ΗΜΥ 007 – Τεχνολογία Πληροφορίας Διάλεξη 18 ΗΜΥ 007 – Τεχνολογία Πληροφορίας Διάλεξη 18 Ασφάλεια Πληροφοριών στο Διαδίκτυο TΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΜΗΧΑΝΙΚΩΝ ΥΠΟΛΟΓΙΣΤΩΝ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ

Περίληψη Ασφάλεια Πληροφορίας Κίνδυνοι για την ασφάλεια της πληροφορίας Υπηρεσίες Ασφάλειας Ασφάλεια δεδομένων με την κρυπτογραφία

Υλικό Αναφοράς Cyganski, D., Orr, A. O., and Vaz, R. F., Information Technology Inside and Outside, Prentice Hall, 2001 Κεφ. 21, σελίδες 277- How EncryptionWorks http://computer.howstuffworks.com/encryption.htm Κρυπτογραφία http://noc.auth.gr/services/manuals/cryptography/ http://www.in.gr/Articles/Article.asp?ArticleId=67349&CurrentTopId=67168&IssueTitle=RAM+144

Ασφάλεια Ηλεκτρονικής Πληροφορίας (ΗΠ) Σε νομικό και κοινωνικό επίπεδο, χρειαζόμαστε προστασία του απορρήτου της ηλεκτρονικής αλληλογραφίας (e-mail) των συναλλαγών (αριθμός πιστωτικής κάρτας, τραπεζικό απόρρητο) του ιατρικού απορρήτου των προσωπικών στοιχείων και δεδομένων του κάθε χρήστη του Διαδικτύου, που με διάφορους τρόπους μπορούν να συλλεχθούν από τρίτους και να χρησιμοποιηθούν για οποιονδήποτε σκοπό χωρίς τη συγκατάθεση του. Σε ακαδημαϊκό επίπεδο, χρειαζόμαστε προστασία αποτελεσμάτων ακαδημαϊκής έρευνας ευαίσθητων προσωπικών δεδομένων (βαθμολογία φοιτητών) ακαδημαϊκών μελετών πνευματικών δικαιωμάτων (copyright) των μελών της ακαδημαϊκής κοινότητας.  Σε οικονομικό επίπεδο, χρειαζόμαστε ασφάλεια και προστασία των εμπορικών δεδομένων και συναλλαγών εξασφάλιση της εγκυρότητας των συναλλαγών μέσω της αποδοχής μίας ηλεκτρονικής υπογραφής

Πως κινδυνεύει η ασφάλεια της ΗΠ; Αποκάλυψη δεδομένων Όταν κάποιος «κρυφακούει» ηλεκτρονική επικοινωνία και αναγνωρίζει δεδομένα που δεν τον αφορούν Απάτη Όταν κάποιος αντιπροσωπεύει την ταυτότητα κάποιου άλλου στο Διαδίκτυο για την κλοπή προσωπικών δεδομένων, χρημάτων κλπ Παρεμβολή, αποκομιδή και μετατροπή δεδομένων Αλλαγή εμπορικών συναλλαγών, λογαριασμών τραπέζης κλπ Άρνηση υπηρεσίας Όταν εσκεμμένα χρησιμοποιείται μια υπηρεσία άσκοπα και συνέχεια τότε η υπηρεσία είναι απρόσβατη σε άλλους Π.χ. TCP SYN flooding attack στην Νέα Υόρκη το 1996 διέκοψε την υπηρεσία ενός ISP - εσκεμμένα ένας χρήστης συνδέθηκε πολλές φορές με τον server αποκλείοντας την σύνδεση από άλλους χρήστες

Υπηρεσίες Ασφάλειας Privacy / Confidentiality (μυστικότητα / Εμπιστευτικότητα) – Δεν επιτρέπει σε άλλους να αναγνωρίζουν τα προσωπικά μας δεδομένα χρήση μυστικών κωδίκων για την κωδικοποίηση και απόκρυψη πληροφορίας κατά την αποστολή της στο Διαδίκτυο Authentication (πιστοποίηση) - απόδειξη ή εξακρίβωση της γνησιότητας ή αυθεντικότητας ενός αντικειμένου, μιας συναλλαγής, ή της ταυτότητας ενός ατόμου χρήση μυστικών κωδίκων Εταιρίες πιστοποίησης στο Διαδίκτυο (Certificate Authority) Ψηφιακά πιστοποιητικά και υπογραφές Π.χ. https://certs.netscape.com/client.html

Υπηρεσίες Ασφάλειας Access Control (έλεγχος πρόσβασης ) - η πρόσβαση σε πληροφορία ή υπηρεσία είναι εφικτή μόνο σε όσους δικαιούνται Χρήση γραμμών από τις οποίες δεν μπορεί να γίνει υποκλοπή Firewall ή Proxy Server – ένας Η/Υ (ή λογισμικό) η χρήση του οποίου αποσκοπεί την προστασία ενός προσωπικού δικτύου από μια πιθανή επίθεση από το Διαδίκτυο Το προστατευόμενο δίκτυο δεν μπορεί να προσεγγίσει το διαδίκτυο και αντιστρόφως Οι Η/Υ στο προσωπικό δίκτυο έχουν πρόσβαση στο διαδίκτυο μέσω του H/Y firewall Integrity (ακεραιότητα) – εξασφαλίζει ότι τα δεδομένα δεν έχουν αλλάξει από την ώρα της δημιουργίας τους Δημιουργία ψηφιακών υπογραφών με την τεχνολογία μυστικών κωδίκων

Υπηρεσίες Ασφάλειας No repudiation (Μη άρνηση αποδοχής) - εξασφαλίζει ότι η πηγή δεδομένων δεν μπορεί να αρνηθεί την δημιουργία των δεδομένων και ο δέκτης δεν μπορεί να αρνηθεί ότι έλαβε τα δεδομένα Π.χ. εάν κάποιος αγοράσει κάτι στο Διαδίκτυο με πιστωτική κάρτα δεν μπορεί να ισχυριστεί ότι δεν έκανε την αγορά Χρησιμοποιεί ψηφιακές υπογραφές Replay Prevention (αποτροπή επανάληψης) - εξασφαλίζει ότι τα ίδια δεδομένα δεν μπορούν να πιστοποιηθούν από ένα σύστημα περισσότερο από μία φορά Π.χ. εάν κάποιος κάνει ηλεκτρονική ανάληψη χρημάτων από την τράπεζα δεν μπορεί κάποιος άλλος να καταγράψει την συναλλαγή και να την επαναλάβει δηλ. να ξανακάνει την ίδια ανάληψη Χρησιμοποιεί σφραγίδα χρόνου που μοναδικά ξεχωρίζει κάθε μήνυμα / συναλλαγή

Ασφάλεια Δεδομένων και Συστήματα Κρυπτογράφησης Κρυπτολογία – η επιστήμη ή τεχνική της κρυπτογράφησης και κρυπτανάλυσης Κρυπτογραφία είναι μια επιστήμη που βασίζεται στα μαθηματικά για την κωδικοποίηση και αποκωδικοποίηση των δεδομένων οι μέθοδοι κρυπτογράφησης καθιστούν προσωπικά δεδομένα προσβάσιμα μόνο από όσους είναι εξουσιοδοτημένοι. Κρυπτανάλυση - η επιστήμη για την ανάλυση και αποκωδικοποίηση κωδικοποιημένων πληροφοριών χωρίς την χρήση του αντίστροφου αλγορίθμου κρυπτογράφησης δηλ. χωρίς εξουσιοδότηση (“σπάσιμο του κώδικα”) Σύστημα κρυπτογράφησης (cryptographic system ή cryptosystem) - μηχανισμός ή αλγόριθμος μετατροπής δεδομένων από μία αρχική μορφή (plaintext) σε μία νέα (ciphertext), από την οποία, δεν προκύπτει νόημα έτσι ώστε να μπορεί να γίνεται μυστική επικοινωνία των δεδομένων

Κρυπτογραφία απλό κείμενο κρυπτογράφημα Η διαδικασία ή αλγόριθμος της κρυπτογράφησης (encryption) απαιτεί την παρουσία ενός κλειδιού (key). Το ίδιο απλό κείμενο κωδικοποιείται σε διαφορετικά κρυπτογραφήματα όταν χρησιμοποιούνται διαφορετικά κλειδιά. Η αντίστροφη διαδικασία, η αποκρυπτογράφηση (decryption), απαιτεί επίσης την παρουσία ενός κλειδιού Με την κρυπτανάλυση το κλειδί αποκτάται με το “σπάσιμο” του κώδικα Όσο αυξάνει ο βαθμός πολυπλοκότητας του αλγορίθμου, τόσο μειώνεται η πιθανότητα να τον διαβάλλει κάποιος.

Συμμετρική κρυπτογραφία χρησιμοποιείται το ίδιο κλειδί για την κρυπτογράφηση και για την αποκρυπτογράφηση => εύκολοι και γρήγοροι αλγόριθμοι το κλειδί πρέπει να είναι γνωστό μόνο στα εξουσιοδοτημένα μέρη => απαιτείται ασφαλές μέσο για τη μετάδοσή του, για παράδειγμα μία προσωπική συνάντηση κατά την οποία θα συμφωνηθεί το κλειδί που θα χρησιμοποιείται. Αν κάτι τέτοιο δεν είναι εφικτό, η συμμετρική κρυπτογραφία δεν είναι αναποτελεσματική

Κώδικας “one-time pad code” Το κλειδί είναι μία ακολουθία χαρακτήρων (string) που λέγεται one-time pad key (μιας χρήσεως) και περιέχει των ίδιο αριθμό ψηφίων με το αρχικό μήνυμα (plaintext). Ο αλγόριθμος: όταν το κλειδί έχει το ψηφίο ‘1’ τότε το ψηφίο στην αντίστοιχη θέση πρέπει να αλλάξει Χρησιμοποιήθηκε σε διπλωματικές και στρατιωτικές εφαρμογές ψηλής μυστικότητας. Προσφέρει απόλυτη ασφάλεια – unconditional security

Κρυπτογραφικός Αλγόριθμος του Καίσαρα Ο Ιούλιος Καίσαρας επινόησε έναν απλό κρυπτογραφικό αλγόριθμο (Caesar Cipher) για να επικοινωνεί με τους επιτελείς του, με μηνύματα που δεν θα ήταν δυνατόν να τα διαβάσουν οι εχθροί του. Ο αλγόριθμος βασιζόταν στην αντικατάσταση κάθε γράμματος του αλφαβήτου με το γράμμα που βρίσκεται 3 θέσεις δεξιότερά του στο αλφάβητο. Π.χ. από τη λέξη “CYPRUS” προκύπτει το κρυπτογράφημα “FASUXV” Για να το αποκρυπτογραφήσει κάποιος θα πρέπει να αντιστρέψει τη διαδικασία κρυπτογράφησης δεν αρκεί να ξέρει ότι ο κατάλληλος αλγόριθμος αποκρυπτογράφησης είναι η ολίσθηση των γραμμάτων του αλφαβήτου προς τα αριστερά, αλλά πρέπει να γνωρίζει και πόσες θέσεις χρειάζεται να τα ολισθήσει. Πρέπει να γνωρίζει το κλειδί, που σε αυτήν την περίπτωση είναι ο αριθμός 3. Με διεξοδική αναζήτηση το κλειδί μπορεί να προσδιοριστεί. Δοκιμάζουμε κάθε πιθανό κλειδί μέχρι να αναγνωρίσουμε πληροφορία που μπορεί να διαβαστεί. Προσφέρει computational security – ασφάλεια υπολογισμού

Κρυπτοσυστήματα με ασφάλεια υπολογισμού Κρυπτοσυστήματα με ασφάλεια υπολογισμού Η πιθανή επίθεση κατά του κρυπτογραφήματος απαιτεί πόρους υπολογισμού που είναι πολύ ακριβοί και ανέφικτοι έτσι ώστε να μην προκαλεί πραγματικό κίνδυνο Όταν το κλειδί αποτελείται από πολλά ψηφία δεν μπορεί να προσδιοριστεί εύκολα με διεξοδική αναζήτηση. Επειδή με Η/Υ κλειδιά των 40 ψηφίων μπορούν να προσδιοριστούν με διεξοδική αναζήτηση, οι αλγόριθμοι σήμερα χρησιμοποιούν κλειδιά με 64 bits ή περισσότερα.

Ασύμμετρη Κρυπτογραφία Χρησιμοποιούνται διαφορετικά κλειδιά για την κρυπτογράφηση και την αποκρυπτογράφηση, το δημόσιο (public) και το ιδιωτικό (private) κλειδί αντίστοιχα Μήνυμα κρυπτογραφημένο με το δημόσιο κλειδί μπορεί να αποκρυπτογραφηθεί μόνο με το ιδιωτικό κλειδί και αντίστροφα. Το ένα κλειδί δεν μπορεί να προκύψει από το άλλο με απλό τρόπο. Η ασύμμετρη κρυπτογραφία προσφέρει μεγαλύτερη ασφάλεια από τη συμμετρική και επίσης παρέχει τη δυνατότητα πιστοποίησης της αυθεντικότητας ενός μηνύματος, με την παραγωγή μιας μοναδικής ψηφιακής υπογραφής (digital signature) Οι αλγόριθμοι ασύμμετρης κρυπτογράφησης είναι πολύ πιο αργοί από τους αλγόριθμους συμμετρικής κρυπτογράφησης.

Ασύμμετρη Κρυπτογραφία Ο κάθε χρήστης πρέπει να διαθέτει τα δικά του κλειδιά, ένα δημόσιο και ένα ιδιωτικό. Το δημόσιο κλειδί δεν αποτελεί μυστική πληροφορία κι έτσι μπορεί να μεταδοθεί χωρίς την απαίτηση ύπαρξης ασφαλούς μέσου. Το ιδιωτικό κλειδί χρησιμοποιείται μόνο από τον ιδιοκτήτη του και δε μεταδίδεται ποτέ. Ο αποστολέας ενός μηνύματος πρέπει να γνωρίζει το δημόσιο κλειδί του παραλήπτη και να κρυπτογραφήσει το μήνυμα με αυτό. Το δημόσιο κλειδί που χρησιμοποιήται για την κρυπτογράφηση δεν μπορεί να αποκρυπτογραφήσει το μήνυμα, κι έτσι η γνώση του δημόσιου κλειδιού από τρίτους δεν αποτελεί πρόβλημα. Ο παραλήπτης αποκρυπτογραφεί το μήνυμα με το ιδιωτικό του κλειδί. Όταν ένα μήνυμα έχει κρυπτογραφηθεί με το δημόσιο κλειδί κάποιου χρήστη, μπορεί να αποκρυπτογραφηθεί μόνο με το ιδιωτικό του κλειδί. Και επειδή μόνο ο ίδιος ο χρήστης γνωρίζει το ιδιωτικό του κλειδί, μόνο αυτός μπορεί να αποκρυπτογραφήσει τα μηνύματα που απευθύνονται σε αυτόν.

Ψηφιακή Υπογραφή Η ψηφιακή υπογραφή είναι μία ακολουθία χαρακτήρων άμεσα συσχετισμένη με το περιεχόμενο του μηνύματος και την ταυτότητα αυτού που το υπογράφει. Αποστέλλεται μαζί με το μήνυμα Ο παραλήπτης μπορεί ελέγχοντας την ψηφιακή υπογραφή να βεβαιωθεί ότι το περιεχόμενο του μηνύματος δεν έχει παραποιηθεί ότι ο αποστολέας του είναι όντως αυτός που ισχυρίζεται ότι είναι.

Ψηφιακή Υπογραφή Ο αποστολέας υπογράφει το μήνυμα με το ιδιωτικό του κλειδί. Ο παραλήπτης διαθέτει το δημόσιο κλειδί του αποστολέα και μπορεί να επιβεβαιώσει ότι το μήνυμα υπογράφτηκε με το αντίστοιχο ιδιωτικό κλειδί. Η επιβεβαίωση είναι εφικτή επειδή το ιδιωτικό κλειδί είναι γνωστό μόνο στον ιδιοκτήτη του και άρα μόνο αυτός θα μπορούσε να το χρησιμοποιήσει για να υπογράψει και να στείλει κάποιο μήνυμα

Υποδομή Δημοσίου Κλειδιού (ΥΔΚ) Υποδομή Δημοσίου Κλειδιού (ΥΔΚ) Public Key Infrastructure (PKI) είναι ένας συνδυασμός λογισμικού, τεχνολογιών κρυπτογραφίας και υπηρεσιών που επιβεβαιώνουν και πιστοποιούν την εγκυρότητα της κάθε οντότητας που εμπλέκεται σε μια συναλλαγή με το Διαδίκτυο, και παράλληλα προστατεύουν την ασφάλεια της συναλλαγής.  Η ΥΔΚ ενσωματώνει ψηφιακά πιστοποιητικά κρυπτογραφία δημόσιου κλειδιού και αρχές πιστοποίησης σε ένα σφαλές αρχιτεκτονικό σχήμα. Υπηρεσίες της ΥΔΚ εμπιστευτικότητα, πιστοποίηση, ακεραιότητα, μη άρνηση αποδοχής

Ιδιαίτερα Καλή Μυστικότητα Pretty Good Privacy (PGP) αναπτύχθηκε το 1991 στις ΗΠΑ και είναι μια από τις τεχνολογίες που χρησιμοποιεί δημόσιο κλειδί Αποτελεί ένα κρυπτοσύστημα για την κρυπτογράφηση και υπογραφή μηνυμάτων της ηλεκτρονικής αλληλογραφίας. Κάθε χρήστης του PGP διατηρεί μία λίστα με τα δημόσια κλειδιά των χρηστών με τους οποίους επικοινωνεί, η οποία καλείται keyring. Δηλ. ο χρήστης επιλέγει τους χρήστες οι οποίοι θα μπορέσουν να αποκρυπτογραφήσουν το μήνυμα του, ο καθένας με το ιδιωτικό του κλειδί. Κάθε κλειδί που προστίθεται στην λίστα είναι δυνατό να φέρει έναν από τους εξής χαρακτηρισμούς: Απολύτως Έμπιστο (Completely Trusted) Μερικώς Έμπιστο (Marginally Trusted) Μη Έμπιστο (Untrusted) Άγνωστο (Unknown) Το PGP επιτρέπει την ανταλλαγή keyrings. Καθώς οι χρήστες ανταλλάσσουν keyrings σχηματίζουν έναν ιστό εμπιστοσύνης (web of trust). Η Υποδομή Δημοσίου Κλειδιού του PGP δεν είναι κατάλληλη για εφαρμογές ηλεκτρονικού εμπορίου και για εφαρμογές που απαιτούν ισχυρή ταυτοποίηση.

Ηλεκτρονικό Εμπόριο Συνηθίζεται να γίνονται οι πληρωμές με πιστωτικές κάρτες που δίνονται “on-line” Η χρήση κωδικοποίησης είναι απαραίτητη για να διασφαλίζεται η μυστικότητα του αριθμού της κάρτας Χρειάζεται η διασφάλιση των browsers και servers του WWW Χρησιμοποιούνται ψηφιακά πιστοποιητικά και Εταιρίες πιστοποίησης στο Διαδίκτυο (Certificate Authority) Το πιο διαδεδομένο πρότυπο που χρησιμοποιείται σήμερα είναι το Secure Sockets Layer (SSL) που δημιουργήθηκε αρχικά από το Netscape Το SSL αποτελεί ένα πρωτόκολλο ασφάλειας του Διαδικτύου

Ηλεκτρονικό Εμπόριο Το Secure Sockets Layer (SSL) πρωτόκολλο χρησιμοποιείται για την κρυπτογράφηση δεδομένων που μεταφέρονται μεταξύ των browsers και servers του WWW Οι εικόνες κλειδιών και κλειδωμένων κλειδαριών στα λογισμικά πλοήγησης δηλώνουν ότι το SSL χρησιμοποιείται στην σύνδεση και μεταφορά των δεδομένων Netscape SSL connection