280 likes | 492 Views
Bezpečnost dat. Možnosti ochrany - realizována na několika úrovních 1. ochrana přístupu k počítači 2. ochrana přístupu k datům 3. ochrana počítačové sítě 4. ochrana pravosti a celistvosti dat (tzv. autenticity a integrity). Bezpečnost dat - hw ochrana. 1. Ochrana přístupu k počítači
E N D
Bezpečnost dat • Možnosti ochrany - realizována na několika úrovních 1. ochrana přístupu k počítači 2. ochrana přístupu k datům 3. ochrana počítačové sítě 4. ochrana pravosti a celistvosti dat (tzv. autenticity a integrity) hesova@pef.czu.cz
Bezpečnost dat - hw ochrana • 1. Ochrana přístupu k počítači • hardwarová ochrana - bývá dražší, ale bezpečnější většinou přídavné bezpečnostní karty, mají vlastní modul BIOS a mohou provádět opatření ještě před startem op. systémumohou modifikovat data na disku tak, že po vyjmutí karty z počítače jsou nepřístupná • další možnost = diskové šifrování za pomoci procesoru nebo dokonce kryptoprocesoru (příp. kryptoakcelerátoru) hesova@pef.czu.cz
Bezpečnost dat - pojmy • Ochrana přístupu k počítači • čistě softwarová řešení - někdy též ještě před startem op. systému nebo při přihlašování do systému • Pojmy: • kryptografie tvorba šifer • kryptoanalýza jejich luštění bez znalosti klíče • kryptologie obě vědy současně • šifrovací algoritmus - mat. funkce, která provádí šifrování a dešifrování dat • šifrování - proces znečitelnění dat hesova@pef.czu.cz
Bezpečnost dat • 2. Ochrana přístupu k datům • kryptografická ochrana souborů (adresářů) nebo disků= šifrování, neustálé prodlužování šifrovacího klíče (např. 2048 bitů) data budou nečitelná i v případě krádeže diskusilnější než nastavení přístupových práv • šifruje se též: • elektronická pošta • komunikace - tvorba virtuální privátní sítě (VPN) • komunikace webový server - uživatel pro zabezpečení např. elektronického obchodování. hesova@pef.czu.cz
Bezpečnost dat • 3. Ochrana počítačové sítě • nastavena přístupová práva k serverům, adresářům, souborům, službám • patří sem i firewally • základem je dokument o bezpečnostní politicenapřed se dělá: analýza aktiv - vymezuje, co chránit (data, přenosové kapacity, čas procesoru, diskový prostor)analýza hrozeb - tj. proti čemu chránitanalýza rizik - ohodnocení aktiv a rizik, tj. nalezení zranitelných míst, výpočet očekávaných ztrát, přehled použitelných opatření a jejich cen hesova@pef.czu.cz
Bezpečnost dat - metody šifrování • 4. Ochrana pravosti a celistvosti dat • metodydigitálního podpisuzaložené na asymetrickém šifrování digitální podpis viz dále Metody šifrování používané v současné době: asymetrické šifrování = technika šifrování, která pracuje se dvěma nestejnými klíči - jeden je privátní (utajený), druhý je tzv. „veřejný“ (dostupný každému)každý uživatel vlastní dvojici klíčů, oba jsou na sobě matematicky závislé = kryptografie veřejnými klíči hesova@pef.czu.cz
Bezpečnost dat - metody šifrování jedna možnost použití: • privátní klíč se použije k zašifrování a veřejný k odšifrování nikdo jiný než autor nemůže data zašifrovat (autentizace) druhý způsob použití asymetrického šifrování : • naopak veřejný klíč příjemce se použíje k zašifrování a jeho privátní k odšifrování (určeno pro jednoho příjemce) Např.: systém RSA pracuje s asym. klíči (Rivest, Shamir, Adleman) hesova@pef.czu.cz
Bezpečnost dat - metody šifrování nebo řada schémat digit. podpisu symetrické šifrování • pracuje se dvěma identickými klíčikaždý lze použít jak pro zašifrování tak i pro odšifrováníobě strany klíč sdílejí předem • klíč se nesmí dostat do nepovolaných rukoujen odesilatel a příjemce • použitelné v malé skupině uživatelů • Příklad systému: DES (Data Encryption Standard) hesova@pef.czu.cz
Bezpečnost dat - metody šifrování • kombinace sym. a asym. šifrování • asym. kryptografie se použije k výměně a distribuci symetrického klíče, který může být při každé relaci generován nový hesova@pef.czu.cz
Bezpečnost dat - obecné požadavky • Obecné požadavky, které by měly být splněny • identifikace a autentizace (často zaměňováno)je třeba vždy spolehlivě zjistit kdo je kdo - např. odesilatel zprávy (zjistí se z hlaviček přijaté zprávy), autor WWW stránky, žadatel o přístup k nějakému zdroji, atd. …..někdy ještě navíc autentizace = ověření, že údaje zjištěné při identifikaci jsou správné (neboť se dají zfalšovat), ověření identity: heslem předmětem (dotykové paměti, bezpeč. karty) hesova@pef.czu.cz
Bezpečnost dat - obecné požadavky na bázi kontroly fyziologie osoby (otisk prstu, analýza hlasu, charakteristiky sítnice, duhovky) = biometrické systémy ochrany (notebook IBM ThinkPad T42 má integrovanou čtečku otisku prstu) • autorizace - ověřuje se oprávnění k přístupu ke zdroji nebo k provedení určité aktivity (spuštění programu)nebo ověření platnosti předkládaného certifikátu autentizovaného subjektu hesova@pef.czu.cz
Bezpečnost - obecné požadavky • Obecné požadavky, které by měly být splněny • integrita dat = pravost a celistvost - obsah původních dat by neměl být pozměněn (může dojít i k chybám při přenosu) • důvěrnost dat - data přístupná jenom úzkému okruhu subjektů, nebo jenom 1 příjemci (dosaženo symetrickým šifrováním) • neodmítnutelnost - aby autor nemohl příslušný úkon později popřít (např. zaslání objednávky) hesova@pef.czu.cz
Bezpečnost - zajištění požadavků • Jak různé mechanismy zajišťují ( nebo nezajišťují) tyto požadavky? • symetrické šifrování - důvěrnost, ident., autentizace, neodmítnut., integrita + + + + + • asym. šifrování - a) je-li použit veřejný klíč k odšifrování, pak se k datům může dostat kdokoliv - požadavek na důvěrnost není takto naplněn důvěrnost, ident., autentizace, neodmítnut., integrita - + + + + hesova@pef.czu.cz
Bezpečnost - zajištění požadavků • zašifrováno je to privátním klíčem odesilatele, ostatní požadavky splněny hesova@pef.czu.cz
Bezpečnost - zajištění požadavků b) je-li použit veřejný klíč příjemce k zašifrování - může to provést kdokoliv, není zajištěna např. integrita určeno jen určitému příjemci důvěrnost, ident., autentizace, neodmítnut., integrita + + - - - hesova@pef.czu.cz
Bezpečnost - zajištění požadavků • jednorázová hesla - (autentizace, autorizace)oprávněný uživatel by měl obdržet generátor těchto heselnapř. styk klienta s bankou první použila Expandia banka jako tzv. elektronické klíče • předává-li klient bance příkaz, klíč mu vygeneruje číslo • nyní nemají klienti el. klíč ve fyzické podoběbanka generuje jednorázové heslo sama, pošle ho klientovi jinou cestou (na mobil) hesova@pef.czu.cz
Bezpečnost - zajištění požadavků • jednorázová hesla - pokračováníklient údaj (tzv. certifikační údaj) použije v požadavku na transakciúdaj nelze znovu použít • kreditní karty na jedno použití - obdoba - jednorázový údaj v roli čísla kreditní kartyautorizovat se bude pouze první požadavek na platbu z této karty • od banky dostane majitel generátor jednorázových údajů (program) hesova@pef.czu.cz
Bezpečnost - digitální podpis Co umožňuje digit. podpis: • identifikaci partnera • zda je náš obchod.partner tím, za kterého se vydává • ochrana obsahu zprávy • el.podpis chrání obsah zprávy díky šifrovacím postupům • nepopíratelnost zprávy • el.podpis prokazuje, kdy a kým byla zásilka podepsána a odeslána hesova@pef.czu.cz
Bezpečnost - digitální podpis • na straně podepisující osoby se z napsané zprávy pomocí vzorkovací (hash) funkce vytvoří otisk • ten se šifruje pomocí zvoleného asymetrického algoritmu soukromým klíčem odesilatele • na straně příjemce zprávy se k otevřenému textu vypočte hash • Pokud jsou hodnoty shodné, máme jistotu, že zpráva nebyla cestou změněna a že ji podepsala osoba, které přísluší data pro vytváření el. podpisu hesova@pef.czu.cz
Bezpečnost - digitální podpis • digitální podpis - určení zdroje zprávy • privátní klíč šifruje pouze tzv. otisk dat (hash), reprezentativní vzorek, který má určitou pevnou velikostnapř. 128 bitů • přiloží se k původní zprávě v roli el. podpisu (signatura)navíc se přiloží i veřejný klíč autoraklíče vydává certifikační autorita, viz dále hesova@pef.czu.cz
Bezpečnost - digitální podpis digitální podpis - pokračování • samotný el. podpis nezaručuje důvěrnost zprávy, pokud není její obsah též zašifrován (veřejným klíčem příjemce, kterému je určena, ten si ji odšifruje pomocí svého privátního klíče) nejsou to systémy pro utajení (bez zašifrování vlastní zprávy) hesova@pef.czu.cz
Bezpečnost - digitální podpis • Praktické použití elektronického podpisu • ve státní správě a samosprávěpodání různých prohlášení, daňových přiznání, přihlášek a odhlášek, žádosti o sociální dávky, o výpis z rejstříku trestů • v bankovnictvíklient elektronické či „přímé“ banky má možnost disponovat svým účtem nejčastěji po Internetu, všechny příkazy odesílané bance takto podepisuje • v el. obchodováníobchodní patrneři - obchodují na základě smluv, objednávek, faktur hesova@pef.czu.cz
Bezpečnost - certifikáty • Jak víme, že je zveřejněný klíč autentický? • certifikátys veřejným klíčem je spojena identita osoby, které klíč patří (něco jako „visačka“ ke klíči) certifikát je kombinace jména a veřej. klíče, podepsáno další důvěryhodnou stranou certifikáty zahrnují i datum vypršení platnosti klíče(časem může dojít ke zlomení klíče, např. útok hrubou silou = zkoušení každého možného klíče) zahrnují i jméno CA, která cert. vydala, jak má být klíč používán • CRL (Certification Revocation List) • je seznam neplatných digitálních certifikátů a certifikátů s pozastavenou platností hesova@pef.czu.cz
Bezpečnost - certifikáty • kvalifikovaný certifikát může vydat státem schválená certifikační autorita (tzv. e- notář)může platnost vydaných certif. i rušit • nejvyšší certifikační autoritou je Úřad pro ochranu osobních údajů • u nás má akreditaci např. společnost 1. Certifikační (dceřinná spol. PVT) • s certifikátem dostanete i data pro vytváření a ověřování E podpisu (=klíče) • většinou se spolu se zprávou posílá i certifikát • ověření certif. zajišťuje aplikace hesova@pef.czu.cz
Bezpečnost - certifikáty Co je zapotřebí dodat certifikační autoritě • smlouvu o službě, pro kterou se certifikát vydává • výpis z obchodního rejstříku • dva doklady totožnosti (občanský průkaz, cest. pas) • disketu s žádostí o certifikát • plnou moc s úředně ověřeným podpisem oprávněné osoby hesova@pef.czu.cz
Bezpečnost • El. pošta - potřeba ochrany soukromých údajů • závisí na bezpečnosti operačního systému tam, kde je poštovní systém • hlavní systémy: • PEM (Privacy-Enhanced Electronic Mail), standard protokolů TCP/IP • PGP (Pretty Good Privacy) • struktura: zprávy zašifrovány symetrickým kryptosystémem klíče distribuovány prostřednictvím asym. systému hesova@pef.czu.cz
Bezpečnost • Steganografie - metoda, jak ukrýt informaci uprostřed jiné informace, např. do zvukových MP3, AV, nebo do obrazových BMP, JPEG • s obrazem se pak nesmí pracovat (editovat, zmenšovat např.) • soubor musí být až 5x větší než ukrytý text • SW balík : Steganos SecuritySuiteaž 2048 bitové šifrováníumožňuje zhotovení tajných částí pevného disku (aplikace Steganos Safe), žádným jiným programem nejsou viditelnévytváří neviditelný a zašifr. adresář na libovolném médiu hesova@pef.czu.cz
Bezpečnost • zejména na přenosném médiu (přenosný sejf)dešifrovací algoritmus je vložen do jednotlivých souborůnení nutné mít program doma nainstalován • další aplikace balíku - Trace Destructor - likviduje stopy po surfování hesova@pef.czu.cz