310 likes | 630 Views
Universitatea POLITEHNICA din Bucuresti Facultatea de Electronica, Telecomunicatii si Tehnologia Informatiei. Autentificarea prin semnătura digitală, certificate, token sau carduri smart. Student : Cosmin-Mihnea P A TRA S CU. 2014. Cuprins. Introducere Semnatura digitala Certificate
E N D
Universitatea POLITEHNICA din Bucuresti Facultatea de Electronica, Telecomunicatii si Tehnologia Informatiei Autentificarea prin semnătura digitală, certificate, token sau carduri smart Student: Cosmin-MihneaPATRASCU 2014
Cuprins • Introducere • Semnatura digitala • Certificate • Tehnologii de autentificare • Token • Carduri smart • Concluzii
Introducere (I) • din ce în ce mai multe informaţii confidenţiale sunt stocate în mediul on-line • tot mai multe persoane tentate să atace bazele de date cu scopul de a sustrage informaţii confidenţiale. • Contracarare: • clasificarea informaţiillor • accesul în funcţie de tipul utilizatorilor. • autentificarea utilizatorilor. • Clasificarea informaţiilor: • etichetarea acestora în funcţie de importanţa lor. • pornind de la cel mai de jos nivel (informaţiile deschise sau neclasificate) • urcând spre informaţii secrete şi strict secrete
Introducere (II) • Controluluiaccesuluiîn sistem • reduce riscul la care sunt supuse sistemele • reduce eventualele pierderi. • poate fi: • preventivare ca scop preîntâmpinarea apariţiei unor incidente în sistem. • detectivpresupune descoperirea unor apariţii ciudate în sistem • corectiveste folosit pentru readucerea la normalitate a sistemului după anumite incidente la care a fost expus. • Sistemul de securitate • identifică şi autentifica => persoanele autorizate; • => vizitatori; • => categoriile neautorizate.
Introducere (III) • Autentificarea • procesul de verificare sigură a identităţii cuiva sau a ceva. • poate fi: • autentificarea a două sisteme de calcul • autentificarea identităţii unui utilizator către un sistem de calcul • autentificarea unui document • Asigurarea credibilităţii conţinutului multimedia şi protejarea împotriva furtului sau a distribuţiei ilegale • Semnatura digitală • Cerificate • Tehnologii de autentificare
Semnatura digitală (I) • Definiţia legală: • reprezentarea, în formă electronică aunor date, care sunt atasate sau logic asociate cu alte date in formaelectronica si care servesc ca metoda de identificare. • Interpretări ale termenului semnătură electronică : • semnături criptografice digitale -> imagine scanată a unei semnături de mână. • Servicii de securitate oferite: • Autentificarea • Integritate • Nerepudiere
Semnatura digitală (II) Autentificarea- semnatura digitala poate fi folosita pentru autentificarea sursei documentului. Atunci cand dreptul de proprietate asupra unei semnturi digitale apartine unei anumite persoane, semnatura digitala arata ca documentul a fost eliberat de catre acea persoana. (context financiar-contabil) Integritate- semnatura digitala aplicata unui document electronic reprezinta o garantie a integritatii documentului atunci cand este validata de o autoritate publica. Cheia aleatoare se creeaza pe baza unor criterii multiple care includ printre altele si detalii despre continutul documentului. Nerepudiere - odata ce este emis un document digital semnat electronic, atata vreme cat semnatura electronica este valida pe documentul digital, autorul documentului nu isi poate declina raspunderea pentru continutul documentului cu semnatura electronica valida.
Semnatura digitală (III) Mod de funcţionare: Expeditorul -> aplică o funţie hash documentului de securizat => => rezumat/amprentă a documentului -> -> cripteazărezumatul cu cheia secretă proprie ->trimitereceptoruluirezumatulcriptat, documetul (criptat sau nu) şi cheia publicăproprie Receptorul -> decriptează semnătura digitală cu cheia publică a expeditorului -> calculează el însuşi (folosind acelaşi algoritm) rezumatul documentului primit -> compară rezumatul obţinut cu cel primit de la expeditor. Cele două rezumate sunt egale: -> documentul este autentic; -> documentul e integru; -> expeditorul nu poate nega că a trimis documentul.
Certificate (I) • Elimină dezavantajul semnaturii digitale ce consta în faptul că fiecareentitate participantă în sistem trebuie să dispună de cheile publice ale tuturor celorlalte entităţi. • Sunt emise de o Autoritate de Certificare (AC). • Autoritate de Certificare (AC ) • entitate specială şi centrală, în care toate celelalte entităţi decid că au completă încredere. • verifică mai întâi fiecare entitate, după care îi eliberează un certificat de autenticitate, pe care această entitate îl va folosi în schimbul de informaţii cu celelalte entităţi pentru a-şi dovedi autenticitatea, certificatul fiind făcut public.
Certificate (II) • Elemente conţinute de un certificat digital: • Certificate Version - indică versiunea formatului unui certificat; • Serial Number - un număr unic asignat de către autoritatea de certificare, utilizat pentru urmărirea certificatelor; • Signature - identifică algoritmul de criptare şi funcţiile de tip message digest suportate de CA; • Issuer name - numele emitentului (al CA); • Period of Validity - datele între care certificatul este valid. Această perioadă nu exclude ca certificatul să fie revocat; • Subject - numele proprietarului certificatului; • Subject's Public Key Info - cheia publică şi algoritmul asociat cu câmpul Subject; • Issuer Unique ID - un câmp opţional utilizat pentru a identifica emitentul certificatului sau autoritatea de certificare. • Extensions - câmp opţional utilizat pentru extensii proprietare. • Encrypted - acest câmp conţine semnătura în sine, identificatorul algoritmului, hash-ul securizat al celorlalte câmpuri din certificat şi semnătură digitală a hash-ului.
Certificate (III) • Infrastructura de chei publice ( Public Key Infrastructure - PKI) • Certificatele necesită: • mijloace de gestionare a creării, • distribuire, • stocare centralizată, • revocare, • backup-ul cheilor • actualizare. • Cuprinde câteva servicii de bază de securitate: • autentificarea utilizatorilor, • confidenţialitatea • integritatea, • ajută la implementarea nerepudierii.
Tehnologii de autentificare • Autentificarea prin doi factori • creşte siguranţa datelor • utilizează două din cele trei modalităţi din autentificare: • ce ştiu • ce am • ce sunt. • în general se foloseşte "ce ştiu" cu "ce am". • "Ce ştiu" • Parolă • Nume de utilizator • “Ce am" • Dispozitive de autentificare • token-ul • cardul smart.
Token (I) • Definiţie: • Token-ul este un dispozitiv de mici dimensiuni care generează şi afişează un şir de caractere aleator pentru a permite utilizatorilor să accesese în siguranţă anumite informaţii. • demonstrează identitatea electronică a cuiva; • permite accesul cuiva la ceva. • poate stoca chei criptografice • semnătura digitală • date biometrice. • poate dispune de: • ambalaj rezistent • o mică tastatură pentru a permite introducerea unui cod PIN • un simplu buton de start pentru a genera noul cod • un ecran pentru afişarea acestuia.
Token (II) • conţine o informaţie secretă pentru a dovedi identitatea utilizatorului. • Modalităţi de utilizare a informaţiei secretă: • token cu parolă statică: dispozitivul conţine o parolă care este ascunsă utilizatorului, dar care este transmisă la fiecare autentificare. Acest tip este vulnerabil la atacuri de tip repetare; • token cu parolă sincronizată dinamic: este folosit un cronometru pentru a se roti prin mai multe combinaţii produse de un algoritm criptografic. Token-ul şi server-ul de autentificare trebuie să aibe ceasurile sincronizate; • token cu parolă asincronă: o parolă "în timp" este generată fără a utiliza ceasul printr-un algoritm de criptare; • token cu răspuns la mesaj: utilizând criptarea cu cheie publică, este posibil să dovedească posesia unei chei private fără a o dezvălui. Server-ul trimite un mesaj al cărui răspuns îl cunoaşte deoarece are o copie a cheii private; token-ul demonstrează că are aceeaşi cheie privată prin trimiterea aceluiaşi răspuns.
Token (III) • Token-uri independente: • conţin un ecran fizic pe care este afişat un număr • acest număr va fi introdus de utilizator pentru a se autentifica. • Token-uri dependente: • transferă o secvenţă de chei clientului local sau celui mai apropiat punct de acces. • Exemple token-uri: • iKey 2032 • Cryptoflex E-Gate
iKey 2032 (I) • Token USB cu autentificare pe bază de 2 factori pentru a oferi maximul de securitate. • Caracteristici tehnice: • procesor 8-biţi • 32K de memorie • conectivitate USB 1.1/2.0 • oferă un transfer 1.5Mbiţi/secundă. • Funcţiile criptografice utilizate: • generare de perechi de chei asimetrice (RSA), • generare de chei simetrice (DES, 3DES), • gestiunea şi stocarea securizată hardware a cheii, • semnătură electronică.
iKey 2032 (II) • Performaţele criptogarfice: • operaţii cu chei RSA de 1024-biţi şi 2048-biţi, • generarea cheii se face în mai puţin de 90 de secunde cu tot cu verificarea cheii, • semnătura electronică se realizează în mai puţin 1 secundă. • Algoritmii cripografici utilizaţi: • criptare cu cheie asimetrică RSA 1024-biţi, RSA 2048-biţi, • algoritmi cu cheie simetrică DES, 3DES, • semnătură electronică RSA 1024-biţi, RSA 2048, • algoritm Hash Digest SHA-1.
Cryptoflex E-Gate • Poate fi folosit: • sub formă de smartcard (necesită cititor ) • sub formă de token. • Caracteristici tehnice: • memorie de 32K, • procesor criptografic, • foloseşte tehnologie de tip smartcard fără cititor USB v1.1 • Funcţiile criptografice utilizate: • generare de chei RSA (lungimea cheilor 512, 768, 1024 şi 2048 biţi), • semnătură electronică RSA, • algoritm SHA-1, • criptare simetrică DES sau 3DES, DES şi 3DES MAC, • generare de chei DES (lungimea cheilor 56, 112 biţi), DES şi 3DES Chain Block Cipher (lungimea cheilor 56 şi 112 biţi).
Carduri Smart • au aceeşi dimeniune cu un card de credit • pot fi utilizate: • drept carduri de proximitate • pentru accesul în reţea. • Clasificare: • Carduri smart cu contact: au o zonă de contact pătrată de aproximativ 1 cm care conţine mai multe plăcuţe de contact placate cu aur. Aceste plăcuţe realizează conectivitate electrică în momentul în care sunt introduse în cititor, conectivitatea este utilizată pentru realizarea comunicaţiei dintre card şi gazdă sau telefon mobil. • Carduri smart fără contact (carduri de proximitate): spre deosebire de cel cu contact, acesta poate fi citit fără să fie introdus într-un dispozitiv de citire, fiind suficientă ţinerea lui câteva secunde lângă acesta. Cardurile de proximitate pot fi citite de la aproximativ 5 cm, astfel că utilizatorul poate avea aces la o locaţie prin punerea portofolului, în care se află cardul, în dreptul cititorului. Acest tip de card poate conţine un echilibru de flux electronic folosit în sistemele de plăţi fără contact (cardul RATB). • Carduri hibride: carduri cu interfaţă dublă, au implementată atat interfaţa de contact cât şi cea fără, pe un singur card cu elemente de stocare şi procesare comune.
SafeNet 330 • Smart Card recomandat de cei de la certSign. • Oferă protecţie software şi hardware împotriva atacurilor criptografice „differential power” şi „timing attacks”. • Caracteristici tehnice: • memorie EEPROM de 32K • permite stocarea sigură a: • cheilor, • parolelor, • Certificatelor, • datelor • un procesor DES pentru criptare simetrică. • Funcţii criptografice folosite: • generare de chei DSA (1024-biţi) şi RSA (1024-biţi şi 2048-biţi ), • algoritm RSA şi DSA pentru semnare electronică, • algoritm RSA pentru schimbarea cheilor (key exchange), • Diffie-Hellman key exchange, algoritm SHA-1, algoritm DES/3DES pentru criptare/decriptare.
Concluzii • Legal, semătura electronică este definită ca reprezentarea, în formă electronică a unor date, care sunt atasate sau logic asociate cu alte date in forma electronica si care servesc ca metoda de identificare [art. 4 pct. 3 din Legea 455/2001]. • Un dezavantaj al acestei metode de semnare a documentelor este faptul că fiecare entitate participantă în sistem trebuie să dispună de cheile publice ale tuturor celorlalte entităţi. Acest dezavantaj este eliminat prin schemele de autentificare care folosesc certificate de autenticitate emise de o Autoritate de Certificare (AC). • În ziua de azi, autentificarea şi identificarea utilizatorilor, se realizează prin intremediul unor dispozitive portabile, cele mai întâlnite fiind token-urile şi smart card-urile. Acestea conţin informaţii secrete cu care pot dovedi identitatea utilizatorului.