Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Hálózati biztonság Kajdocsi László A602 rs1.sze.hu/~kajdla.

Hasonló előadás


Az előadások a következő témára: "Hálózati biztonság Kajdocsi László A602 rs1.sze.hu/~kajdla."— Előadás másolata:

1 Hálózati biztonság Kajdocsi László A602 rs1.sze.hu/~kajdla

2 Kriptográfia Bevezetés a kriptográfiába Helyettesítő kódolók Keverő kódolók Egyszer használatos bitminta Két alapvető kriptográfiai elv

3 Bevezetés (I.) Létezésének első pár évtizedében a számítógép-hálózatokat elsődlegesen egyetemi ku­tatók elektronikus levelek küldésére, illetve hivatalokban nyomtatók megosztására használták. Ilyen feltételek mellett a biztonság kérdésének nem sok figyelmet szen­teltek!

4 Bevezetés (II.) Napjainkban azonban, amikor hétköznapi emberek milliói használják a háló­zatokat banki műveletek közben, vásárláshoz és adóbevallásuk elkészítéséhez, a háló­zati biztonság kérdése komoly problémaként dereng fel a láthatáron.

5 Bevezetés (III.) A biztonság egy igen tág fogalom, és a támadási módok széles skálája elleni véde­ kezést tartalmazza. A legtöbb biztonsági problémát rosszindulatú emberek szándékosan okozzák, hogy előnyhöz jussanak, vagy másoknak kárt okozzanak.

6 Bevezetés (IV.) A hálózati biztonsággal kapcsolatos problémák nagyjából négy, szorosan össze­függő területre oszthatók: titkosság (secrecy vagy confidentiality), hitelesség (authentication), letagadhatatlanság (nonrepudiation) és sértetlenség (integrity).

7 Titkosság A titkosság (secrecy vagy confidentiality), azzal foglalkozik, hogy az információ ne juthasson illetéktelen kezekbe. Általában ez az, ami az embereknek a hálózati biztonságról az eszükbe jut.

8 Hitelesség A hitelesség (authentication), abban se­gít, hogy meggyőződjünk arról, kivel állunk kapcsolatban, mielőtt érzékeny adatokat fednénk fel vagy üzleti megállapodást kötnénk.

9 Letagadhatatlanság A letagadhatatlanság (nonrepudiation), aláírásokkal foglalkozik: hogyan bizonyítható, hogy ügyfeled elektronikus úton 10 millió darab bal kezes bokszkesztyűt rendelt 89 centért, amikor később azt állítja, hogy az ár 69 cent volt?

10 Sértetlenség A sértetlenség (integrity) azt a megbizonyosodást igazolja, hogy a kapott üzenet valóban az, amelyiket elküldtek, nem pedig egy a fondorlatos ellenség által módo­ sított vagy kitalált küldemény.

11 A biztonság szükségessége Néhány embertípus, akik biztonsági problémát okoznak és motivációik.

12 Bevezetés a kriptográfiába A titkosítási modell (szimmetrikus kulcsú kódoláshoz).

13 Helyettesítő kódolók Egy helyettesítő kódolóban (substitution cipher) minden betű vagy betűcsoport egy másik betűvel vagy betűcsoporttal helyettesítődik a titkosság elérése érdekében. Az egyik legrégebbi ismert módszer a Caesar- titkosító (Caesar cipher)!

14 Keverő kódolók A keverő kódolók (transposition ciphers) nem keresnek másik betűalakot, viszont az eredeti sorrendet átalakítják.

15 Egyszer használatos bitminta Az „I love you” tartalmú l-es üzenetet először 7 bites ASCII formátumra alakítjuk. Ezután vesszük az egyszer használatos l-es bitmintát, és KIZÁRÓ VAGY kapcsolatba hozzuk az üzenettel, így kapjuk meg a titkosított szöveget. A kódtörő kipróbálhatja az összes le­hetséges bitmintát, hogy megnézze, melyik milyen nyílt szöveget eredményezne. Pró­bálkozhat például az ábrán megadott 2-es bitmintával, ami a 2-es nyílt szöveget adja, vagyis azt, hogy „Elvis lives”, ami lehet elfogadható is meg nem is.

16 Két alapvető kriptográfiai elv Redundancia: Az üzenet átvitelnél használt bitek számának és az aktuális üzenet bitjei számának a különbsége. Frissesség: Min­den vett üzenetnél ellenőrizni lehessen az üzenet frissességét, vagyis azt, hogy csak nemrég küldték-e el. Erre azért van szükség, hogy egy aktív támadó ne játszhasson vissza régi üzeneteket.

17 Szimmetrikus kulcsú algoritmusok DES – The Data Encryption Standard – az adattitkosítási szabvány AES – The Advanced Encryption Standard – a fejlett titkosítási szabvány Kódoló eljárások Egyébb titkosítások Kriptoanalízis

18 Szorzat típusú titkosítók A szorzattitkosító elemei: (a) P-doboz. (b) S-doboz. (c) Szorzattitkosító. P – permutáció S – helyettesítés

19 DES – az adattitkosítási szabvány (a) Általános vázlat. (b) Egy iteráció részletesebben. A bekarikázott + a KIZÁRÓ VAGY műveletet jelenti. Az algoritmus lehetővé teszi, hogy a dekódolást ugyanazzal a kulccsal végezhes-­ sük, mint a kódolást.

20 Háromszoros DES (a) Háromszoros DES titkosítás. (b) Dekódolás.

21 AES – a fejlett titkosítási szabvány Az AES ajánlások szabályai: 1.Az algoritmusnak szimmetrikus blokk-kódoláson kell alapulnia. 2.A teljes architektúrának nyilvánosnak kell lennie , 192, és 256 bit hosszúságú kulcsok támogatása. 4.Mind szoftveres és hardveres megvalósítás lehetősége. 5.Az algoritmus legyen nyilvános vagy megkülönböztetések nélküli alapon engedélyezett.

22 AES (2) Rijndael kódjának vázlata.

23 AES (3) A state és rk tömbök létrehozása.

24 Elektronikus kódkönyv mód Egy titkosítandó fájl nyílt szövege mint a 16 blokkos DES.

25 Titkosított blokkok láncolásának módja (a) Titkosítás. (b) Dekódolás. IV – inicializáló vektor

26 Visszacsatolásos kódoló módszer (a) Titkosítás. (c) Dekódolás.

27 Folyamtitkosítási mód (a) Titkosítás. (b) Dekódolás.

28 Számláló mód Számláló módszeres titkosítás.

29 Kriptoanalízis Néhány gyakori szimmetrikus kulcsú kriptográfiai algoritmus.

30 Nyilvános kulcsú algoritmusok RSA (Rivest, Shamir, Adleman) Egyéb nyilvános kulcsú algoritmusok

31 Nyilvános kulcsú algoritmusok D(E(P)) = P D előállítása E alapján rendkívül nehéz feladat legyen. E feltörhetetlen legyen választott nyílt szöveg típusú támadással.

32 RSA Egy példa az RSA algoritmusra.

33 Digitális aláírások Szimmetrikus kulcsú aláírások Nyilványos kulcsú aláírások Üzenet pecsétek (SHA-1, MD5) A születésnap támadás

34 Digitális aláírások A fogadó ellenőrizhesse a feladó valódiságát. A küldő később ne tagadhassa le az üzenet tartalmát. A fogadó saját maga ne rakhassa össze az üzenetet.

35 Szimmetrikus kulcsú aláírások Digitális aláírás a Nagy Testvér közreműködésével. BB – hitelességvizsgáló szerv K A – Alice titkos kulcsa (BB ezt ismeri) P – Alice aláírt kódolatlan üzenete t – időbélyeg R A – egy Alice által választott véletlen szám K B – Bob titkos kulcsa K BB – hitelességvizsgáló kulcs A – Alice személyazonossága B – Bob személyazonossága

36 Nyilvános kulcsú aláírások Nyilvános kulcsú kriptográfiát alkalmazó digitális aláírás.

37 Üzenet pecsétek Üzenet pecsétes digitális aláírás. Adott P-hez könnyen számolható MD(P). Adott MD(P)-hez gyakorlatilag lehetetlen P-t megtalálni. Senki sem képes két különböző üzenetet generálni (P-t és P'-et), amelyekhez ugyanaz az üzenet pecsét tartozik (MD(P')-MD(P)). A bemeneten még 1 bit megváltozása is teljesen más kimenetet eredményez.

38 SHA-1 (Secure Hash Algorithm 1) Nem titkos, aláírt üzenetek előállítása SHA-1 és RSA alkalmazásával.

39 SHA-1 (2) (a) 512 bit többszörösére kitöltött üzenet. (b) A kimeneti változók. (c) A szavak tömbje.

40 A nyilvános kulcsok kezelése Tanúsítványok (Certificates) X.509 Nyilvános kulcs infrastruktúrák

41 A nyilvános kulcsú titkosítás problémái Így zavarhatja meg Trudy a nyilvános kulcsú titkosítást.

42 Tanúsítványok Egy lehetséges tanúsítvány és az aláírt pecsétje. CA – Certification Authority – tanúsító hatóság

43 X.509 Az X.509-es tanúsítvány legfontosabb mezői.

44 Nyilvános kulcs infrastruktúra (a) Hierarchikus PKI. (b) Tanúsítványok láncolata. RA – Regional Authorities – regionális hatóságok

45 A kommunikáció biztonsága IPsec Tűzfalak (Firewalls) VPN (Virtual Private Networks) Vezetéknélküli biztonság (Wireless Security)

46 IPsec (Internet Protocol security) Az IPsec hitelesítési fejrész szállítási módban, IPv4 esetén. AH – Authentication Header – hitelesítési fejléc

47 IPsec (2) (a) ESP szállítási módban. (b) ESP alagút módban. ESP – Encapsulating Security Payload – beágyazott biztonsági adatmező

48 Tűzfalak A tűzfal (firewall) egyszerűen egy modern adaptációja a régi középkori biztonsági intézkedésnek: egy mély árok ásásának a kastély körül. A hálózatokkal is lehetséges ugyanez a trükk: egy társaságnak számos LAN-ja lehet, tetszőleges módon összeköt­ve, de minden, a társaságtól ki- vagy befelé irányuló forgalomnak egy elektronikus felvonóhídon (tűzfalon) kell keresztülhaladnia, ahogy az a következő dián látszik.

49 Tűzfalak Egy tűzfal, amely két csomagszűrőből és egy alkalmazási átjáróból áll.

50 VPN – Virtuális magánhálózatok (a) Bérelt vonalas magánhálózat. (b) Virtuális magánhálózat.

51 A biztonsága Csomagok titkosítása WEP segítségével. WEP – Wired Equivalent Privacy

52 Hitelességvizsgáló protokollok Osztott titkos kulcson alapuló hitelességvizsgálat Osztott kulcs létesítése: Diffie-Hellman féle kulcscsere Hitelességvizsgálat kulcsszétosztó központ alkalmazásával Hitelességvizsgálat Kerberos alkalmazásával Hitelességvizsgálat nyilvános kulcsú titkosítással

53 Osztott titkos kulcson alapuló hitelességvizsgálat Kétirányú hitelességvizsgálat kihívás-válasz protokollal.

54 Osztott titkos kulcson alapuló hitelességvizsgálat (2) Rövidített kétirányú hitelességvizsgálat protokoll.

55 Osztott titkos kulcson alapuló hitelességvizsgálat (3) Visszatükrözéses támadás.

56 Osztott titkos kulcson alapuló hitelességvizsgálat (4) Visszatükrözéses támadás az 53. oldalon levő ábra protokollja ellen.

57 Osztott titkos kulcson alapuló hitelességvizsgálat (5) Hitelesítés HMAC-kódolók felhasználásával.

58 Osztott kulcs létesítése: A Diffie-Hellman féle kulcscsere A Diffie-Hellman féle kulcscsere.

59 Osztott kulcs létesítése: A Diffie-Hellman féle kulcscsere Az ún. élő-lánc vagy közbeékelődéses támadás.

60 Hitelességvizsgálat kulcsszétosztó központ alkalmazásával Első kísérlet KDC-t használó hitelességvizsgáló protokollra.

61 Hitelességvizsgálat kulcsszétosztó központ alkalmazásával (2) A Needham-Schroeder hitelességvizsgáló protokoll.

62 Hitelességvizsgálat kulcsszétosztó központ alkalmazásával (3) Az Otway-Rees hitelességvizsgáló protokoll (egyszerűsített).

63 Hitelességvizsgálat Kerberos segítségével A Kerberos V4 működése.

64 Hitelességvizsgálat nyilvános kulcsú titkosítással Kölcsönös hitelességvizsgálat nyilvános kulcsú titkosítás használatával.

65 biztonság PGP – Pretty Good Privacy – elég jól biztosított személyiségi jog PEM – Privacy Enhanced Mail – megnövelt személyiségi jogokat biztosító levél S/MIME – Secure/MIME – biztonságos/MIME

66 PGP – Pretty Good Privacy Üzenetküldés PGP-vel.

67 PGP – Pretty Good Privacy (2) Egy PGP üzenet.

68 A Web biztonsága Fenyegetések Biztonságos névkezelés SSL – The Secure Sockets Layer – a biztonságos csatlakozóréteg A hordozható (mobil) kódok biztonsága

69 Biztonságos névkezelés (a) Normális helyzet. (b) A DNS feltörésén és Bob rekordjának módosításán alapuló támadás.

70 Biztonságos névkezelés (2) Hogyan tévesztheti meg Trudy Aliz internetszolgáltatóját.

71 Biztonságos DNS Példa a bob.com RRSet-ére. A KULCS rekord tartalmazza Bob nyilvános kulcsát. A SIG rekord az A és a KULCS rekordoknak a legfelső szintű com kiszolgáló által aláírt hash- e, mely a hitelesség ellenőrzésére szolgál.

72 Ön-tanúsító nevek Ön-tanúsító URL, amely a kiszolgáló nevének és nyilvános kulcsának hash-ét tartalmazza

73 SSL—The Secure Sockets Layer Egy SSL segítségével böngésző otthoni felhasználó által használt rétegek és protokollok.

74 SSL (2) Adatátvitel SSL segítségével.

75 Java Applet-ek biztonsága A kisalkalmazásokat a webböngésző is értelmezheti.

76 Társadalmi kérdések A személyiségi jogok védelme Szólásszabadság Szerzői jogok

77 Köszönöm a figyelmet!!!


Letölteni ppt "Hálózati biztonság Kajdocsi László A602 rs1.sze.hu/~kajdla."

Hasonló előadás


Google Hirdetések