Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezpečnost dat Možnosti ochrany - realizována na několika úrovních

Podobné prezentace


Prezentace na téma: "Bezpečnost dat Možnosti ochrany - realizována na několika úrovních"— Transkript prezentace:

1 Bezpečnost dat Možnosti ochrany - realizována na několika úrovních
Informatika I Bezpečnost dat Možnosti ochrany - realizována na několika úrovních 1. ochrana přístupu k počítači 2. ochrana přístupu k datům 3. ochrana počítačové sítě 4. ochrana pravosti a celistvosti dat (tzv. autenticity a integrity) Ing. Ivana Hesová, KIT ČZU

2 Bezpečnost dat - hw ochrana
1. Ochrana přístupu k počítači hardwarová ochrana - bývá dražší, ale bezpečnější většinou přídavné bezpečnostní karty, mají vlastní modul BIOS a mohou provádět opatření ještě před startem op. systému mohou modifikovat data na disku tak, že po vyjmutí karty z počítače jsou nepřístupná další možnost = diskové šifrování za pomoci procesoru nebo dokonce kryptoprocesoru (příp. kryptoakcelerátoru)

3 Bezpečnost dat - pojmy Ochrana přístupu k počítači Pojmy:
čistě softwarová řešení - někdy též ještě před startem op. systému nebo při přihlašování do systému Pojmy: kryptografie tvorba šifer kryptoanalýza jejich luštění bez znalosti klíče kryptologie obě vědy současně šifrovací algoritmus - mat. funkce, která provádí šifrování a dešifrování dat šifrování - proces znečitelnění dat

4 Bezpečnost dat 2. Ochrana přístupu k datům
kryptografická ochrana souborů (adresářů) nebo disků = šifrování, neustálé prodlužování šifrovacího klíče (např bitů) data budou nečitelná i v případě krádeže disku silnější než nastavení přístupových práv šifruje se též: elektronická pošta komunikace - tvorba virtuální privátní sítě (VPN) komunikace webový server - uživatel pro zabezpečení např. elektronického obchodování.

5 Bezpečnost dat 3. Ochrana počítačové sítě
nastavena přístupová práva k serverům, adresářům, souborům, službám patří sem i firewally základem je dokument o bezpečnostní politice napřed se dělá: analýza aktiv - vymezuje, co chránit (data, přenosové kapacity, čas procesoru, diskový prostor) analýza hrozeb - tj. proti čemu chránit analýza rizik - ohodnocení aktiv a rizik, tj. nalezení zranitelných míst, výpočet očekávaných ztrát, přehled použitelných opatření a jejich cen

6 Bezpečnost dat - metody šifrování
4. Ochrana pravosti a celistvosti dat metody digitálního podpisu založené na asymetrickém šifrování digitální podpis viz dále Metody šifrování používané v současné době: asymetrické šifrování = technika šifrování, která pracuje se dvěma nestejnými klíči - jeden je privátní (utajený), druhý je tzv. „veřejný“ (dostupný každému) každý uživatel vlastní dvojici klíčů, oba jsou na sobě matematicky závislé = kryptografie veřejnými klíči

7 Bezpečnost dat - metody šifrování
jedna možnost použití: privátní klíč se použije k zašifrování a veřejný k odšifrování nikdo jiný než autor nemůže data zašifrovat (autentizace) druhý způsob použití asymetrického šifrování : naopak veřejný klíč příjemce se použíje k zašifrování a jeho privátní k odšifrování (určeno pro jednoho příjemce) Např.: systém RSA pracuje s asym. klíči (Rivest, Shamir, Adleman)

8 Bezpečnost dat - metody šifrování
nebo řada schémat digit. podpisu symetrické šifrování pracuje se dvěma identickými klíči každý lze použít jak pro zašifrování tak i pro odšifrování obě strany klíč sdílejí předem klíč se nesmí dostat do nepovolaných rukou jen odesilatel a příjemce použitelné v malé skupině uživatelů Příklad systému: DES (Data Encryption Standard)

9 Bezpečnost dat - metody šifrování
kombinace sym. a asym. šifrování asym. kryptografie se použije k výměně a distribuci symetrického klíče, který může být při každé relaci generován nový

10 Bezpečnost dat - obecné požadavky
Obecné požadavky, které by měly být splněny identifikace a autentizace (často zaměňováno) je třeba vždy spolehlivě zjistit kdo je kdo - např. odesilatel zprávy (zjistí se z hlaviček přijaté zprávy), autor WWW stránky, žadatel o přístup k nějakému zdroji, atd. ….. někdy ještě navíc autentizace = ověření, že údaje zjištěné při identifikaci jsou správné (neboť se dají zfalšovat), ověření identity: heslem předmětem (dotykové paměti, bezpeč. karty)

11 Bezpečnost dat - obecné požadavky
na bázi kontroly fyziologie osoby (otisk prstu, analýza hlasu, charakteristiky sítnice, duhovky) = biometrické systémy ochrany (notebook IBM ThinkPad T42 má integrovanou čtečku otisku prstu) autorizace - ověřuje se oprávnění k přístupu ke zdroji nebo k provedení určité aktivity (spuštění programu) nebo ověření platnosti předkládaného certifikátu autentizovaného subjektu

12 Bezpečnost - obecné požadavky
Obecné požadavky, které by měly být splněny integrita dat = pravost a celistvost - obsah původních dat by neměl být pozměněn (může dojít i k chybám při přenosu) důvěrnost dat - data přístupná jenom úzkému okruhu subjektů, nebo jenom 1 příjemci (dosaženo symetrickým šifrováním) neodmítnutelnost - aby autor nemohl příslušný úkon později popřít (např. zaslání objednávky)

13 Bezpečnost - zajištění požadavků
Jak různé mechanismy zajišťují ( nebo nezajišťují) tyto požadavky? symetrické šifrování - důvěrnost, ident., autentizace, neodmítnut., integrita asym. šifrování - a) je-li použit veřejný klíč k odšifrování, pak se k datům může dostat kdokoliv - požadavek na důvěrnost není takto naplněn důvěrnost, ident., autentizace, neodmítnut., integrita

14 Bezpečnost - zajištění požadavků
zašifrováno je to privátním klíčem odesilatele, ostatní požadavky splněny

15 Bezpečnost - zajištění požadavků
b) je-li použit veřejný klíč příjemce k zašifrování - může to provést kdokoliv, není zajištěna např. integrita určeno jen určitému příjemci důvěrnost, ident., autentizace, neodmítnut., integrita

16 Bezpečnost - zajištění požadavků
jednorázová hesla - (autentizace, autorizace) oprávněný uživatel by měl obdržet generátor těchto hesel např. styk klienta s bankou první použila Expandia banka jako tzv. elektronické klíče předává-li klient bance příkaz, klíč mu vygeneruje číslo nyní nemají klienti el. klíč ve fyzické podobě banka generuje jednorázové heslo sama, pošle ho klientovi jinou cestou (na mobil)

17 Bezpečnost - zajištění požadavků
jednorázová hesla - pokračování klient údaj (tzv. certifikační údaj) použije v požadavku na transakci údaj nelze znovu použít kreditní karty na jedno použití - obdoba - jednorázový údaj v roli čísla kreditní karty autorizovat se bude pouze první požadavek na platbu z této karty od banky dostane majitel generátor jednorázových údajů (program)

18 Bezpečnost - digitální podpis
Co umožňuje digit. podpis: identifikaci partnera zda je náš obchod.partner tím, za kterého se vydává ochrana obsahu zprávy el.podpis chrání obsah zprávy díky šifrovacím postupům nepopíratelnost zprávy el.podpis prokazuje, kdy a kým byla zásilka podepsána a odeslána

19 Bezpečnost - digitální podpis
na straně podepisující osoby se z napsané zprávy pomocí vzorkovací (hash) funkce vytvoří otisk ten se šifruje pomocí zvoleného asymetrického algoritmu soukromým klíčem odesilatele na straně příjemce zprávy se k otevřenému textu vypočte hash Pokud jsou hodnoty shodné, máme jistotu, že zpráva nebyla cestou změněna a že ji podepsala osoba, které přísluší data pro vytváření el. podpisu

20 Bezpečnost - digitální podpis
digitální podpis - určení zdroje zprávy privátní klíč šifruje pouze tzv. otisk dat (hash), reprezentativní vzorek, který má určitou pevnou velikost např. 128 bitů přiloží se k původní zprávě v roli el. podpisu (signatura) navíc se přiloží i veřejný klíč autora klíče vydává certifikační autorita, viz dále

21 Bezpečnost - digitální podpis
digitální podpis - pokračování samotný el. podpis nezaručuje důvěrnost zprávy, pokud není její obsah též zašifrován (veřejným klíčem příjemce, kterému je určena, ten si ji odšifruje pomocí svého privátního klíče) nejsou to systémy pro utajení (bez zašifrování vlastní zprávy)

22 Bezpečnost - digitální podpis
Praktické použití elektronického podpisu ve státní správě a samosprávě podání různých prohlášení, daňových přiznání, přihlášek a odhlášek, žádosti o sociální dávky, o výpis z rejstříku trestů v bankovnictví klient elektronické či „přímé“ banky má možnost disponovat svým účtem nejčastěji po Internetu, všechny příkazy odesílané bance takto podepisuje v el. obchodování obchodní patrneři - obchodují na základě smluv, objednávek, faktur

23 Bezpečnost - certifikáty
Jak víme, že je zveřejněný klíč autentický? certifikáty s veřejným klíčem je spojena identita osoby, které klíč patří (něco jako „visačka“ ke klíči) certifikát je kombinace jména a veřej. klíče, podepsáno další důvěryhodnou stranou certifikáty zahrnují i datum vypršení platnosti klíče (časem může dojít ke zlomení klíče, např. útok hrubou silou = zkoušení každého možného klíče) zahrnují i jméno CA, která cert. vydala, jak má být klíč používán CRL (Certification Revocation List) je seznam neplatných digitálních certifikátů a certifikátů s pozastavenou platností

24 Bezpečnost - certifikáty
kvalifikovaný certifikát může vydat státem schválená certifikační autorita (tzv. e- notář) může platnost vydaných certif. i rušit nejvyšší certifikační autoritou je Úřad pro ochranu osobních údajů u nás má akreditaci např. společnost 1. Certifikační (dceřinná spol. PVT) s certifikátem dostanete i data pro vytváření a ověřování E podpisu (=klíče) většinou se spolu se zprávou posílá i certifikát ověření certif. zajišťuje aplikace

25 Bezpečnost - certifikáty
Co je zapotřebí dodat certifikační autoritě smlouvu o službě, pro kterou se certifikát vydává výpis z obchodního rejstříku dva doklady totožnosti (občanský průkaz, cest. pas) disketu s žádostí o certifikát plnou moc s úředně ověřeným podpisem oprávněné osoby

26 Bezpečnost El. pošta - potřeba ochrany soukromých údajů
závisí na bezpečnosti operačního systému tam, kde je poštovní systém hlavní systémy: PEM (Privacy-Enhanced Electronic Mail), standard protokolů TCP/IP PGP (Pretty Good Privacy) struktura: zprávy zašifrovány symetrickým kryptosystémem klíče distribuovány prostřednictvím asym. systému

27 Bezpečnost Steganografie - metoda, jak ukrýt informaci uprostřed jiné informace, např. do zvukových MP3, AV, nebo do obrazových BMP, JPEG s obrazem se pak nesmí pracovat (editovat, zmenšovat např.) soubor musí být až 5x větší než ukrytý text SW balík : Steganos Security Suite až 2048 bitové šifrování umožňuje zhotovení tajných částí pevného disku (aplikace Steganos Safe), žádným jiným programem nejsou viditelné vytváří neviditelný a zašifr. adresář na libovolném médiu

28 Bezpečnost zejména na přenosném médiu (přenosný sejf) dešifrovací algoritmus je vložen do jednotlivých souborů není nutné mít program doma nainstalován další aplikace balíku - Trace Destructor - likviduje stopy po surfování


Stáhnout ppt "Bezpečnost dat Možnosti ochrany - realizována na několika úrovních"

Podobné prezentace


Reklamy Google