Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Biztonság Készült a biztostű.hu oldal felhasználásával Nagy Gyula.

Hasonló előadás


Az előadások a következő témára: "Biztonság Készült a biztostű.hu oldal felhasználásával Nagy Gyula."— Előadás másolata:

1 Biztonság Készült a biztostű.hu oldal felhasználásával Nagy Gyula

2 Felhasználó-azonosítás  Minden informatikai biztonsági rendszer alapja.  Rendet és védelmet csak arra építve lehet tartani, ha a felhasználókat azonosítani lehet. A felhasználók azonosítása alapvetően három módszerrel oldható meg:  Tudás: mit tudsz?  Birtok: mi van nálad?  Biometria: fizikai-biológiai értelemben ki vagy? Legalább kettő kell a közepes biztonsági szint eléréséhez!

3 Jelszavak 1 Legalább havonta cserélni  Számítógép által generált jelszavak: A gép által generált jelszavak véletlenek, és általában számok és betűk teljesen rendszertelen egyvelege.  Kérdés és válasz kódok (challenge-response codes): „Hogy szólítod a feleséged?”, „Mi a kedvenc állatod?”,  Felhasználó által kitalált jelszavak: Megjegyezhető szavak száma nagyságrendekkel kisebb, mint a teljesen véletlenszerűen választott karaktersorozatoké.  PIN-kód: ahol garantálni lehet, hogy a próbálgatások száma csak nagyon kevés legyen.

4 Jelszavak 2. Egy havonta cserélni  Kombinációs jelszavak: A „fél és fél” vagy más néven kombinációs vagy összetett jelszavak  Jelmondatok, jelmondat alapú betűszavak: A jelmondat változatossága jelentősen nagyobb, mint az értelmes A kocka el van vetve!  Algoritmikus jelszavak: saját algoritmust készítünk, több helyre is lehet jelszavunk, a hely neve is a jelszóban van, ha a leggyengébb helyen feltörik a jelszót, a többi még megmarad. Az algoritmusba be kell vonni számokat is. A1112

5 Birtok avagy kulcs alapú felhasználó-azonosítás  A kulcs eltulajdonítható. A kulcs letiltható.  A kulcs másolás úgy, hogy annak birtokosa azt ne vegye észre.  Másolhatatlanság.  Egyszerűen másolható, csak olvasható avagy passzív kulcsok (például vonalkód).  Memóriával rendelkező, írható-olvasható avagy aktív kulcsok (például memória-chipkártya).  Másolás ellen védett, művelet végrehajtásra, rejtjelezésre képes intelligens eszközök (például intelligens kártya). A felhasználó tulajdonában van valamilyen tárgy,ami egyedi és egyediségénél fogva mással össze nem téveszthető módon azonosítja őt

6 Chipkártyák  Intelligens-kártya vagy smartcard  Az intelligens kártya gyakorlatilag egy kisméretű számítógép: processzorral, operatív- és tároló- memóriával,  Feltételezve, hogy az intelligens kártya képes úgy tárolni rejtjelkulcsokat, hogy azokhoz fizikailag hozzáférni nagyon nehéz, a nyilvános kulcsú kriptográfia alkalmazásával megoldható, hogy ezen titoknak a birtoklását a kártya úgy bizonyítsa, hogy közben magát a kulcsot ne árulja el. Az ilyen azonosítási módszereket nevezzük zero-knowledge azonosítási módszernek.  Memória-kártya, chipkártya  A chipkártyák egyszerűbb fajtája, a memória-kártya kizárólag információ tárolásra szolgál (telefonkártyák, törzsvásárlói kártyák, parkolókártyák, a magyar diákigazolvány)

7 Logikai hozzáférés-védelem  Hozzáférésen minden az információval kapcsolatos művelet elvégzését értjük. Ezek a műveletek általában a következők: olvasás, módosítás, létrehozás, törlés, futtatás.  A hozzáférés-védelmekkel kapcsolatosan három fő problémát említhetünk meg:  hibamentes implementálás,  felhasználók azonosítása,  jogosultságok megadása.  A programozási hibákból biztonsági lyukak keletkezhetnek, nehezen deríthetőek ki. Így az ilyen és más biztonságtechnikai módszereknél a hibamentes implementálás nehezen teljesíthető. Az emberi visszaélésekkel szembeni védekezés alapmódszere, hogy az információkhoz való hozzáférést korlátozzuk, a jogosultságokat ellenőrizzük, és biztosítjuk, hogy a felhatalmazott személyek férhessenek hozzá a szükséges információkhoz

8 Naplózás (audit)  Egy rendszerben a bejelentkezéseket, kijelentkezéseket, illetve a hozzáférési szempontból kritikus műveleteket naplózni lehet (kell), az esetleges visszaélések vagy behatolási kísérletek felismerésének érdekében.  A hitelesség biztosítása érdekében a naplófájlnak magasabb biztonsági szinten kell elhelyezkednie, mint az adott felhasználónak, azaz a felhasználó a naplófájlt direkten ne változtathassa.  Szigorú naplózásról beszélünk, ha egy művelet elvégzésének szándékát még a művelet végrehajtása előtt biztonságosan naplózzuk.  A naplózás védelmi szerepének betöltéséhez a létrejött napló állományokat rendszeresen ellenőrizni kell, hogy az esetleges visszaélésekre valóban fény derüljön.

9 Biztonságos kommunikáció  Az, hogy két távoli fél biztonságosan szeretne kommunikálni egymással a konkrét esetektől függően jelentősen eltérő követelményeket is jelenthet.  Az, hogy mit tekintünk biztonságosnak nagyon függ az adott szituációtól: előfordulhat például, hogy a másik fél megbízható azonosítása alapkövetelmény, de lehet, hogy éppen az anonimitás biztosítása a kulcskérdés.  A biztonságos kommunikációnak több egymástól függetleníthető és mégis egymással összefüggő összetevője van.

10 Nyilvános kulcsú titkosítás  Általában a titkosítási eljárásoknál egyetlen kulcsot használunk.  A nyilvános kulcsú titkosításnál kettőt: egy titkost és egy nyilvánost.  Mindkettő kulccsal lehet kódólni is, és dekódolni is. Az egyik kulccsal kódolt üzenetet a másik kulccsal tudom dekódolni.  A nyilvánost beíratjuk a telefonkönyvbe.

11 Bizalmasság  Ha B titkos (bizalmas) üzenetet akar küldeni A- nak, akkor azt kódolja A nyilvános kulcsával.  A megkaphatja a kódolt üzenetet (bárki megkaphatja) és dekódolja azt A titkos kulcsával (a sajátjával, hiszen csak neki van meg).  B azt tudhatja ebből, hogy levelét A-n kívűl senki más nem olvashatja „Bizalmasság”, de azt nem, hogy tényleg megkapta-e.  Ha A megkapta a levelet nem tudhatja, hogy az biztosan B-től jött-e. „Hitelesség” ZB … C BA B titkos Z Z titkos C C titkos A A titkos A ?

12 Biztonságos kommunikáció  Titkosítás: adatvédelmi fogalom, azt az eljárást foglalja magában, amikor egy információt birtokosa titkossá minősít. Esetünkben kriptográfiai módszerekkel végzett rejtjelezéstjelent.  Rejtjelezés: kriptográfiai módszerekkel egy információ olyan módon való kódolása, hogy az ne vagy csak nagyon nehezen lehessen kikövetkeztethető.  Kriptográfia: a rejtjelezésnél tágabb fogalom, a digitális aláírás, a felhasználó azonosítás protokollja  Kriptoanalízis: kriptográfiai eljárások erősségét vizsgáló módszerek.  Kriptológia: a kriptográfiát és a kriptoanalízist is magában foglaló tudományág.

13 Biztonságos kommunikáció tulajdonsági, illetve követelményi  Biztonságos nyugtázás: annak garantálása, hogy két fél egy tranzakció végrehajtásáról úgy meg tudjon győződni, hogy mindkét fél végrehajtottnak, vagy mindkét fél félbeszakadtnak tekintse az adott tranzakciót. Megbízható harmadik fél bevonásával oldható meg e követelmény teljesítése. A Bizánci- probléma.  Sértetlenség: Annak garantálása, hogy hibamentesen (változás nélkül ér célba egy elküldött üzenet, illetve egy esetleges hiba detektálható, így újraadással javítható).  Hitelesség: A hitelesség a sértetlenségen felül a vevő fél felé garantálja, hogy az adott üzenet a feltételezett küldőtől származik és annak tartalma nem módosult.  Letagadhatatlanság: nem csak a vevő felé, hanem tetszőleges harmadik személy felé is igazolható, hogy egy adott üzenetet (megrendelést, nyilatkozatot) a valódi küldő küldte, tettét letagadni nem tudja.

14 Biztonságos kommunikáció tulajdonságai, illetve követelményi  Bizalmasság: A biztonságos kommunikáció kapcsán legtöbben a bizalmasság, avagy titkosság biztosítását értik.  Távoli azonosítás: Amennyiben két fél személyesen még nem találkozott. A távoli azonosítást az úgynevezett elektronikus igazolványok rendszerével, illetve ezen igazolványok hitelességét biztosító PKI (Public Key Infrastructure) infrastruktúrával oldják meg.  Anonimitás: Bizonyos alkalmazások esetén (pl. vásárlás, szavazás) az azonosítással ellentétesen éppen az anonimitás, a kommunikáló fél személyazonosságának elrejtésén van a hangsúly. Az anonimitás több szinten biztosítható (a visszakövethetetlen szinttől a pszeudó- azonosítókig), mely szintekhez más és más módszerek tartoznak.


Letölteni ppt "Biztonság Készült a biztostű.hu oldal felhasználásával Nagy Gyula."

Hasonló előadás


Google Hirdetések