1 / 28

Bilgi Güvenliği: Dünyadaki Eğilimler

Bilgi Güvenliği: Dünyadaki Eğilimler. ULAKNET Sistem Yönetimi Konferansı-Güvenlik 3-4 Ekim 2003, Ankara Dr. M. Ufuk Çağlayan 3 Ekim 2003. Genel Bakış. Bilgi güvenliği nedir? Şifreleme Kimlik kanıtlama, sayısal imzalar Protokoller İşletim sistemi ve ağ güvenliği

silver
Download Presentation

Bilgi Güvenliği: Dünyadaki Eğilimler

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bilgi Güvenliği:Dünyadaki Eğilimler ULAKNET Sistem Yönetimi Konferansı-Güvenlik 3-4 Ekim 2003, Ankara Dr. M. Ufuk Çağlayan 3 Ekim 2003

  2. Genel Bakış • Bilgi güvenliği nedir? • Şifreleme • Kimlik kanıtlama, sayısal imzalar • Protokoller • İşletim sistemi ve ağ güvenliği • Güvenlik planı ve modelleri

  3. Bilgi güvenliği nedir? - 1 • Bilgi güvenliği (information security): Tanım • Bilginin bir varlık (asset) olarak hasarlardan korunması • Tanım ile ilgili konular • Korunması gerekli bilginin, olası hasarların ve bunların değerlerinin saptanması • Koruma adımlarının tanımı ve bunların maliyetinin saptanması

  4. Bilgi güvenliği nedir? - 2 • Koruma adımları : • Hasarı önleme (prevention) • Hasarı saptama (detection) : Ne zaman, nasıl, kim? • Reaksiyon gösterme (hasarı giderme, bilgiyi hasardan önceki haline getirme) • Risk analizi : %100 güvenlik yoktur..! • Koruma maliyeti, (hasar olasılığı) x (hasarın değeri)’nden küçük olmalı..!

  5. Bilgi güvenliği nedir? - 3 • Bilgi güvenliğinin boyutları (servisler) : • Gizlilik (confidentiality), bütünlük (integrity) • Kimlik kanıtlama (authentication) • Erişilebilirlik (availability) • Sorumluluk (accountability) • Erişim denetimi (access control), inkar edememe (nonrepudiation) • Bu boyutlara güvenilirlik (reliability) ve emniyet (safety) eklenebilmekte

  6. Bilgi güvenliği nedir? - 4 • Güvenliğe saldırıları (tehditler) • Pasif : Dinleme (Interception) • Aktif : Kesme (interruption), değiştirme (modification), üretme (fabrication) • Güvenlik mekanizmaları • Farklı bir çok mekanizma bulunmakta • Şifreleme teknikleri ve protokoller mekanizmalarının altyapısını oluşturmakta

  7. Şifreleme • Şifrebilim (cryptography) ana dalları : • Şifreleme (cryptography) • Şifre çözme (cryptanalysis) • Şifreleme ana dalları : • Konvansiyonel (simetrik) şifreleme :Klasik teknikler ve modern teknikler • Açık anahtar şifreleme

  8. Modern Şifreleme Teknikleri - 1 • 1971’den bu yana : LUCIFER, DES, IDEA, BLOWFISH, RC5, RC4, Üçlü (Triple) DES, ……. • AES (Advanced Encryption Standard) • Kasım 2001’den bu yana US NIST standardı • 128, 192, 256 bit blok ve anahtar • Bilinen tüm saldırılara dayanıklılık • Farklı platformlara uyarlanabilirlik, açıklık

  9. Modern Şifreleme Teknikleri - 2 • Modern tekniklerin ortak özellikleri • değişken uzunlukta anahtar ve blok • değişken sayıda yer değiştirme ve permutasyonun işlemi • yer değiştirme ve permutasyonları denetleyen anahtarın veri bağımlı işlenmesi • Modern tekniklerin ortak problemleri • Anahtar dağıtımı ve kimlik kanıtlama

  10. Açık Anahtar Şifreleme- 1 • Özellikler ve Teknikler • Asimetrik : şifreleme ve şifre çözme için bir açık ve bir gizli anahtar çifti • Gizlilik ve kimlik kanıtlama beraberce sağlanabilir • RSA, El Gamal, Schnorr, ….. (çarpma bazlı) • “Elliptic curve” şifreleme : RSA’dan hızlı (toplama bazlı)

  11. Açık Anahtar Şifreleme - 2 • Tüm algoritmalar modern konvansiyonel şifrelemeye göre çok yavaş, dolayısıyla bilginin yüksek hızlarda devamlı bir şekilde şifrelenmesi pratik değil • Pratikte Kullanım • Kimlik kanıtlamada ve oturum anahtarı (session key) (süresi?) yaratmada açık anahtar şifreleme • Bilginin yüksek hızlarda devamlı bir şekilde şifrelenmesinde simetrik şifreleme (AES)

  12. Anahtar Dağıtımı • Açık anahtarların dağıtımı • Rehberler, Açık Anahtar Otoriteleri (AAO) • Açık Anahtar Sertifikaları : Sertifika, bir AAO’nin gizli anahtarı ile sayısal olarak imzalanmış kullanıcı kimliği ve kullanıcı açık anahtarı. Sertifika geçerlilik süresi (X.509) • Gizli anahtarların dağıtımı • Needham-Schroeder Protokolu ve ….. • Diffie-Hellman Anahtar Değişimi, 1976

  13. Sayısal İmzalar • Özet Kodlar (hash, digest, MAC): MD4, MD5, SHA-1, RIPEMD-160, HMAC, …. • Sayısal İmzalar • Genellikle açık anahtar şifreleme üzerine kurulu • RSA sayısal imzaları (RSA şifreleme) • DSS (Digital Signature Standard) sayısal imzaları (NIST), DSA (El Gamal, Schnorr)

  14. Servisler ve Protokoller • Kimlik Kanıtlama Servisleri/Uygulamaları • Kerberos • X.509 kimlik kanıtlama (sertifika) servisi • Elektronik Posta • PGP (Pretty Good Privacy) • S/MIME • Transport ve Ağ Katmanı • SSL ve Güvenli IP(IPsec)

  15. Kerberos • MIT Athena projesi, Version 4, 5, RFC1504 • Sadece konvansiyonel şifreleme. • Needham & Schroeder kimlik kanıtlama bazlı, “replay” duyarlı, çok emniyetli. • Servis biletleri, bilet süresi, Authentication Server (AS), Ticket Granting Server (TGS), • Uygulamaların “kerberize” edilmesi lazım.

  16. X.509 Sertifikaları • X.509 (1988) Özellikleri : • 1995’de Version 3. Sertifika formatını IP, S/MIME, SSL/TLS, SET kullanmakta. • X.509 sertifika içeriği: • Sürüm No, seri No, sayısal imza tipi, sertifika otoritesi, geçerlilik tarihleri, kimlik, açık anahtar, sayısal imza (sertifika özet kodunun sertifika otoritesi gizli anahtarı ile şifresi).

  17. Elektronik Posta - PGP • Pretty Good Privacy • Tek bir kişinin üretimi (Phil Zimmermann) • Özellikleri • Sayısal İmzalar: DSS/SHA veya RSA/SHA • Şifreleme : CAST veya IDEA veya Üçlü DES, vb tek kullanımlık oturum anahtarı • ZIP ve Radix-64 kodlama • Farklı gizlilik paylaşımı felsefesi

  18. Elektronik Posta - S/MIME • Secure/Multipurpose Internet Mail Extensions • RFC822 ve MIME’ın doğal takipçisi • Zarf kavramı • MD5 ve tercihan SHA-1 • Sayısal İmzalar : DSS & RSA (512 - 1024 bit) • Şifreleme : Tek kullanımlık anahtar, Üçlü DES ve RC2/40 bits

  19. SSL (Secure Socket Layer) - 1 • SSLv3 Özellikleri (Netscape) • İki nokta arasındaki güvenli bilgi transferi için de facto standart, açık tasarım, yaygın kullanım. • İki katmanlı mimari : TCP üzerine Record Protocol, bunun üzerine Handshake, Change Cipher Spec ve Alert protokolleri • Internet Society IETF TLS ile aynı • Temel olarak web kullanımında (HTTPS)

  20. SSL - 2 • SSL oturum ve bağlantı (session/connection) • Handshake protokolu güvenlik parametrelerini saptar ve oturum kurar. • Oturum başına aynı güvenlik parametrelerini kullanan birden fazla bağlantı olabilir. • Amaç, her seferinde yeni güvenlik parametreleri üzerine anlaşma yapma maliyetini (toplam 13 mesaj) düşürmektir.

  21. SSL - 3 • SSL güvenlik parametreleri değişimi • Gönderici/alıcı arasında 13 mesaj olarak : • Gönderici/alıcı kimliklerinin kanıtlanması • Anahtar değişim algoritması üzerine anlaşma • Anahtar ve nonce (replay önlemek için) değişimi • Konvansiyonel şifreleme ve özet kod algoritmaları ile bunların parametreleri üzerine anlaşma

  22. Secure Electronic Transaction (SET) • İkiden fazla taraf arasında güvenli bilgi (temel olarak kredi kartı alışverişleri) transferi için standart, açık tasarım. • Orijinal olarak MasterCard ve VISA tarafından. Version 1, Şubat 1996 • Karmaşık protokol. Tüm mesaj değişimleri şifreli, sayısal imzalı ve sertifikalı. • Ismarlama (IB)/Ödeme (ÖB) Bilgisi ayırımı

  23. IPsec - 1 • Açık ağ üzerinden güvenli IP paket aktarımı • İki protokol: • Kimlik Kanıtlama (AH, Authentication Header) • Şifreleme/Kimlik Kanıtlama (ESP, Encapsulating Security Payload) • Hedefler: • Erişim denetimi, orijin kanıtlama, paket “replay” önleme, gizlilik (header+Data), vb

  24. IPsec - 2 • Transport ve Tünel kipleri (modes) • Transport kipi: IPv6 stili ara header eklenmesi • Tünel kipi : Tüm IP paketinin yeni bir IP paketi içine konularak gönderilmesi ve yönlendirilmesi • VPN (Virtual Private Network) bağlantılarında kullanım • Temel olarak tünel kipinde

  25. İşletim Sistemi ve Ağ Güvenliği • İşletim sistemi ve ağ yazılımındaki sorunlu tasarım ve kodlamalardan kaynaklanan güvenlik problemleri • En son sürümleri kullan, güvenlik ikazlarını izle, yazılım eklerini uygula • Kullanıcı hesapları ve parolalar • Kurallar, rastgele parolalar, “denial of service” • Erişim haklarının kullanıcılara dağıtımı

  26. Güvenlik Planı • Bilgisayar ve ağ ortamı olan her kurumun yazılı bir Güvenlik Planı olmalı..! • Kapsamı • Kullanıcı ve sistem idarecilerinin güvenlik sorumlulukları ve bilgi kaynaklarının doğru kullanımının tanımları, politikalar (policies) • Güvenlik problemi olduğunda izlenecek prosedürler • Başlangıç için rehber : RFC 1244

  27. Güvenlik Modelleri • Aktif bir araştırma alanı • Bell-LaPadula Modeli (BLP) • Subjelerin objelere erişim haklarındaki gizliliğin bir sonlu makina olarak modellenmesi • Harrison-Ruzzo-Ullman Modeli • BLP + dinamik erişim hakları, subjeler ve objeler • Chinese Wall Model, Biba Model, Clark-Wilson Model, vb

  28. Bilgi ve İletişim İçin Prof. Dr. M. Ufuk Çağlayan Bilgisayar Mühendisliği Bölümü Boğaziçi Üniversitesi Bebek, İstanbul 80815 Faks: (212) 287 2461 Tel : (212) 358 1540 x1698 E-posta : caglayan@boun.edu.tr Web: http:\\netlab.boun.edu.tr\people

More Related