290 likes | 536 Views
Podpis elektroniczny Między teorią a praktyką. Daniel Rychcik UMK, Toruń. Prezentacja dostępna w Sieci pod adresem: http://sknpk.uni.torun.pl/podpis/. O czym będzie?. Zagrożenia w Internecie Kryptografia Certyfikaty Urzędy certyfikacyjne Praktyka. Zagrożenia w Internecie.
E N D
Podpis elektronicznyMiędzy teorią a praktyką Daniel Rychcik UMK, Toruń Prezentacja dostępna w Sieci pod adresem: http://sknpk.uni.torun.pl/podpis/
O czym będzie? • Zagrożenia w Internecie • Kryptografia • Certyfikaty • Urzędy certyfikacyjne • Praktyka
Zagrożenia w Internecie • Podsłuchiwanie • Fałszowanie • Zaprzeczanie
Kryptografia • Symetryczna • Asymetryczna • Szyfrowanie • Podpisywanie • Weryfikacja podpisu
Kryptografia symetryczna • Najprostsza, znana od wieków • Łatwa do oprogramowania • Bardzo szybkie algorytmy • Jeden, symetryczny klucz • Konieczność ustalenia klucza • Problem jajka i kury
Kryptografia asymetryczna • Stosunkowo nowa – kilkadziesiąt lat • Skomplikowane algorytmy • Mała prędkość • Klucz prywatny i klucz publiczny • To, co zaszyfrujemy jednym z tych kluczy, możemy odszyfrować wyłącznie drugim ! • Możliwość upowszechnienia klucza publicznego
Szyfrowanie • Zapobiega podsłuchiwaniu danych • Szyfrujemy wiadomość kluczem publicznym odbiorcy • Można ją rozszyfrować wyłącznie kluczem prywatnym odbiorcy • Zatem tylko odbiorca może odebrać naszą przesyłkę
Podpisywanie • Zapobiega fałszowaniu danych • Szyfrujemy wiadomość kluczem prywatnym nadawcy • Można ją rozszyfrować wyłącznie kluczem publicznym nadawcy • A ten klucz jest powszechnie dostępny • Praktyka – funkcja skrótu
Podpisywanie c.d. Klucz prywatny nadawcy wiadomości Skrót dokumentu Szyfrujemy skrót Dokument + podpis Dokument oryginalny skrót dokumentu zaszyfrowanykluczem prywatnym nadawcy podpis cyfrowy =
Weryfikacja podpisu T Dokument Obliczamy skrót Dokument + podpis Zgadza się? Podpis Deszyfrujemy skrót N Certyfikat nadawcy wiadomości Klucz publiczny nadawcy ponownie obliczamy funkcję skrótu i porównujemy ją z otrzymaną
Certyfikaty • Niedostatki metod kryptograficznych • Idea certyfikatu • Urzędy certyfikacyjne • Drzewo certyfikacji • Łańcuch certyfikatów • Weryfikacja podpisu elektronicznego • Odwoływanie certyfikatów
Niedostatki metod kryptografii • Brak pewności co do autentyczności klucza publicznego • Możliwe scenariusze oszustwa • Fałszywy klucz publiczny • Oszustwo „w czasie”
Idea certyfikatu • Przykład weryfikacji – prowadzący wykład • Klucz publiczny potwierdzony przez zaufaną trzecią stronę • Potwierdzenie w formie podpisu cyfrowego • Powszechna dystrybucja certyfikatu trzeciej strony
Co zawiera certyfikat? • Dokładną nazwę obiektu certyfikowanego • Jego położenie w hierarchii • Podobnie dla urzędu certyfikacyjnego • Okres ważności certfyfikatu • Przeznaczenie certyfikatu • Adres WWW urzędu i CRL tego certyfikatu (o tym później) • Podpis cyfrowy
Urząd certyfikacyjny (CA) • Instytucja zajmująca się potwierdzaniem certyfikatów • Zadania • Wystawianie • Przechowywanie • Udostępnianie • Odwoływanie • Rola certyfikatu CA
Drzewo certyfikacji • Problemy organizacyjne • Potrzeba hierarchii • Ujednolicenie nazw
Łańcuchy certyfikatów • Certyfikaty wszystkich kolejnych poziomów (do najwyższego) • Przyspieszają weryfikację danych nie zmniejszając bezpieczeństwa • Zmniejszają ilość certyfikatów CA jakie musi przechowywać klient
Weryfikacja podpisu • Najprostszy przypadek –dwóch studentów tego samego wydziału • Ta sama struktura,różne poziomy –student prawa iprofesor matematyki • Rozłączne drzewa
Odwoływanie certyfikatów • Okres ważności certyfikatu • Problem: co, jeżeli certyfikat trzeba wycofać przed upływem terminu? • (Częściowe) rozwiązanie • CRL
Praktyka • Wystawianie certyfikatu • Ładowanie do programu pocztowego • Wysyłanie poczty • Odbieranie poczty • Bezpieczne WWW • Inne możliwości
Wystawianie certyfikatu • Zdalne – przeglądarka WWW • Lokalne – urząd certyfikacyjny • Fizyczna postać certyfikatu
Fizyczna postać certyfikatu Certificate: Data: Version: 3 (0x2) Serial Number: 3 (0x3) Signature Algorithm: md5WithRSAEncryption Issuer: C=PL, L=Torun, O=PL, OU=MEN, OU=UMK, OU=WMiI, CN=CA_WMiI/ Email=admin@ca.mat.uni.torun.pl/ unstructuredName=Urzad Certyfikacyjny WMiI Validity Not Before: Nov 10 17:59:53 2001 GMT Not After : Aug 2 17:59:53 2004 GMT Subject: C=PL, L=Torun, O=PL, OU=MEN, OU=UMK, OU=WMiI, CN=muflon/ Email=muflon@mat.uni.torun.pl/unstructuredName=Daniel Rychcik Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b4:eb:09:9d:fe:08:2b:4a:4e:b5:a0:d5:19:10: (...) Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment Netscape Base Url: http://ca.mat.uni.torun.pl Netscape CA Revocation Url: /crl.crl Signature Algorithm: md5WithRSAEncryption 6c:02:e3:81:6b:bd:cc:4f:33:32:2d:bc:e8:26:4d:b9:ee:48: (...)
Wysyłanie poczty • Outlook Express
Odbieranie poczty • Outlook Express
Bezpieczne WWW • Możliwość weryfikacji pochodzenia stron WWW • Autoryzacja klienta • Zastosowania
Inne możliwości • Szyfrowane połączenia sieciowe (SSL) • VPN • Bezpieczne serwery innych usług • Znaczniki czasu