Obsah

7. Aplikovaná kryptografie

Zadání

konstrukce digitálního podpisu, zákon o elektronickém podpisu, správa veřejných klíčů, certifikační autority a infrastruktury veřejných klíčů. Autentizace uživatelů v počítačových systémech - tajné informace, tokeny, biometriky. Kerberos, bezpečnost v prostředí Internetu.

Vypracování

Šifrovanie

Šifrovanie delíme na symetrické a asymetrické.
Symetrické sa dalej delí na blokové a prúdové.
Symetrická šifra by mala mať nasledujúce vlastnosti:

Konstrukce digitálního podpisu

Schéma digitálního podpisu

Každý subjekt má 2 klíče:

Správný digitální podpis může vytvořit jen ten, kdo má k dispozici soukromý klíč. Pro ověření podpisu je nutné mít veřejný klíč podepsaného subjektu. Digitální podpis nedává sám o sobě žádnou záruku o době jeho vytvoření.

V praxi se digitální podpis vytváří následujícím způsobem (protože aplikace asymetrického algoritmu na rozsáhlé datové soubory je časově značně náročná):

Poté si každý, kdo zná patřičný veřejný klíč podepsané osoby, může ověřit platnost digitálního podpisu aplikací tohoto veřejného klíče, podepsaných dat (či haše) a digitálního podpisu za použití tzv. verifikačního algoritmu. Pokud je výsledek verifikace podpisu daných dat v pořádku, tak můžeme mít jistotu, že zpráva byla podepsána vlastníkem privátního klíče a že po podepsání již nebyla modifikována.

Najznámejší podpisový algoritmus RSA se používá taky na asymetrické šifrování. V současné době sa používá modulo o délkách 1024 až 4096 bitů.

Digitální podpis se používá k zajištění:

Zákon o elektronickém podpisu

Zákon o elektronickém podpisu č. 227/2000 Sb. (změněn zákony č. 226/2002, 517/2002 a 440/2004 Sb.).

„Elektronickým podpisem se rozumí údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě“

Elektronickým podpisem tak může být i pouhé jméno napsané na klávesnici.

Zaručený elektronický podpis

Elektronický podpis vs. značka

Správa veřejných klíčů

Veřejné klíče jsou ve správě podpůrné struktury PKI (Public Key Infrastructure). PKI je systém technických prostředků, služeb a organizačních opatření určených ke správě veřejných klíčů.
PKI je založena na prvcích:

Komponenty PKI:

Schéma struktury CA Schéma struktury CA

Certifikační autority

Certifikát

Certifikační autorita - štruktúra:

Certifikační proces probíhá v následujících krocích:

  1. Odesílatel podepisovaného dokumentu žádá CA o digitální certifikát pro svůj veřejný klíč
  2. CA ověřuje identitu žadatele (prostřednictvím RA) a certifikát vydává
  3. CA ukládá certifikát do veřejně přístupného on-line repozitáře
  4. Odesílatel podepisuje dokument svým privátním klíče a odesílá jej s připojeným certifikátem
  5. Příjemce ověřuje digitální podpis veřejným klíčem odesílatele a požaduje ověření digitálního certifikátu v repozitáři příslušné CA
  6. Repozitář vrací zprávu o stavu odesílatelova certifikátu

Postup certifikačního procesu

Infrastruktury veřejných klíčů

PKI - popísané v casti Správa veřejných klíčů

PKI spája verejný kľúč so subjektom prostredníctvom vydania certifikátu certifikačnou autoritou. Jej hlavnou úlohou je digitálne podpísať verejný kľúč patriaci danému človeku – a to pomocou vlastného privátneho kľúča samotnej CA, takže závisí na dôveryhodnosti konkrétnej autority. Tento podpis potvrdzuje - certifikuje vlastníctvo daného verejného kľúča.

Autentizace uživatelů v počítačových systémech

Autentizace spočívá v ověření, že autentizovaný je tím, za koho se vydává.

Tajné informace (co kdo zná)

Hesla, PIN, passphrase, identifikace obrazové informace …

Aby autentizace tajnou informací byla bezpečná je nutné dodržet:

Hesla

Ukládání hesel

„Solení“

PIN (Personal Identification Number)

Tokeny (co kdo má)

Nejčastější tokeny v IT/IS:

Čipová karta jako aktivní prvek

Bezpečnost čipových karet

Biometriky (co kdo je)

Biometriky – „automatizované metody identifikace nebo ověření identity na základě měřitelných fyziologických nebo behaviorálních vlastností člověka“.
Biometrická data nejsou nikdy 100% shodná, musíme povolit určitou variabilitu mezi registračním vzorkem a později získanými biometrickými daty

Model biometrické autentizace

Chybovost biometrických systémů závisí na řadě faktorů:

Fyziologické charakteristiky

Charakteristiky chování

Zabezpečenie anonymity

Mixy

Nástroj postupne zachytáva a uchováva veľa správ, po istom čase/naplnení odstráni ich pôvodné hlavičky a pošle ďalej

Onion routing

Na začiatku prenosu sa detailne ujasní cesta, následna sa správa zabalí do niekoľkych vrstiev (ako cibula), pričom každá vrstva bude určená pre nasledujúci router. Každý router tak získa informáciu iba o tom, kám ma správu ďalej preposlať.

Kerberos

Popisany v otazke N-INS 5.

Kerberos je síťový autentizační protokol umožňující komukoli komunikujícímu v nezabezpečené síti prokázat bezpečně svoji identitu někomu dalšímu prostřednictvím důvěryhodné třetí strany. Kerberos zabraňuje odposlechnutí nebo zopakování takovéto komunikace a zaručuje integritu dat. Byl vytvořen primárně pro model klient-server a poskytuje vzájemnou autentizaci – klient i server si ověří identitu své protistrany.

Autentizace proběhne ve čtyřech krocích: zdroj Krok 1

Krok 2

Krok 3

Krok 4

Bezpečnost v prostředí Internetu

Vhodne prejsť slajdy z prednašok:

Zdroje

Zákon o elektronickém podpisu - PV157_2009_L2.pdf, slajdy 5-11
Konstrukce digitálního podpisu - PV157_2009_L2.pdf, slajdy 12-17
Správa veřejných klíčů - PV157_2009_L1.pdf, slajdy 38 - 39 + https://akela.mendelu.cz/~lidak/bis/9pki.htm Tajné informace - PV157_2009_L3_final
Tokeny - PV157_2009_L6_final
Biometriky - PV157_2009_L7and8_final

Přílohy

7.pdf – rozšíření některých témat a soukromé zpracování, vycházelo se z této wiki na přelomu roku 2013/2014. Nekonzultováno s kantory.

Vypracoval

Rado Šupolík (https://is.muni.cz/auth/osoba/365429, 365429@mail.muni.cz)
Stav: hotovo