Biztonság

1. Biztonság http://www.biztostu.hu/course/view.php?id=16 Készült a biztostű.hu oldal felhasználásával Nagy Gyula

2. Felhasználó-azonosítás • Minden informatikai biztonsági rendszer alapja. • Rendet és védelmet csak arra építve lehet tartani, ha a felhasználókat azonosítani lehet. • A felhasználókazonosításaalapvetőenhárommódszerreloldható meg: • Tudás:mittudsz? • Birtok: mi van nálad? • Biometria:fizikai-biológiaiértelembenki vagy? Legalább kettő kell a közepes biztonsági szint eléréséhez!

3. Jelszavak 1Legalább havonta cserélni • Felhasználóáltalkitaláltjelszavak: Megjegyezhetőszavakszámanagyságrendekkelkisebb, mint a teljesenvéletlenszerűenválasztottkaraktersorozatoké. • PIN-kód: aholgarantálnilehet, hogy a próbálgatásokszámacsaknagyonkevéslegyen. • Számítógép által generált jelszavak: A gép által generált jelszavak véletlenek, és általában számok és betűk teljesen rendszertelen egyvelege. • Kérdés és válasz kódok (challenge-response codes): „Hogy szólítod a feleséged?”, „Mi a kedvenc állatod?”,

4. Jelszavak 2. Egy havonta cserélni • Kombinációs jelszavak: A „fél és fél” vagy más néven kombinációs vagy összetett jelszavak • Jelmondatok,jelmondat alapú betűszavak: A jelmondat változatossága jelentősen nagyobb, mint az értelmes szavaké.@#1e2v! A kocka el van vetve! • Algoritmikus jelszavak: saját algoritmust készítünk, több helyre is lehet jelszavunk, a hely neve is a jelszóban van, ha a leggyengébb helyen feltörik a jelszót, a többi még megmarad. Az algoritmusba be kell vonni számokat is. YBL@#1e2v! A1112

5. Birtok avagy kulcs alapú felhasználó-azonosítás Afelhasználótulajdonában van valamilyentárgy,amiegyediésegyediségénélfogvamássalösszenemtéveszthetőmódonazonosítjaőt • A kulcs eltulajdonítható. A kulcs letiltható. • A kulcsmásolás úgy, hogy annak birtokosa azt ne vegye észre. • Másolhatatlanság. • Egyszerűen másolható, csak olvasható avagy passzív kulcsok (például vonalkód). • Memóriával rendelkező, írható-olvasható avagy aktív kulcsok (például memória-chipkártya). • Másolás ellen védett, művelet végrehajtásra, rejtjelezésre képes intelligens eszközök (például intelligens kártya).

6. Chipkártyák • Memória-kártya, chipkártya • A chipkártyákegyszerűbbfajtája, a memória-kártyakizárólaginformációtárolásraszolgál (telefonkártyák, törzsvásárlóikártyák, parkolókártyák, a magyardiákigazolvány) • Intelligens-kártya vagy smartcard • Az intelligens kártya gyakorlatilag egy kisméretű számítógép: processzorral, operatív- és tároló-memóriával, • Feltételezve, hogy az intelligens kártya képes úgy tárolni rejtjelkulcsokat, hogy azokhoz fizikailag hozzáférni nagyon nehéz, a nyilvános kulcsú kriptográfia alkalmazásával megoldható, hogy ezen titoknak a birtoklását a kártya úgy bizonyítsa, hogy közben magát a kulcsot ne árulja el. Az ilyen azonosítási módszereket nevezzük zero-knowledge azonosítási módszernek.

7. Logikaihozzáférés-védelem Azemberivisszaélésekkelszembenivédekezésalapmódszere, hogyazinformációkhozvalóhozzáféréstkorlátozzuk, a jogosultságokatellenőrizzük,ésbiztosítjuk, hogy a felhatalmazottszemélyekférhessenekhozzáa szükséges információkhoz • Hozzáférésen minden az információval kapcsolatos művelet elvégzését értjük. Ezek a műveletek általában a következők: olvasás, módosítás, létrehozás, törlés, futtatás. • A hozzáférés-védelmekkel kapcsolatosan három fő problémát említhetünk meg: • hibamentes implementálás, • felhasználók azonosítása, • jogosultságok megadása. • A programozási hibákból biztonsági lyukak keletkezhetnek, nehezen deríthetőek ki. Így az ilyen és más biztonságtechnikai módszereknél a hibamentes implementálás nehezen teljesíthető.

8. Naplózás (audit) • Egy rendszerben a bejelentkezéseket, kijelentkezéseket, illetve a hozzáférési szempontból kritikus műveleteket naplózni lehet (kell), az esetleges visszaélések vagy behatolási kísérletek felismerésének érdekében. • A hitelesség biztosítása érdekében a naplófájlnak magasabb biztonsági szinten kell elhelyezkednie, mint az adott felhasználónak, azaz a felhasználó a naplófájlt direkten ne változtathassa. • Szigorú naplózásról beszélünk, ha egy művelet elvégzésének szándékát még a művelet végrehajtása előtt biztonságosan naplózzuk. • A naplózás védelmi szerepének betöltéséhez a létrejött napló állományokat rendszeresen ellenőrizni kell, hogy az esetleges visszaélésekre valóban fény derüljön.

9. Biztonságos kommunikáció • Az, hogy két távoli fél biztonságosan szeretne kommunikálni egymással a konkrét esetektől függően jelentősen eltérő követelményeket is jelenthet. • Az, hogy mit tekintünk biztonságosnak nagyon függ az adott szituációtól: előfordulhat például, hogy a másik fél megbízható azonosítása alapkövetelmény, de lehet, hogy éppen az anonimitás biztosítása a kulcskérdés. • A biztonságos kommunikációnak több egymástól függetleníthető és mégis egymással összefüggő összetevője van.

10. Nyilvános kulcsú titkosítás • Általában a titkosítási eljárásoknál egyetlen kulcsot használunk. • Anyilvános kulcsú titkosításnál kettőt: egy titkost és egy nyilvánost. • Mindkettő kulccsal lehet kódólni is, és dekódolni is. Az egyik kulccsal kódolt üzenetet a másik kulccsal tudom dekódolni. • A nyilvánost beíratjuk a telefonkönyvbe.

11. Bizalmasság … Z A A B C • Ha B titkos (bizalmas) üzenetet akar küldeni A-nak, akkor azt kódolja A nyilvános kulcsával. • A megkaphatja a kódolt üzenetet (bárki megkaphatja) és dekódolja azt A titkos kulcsával (a sajátjával, hiszen csak neki van meg). • B azt tudhatja ebből, hogy levelét A-n kívűl senki más nem olvashatja „Bizalmasság”, de azt nem, hogy tényleg megkapta-e. • Ha A megkapta a levelet nem tudhatja, hogy az biztosan B-től jött-e. „Hitelesség” C Z C titkos Z titkos ? A B A titkos B titkos

12. Biztonságos kommunikáció • Titkosítás: adatvédelmi fogalom, azt az eljárást foglalja magában, amikor egy információt birtokosa titkossá minősít. Esetünkben kriptográfiai módszerekkel végzett rejtjelezéstjelent. • Rejtjelezés: kriptográfiai módszerekkel egy információ olyan módon való kódolása, hogy az ne vagy csak nagyon nehezen lehessen kikövetkeztethető. • Kriptográfia: a rejtjelezésnél tágabb fogalom, a digitális aláírás, a felhasználó azonosítás protokollja • Kriptoanalízis: kriptográfiai eljárások erősségét vizsgáló módszerek. • Kriptológia: a kriptográfiát és a kriptoanalízist is magában foglaló tudományág.

13. Biztonságos kommunikáció tulajdonsági, illetve követelményi • Biztonságosnyugtázás: annakgarantálása, hogykétfélegytranzakcióvégrehajtásárólúgy meg tudjongyőződni, hogymindkétfélvégrehajtottnak, vagymindkétfélfélbeszakadtnaktekintseazadotttranzakciót. Megbízhatóharmadikfélbevonásávaloldható meg e követelményteljesítése. A Bizánci-probléma. • Sértetlenség:Annakgarantálása, hogyhibamentesen (változásnélkülércélbaegyelküldöttüzenet, illetveegyesetlegeshibadetektálható, ígyújraadássaljavítható). • Hitelesség: A hitelesség a sértetlenségenfelül a vevőfélfelégarantálja, hogyazadottüzenet a feltételezettküldőtőlszármazikésannaktartalmanemmódosult. • Letagadhatatlanság: nemcsak a vevőfelé, hanemtetszőlegesharmadikszemélyfelé is igazolható, hogyegyadottüzenetet (megrendelést, nyilatkozatot) a valódiküldőküldte, tettétletagadninemtudja.

14. Biztonságos kommunikáció tulajdonságai, illetve követelményi • Bizalmasság: A biztonságos kommunikáció kapcsán legtöbben a bizalmasság, avagy titkosság biztosítását értik. • Távoli azonosítás: Amennyiben két fél személyesen még nem találkozott.A távoli azonosítást az úgynevezett elektronikus igazolványok rendszerével, illetve ezen igazolványok hitelességét biztosító PKI (Public Key Infrastructure) infrastruktúrával oldják meg. • Anonimitás: Bizonyos alkalmazások esetén (pl. vásárlás, szavazás) az azonosítással ellentétesen éppen az anonimitás, a kommunikáló fél személyazonosságának elrejtésén van a hangsúly. Az anonimitás több szinten biztosítható (a visszakövethetetlen szinttől a pszeudó-azonosítókig), mely szintekhez más és más módszerek tartoznak.