Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Hálózati biztonság Kajdocsi László A602 rs1.sze.hu/~kajdla.

Hasonló előadás


Az előadások a következő témára: "Hálózati biztonság Kajdocsi László A602 rs1.sze.hu/~kajdla."— Előadás másolata:

1 Hálózati biztonság Kajdocsi László A602 rs1.sze.hu/~kajdla

2 Kriptográfia Bevezetés a kriptográfiába Helyettesítő kódolók
Keverő kódolók Egyszer használatos bitminta Két alapvető kriptográfiai elv

3 Bevezetés (I.) Létezésének első pár évtizedében a számítógép-hálózatokat elsődlegesen egyetemi ku­tatók elektronikus levelek küldésére, illetve hivatalokban nyomtatók megosztására használták. Ilyen feltételek mellett a biztonság kérdésének nem sok figyelmet szen­teltek!

4 Bevezetés (II.) Napjainkban azonban, amikor hétköznapi emberek milliói használják a háló­zatokat banki műveletek közben, vásárláshoz és adóbevallásuk elkészítéséhez, a háló­zati biztonság kérdése komoly problémaként dereng fel a láthatáron.

5 Bevezetés (III.) A biztonság egy igen tág fogalom, és a támadási módok széles skálája elleni véde­kezést tartalmazza. A legtöbb biztonsági problémát rosszindulatú emberek szándékosan okozzák, hogy előnyhöz jussanak, vagy másoknak kárt okozzanak.

6 Bevezetés (IV.) A hálózati biztonsággal kapcsolatos problémák nagyjából négy, szorosan össze­függő területre oszthatók: titkosság (secrecy vagy confidentiality), hitelesség (authentication), letagadhatatlanság (nonrepudiation) és sértetlenség (integrity).

7 Titkosság A titkosság (secrecy vagy confidentiality), azzal foglalkozik, hogy az információ ne juthasson illetéktelen kezekbe. Általában ez az, ami az embereknek a hálózati biztonságról az eszükbe jut.

8 Hitelesség A hitelesség (authentication), abban se­gít, hogy meggyőződjünk arról, kivel állunk kapcsolatban, mielőtt érzékeny adatokat fednénk fel vagy üzleti megállapodást kötnénk.

9 Letagadhatatlanság A letagadhatatlanság (nonrepudiation), aláírásokkal foglalkozik: hogyan bizonyítható, hogy ügyfeled elektronikus úton 10 millió darab bal kezes bokszkesztyűt rendelt 89 centért, amikor később azt állítja, hogy az ár 69 cent volt?

10 Sértetlenség A sértetlenség (integrity) azt a megbizonyosodást igazolja, hogy a kapott üzenet valóban az, amelyiket elküldtek, nem pedig egy a fondorlatos ellenség által módo­sított vagy kitalált küldemény.

11 A biztonság szükségessége
Néhány embertípus, akik biztonsági problémát okoznak és motivációik.

12 Bevezetés a kriptográfiába
A titkosítási modell (szimmetrikus kulcsú kódoláshoz).

13 Helyettesítő kódolók Egy helyettesítő kódolóban (substitution cipher) minden betű vagy betűcsoport egy másik betűvel vagy betűcsoporttal helyettesítődik a titkosság elérése érdekében. Az egyik legrégebbi ismert módszer a Caesar-titkosító (Caesar cipher)!

14 Keverő kódolók A keverő kódolók (transposition ciphers) nem keresnek másik betűalakot, viszont az eredeti sorrendet átalakítják.

15 Egyszer használatos bitminta
Az „I love you” tartalmú l-es üzenetet először 7 bites ASCII formátumra alakítjuk. Ezután vesszük az egyszer használatos l-es bitmintát, és KIZÁRÓ VAGY kapcsolatba hozzuk az üzenettel, így kapjuk meg a titkosított szöveget. A kódtörő kipróbálhatja az összes le­hetséges bitmintát, hogy megnézze, melyik milyen nyílt szöveget eredményezne. Pró­bálkozhat például az ábrán megadott 2-es bitmintával, ami a 2-es nyílt szöveget adja, vagyis azt, hogy „Elvis lives”, ami lehet elfogadható is meg nem is.

16 Két alapvető kriptográfiai elv
Redundancia: Az üzenet átvitelnél használt bitek számának és az aktuális üzenet bitjei számának a különbsége. Frissesség: Min­den vett üzenetnél ellenőrizni lehessen az üzenet frissességét, vagyis azt, hogy csak nemrég küldték-e el. Erre azért van szükség, hogy egy aktív támadó ne játszhasson vissza régi üzeneteket.

17 Szimmetrikus kulcsú algoritmusok
DES – The Data Encryption Standard – az adattitkosítási szabvány AES – The Advanced Encryption Standard – a fejlett titkosítási szabvány Kódoló eljárások Egyébb titkosítások Kriptoanalízis

18 Szorzat típusú titkosítók
P – permutáció S – helyettesítés A szorzattitkosító elemei: (a) P-doboz. (b) S-doboz. (c) Szorzattitkosító.

19 DES – az adattitkosítási szabvány
Az algoritmus lehetővé teszi, hogy a dekódolást ugyanazzal a kulccsal végezhes-­ sük, mint a kódolást. (a) Általános vázlat. (b) Egy iteráció részletesebben. A bekarikázott + a KIZÁRÓ VAGY műveletet jelenti.

20 (a) Háromszoros DES titkosítás. (b) Dekódolás.

21 AES – a fejlett titkosítási szabvány
Az AES ajánlások szabályai: Az algoritmusnak szimmetrikus blokk-kódoláson kell alapulnia. A teljes architektúrának nyilvánosnak kell lennie. 128, 192, és 256 bit hosszúságú kulcsok támogatása. Mind szoftveres és hardveres megvalósítás lehetősége. Az algoritmus legyen nyilvános vagy megkülönböztetések nélküli alapon engedélyezett.

22 AES (2) Rijndael kódjának vázlata.

23 A state és rk tömbök létrehozása.
AES (3) A state és rk tömbök létrehozása.

24 Elektronikus kódkönyv mód
Egy titkosítandó fájl nyílt szövege mint a 16 blokkos DES.

25 Titkosított blokkok láncolásának módja
IV – inicializáló vektor (a) Titkosítás. (b) Dekódolás.

26 Visszacsatolásos kódoló módszer
(a) Titkosítás. (c) Dekódolás.

27 Folyamtitkosítási mód
(a) Titkosítás. (b) Dekódolás.

28 Számláló módszeres titkosítás.

29 Néhány gyakori szimmetrikus kulcsú kriptográfiai algoritmus.
Kriptoanalízis Néhány gyakori szimmetrikus kulcsú kriptográfiai algoritmus.

30 Nyilvános kulcsú algoritmusok
RSA (Rivest, Shamir, Adleman) Egyéb nyilvános kulcsú algoritmusok

31 Nyilvános kulcsú algoritmusok
D(E(P)) = P D előállítása E alapján rendkívül nehéz feladat legyen. E feltörhetetlen legyen választott nyílt szöveg típusú támadással.

32 Egy példa az RSA algoritmusra.

33 Digitális aláírások Szimmetrikus kulcsú aláírások
Nyilványos kulcsú aláírások Üzenet pecsétek (SHA-1, MD5) A születésnap támadás

34 Digitális aláírások A fogadó ellenőrizhesse a feladó valódiságát.
A küldő később ne tagadhassa le az üzenet tartalmát. A fogadó saját maga ne rakhassa össze az üzenetet.

35 Szimmetrikus kulcsú aláírások
BB – hitelességvizsgáló szerv KA – Alice titkos kulcsa (BB ezt ismeri) P – Alice aláírt kódolatlan üzenete t – időbélyeg RA – egy Alice által választott véletlen szám KB – Bob titkos kulcsa KBB – hitelességvizsgáló kulcs A – Alice személyazonossága B – Bob személyazonossága Digitális aláírás a Nagy Testvér közreműködésével.

36 Nyilvános kulcsú aláírások
Nyilvános kulcsú kriptográfiát alkalmazó digitális aláírás.

37 Üzenet pecsétes digitális aláírás.
Üzenet pecsétek Adott P-hez könnyen számolható MD(P). Adott MD(P)-hez gyakorlatilag lehetetlen P-t megtalálni. Senki sem képes két különböző üzenetet generálni (P-t és P'-et), amelyekhez ugyanaz az üzenet pecsét tartozik (MD(P')-MD(P)). A bemeneten még 1 bit megváltozása is teljesen más kimenetet eredményez. Üzenet pecsétes digitális aláírás.

38 SHA-1 (Secure Hash Algorithm 1)
Nem titkos, aláírt üzenetek előállítása SHA-1 és RSA alkalmazásával.

39 SHA-1 (2) (a) 512 bit többszörösére kitöltött üzenet.
(b) A kimeneti változók. (c) A szavak tömbje.

40 A nyilvános kulcsok kezelése
Tanúsítványok (Certificates) X.509 Nyilvános kulcs infrastruktúrák

41 A nyilvános kulcsú titkosítás problémái
Így zavarhatja meg Trudy a nyilvános kulcsú titkosítást.

42 Tanúsítványok Egy lehetséges tanúsítvány és az aláírt pecsétje.
CA – Certification Authority – tanúsító hatóság Egy lehetséges tanúsítvány és az aláírt pecsétje.

43 Az X.509-es tanúsítvány legfontosabb mezői.

44 Nyilvános kulcs infrastruktúra
RA – Regional Authorities – regionális hatóságok (a) Hierarchikus PKI. (b) Tanúsítványok láncolata.

45 A kommunikáció biztonsága
IPsec Tűzfalak (Firewalls) VPN (Virtual Private Networks) Vezetéknélküli biztonság (Wireless Security)

46 IPsec (Internet Protocol security)
AH – Authentication Header – hitelesítési fejléc Az IPsec hitelesítési fejrész szállítási módban, IPv4 esetén.

47 IPsec (2) (a) ESP szállítási módban. (b) ESP alagút módban.
ESP – Encapsulating Security Payload – beágyazott biztonsági adatmező

48 Tűzfalak A tűzfal (firewall) egyszerűen egy modern adaptációja a régi középkori biztonsági intézkedésnek: egy mély árok ásásának a kastély körül. A hálózatokkal is lehetséges ugyanez a trükk: egy társaságnak számos LAN-ja lehet, tetszőleges módon összeköt­ve, de minden, a társaságtól ki- vagy befelé irányuló forgalomnak egy elektronikus felvonóhídon (tűzfalon) kell keresztülhaladnia, ahogy az a következő dián látszik.

49 Egy tűzfal, amely két csomagszűrőből és egy alkalmazási átjáróból áll.
Tűzfalak Egy tűzfal, amely két csomagszűrőből és egy alkalmazási átjáróból áll.

50 VPN – Virtuális magánhálózatok
(a) Bérelt vonalas magánhálózat. (b) Virtuális magánhálózat.

51 A 802.11 biztonsága Csomagok titkosítása WEP segítségével.
WEP – Wired Equivalent Privacy

52 Hitelességvizsgáló protokollok
Osztott titkos kulcson alapuló hitelességvizsgálat Osztott kulcs létesítése: Diffie-Hellman féle kulcscsere Hitelességvizsgálat kulcsszétosztó központ alkalmazásával Hitelességvizsgálat Kerberos alkalmazásával Hitelességvizsgálat nyilvános kulcsú titkosítással

53 Osztott titkos kulcson alapuló hitelességvizsgálat
Kétirányú hitelességvizsgálat kihívás-válasz protokollal.

54 Osztott titkos kulcson alapuló hitelességvizsgálat (2)
Rövidített kétirányú hitelességvizsgálat protokoll.

55 Osztott titkos kulcson alapuló hitelességvizsgálat (3)
Visszatükrözéses támadás.

56 Osztott titkos kulcson alapuló hitelességvizsgálat (4)
Visszatükrözéses támadás az 53. oldalon levő ábra protokollja ellen.

57 Osztott titkos kulcson alapuló hitelességvizsgálat (5)
Hitelesítés HMAC-kódolók felhasználásával.

58 Osztott kulcs létesítése: A Diffie-Hellman féle kulcscsere

59 Osztott kulcs létesítése: A Diffie-Hellman féle kulcscsere
Az ún. élő-lánc vagy közbeékelődéses támadás.

60 Hitelességvizsgálat kulcsszétosztó központ alkalmazásával
Első kísérlet KDC-t használó hitelességvizsgáló protokollra.

61 Hitelességvizsgálat kulcsszétosztó központ alkalmazásával (2)
A Needham-Schroeder hitelességvizsgáló protokoll.

62 Hitelességvizsgálat kulcsszétosztó központ alkalmazásával (3)
Az Otway-Rees hitelességvizsgáló protokoll (egyszerűsített).

63 Hitelességvizsgálat Kerberos segítségével
A Kerberos V4 működése.

64 Hitelességvizsgálat nyilvános kulcsú titkosítással
Kölcsönös hitelességvizsgálat nyilvános kulcsú titkosítás használatával.

65 biztonság PGP – Pretty Good Privacy – elég jól biztosított személyiségi jog PEM – Privacy Enhanced Mail – megnövelt személyiségi jogokat biztosító levél S/MIME – Secure/MIME – biztonságos/MIME

66 PGP – Pretty Good Privacy
Üzenetküldés PGP-vel.

67 PGP – Pretty Good Privacy (2)
Egy PGP üzenet.

68 A Web biztonsága Fenyegetések Biztonságos névkezelés
SSL – The Secure Sockets Layer – a biztonságos csatlakozóréteg A hordozható (mobil) kódok biztonsága

69 Biztonságos névkezelés
(a) Normális helyzet. (b) A DNS feltörésén és Bob rekordjának módosításán alapuló támadás.

70 Biztonságos névkezelés (2)
Hogyan tévesztheti meg Trudy Aliz internetszolgáltatóját.

71 Biztonságos DNS Példa a bob.com RRSet-ére. A KULCS rekord tartalmazza Bob nyilvános kulcsát. A SIG rekord az A és a KULCS rekordoknak a legfelső szintű com kiszolgáló által aláírt hash-e, mely a hitelesség ellenőrzésére szolgál.

72 Ön-tanúsító nevek Ön-tanúsító URL, amely a kiszolgáló nevének és nyilvános kulcsának hash-ét tartalmazza

73 SSL—The Secure Sockets Layer
Egy SSL segítségével böngésző otthoni felhasználó által használt rétegek és protokollok.

74 Adatátvitel SSL segítségével.

75 Java Applet-ek biztonsága
A kisalkalmazásokat a webböngésző is értelmezheti.

76 Társadalmi kérdések A személyiségi jogok védelme Szólásszabadság
Szerzői jogok

77 Köszönöm a figyelmet!!!


Letölteni ppt "Hálózati biztonság Kajdocsi László A602 rs1.sze.hu/~kajdla."

Hasonló előadás


Google Hirdetések