Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Transkrypt

1 Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy i transportowy IPsec SPI (Security Parameter Index)

2 Kryptografia symetryczna i asymetryczna SZYFROWANIE SYMETRYCZNE postać jawna szyfrowanie!@#$%^ postać zaszyfrowana deszyfrowanie SZYFROWANIE ASYMETRYCZNE postać jawna szyfrowanie: klucz publiczny!@#$%^ postać zaszyfrowana deszyfrowanie: klucz prywatny klucze są matematycznie powiązane prywatny: 2 liczby pierwsze (rzędu 100 cyfr), publiczny: ich iloczyn uzyskanie klucza prywatnego z publicznego praktycznie nierealne: rozkład na czynniki zajmuje kilka milionów lat

3 wykorzystanie kryptografii asymetrycznej - podpis elektroniczny SZYFROWANIE!@#$%^ szyfruję kluczem publicznym odbiorcy otrzymałem zaszyfrowaną wiadomość... spróbuję odszyfrować swoim kluczem prywatnym... udało się! to była wiadomość do mnie! PODPIS ELEKTRONICZNY!@#$%^ podpisuję swoim kluczem prywatnym otrzymałem podpisaną wiadomość... spróbuję zweryfikować kluczem publicznym nadawcy... udało się! to była wiadomość od nadawcy!

4 podpis elektroniczny szczegóły

5 certyfikacja kluczy 2. certyfikuję klucze użytkownika (tj. podpisuję swoim kluczem prywatnym!) CA (Certificate Authority) podejście alternatywne PGP: web of trust, wzajemna certyfikacja użytkowników 5. OK, podany klucz należy do Tadeusza Nowaka właściciel:tadeusz Nowak PKI: Public Key Infrastructure 4. Otrzymałem klucz publiczny.. sprawdzam czy nadawca jest tym za kogo się podaje.. 1. składam wniosek o certyfikację swoich kluczy (prywatnego i publicznego) 3. chcę wysłać dane do Jana Kowalskiego przy wykorzystaniu krypt. asym., przesyłam swoj klucz publiczny.. właściciel:jan Kowalski

6 IPsec IPsec to zbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy kodowych pomiędzy komputerami. Protokoły tej grupy mogą być wykorzystywane do tworzenia Wirtualnej Sieci Prywatnej (ang. VPN). źródło:

7 tryb transportowy i tunelowy TRYB TRANSPORTOWY segmentu segmentu szyfrowania segmentu ZASZYFROWANE TRYB TUNELOWY szyfrowania segmentu segmentu ZASZYFROWANE segmentu LAN /24 LAN /24

8 Protokoły szyfrowania warstwy sieciowej 2 standardy: - AH (Authentication Header) : autentykacja, integralność - ESP (Encapsulating Security Payload) : autentykacja, integralność, poufność 1 etap: autentykacja i ustalanie tzw. SPI (Security Parameters Index) dla każdego z kierunków transmisji! 2 etap: szyfrowanie osobno dla każdego z kierunków transmisji!

9 Proces negocjacji parametrów poprzez IKE (Internet Key Exchange) oraz szyfrowanie w protokole ESP SPI 1111 (A B) SPI: 1111 zaszyfrowane dane negocjacja nr sekw.: 3SPI poprzez IKE dla każdego z kierunków transmisji! szyfrowania szyfrowania SPI: 2222 nr sekw.: 7 zaszyfrowane dane SPI 1111 (A B) - Algorytm szyfrowania: DES - klucz szyfrujący: rozmiar okna numerów sekwencyjnych : adresy IP nadawcy: adres IP odbiorcy: SPI 2222 (A B) - Algorytm szyfrowania: DES - klucz szyfrujący: rozmiar okna numerów sekwencyjnych : adresy IP nadawcy: adres IP odbiorcy: SPI 2222 (A B) - Algorytm szyfrowania: AES - klucz szyfrujący: rozmiar okna numerów sekwencyjnych : adresy IP nadawcy: adres IP odbiorcy: Algorytm szyfrowania: AES - klucz szyfrujący: rozmiar okna numerów sekwencyjnych : adresy IP nadawcy: adres IP odbiorcy:

10 Racoon przykład pliku konfiguracyjnego path certificate "/etc/racoon/"; sainfo anonymous { pfs_group modp768; encryption_algorithm des ; authentication_algorithm hmac_md5; compression_algorithm deflate; lifetime time 20 seconds; } remote { exchange_mode aggressive,main; my_identifier asn1dn; peers_identifier asn1dn; certificate_type x509 "klient.public" "klient.private"; peers_certfile "serwer.public"; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method rsasig; dh_group 2 ; } }

11 Tematyka wykładu 3 podsumowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy i transportowy IPsec SPI (Security Parameter Index)