certificates αν υπάρχουν)  έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP π.χ. για εφαρμογές Web, Mail… και με πρωτόκολλο RADIUS – UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση DSL, WiFi roaming…)

Τρόποι Ταυτοποίησης Χρηστών: –Username, Password –LDAP Server (Lightweight Directory Access Protocol) –RADIUS (Remote Authentication Dial-In User Service) –Active Directory (MS Windows) Οι Υποδομές Ταυτοποίησης & Εξουσιοδότησης (ΑΑΙ) επιτρέπουν πρόσβαση Single Sign-On (SSO) σε χρήστες διαδικτυακών πόρων κατανεμημένων σε παρόχους με αμοιβαία εμπιστοσύνη: –Ταυτοποίηση (Authentication) μια φορά –Εξουσιοδότηση ξεχωριστά με κάθε πάροχο Μεσολάβηση Παρόχου Tαυτότητας (Identity Provider - IdP) π.χ. Facebook, Twitter, Google User Accounts για –Εξουσιοδότηση Single Sign-On σε υπηρεσίες με σχετικό security token συνδρομητή από IdP σε Service Providers που το εμπιστεύονται (π.χ. OAuth – Open standard for Authorization, SAML - Security Assertion Markup Language) –Επιβεβαίωση Ισχυρισμών Ταυτότητας (Identity Assertion) από WAYF (Where Are You From) servers μέσω πρωτοκόλλου SAML ή από LDAP servers με πιστοποιητικά X509 Συνέργεια IdP σε ομόσπονδα σχήματα AAI (π.χ. US Internet2 Shibboleth, GÉANT eduGAIN) ΕΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ ΧΡΗΣΤΗ, AAI Single Sign-On, ΠΑΡΟΧΟΙ ΤΑΥΤΟΤΗΤΑΣ IdP AAI – Authentication & Authorization Infrastructure 13

ΡΟΗ SAML ΓΙΑ ΠΡΟΣΒΑΣΗ Single Sign-On (SSO) 14 Ρόλοι οριζόμενοι στο πρότυπο SAML (OASIS Standard): –Τελικός χρήστης (Principal User, P) –Πάροχος Υπηρεσιών (Service Provider, SP) –Πάροχος Ταυτότητας (Identity Provider, IdP) SAML: –Μηχανισμός Eπιβεβαίωσης Ισχυρισμών Ταυτoποίησης & Εξουσιοδότησης (Authentication & Authorization Assertions) Τελικού Χρήστη (P) προς Πάροχο Υπηρεσιών (SP) με την βοήθεια Παρόχων Ταυτότητας (IdP) –Ανταλλαγής μηνυμάτων SAML μεταξύ P (User Agent), SP, IdP: Με φόρμες XML (για σιγουριά προστατευμένες από πρωτόκολλα TLS και XML encryption)