Ασφάλεια στο Διαδίκτυο Τεχνολογίες Διαδικτύου National Technical University of Athens

Σύνοψη Εισαγωγή Κρυπτογραφία Υποδομή Δημοσίου Κλειδιού Απαιτήσεις Ασφάλειας Κατηγορίες Απειλών Κατηγορίες Επιθέσεων Κρυπτογραφία Συμμετρική Κρυπτογραφία Ασύμμετρη Κρυπτογραφία Ψηφιακή Υπογραφή Υποδομή Δημοσίου Κλειδιού Ψηφιακά Πιστοποιητικά Αρχές Πιστοποίησης Λίστες Ανάκλησης Πιστοποιητικών National Technical University of Athens Τεχνολογίες Διαδικτύου

ΕιΣαγωγη National Technical University of Athens Τεχνολογίες Διαδικτύου ΕιΣαγωγη

Γιατί η ασφάλεια πληροφορίας είναι σημαντική; Κρατικά, επιχειρησιακά και προσωπικά δεδομένα διατηρούνται σε ηλεκτρονική μορφή Εύκολη πρόσβαση, άμεσα ανταλλαγή δεδομένων Πιο αποδοτική χρήση δεδομένων  μεγαλύτερη αύξηση της αξίας της πληροφορίας Η διατήρηση της πληροφορίας ηλεκτρονικά διευκολύνει: την κλοπή της, ακόμη και απομακρυσμένα την παραποίησή της Η ασφάλεια των δεδομένων ενός συστήματος εξαρτάται από την ασφάλεια όλων των συστημάτων, με τα οποία αυτό επικοινωνεί. National Technical University of Athens Τεχνολογίες Διαδικτύου

Ασφάλεια Πληροφορίας Ο όρος ασφάλεια πληροφορίας σχετίζεται με την προστασία της πληροφορίας και των πληροφοριακών συστημάτων από μη εξουσιοδοτημένη πρόσβαση, χρήση, αποκάλυψη, παρακώλυση, τροποποίηση και καταστροφή ώστε να παρέχεται: Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα Η πληροφορία (δεδομένα) μπορεί να βρίσκεται είτε αποθηκευμένη σε κάποιο πληροφοριακό σύστημα είτε να διακινείται μεταξύ πληροφοριακών συστημάτων. National Technical University of Athens Τεχνολογίες Διαδικτύου

Θεμελιώδεις Απαιτήσεις Ασφάλειας Εμπιστευτικότητα (Confidentiality) Ακεραιότητα (Integrity) Διαθεσιμότητα (Availability) National Technical University of Athens Εμπιστευτικότητα Τεχνολογίες Διαδικτύου Ακεραιότητα Ασφάλεια Πληροφορίας Διαθεσιμότητα

Εμπιστευτικότητα (1/2) Data Προστασία από μη εξουσιοδοτημένη πρόσβαση στην πληροφορία. Μόνο εξουσιοδοτημένες οντότητες: Έχουν πρόσβαση στην πληροφορία Γνωρίζουν ότι πραγματοποιείται ανταλλαγή δεδομένων μεταξύ δύο οντοτήτων National Technical University of Athens Data Τεχνολογίες Διαδικτύου

Εμπιστευτικότητα (2/2) Απαίτηση που δέχεται τις περισσότερες επιθέσεις Μέσο εξασφάλισης εμπιστευτικότητας: κρυπτογράφηση μεταδιδόμενων δεδομένων Εξακρίβωση ταυτότητας: μοναδικό αναγνωριστικό για κάθε χρήστη Αυθεντικοποίηση: διασφάλιση ότι οι εμπλεκόμενες οντότητες είναι όντως αυτές που ισχυρίζονται ότι είναι Εξουσιοδότηση: χρήση πόρων μόνο από ταυτοποιημένους χρήστες National Technical University of Athens Τεχνολογίες Διαδικτύου

Παράδειγμα Ανάγκης για Εμπιστευτικότητα Διατήρηση διαδικτυακού καταστήματος Απαιτείται η προστασία των δεδομένων των πελατών Αριθμός πιστωτικής κάρτας Διεύθυνση οικίας/εργασίας Τηλέφωνο οικίας/εργασίας National Technical University of Athens Τεχνολογίες Διαδικτύου

Ακεραιότητα Αξιοπιστία πληροφορίας Προστασία των δεδομένων από μη εξουσιοδοτημένη μεταβολή τους. Μεταβολή: Δημιουργία νέων δεδομένων. Τροποποίηση ήδη υπαρχόντων δεδομένων. Διαγραφή ήδη υπαρχόντων δεδομένων. Εξασφαλίζει: Αυθεντικότητα των δεδομένων. Μη απάρνηση των δεδομένων (εγγύηση συμμετοχής όλων των εμπλεκομένων μερών στη διακίνηση της πληροφορίας). Πρέπει να διασφαλίζεται η αναστρεψιμότητα πιθανών τροποποιήσεων National Technical University of Athens Τεχνολογίες Διαδικτύου

Παράδειγμα Ανάγκης για Ακεραιότητα Διατήρηση διαδικτυακού καταστήματος Απαιτείται η ορθότητα σε ό,τι αφορά τις αναγραφόμενες τιμές και τις διαθέσιμες ποσότητες των προϊόντων Απαιτείται οι τιμές και ποσότητες των προϊόντων σε μία συναλλαγή να μην είναι δυνατό να μεταβληθούν Απαιτείται η αυθεντικότητα και η πληρότητα των προϊόντων Ηλεκτρονικά βιβλία Λογισμικό National Technical University of Athens Τεχνολογίες Διαδικτύου Data

Διαθεσιμότητα (1/2) Data Εύκολος τρόπος διασφάλισης Εμπιστευτικότητας και Ακεραιότητας: αποσύνδεση του υπολογιστή από το Διαδίκτυο Διαθεσιμότητα: το σύστημα πρέπει να αποκρίνεται σε αιτήματα National Technical University of Athens Data Τεχνολογίες Διαδικτύου

Διαθεσιμότητα (2/2) Εξασφάλιση έγκαιρης και έγκυρης πρόσβασης στην πληροφορία Τα μέτρα που έχουν ληφθεί για την ασφάλεια του συστήματος δε θα πρέπει να κάνουν το σύστημα απαγορευτικά αργό ή δύσκολο στη χρήση Επιθέσεις άρνησης παροχής υπηρεσίας (denial of service attacks). National Technical University of Athens Τεχνολογίες Διαδικτύου

Παράδειγμα Ανάγκης για Διαθεσιμότητα Διατήρηση διαδικτυακού καταστήματος Από τη μεριά του πελάτη του διαδικτυακού καταστήματος Απαιτείται η δυνατότητα αγορών οποιαδήποτε χρονική στιγμή Από τη μεριά του ιδιοκτήτη του διαδικτυακού καταστήματος Απαιτείται η ροή εσόδων να πραγματοποιείται χωρίς διακοπές National Technical University of Athens Τεχνολογίες Διαδικτύου

Βασικές Κατηγορίες Απειλών Διαρροή (Leakage): Απόκτηση πληροφορίας από μη εξουσιοδοτημένους χρήστες Μη εξουσιοδοτημένη απόκτηση πληροφορίας σχετικής με τις τραπεζικές κινήσεις ή το υπόλοιπο ενός τραπεζικού λογαριασμού Πλαστογραφία (Tampering): Τροποποίηση της πληροφορίας από μη εξουσιοδοτημένους χρήστες Μη εξουσιοδοτημένη τροποποίηση του υπολοίπου ενός τραπεζικού λογαριασμού Βανδαλισμός (Vandalism): Παρεμπόδιση της ορθής λειτουργίας του συστήματος Μη εξουσιοδοτημένη παρεμπόδιση οποιασδήποτε συναλλαγής για έναν τραπεζικό λογαριασμό National Technical University of Athens Τεχνολογίες Διαδικτύου

Βασικές Κατηγορίες Επιθέσεων (1/6) National Technical University of Athens Επιθέσεις Ασφάλειας Υποκλοπή Μεταμφίεση Πλαστογραφία Μηνύματος Επανάληψη Άρνηση Παροχής Υπηρεσίας Εμπιστευτικότητα Διαθεσιμότητα Τεχνολογίες Διαδικτύου Ακεραιότητα

Βασικές Κατηγορίες Επιθέσεων (2/6) Υποκλοπή (Eavesdropping): Μη εξουσιοδοτημένη απόκτηση αντιγράφων των μηνυμάτων που ανταλλάσσονται μεταξύ πληροφοριακών συστημάτων. Απειλεί την Εμπιστευτικότητα της πληροφορίας National Technical University of Athens Δημόσιο Δίκτυο Μπομπ Αλίκη Νταρθ Ανάγνωση μηνύματος από τον Μπομπ προς την Αλίκη Τεχνολογίες Διαδικτύου

Βασικές Κατηγορίες Επιθέσεων (3/6) Μεταμφίεση (Masquerading): Μη εξουσιοδοτημένη χρήση της ταυτότητας από ένα τρίτο μέρος σε ανταλλαγή πληροφοριών. Παράδειγμα: Ένας χρήστης ζητά πρόσβαση σε ένα αρχείο. Ο επιτιθέμενος «φροντίζει» να δοθεί πρόσβαση σε διαφορετικό αρχείο από αυτό που ζήτησε. Απειλείται η Ακεραιότητα της πληροφορίας National Technical University of Athens Τεχνολογίες Διαδικτύου Δημόσιο Δίκτυο Μπομπ Αλίκη Νταρθ Μήνυμα από τον Νταρθ, υποδυόμενος τον Μπομπ

Βασικές Κατηγορίες Επιθέσεων (4/6) Πλαστογραφία Μηνύματος (Message Tampering): Υποκλοπή μηνύματος από τον αποστολέα, τροποποίησή του και αποστολή του τροποποιημένου στον παραλήπτη. Απειλείται η Ακεραιότητα της πληροφορίας National Technical University of Athens Δημόσιο Δίκτυο Μπομπ Αλίκη Νταρθ Ο Νταρθ τροποποιεί το μήνυμα από τον Μπομπ στην Αλίκη Τεχνολογίες Διαδικτύου

Βασικές Κατηγορίες Επιθέσεων (5/6) Επανάληψη (Replaying): Υποκλοπή μηνύματος από ενδιάμεσο, αποθήκευσή του και αποστολή του σε μεταγενέστερη ημερομηνία. Απειλείται η Ακεραιότητα της πληροφορίας National Technical University of Athens Δημόσιο Δίκτυο Μπομπ Αλίκη Νταρθ Λήψη μηνύματος από τον Μπομπ στην Αλίκη, αποστολή απάντησης στην Αλίκη σε μεταγενέστερη ημερομηνία Τεχνολογίες Διαδικτύου

Βασικές Κατηγορίες Επιθέσεων (6/6) Άρνηση Παροχής Υπηρεσίας (Denial of Service): Πλημμύρα του καναλιού με μηνύματα, ώστε να είναι αδύνατο για την υπηρεσία να εξυπηρετήσει όλες τις εισερχόμενες αιτήσεις. Απειλείται η Διαθεσιμότητα της πληροφορίας National Technical University of Athens Δημόσιο Δίκτυο Μπομπ Νταρθ Εξυπηρετητής Ο Νταρθ διακόπτει τις υπηρεσίες που προσφέρει ο εξυπηρετητής Τεχνολογίες Διαδικτύου

κρυπτογραφια National Technical University of Athens Τεχνολογίες Διαδικτύου κρυπτογραφια

Βασικοί Όροι Κρυπτογραφίας Αρχικό κείμενο (plain text): το μήνυμα προτού κρυπτογραφηθεί Κρυπτογράφημα (cipher text): το μήνυμα μετά την κρυπτογράφηση Κλειδί: πληροφορία που χρησιμοποιείται για τη μετατροπή του αρχικού κειμένου σε κρυπτογράφημα και το αντίστροφο Συνάρτηση: ο αλγόριθμος κρυπτογράφησης ή αποκρυπτογράφησης που χρησιμοποιείται σε συνδυασμό με το κλειδί για την κρυπτογράφηση ή την αποκρυπτογράφηση του μηνύματος, αντίστοιχα National Technical University of Athens Τεχνολογίες Διαδικτύου

Κρυπτογραφικοί Αλγόριθμοι Ένα μήνυμα κρυπτογραφείται από τον αποστολέα όταν εφαρμόζει κάποιον κανόνα για το μετασχηματισμό του από απλό κείμενο (plaintext) σε κρυπτογράφημα (ciphertext). Έστω ένα μήνυμα κειμένου Μ που θέλουμε να κρυπτογραφήσουμε με ένα κλειδί Κ. Το αποτέλεσμα της συνάρτησης: είναι το κρυπτογράφημα, με τη συνάρτηση Ε να ορίζει έναν κρυπτογραφικό αλγόριθμο που μετατρέπει το κείμενο σε κρυπτογράφημα. National Technical University of Athens Ε (Κ , Μ) = { Μ }Κ Τεχνολογίες Διαδικτύου

Βασικές Κατηγορίες Κρυπτογραφικών Αλγορίθμων Συμμετρικοί Αλγόριθμοι – Χρησιμοποιείται το ίδιο κλειδί για κρυπτογράφηση και αποκρυπτογράφηση. Ασύμμετροι Αλγόριθμοι – Χρησιμοποιούνται διαφορετικά κλειδιά για κρυπτογράφηση και αποκρυπτογράφηση. National Technical University of Athens Hello world ЖЛЙКБэъю απλό κείμενο κρυπτογράφημα συμμετρικό κλειδί Τεχνολογίες Διαδικτύου Hello world ЖЛЙКБэъю απλό κείμενο κρυπτογράφημα κλειδί κρυπτογράφησης αποκρυπτογράφησης

Συμμετρικοί Αλγόριθμοι Κρυπτογράφησης Χρησιμοποιείται το ίδιο μυστικό κλειδί (secret, shared key) για κρυπτογράφηση και αποκρυπτογράφηση Το κλειδί έχει διανεμηθεί εκ των προτέρων στα εμπλεκόμενα μέρη της επικοινωνίας National Technical University of Athens Τεχνολογίες Διαδικτύου

Συμμετρική Κρυπτογραφία National Technical University of Athens Αρχικό Κείμενο Κρυπτογράφηση Δημόσιο Δίκτυο Αποκρυπτογράφηση Αρχικό κείμενο Μυστικό Κλειδί Κρυπτογράφημα Τεχνολογίες Διαδικτύου

Συμμετρική Κρυπτογραφία Παράδειγμα Ο αλγόριθμος κρυπτογράφησης ανήκει στην κατηγορία των Αλγορίθμων Αντικατάστασης. Αλγόριθμος κρυπτογράφησης: Δεξιά μετατόπιση κατά 15 χαρακτήρες Αλγόριθμος αποκρυπτογράφησης: Αριστερή μετατόπιση κατά 15 χαρακτήρες Κλειδί = 15 Αρχικό κείμενο: «hello» National Technical University of Athens Τεχνολογίες Διαδικτύου

Συμμετρική Κρυπτογραφία Παράδειγμα Κρυπτογράφημα: wtaad Αρχικό κείμενο: h  Δεξιά μετατόπιση κατά 15 χαρακτήρες Κρυπτογράφημα: w Αρχικό κείμενο: e Κρυπτογράφημα: t Αρχικό κείμενο: l Κρυπτογράφημα: a Αρχικό κείμενο: o Κρυπτογράφημα: d National Technical University of Athens Τεχνολογίες Διαδικτύου

Συμμετρική Κρυπτογραφία Παράδειγμα Ο αλγόριθμος αντικατάστασης ανήκει στην κατηγορία των Αλγορίθμων Μετάθεσης. Αλγόριθμος κρυπτογράφησης: Το αρχικό κείμενο χωρίζεται σε ομάδες των 5 χαρακτήρων. Οι χαρακτήρες κάθε ομάδας μετατοπίζονται σύμφωνα με την πληροφορία που φέρει το μυστικό κλειδί. Εάν η τελευταία ομάδα αποτελείται από λιγότερους από 5 χαρακτήρες, συμπληρώνουμε τον αντίστοιχο αριθμό από έναν τυχαίο χαρακτήρα, έστω z. National Technical University of Athens Τεχνολογίες Διαδικτύου

Συμμετρική Κρυπτογραφία Παράδειγμα Αρχικό κείμενο: «enemy attacks tonight» Κλειδί: Κρυπτογράφημα: eemyntaacttkonshitzg National Technical University of Athens enemy attac kston ightz Αποκρυπτογράφηση Κρυπτογράφηση 3 1 4 5 2 Τεχνολογίες Διαδικτύου eemyn taact tkons hitzg

Συμμετρική Κρυπτογραφία: Πλεονεκτήματα Απλή: απαιτείται μόνο ο καθορισμός και ο διαμοιρασμός ενός μυστικού κλειδιού Πιο γρήγορη σε σχέση με την ασύμμετρη κρυπτογραφία Εμποδίζει τη διαδεδομένη έκθεση της ασφάλειας της πληροφορίας σε κίνδυνο: Για κάθε ζεύγος οντοτήτων, απαιτείται ένα ξεχωριστό μυστικό κλειδί. National Technical University of Athens Τεχνολογίες Διαδικτύου

Συμμετρική Κρυπτογραφία: Μειονεκτήματα Ανάγκη για ένα ασφαλές κανάλι για τη μετάδοση του μυστικού κλειδιού Μεγάλος αριθμός κλειδιών Προβλήματα στη διαχείριση και προστασία όλων των κλειδιών Δύσκολο να εξακριβωθεί η προέλευση του μηνύματος Οι εμπλεκόμενες οντότητες χρησιμοποιούν το ίδιο κλειδί National Technical University of Athens Τεχνολογίες Διαδικτύου

Ασύμμετροι Αλγόριθμοι Κρυπτογράφησης Χρησιμοποιείται ζεύγος κλειδιών (ιδιωτικό/δημόσιο), με το ένα να αποκρυπτογραφεί ό,τι κρυπτογραφεί το άλλο: Κρυπτογραφούμε με το ιδιωτικό κλειδί → Αποκρυπτογραφούμε με το δημόσιο κλειδί Κρυπτογραφούμε με το δημόσιο κλειδί → Αποκρυπτογραφούμε με το ιδιωτικό κλειδί Στο δημόσιο κλειδί ενός μέλους της επικοινωνίας έχει πρόσβαση ο οποιοσδήποτε θέλει να επικοινωνήσει μαζί του. Στο ιδιωτικό κλειδί έχει πρόσβαση μόνο ο κάτοχός του. National Technical University of Athens Τεχνολογίες Διαδικτύου

Ασύμμετρη Κρυπτογραφία (1) Όταν ο αποστολέας επιθυμεί να στείλει ένα μήνυμα σε κάποιον παραλήπτη, κρυπτογραφεί το μήνυμα με το δημόσιο κλειδί του παραλήπτη και στη συνέχεια του το στέλνει. Το μήνυμα αυτό μπορεί να αποκρυπτογραφηθεί μόνο με το αντίστοιχο ιδιωτικό κλειδί. Ο παραλήπτης όταν λάβει το μήνυμα, το αποκρυπτογραφεί με το ιδιωτικό κλειδί του. National Technical University of Athens Τεχνολογίες Διαδικτύου

Ασύμμετρη Κρυπτογραφία (2) Ιδιωτικό Κλειδί Κρυπτογράφημα National Technical University of Athens Αρχικό κείμενο Δημόσιο Δίκτυο Κρυπτογράφηση Αποκρυπτογράφηση Αρχικό κείμενο Τεχνολογίες Διαδικτύου Δημόσιο Κλειδί

Ασύμμετρη Κρυπτογραφία Παράδειγμα - RSA Κάθε χρήστης δημιουργεί ένα ζεύγος δημόσιου/ιδιωτικού κλειδιού επιλέγει δύο μεγάλους πρώτους αριθμούς p (17) και q (11) Υπολογίζει το modulus n = p x q = 187 έτσι ώστε: φ(n) = (p-1) x (q-1) = 160 Επιλέγει έναν τυχαίο αριθμό e (7) έτσι ώστε: 1 < e < φ(n), ΜΚΔ(e, φ(n)) = 1 είναι το δημόσιο κλειδί Υπολογίζει έναν αριθμό d (23), τέτοιο ώστε e x d = 1 mod φ(n), 0≤d≤n Είναι το ιδιωτικό κλειδί National Technical University of Athens Τεχνολογίες Διαδικτύου Ron Rivest, Adi Shamir and Len Adleman

Ασύμμετρη Κρυπτογραφία Παράδειγμα - RSA Δημοσιοποιεί το κλειδί κρυπτογράφησης Pu = {e, n} Κρατά μυστικό το κλειδί αποκρυπτογράφησης Pr = {d, n}. Για την αποστολή του μηνύματος Μ=88 Κρυπτογράφηση: C = Me mode n = 887 mod 187 = 11 Αποκρυπτογράφηση: M = Cd mod n = 1123 mod 187 = 88 National Technical University of Athens Τεχνολογίες Διαδικτύου Ron Rivest, Adi Shamir and Len Adleman

Ασύμμετρη Κρυπτογραφία: Πλεονεκτήματα Λύνει το πρόβλημα διαμοιρασμού του μυστικού κλειδιού Επιτρέπει τη χρήση ψηφιακών υπογραφών Η επαλήθευση της προέλευσης του μηνύματος είναι δυνατή Επιτρέπει την ανίχνευση επιθέσεων πλαστογραφίας Ένα μήνυμα που φέρει μία ηλεκτρονική υπογραφή δε γίνεται να τροποποιηθεί χωρίς να ακυρωθεί η υπογραφή National Technical University of Athens Τεχνολογίες Διαδικτύου

Ασύμμετρη Κρυπτογραφία: Μειονεκτήματα Πιο αργή σε σχέση με τη συμμετρική κρυπτογραφία Ευρεία έκθεση της ασφάλειας της πληροφορίας σε κίνδυνο Εάν το μυστικό κλειδί γίνει γνωστό σε τρίτους Η απώλεια του μυστικού κλειδιού μπορεί να είναι ανεπανόρθωτη: Συνεπάγεται την αδυναμία αποκρυπτογράφησης των ληφθέντων μηνυμάτων National Technical University of Athens Τεχνολογίες Διαδικτύου

Κρυπτογραφικές Συναρτήσεις Κατακερματισμού (Hash) (1) Μετατροπή μιας μεταβλητού μήκους συμβολοσειράς σε μια συμβολοσειρά σταθερού μήκους. ίσου ή μικρότερου του μεγέθους της εισόδου Για μήνυμα Μ και συνάρτηση κατακερματισμού Η Η(Μ): αποτύπωμα (fingerprint) ή σύνοψη (digest) National Technical University of Athens Εύκολος υπολογισμός του αποτελέσματος της συνάρτησης Υπολογιστικά αδύνατο να φτάσουμε από το αποτέλεσμα της κρυπτογραφικής συνάρτησης κατακερματισμού στο αρχικό κείμενο. Τεχνολογίες Διαδικτύου Συναρτήσεις μίας κατεύθυνσης

Κρυπτογραφικές Συναρτήσεις Κατακερματισμού (Hash) (2) Ντετερμινιστικές: για μια είσοδο παράγουν κάθε φορά την ίδια έξοδο. Είναι απίθανο μία συνάρτηση κατακερματισμού να επιστρέψει το ίδιο αποτέλεσμα για δύο διαφορετικές εισόδους Μικρή μεταβολή στα δεδομένα προκαλεί πλήρη αλλαγή στην έξοδο National Technical University of Athens Τεχνολογίες Διαδικτύου

Κρυπτογραφικές Συναρτήσεις Κατακερματισμού (Hash) (3) Είσοδος Έξοδος National Technical University of Athens Fox Κρυπτογραφική συνάρτηση κατακερματισμού DFCD 3454 BBEA 788A 751A 696C 24D9 7009 CA99 2D17 The red fox jumps over the blue dog Κρυπτογραφική συνάρτηση κατακερματισμού 0086 46BB FB7D CBE2 823C ACC7 6CD1 90B1 EE6E 3ABC Τεχνολογίες Διαδικτύου The red fox jumps ouer the blue dog Κρυπτογραφική συνάρτηση κατακερματισμού 8FD8 7558 7851 4F32 D1C6 76B1 79A9 0DA4 AEFE 4819 The red fox jumps oer the blue dog Κρυπτογραφική συνάρτηση κατακερματισμού 8ACA D682 D588 4C75 4BF4 1799 7D88 BCF8 92B9 6A6C

Κρυπτογραφικές Συναρτήσεις Κατακερματισμού (Hash) (4) Μας εξασφαλίζουν ότι ένα μήνυμα δεν έχει αλλαχθεί. Ο έλεγχος αυτός γίνεται ως εξής: Αποστολέας και παραλήπτης συμφωνούν σε μια συνάρτηση κατακερματισμού. Εναλλακτικά, μπορεί ο αποστολέας να ενημερώνει κάθε φορά τον παραλήπτη για τη συνάρτηση που χρησιμοποιεί. Ο αποστολέας στέλνει το αρχικό μήνυμα μαζί με το αποτέλεσμα της συνάρτησης κατακερματισμού. Ο παραλήπτης εφαρμόζει στο αρχικό μήνυμα τη συνάρτηση κατακερματισμού: Αν το αποτέλεσμα είναι ίδιο με αυτό που του έστειλε ο αποστολέας τότε επιβεβαιώνεται η ακεραιότητα του μηνύματος. Αλλιώς, αποδεικνύεται ότι το μήνυμα έχει τροποποιηθεί σε κάποιο στάδιο της επικοινωνίας. National Technical University of Athens Τεχνολογίες Διαδικτύου

Κρυπτογραφικές Συναρτήσεις Κατακερματισμού: Εφαρμογές (1) Επιβεβαίωση της ακεραιότητας ενός αρχείου National Technical University of Athens Τεχνολογίες Διαδικτύου

Κρυπτογραφικές Συναρτήσεις Κατακερματισμού: Εφαρμογές (2) Αποθήκευση κωδικών πρόσβασης National Technical University of Athens Τεχνολογίες Διαδικτύου

Ψηφιακή (Ηλεκτρονική) Υπογραφή (1) Εφαρμογή Κρυπτογραφικών Συναρτήσεων Κατακερματισμού και Ασύμμετρης Κρυπτογραφίας. Ο αποστολέας επιλέγει ολόκληρο ή κάποια κομμάτια του μηνύματος προς αποστολή και εφαρμόζει κάποια κρυπτογραφική συνάρτηση κατακερματισμού. Στη συνέχεια κρυπτογραφεί τα αποτελέσματα της συνάρτησης με το ιδιωτικό του κλειδί (ψηφιακή υπογραφή) και τα επισυνάπτει στο μήνυμα. Τελικά κρυπτογραφεί ολόκληρο το μήνυμα μαζί με την ψηφιακή υπογραφή με το δημόσιο κλειδί του παραλήπτη και του στέλνει το κρυπτογραφημένο μήνυμα που προκύπτει. National Technical University of Athens Τεχνολογίες Διαδικτύου

Ψηφιακή (Ηλεκτρονική) Υπογραφή (2) Ο παραλήπτης λαμβάνει το κρυπτογραφημένο μήνυμα και το αποκρυπτογραφεί με το ιδιωτικό κλειδί του. Τώρα έχει το αρχικό μήνυμα και την ψηφιακή υπογραφή. Για να ελέγξει την ψηφιακή υπογραφή: Την αποκρυπτογραφεί με το δημόσιο κλειδί του αποστολέα και έτσι παίρνει το αποτέλεσμα της κρυπτογραφικής συνάρτησης κατακερματισμού στο αρχικό μήνυμα. Ελέγχει αν αυτό το αποτέλεσμα της κρυπτογραφικής συνάρτησης κατακερματισμού ανταποκρίνεται στο αρχικό μήνυμα. National Technical University of Athens Τεχνολογίες Διαδικτύου

Ψηφιακή (Ηλεκτρονική) Υπογραφή (3) Υπολογισμός σύνοψης Κρυπτογράφηση της σύνοψης χρησιμοποιώντας το ιδιωτικό κλειδί του αποστολέα υπογεγραμμένου εγγράφου Δημιουργία ψηφιακά (αποστολέας) National Technical University of Athens DF01….AB45 DF01….AB45 Κρυπτογράφηση ολόκληρου του μηνύματος με το δημόσιο κλειδί του παραλήπτη DF01….AB45 Ψηφιακά υπογεγραμμένο έγγραφο Τεχνολογίες Διαδικτύου ψηφιακής υπογραφής Επαλήθευση (παραλήπτης) Αποκρυπτογράφηση της σύνοψης χρησιμοποιώντας το δημόσιο κλειδί του αποστολέα Υπολογισμός σύνοψης ? DF01….AB45 DF01….AB45 Εάν η σύνοψη που υπολογίστηκε δεν είναι ίδια με την αποκρυπτογραφημένη ψηφιακή υπογραφή, είτε το κείμενο τροποποιήθηκε αφού υπογράφηκε ψηφιακά, είτε η ψηφιακή υπογραφή δε παράχθηκε χρησιμοποιώντας το ιδιωτικό κλειδί του αποστολέα.

Ψηφιακή (Ηλεκτρονική) Υπογραφή (4) Πλεονεκτήματα: Αυθεντικοποίηση του αποστολέα του μηνύματος (χρήση ιδιωτικού κλειδιού) Διατήρηση ακεραιότητας: η παραμικρή αλλαγή στο μήνυμα ακυρώνει την ψηφιακή υπογραφή Μειονεκτήματα Προβλήματα σε περίπτωση κλοπής του ιδιωτικού κλειδιού National Technical University of Athens Τεχνολογίες Διαδικτύου

Υποδομη δημοΣιου κλειδιου National Technical University of Athens Τεχνολογίες Διαδικτύου Υποδομη δημοΣιου κλειδιου

Ανάγκη για ΥΔΚ Ο Μπομπ λαμβάνει ένα μήνυμα υπογεγραμμένο από την Αλίκη. Θέλει να επιβεβαιώσει ότι η υπογραφή είναι όντως της Αλίκης. Απαιτείται να έχει στην κατοχή του το δημόσιο κλειδί της Αλίκης. Με κάποιο τρόπο, ο Μπομπ αποκτά ένα δημόσιο κλειδί, το οποίο υποτίθεται ότι ανήκει στην Αλίκη. Το χρησιμοποιεί για να επιβεβαιώσει ότι η υπογραφή ανήκει όντως στην Αλίκη. Αν όμως το δημόσιο κλειδί δεν ήταν έγκυρο? National Technical University of Athens Τεχνολογίες Διαδικτύου

Ψηφιακό (Ηλεκτρονικό) Πιστοποιητικό Ηλεκτρονικό έγγραφο που εκδίδεται από κάποια Αρχή Πιστοποίησης για να συνδέσει μία οντότητα με μία τιμή δημόσιου κλειδιού. Περιλαμβάνει: Το όνομα της οντότητας Ενός ατόμου, μίας συσκευής, ενός ρόλου. Μία τιμή δημόσιου κλειδιού Την περίοδο κατά την οποία το κλειδί είναι έγκυρο Ημερομηνία και ώρα, από την οποία το κλειδί είναι έγκυρο Ημερομηνία και ώρα λήξης του κλειδιού Υπογραφή Ο δημιουργός του πιστοποιητικού υπογράφει τα δεδομένα που συνθέτουν το ψηφιακό πιστοποιητικό, εγγυώμενος την ορθότητά τους National Technical University of Athens Τεχνολογίες Διαδικτύου

Βασικές Λειτουργίες ΥΔΚ ΥΔΚ: Σύστημα για τη δημιουργία ζεύγους κλειδιών και τη δημοσίευση του δημόσιου κλειδιού μίας πιστοποιημένης οντότητας Χορήγηση ψηφιακών (ηλεκτρονικών) πιστοποιητικών (Certification): Διαδικασία με την οποία συνδέουμε μια οντότητα με την τιμή ενός δημοσίου κλειδιού. Επαλήθευση (Validation): Διαδικασία επαλήθευσης ισχύος ενός πιστοποιητικού (τα πιστοποιητικά περιλαμβάνουν πολλές φορές ημερομηνία λήξης). National Technical University of Athens Τεχνολογίες Διαδικτύου

Αρχιτεκτονική ΥΔΚ (1) Υπηρεσίες που ενεργοποιούν την ασφάλεια του συστήματος: συσχέτιση οντότητας με τις πράξεις της στο σύστημα (π.χ. Logon). Στοιχεία Υπηρεσίας της Κρυπτογραφίας: παρέχουν τις κρυπτογραφικές διεργασίες, στις οποίες βασίζεται η ασφάλεια του δημόσιο κλειδιού (π.χ. Κρυπτογράφηση, συνάρτηση κατακερματισμού κ.α.). Υπηρεσίες Κλειδιού Μακράς Διαρκείας: επιτρέπουν στις διάφορες οντότητες να διαχειρίζονται κλειδιά και πιστοποιητικά. Υπηρεσίες Ασφάλειας Πρωτοκόλλων: παρέχουν λειτουργίες για να εξασφαλίζονται οι βασικές απαιτήσεις ασφάλειας. National Technical University of Athens Τεχνολογίες Διαδικτύου

Αρχιτεκτονική ΥΔΚ (2) Ασφαλή Πρωτόκολλα: Ομότιμο προς Ομότιμο Προσανατολισμένα σε Σύνδεση: επιτρέπουν σε δύο οντότητες να επικοινωνούν με ασφάλεια πάνω από μια σύνδεση με το δίκτυο. Ομότιμο προς Ομότιμο Άνευ Συνδέσεως: επιτρέπουν σε δύο οντότητες, η μια εκ των οποίων δεν είναι συνδεδεμένη στο δίκτυο, να επικοινωνούν με ασφάλεια. Πολλαπλών Προορισμών Άνευ Συνδέσεως: επιτρέπουν σε μια οντότητα να επικοινωνεί με πολλές άλλες οντότητες, εκ των οποίων κάποιες μπορεί να μην είναι καν συνδεδεμένες στο δίκτυο. National Technical University of Athens Τεχνολογίες Διαδικτύου

Αρχιτεκτονική ΥΔΚ (3) Υπηρεσίες Πολιτικής Ασφάλειας: διαχείριση πληροφοριών για τα προνόμια των χρηστών και την πολιτική ελέγχου πρόσβασης. Υποστηρίζουσες Υπηρεσίες: παρέχουν λειτουργίες απαραίτητες στις βασικές υπηρεσίες ασφάλειας, χωρίς όμως να αποτελούν δομικά συστατικά της διαδικασίας ασφάλειας. National Technical University of Athens Τεχνολογίες Διαδικτύου

Έκδοση Πιστοποιητικών ΥΔΚ Θεμελιώδης λειτουργία μίας ΥΔΚ Προσωπικά πιστοποιητικά: συσχετίζουν την ταυτότητα μιας οντότητας με ένα δημόσιο κλειδί. Πιστοποιητικά εξυπηρετητών: δηλώνουν την ταυτότητα εξυπηρετητών Πιστοποιητικά Αρχής Πιστοποίησης: πιστοποιούν την ταυτότητα μίας Αρχής Πιστοποίησης Πιστοποιητικά εταιριών λογισμικού: χρησιμοποιούνται για την πιστοποίηση προγραμμάτων National Technical University of Athens Τεχνολογίες Διαδικτύου

Αρχή Πιστοποίησης Εκδίδει πιστοποιητικά Αποθηκεύει τα πιστοποιητικά σε δημόσια ευρετήρια, προσβάσιμα από οποιονδήποτε για να μπορούν να ελεγχθούν ως προς την εγκυρότητα και την ισχύ τους. Ανακαλεί πιστοποιητικά (π.χ. επειδή παρήλθε η ημερομηνία λήξης, επειδή ο εργαζόμενος στον οποίο είχε εκδοθεί το πιστοποιητικό έφυγε από την εταιρεία κτλ). Εμπιστευόμαστε όμως τη CA? (Trusted Third Party) National Technical University of Athens Τεχνολογίες Διαδικτύου

PKI με μόνο μια CA Όλοι οι συναλλασσόμενοι χρήστες χρησιμοποιούν πιστοποιητικά που έχει εκδώσει η ίδια Αρχή Πιστοποίησης (CA). Κάθε ομάδα χρηστών μπορεί να εμπιστεύονται διαφορετικές CA. Θα πρέπει να υπάρξει μια σχέση εμπιστοσύνης σε ανώτερο επίπεδο μεταξύ των CA. Για να γίνει αυτό θα έπρεπε να υπήρχε μια CA σε ανώτερο επίπεδο για να τις πιστοποιεί –άτοπο λόγω υπόθεσης του μοντέλου. National Technical University of Athens Τεχνολογίες Διαδικτύου ΑΠ-1 ΑΠ-2 ΑΠ-3 Αλίκη Μπομπ Νταρθ Τρούντυ

Ιεραρχικό μοντέλο PKI Όλοι οι χρήστες εμπιστεύονται τη ρίζα CA. Η ρίζα CA εκδίδει πιστοποιητικά μόνο σε υφιστάμενες CA –όχι σε τελικούς χρήστες. Με αυτόν τον τρόπο, πιστοποιούνται οι υφιστάμενες CA, οι οποίες τελικά εκδίδουν τα πιστοποιητικά στους χρήστες. National Technical University of Athens ΑΠ-1 ΑΠ-2 ΑΠ-3 Αλίκη Μπομπ Νταρθ Τρούντυ ΑΠ Τεχνολογίες Διαδικτύου

Ιεραρχικό μοντέλο PKI – Πλεονεκτήματα/Μειονεκτήματα Πλεονεκτήματα: Εύκολη επεκτασιμότητα. Εύκολα αναγνωρίσιμες διαδρομές από το Πιστοποιητικό στη ρίζα. Μικρές διαδρομές από το Πιστοποιητικό στη ρίζα. Σχετικά μικρά και απλά Πιστοποιητικά. Μειονεκτήματα: Ρίζα  Μοναδικό σημείο αποτυχίας. Μη ρεαλιστική η ύπαρξη συμφωνίας για μια μόνο ρίζα. Δύσκολη η μετάβαση από σχήμα με μία CA σε ιεραρχικό καθώς οι χρήστες πρέπει να αλλάξουν το σημείο εμπιστοσύνης τους. National Technical University of Athens Τεχνολογίες Διαδικτύου

Μικτό μοντέλο PKI Ομότιμο μοντέλο. Οι CA αναπτύσσουν σχέσεις εμπιστοσύνης με τη μία να εκδίδει πιστοποιητικό για την άλλη. National Technical University of Athens ΑΠ-1 ΑΠ-2 ΑΠ-3 Αλίκη Μπομπ Νταρθ Τρούντυ Τεχνολογίες Διαδικτύου

Μικτό μοντέλο PKI – Πλεονεκτήματα/Μειονεκτήματα Πλεονεκτήματα: Εύκολη προσαρμογή του μοντέλου σε εισόδους/εξόδους CA. Απώλεια αξιοπιστίας μιας CA οδηγεί απλά στην απομόνωσή της και όχι στην κατάρρευση του μοντέλου. Οι χρήστες των απομονωμένων CA μπορούν να συνεχίσουν να βρίσκονται σε αυτές χωρίς κανένα πρόβλημα. Μειονεκτήματα: Πολλαπλές δυνατές διαδρομές – κάποιες μπορεί να οδηγούν σε αδιέξοδα. Επεκτασιμότητα ως προς το μέγεθος των διαδρομών που μπορεί να αυξάνεται γραμμικά. National Technical University of Athens Τεχνολογίες Διαδικτύου

Εγκυρότητα Πιστοποιητικών Online/Offline επαλήθευση ενός πιστοποιητικού. Περίοδος ισχύος του πιστοποιητικού. Ανάκληση Πιστοποιητικού: Υποκλοπή κλειδιού Αλλαγή προσωπικών πληροφοριών του χρήστη κ.α. National Technical University of Athens Τεχνολογίες Διαδικτύου

Λίστες Ανακληθέντων Πιστοποιητικών Λίστες από άκυρα πιστοποιητικά που εκδίδονται περιοδικά. Προβλήματα: Τι γίνεται μεταξύ δύο εκδόσεων; Δημοσιεύονται λίστες (Delta CRL) που περιλαμβάνουν πιστοποιητικά που έχουν ανακληθεί από την προηγούμενη δημοσίευση της λίστας μέχρι την τρέχουσα χρονική στιγμή. Μέγεθος CRL Καλύτερη οργάνωση – βελτίωση της υφιστάμενης τεχνολογίας (bandwidht, distributed indexes, κ.α.). National Technical University of Athens Τεχνολογίες Διαδικτύου

Το Πρότυπο Χ.500 Δομή ευρετηρίου όπου μπορούμε να προσθέσουμε προσωπικές πληροφορίες μιας οντότητας (π.χ. ονοματεπώνυμο, επάγγελμα, κ.α.). Αναπαράσταση φυσικών προσώπων, εταιριών, προϊόντων Ιεραρχική δομή – Δέντρο Πληροφορίας Καταλόγου. Αναζήτηση μέσα στο δέντρο με το Σχετικό Ξεχωριστό Όνομα (Relative Distinguished Name). Εξέλιξη του Χ.500 είναι το Χ.509 στο οποίο βασίζονται τα ψηφιακά πιστοποιητικά. National Technical University of Athens Τεχνολογίες Διαδικτύου ROOT DIR RDN (Όνομα = JOHN KARAS) NAME JOHN KARAS Email jkar@xx.mil Address Xiou 34 Greece JOHN KARAS RDN(Χώρας=GR) MIL RDN (Όνομα εταιρίας, Οργανισμού, υπηρεσίας)