Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Hálózati ismeretek 10 Hálózati biztonság Bujdosó Gyöngyi Debreceni Egyetem Informatikai Kar Komputergrafikai és Könyvtárinformatikai Tanszék.

Hasonló előadás


Az előadások a következő témára: "Hálózati ismeretek 10 Hálózati biztonság Bujdosó Gyöngyi Debreceni Egyetem Informatikai Kar Komputergrafikai és Könyvtárinformatikai Tanszék."— Előadás másolata:

1 Hálózati ismeretek 10 Hálózati biztonság Bujdosó Gyöngyi Debreceni Egyetem Informatikai Kar Komputergrafikai és Könyvtárinformatikai Tanszék

2 Számos terület vállalati kémkedés szabotázs … személyes adatok −ellopása −megmásítása

3 Tárolt adatok Törlés −fontos adatok elvesztése, használhatatlanná tétele Illetéktelen hozzáférés −az adatok jogosulatlan használata, lemásolása, adatlopás Megmásítás −az eredeti adatok megváltoztatása észrevétlenül Hamísítás −más nevében illetéktelen adatok becsempészése egy rendszerbe, érvénytelen adatok bevitele Akadályozás −a hozzáférés akadályoztatása vagy ellehetetlenítése, amely egy szolgáltatás kiesését vagy teljesítményének csökkenését okozhatja

4 Továbbított adatok (pl. ek) Illetéktelenek a küldött adatokat −ne olvashassák el −ne módosíthassák A küldőt egyértelműen be lehessen azonosítani, hogy −biztosak lehessünk a forrásban (adóhatóság vagy maffia?) −a küldő később ne tagadhassa le (pl. zaklató levelek, álinfók) Ki lehessen szűrni az elfogott, esetleg módosított, majd továbbküldött üzeneteket

5 Webes biztonság Objektumok és erőforrások biztonságos megnevezése Biztonságos, hitelesített összeköttetés létesítése Futtatható kódok biztonságossága

6 Elkövetők és motivációik * Az illusztrációk nagy része – például ez a táblázat is – a Tanenbaum könyvből származik (lásd Irodalom).Irodalom

7 Problémák területei 1.Titkosság (secrecy, confidentiality) Az információ ne juthasson illetéktelen kezekbe 2.Hitelesség (authentication) Meggyőződhessünk arról, hogy kivel állunk kapcsolatban 3.Letagadhatatlanság (nonrepudiation) Elküldött adatokat ne lehessen letagadni Aláírásokkal foglalkozik 4.Sértetlenség (integrity) Biztosak lehessünk abban, hogy az üzenetet ―Nem módosították útközben ―Nem ismeretlen küldte az ismerős címet ellopva

8 Biztonság és rétegek fizikai réteg a vezeték megcsapolását igyekszik kiküszöbölni (pl. a vezeték argon gázzal töltött csőbe helyezésével egyes katonai hálózatoknál) adatkapcsolati réteg — adatkapcsolati titkosítás küldőnél adatok kódolása, fogadónál dekódolása, Problémák −Routerek fogadónak számítanak — routerekben támadhatók! −Nem lehet csak egyes szolgáltatásokat titkosítani, csak az összeset hálózati réteg — tűzfal csomagok hálózaton belül vagy kívül tartása szállítási réteg — titkosítás végponttól végpontig összeköttetést titkosíthatósága végponttól végpontig, azaz alkalmazástól alkalmazásig alkalmazási réteg felhasználó azonosítása letagadhatatlansága

9 A legtöbb biztonsági hiba oka A legtöbb visszaélés −a hozzá nem értő alkalmazottak, −a hanyag biztonsági eljárások, és −a bennfentes csalók miatt történik!

10 Kriptográfia = Titkosítás A kifejezés a görög „titkos írás” szavakból ered Ezen alapszik szinte minden biztonsági eljárás (leszámítva a fizikai rétegbeli biztonságot) Alapfogalmak Rejtjel (cipher) −Karakterről karakterre vagy bitről bitre történő átalakítás −Nem veszi figyelembe az üzenet nyelvi szerkezetét Kód (code) −Egy szó helyettesítése egy másik szóval vagy egy szimbólummal −Pl. II. világháború, amerikai hadsereg: navahó indiánok nyelve −Ma már nem használják

11 Fogalmak A kódolandó üzeneteket nyílt szövegnek (plaintext) hívjuk Ezeket egy olyan függvénnyel transzformáljuk, melynek paramétere egy kulcs (key) A titkosító eljárás kimenete a titkosított szöveg (ciphertext) Az eredeti üzenet megfejtésére törekszik a támadó (intruder) A titkosításó eljárások kifejlesztésének tudománya a kriptográfia A titkosított üzenet megfejtésének tudománya a kriptoanalízis A titkosítást (kriptográfia) és a titkosított üzenet megfejtését (kriptoanalízis) együttesen kriptológiának hívjuk

12 A titkosítási modell

13 Titkosítás, jelölések Pnyílt szöveget Etitkosítási eljárással Kkulcsot használva kódoljuk, akkor a C titkosított üzenetet kapjuk

14 Dekódolás, jelölések C titkosított üzenetet Ddekódolási eljárással Kkulcsot használva dekódoljuk, akkor a Pnyílt szöveget kapjuk vissza azaz

15 Kerckhoff elve Minden algoritmusnak nyilvánosnak kell lennie; csak a kulcsok titkosak. Kerkckhoff flamand hadikriptográfus felismerése, 1883

16 Titkosítási módszerek 1.Helyettesítő kódolók 2.Keverő kódoló 3.Egyszer használatos bitminta

17 1. Helyettesítő kódolók Caesar-titkosító az egyik legrégebbi módszer Az ábécé betűit 3-mal eltoljuk: a  D, b  E, …, z  C Caesar-titkosító általánosítása Ez alapján képezhetünk k tetszőleges számú karakterrel eltolt kódot — ez esetben k a kulcs Egybetű-helyettesítéses titkosítás Ha a nyílt szöveg minden szimbólumához egy másik karaktert rendelünk, pl. betűhöz betűt:

18 1/bHelyettesítő kódolókra vonatkozó kriptoanalízis Első látásra a rendszer biztonságosnak tűnik, hiszen a lehetséges variációk száma 26!, ami kb. 4*10^26 verzió Ennek ellenére a kód viszonylag könnyen megfejthető a természetes nyelvek statisztikai adatai alapján: gyakori betűkettősök, és betűhármasok mintáinak keresésével a probléma megoldható Másik módszer is alkalmazható, ha ismert a levél témája: ekkor jellemző szavakat és kifejezések kereshetők a szövegben

19 2. Keverő kódolók A betűk változatlanok, a sorrendjük változik Kulcs a MEGABUCK szó a szó betűinek ábécében elfoglalt sorrendje jelöli ki az oszlopok sorrendjét

20 2/bKeverő kódolókra vonatkozó kriptoanalízis A támadónak rá kell jönnie, hogy ilyen kódolással áll szemben. Ennek jele, hogy a betűk előfordulásának valószínűsége nagy hasonlóságot mutat az adott nyelvre vonatkozó betű-valószínűségekkel A körülményekből gyanítható kifejezést kell alapul venni (pl. harckocsi), majd ebből a szóból betűkettősöket képezni a feltételezett kulcshossz alapján Ezután a betűkettősök előfordulási gyakorisága alapján a minta megvizsgálható

21 3. Egyszer használatos bitminta Feltörhetetlen kódoló készítése kifejezetten egyszerű: Válasszunk a titkosítani kívánt mintával azonos hosszúságú véletlen bitsorozatot, és hozzuk XOR kapcsolatba őket! Kellően hosszú sorozatban a betűk előfordulási valószínűsége azonos lesz — ezáltal az üzenet nem hordoz információt A vevőnél a bitmintával megint XOR kapcsolatba hozva a titkosított szöveget, előáll az eredeti üzenet Üzenet: Bitminta: Titkosított szöveg:

22 3/b Probléma Hogyan továbbítható biztonságosan a bitminta? −DVD-n, de ez lassú −Kvantumkriptográfia — a jövő (jelen?) módszere Az egyszerhasználatos bitminta hálózaton való átvitelére szolgál

23 A titkosítás típusai 1.Szimmetrikus kulcsú titkosítások (kódoló és dekódoló ugyanaz vagy egymásból könnyen előállíthatók) AES DES 3DES Blowfish Twofish 2.Biztonságos hash 3.Aszimmetrikus kulcsú titkosítások (kódoló és dekódoló nem ugyanaz, egymásból nem állíthatók elő) RSA DSA

24 Szimmetrikus kulcsú algoritmusok

25 Digitális aláírások A digitális világban az aláírás megoldása komoly műszaki probléma Mindezt úgy kell megoldani, hogy teljesüljenek a következő feltételek: −A fogadó ellenőrizhesse a feladó valódiságát −A küldő később ne tagadhassa le az üzenet tartalmát −A fogadó saját maga ne rakhassa össze az üzenetet

26 Szimmetrikus kulcsú aláírások Ehhez szükséges egy központi hitelességvizsgáló szerv Nagy Testvér (BB)

27 Nyilvános kulcsú aláírások Jó lenne, ha az aláírás menne Nagy Testvér nélkül is… Megoldás: titkosítsunk nyilvános kulcsok alkalmazásával Ha Aliz szeretne küldeni aláírt kódolatlan üzenetet, elküldi az E B (D A (P)) üzenetet −Aliz ismeri Bob nyilvános kulcsát (E B ) és a saját titkos kulcsát (D A ) Bob visszakódolja saját titkos kulcsával (D B ), és megkapja D A (P)-t, amit Aliz nyilvános kulcsával (E A ) dekódolva megkapja P-t

28 Nyilvános kulcsú aláírások

29 Üzenet pecsétek Az aláírások gyakran egyszerre két funkciót valósítanak meg: −hitelesítés és −titkosítás Ezért találták ki az üzenet pecséteket (MD: Message Digest), melyeknek tulajdonságai: −Adott P-hez könnyen számolható MD(P) −Adott MD(P)-hez gyakorlatilag lehetetlen P-t megtalálni −Senki sem képes két különböző üzenetet generálni (P-t és P'-t), melyekhez ugyanaz az üzenet pecsét tartozik −A bemeneten 1 bit megváltozása is teljesen más eredményt ad

30 Üzenet pecsétek működése Legalább 128 bitesnek kell lenniük A hash nagyon alaposan szórja szét a biteket

31 Üzenet pecsét típusai MD5 — 128 bitet generál — 10 éve ismert és eddig senkinek nem sikerült feltörni SHA-1 — 160 bitet generál — jobban ellenáll a feltörési kísérleteknek, mint az MD5

32 Tanúsítványok CA-k (Certification Authority) segítségével A kulcshoz attribútum is rendelhető

33 Tűzfalak

34 Tűzfalak típusai Csomagszűrő −Ennél a típusnál IP címek és portok szerint szabályoznak −A legtöbb csomagszűrő tűzfal az UDP-t a nehéz szűrhetőség miatt egyszerűen nem engedélyezi Alkalmazási átjáró −Ez csomag-szint felett működik −Ezzel lehet pl. leveleket szűrni, ill. beállítani bizonyos reakciókat találatok esetén A támadások 70%-a a tűzfalon belülről érkezik

35 E-levelek biztonsága PGP (Pretty Good Privacy – elég jól biztosított személyiségi jog) A PGP támogatja az üzenetek −titkosítását −tömörítését −aláírását −és átfogó kulcskezelési szolgáltatásokat nyújt Megjelentek újabb változatai −Open PGP −GNU Privacy Guard

36 Üzenetküldés PGP-vel

37 További levél-biztosítások PEM – hasonlít a PGP-hez, de más algoritmusokat használ, és a kulcsok kezelése sokkal szervezettebb S/MIME – a MIME-hoz jól illeszkedik, mindenféle üzenet titkosítható vele

38 Társadalmi kérdések Személyiségi jogok védelme −Állami ellenőrzések — indokolt-indokolatlan Franciaországban 1999-ig nem volt szabad titkosítani… USA 1993 áprilisa: minden hálózatba lehallgató chip — ezekkel minden kódhoz tartozó kulcs kinyerhető −Anonim postai közvetítők

39 Társadalmi kérdések 2 Szólásszabadság −Tiltott tartalmak lehetnek: Nem gyermekeknek vagy fiatalkorúaknak való tartalmak esetén Különféle etnikai, vallási, szexuális v. egyéb csoportok ellen irányuló gyűlöletkeltés Információk a demokráciáról Kormány változatának ellentmondó történelmi bemutatás Inf. zárak feltöréséhez, robbantásokhoz, stb.

40 Társadalmi kérdések 3 Szerzői jogok −DMCA (Digital Millenium Copyright Act) bűncselekmény a védett tartalmak biztosításának kijátszása −Tisztességes használat elve Saját használatra készíthető másolat, kereskedelmi célú-e a felhasználás, az eladásokra milyen a hatása −TCPA (Trusted Computing Platform Alliance [Intel + Microsoft]) Op. rendszer szintű ellenőrzés Tartalomszolgáltatók manipulálhassák a felhasználók PC-jét Társadalmi következmények!!??

41 Ajánlott olvasmányok 1.Andrew S. Tanenbaum: Hálózati biztonság, in: Számítógép- hálózatok, Panem, Budapest, 2004, 773— ECDL: Titkosítás 3.Fank O’Yanko: Hálózati biztonság, 2001, 4.Wikipédia: Titkosítás


Letölteni ppt "Hálózati ismeretek 10 Hálózati biztonság Bujdosó Gyöngyi Debreceni Egyetem Informatikai Kar Komputergrafikai és Könyvtárinformatikai Tanszék."

Hasonló előadás


Google Hirdetések