Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy i transportowy IPsec SPI (Security Parameter Index)
Kryptografia symetryczna i asymetryczna SZYFROWANIE SYMETRYCZNE postać jawna szyfrowanie!@#$%^ postać zaszyfrowana deszyfrowanie SZYFROWANIE ASYMETRYCZNE postać jawna szyfrowanie: klucz publiczny!@#$%^ postać zaszyfrowana deszyfrowanie: klucz prywatny klucze są matematycznie powiązane prywatny: 2 liczby pierwsze (rzedu 100 cyfr), publiczny: ich iloczyn uzyskanie klucza prywatnego z publicznego praktycznie nierealne: rozkład na czynniki zajmuje kilka milionów lat
wykorzystanie kryptografii asymetrycznej - podpis elektroniczny SZYFROWANIE!@#$%^ szyfruję kluczem publicznym odbiorcy otrzymałem zaszyfrowaną wiadomość... spróbuję odszyfrować swoim kluczem prywatnym... udało się! to była wiadomość do mnie! PODPIS ELEKTRONICZNY!@#$%^ podpisuję swoim kluczem prywatnym otrzymałem podpisaną wiadomość... spróbuję zweryfikować kluczem publicznym nadawcy... udało się! to była wiadomość od nadawcy!
podpis elektroniczny szczegóły
certyfikaty problem klucza publicznego skąd pewność, że przynależy do danej osoby? rozwiązanie poręczenie klucza przez osobę trzecią, urząd certyfikacyjny (ang. certification authority, CA) poręczeniem jest podpisanie klucza publicznego prywatnym kluczem CA. PKI (ang. public key infrastructure) hierarchia urzędów certyfikacji. podejście alternatywne PGP: web of trust, wzajemna certyfikacja użytkowników
IPsec IPsec to zbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy kodowych pomiędzy komputerami. Protokoły tej grupy mogą być wykorzystywane do tworzenia Wirtualnej Sieci Prywatnej (ang. VPN). źródło: http://pl.wikipedia.org
tryb transportowy i tunelowy TRYB TRANSPORTOWY segmentu segmentu szyfrowania segmentu ZASZYFROWANE TRYB TUNELOWY szyfrowania segmentu segmentu ZASZYFROWANE segmentu LAN 10.0.1.0/24 LAN 10.0.2.0/24
Protokoły szyfrowania warstwy sieciowej 2 standardy: - AH (Authentication Header) : autentykacja, integralność - ESP (Encapsulating Security Payload) : autentykacja, integralność, poufność 1 etap: autentykacja i ustalanie tzw. SPI (Security Parameters Index) dla każdego z kierunków transmisji! 2 etap: szyfrowanie osobno dla każdego z kierunków transmisji!
Proces negocjacji parametrów poprzez IKE (Internet Key Exchange) oraz szyfrowanie w protokole ESP SPI 1111 (A B) SPI: 1111 zaszyfrowane dane negocjacja nr sekw.: 3SPI poprzez IKE dla każdego z kierunków transmisji! szyfrowania szyfrowania SPI: 2222 nr sekw.: 7 zaszyfrowane dane SPI 1111 (A B) Algorytm szyfrowania: DES klucz szyfrujący: 1234 rozmiar okna numerów sekwencyjnych : 500 adresy IP nadawcy: 1.0.0.1 adres IP odbiorcy: 2.0.0.5 SPI 2222 (A B) Algorytm szyfrowania: DES klucz szyfrujący: 1234 rozmiar okna numerów sekwencyjnych : 500 adresy IP nadawcy: 1.0.0.1 adres IP odbiorcy: 2.0.0.5 SPI 2222 (A B) Algorytm szyfrowania: AES klucz szyfrujący: 4321 rozmiar okna numerów sekwencyjnych : 700 adresy IP nadawcy: 2.0.0.4 adres IP odbiorcy: 1.0.0.2 Algorytm szyfrowania: AES klucz szyfrujący: 4321 rozmiar okna numerów sekwencyjnych : 700 adresy IP nadawcy: 2.0.0.4 adres IP odbiorcy: 1.0.0.2
Racoon przykład pliku konfiguracyjnego path certificate "/etc/racoon/"; sainfo anonymous { pfs_group modp768; encryption_algorithm des ; authentication_algorithm hmac_md5; compression_algorithm deflate; lifetime time 20 seconds; } remote 10.1.1.62 { exchange_mode aggressive,main; my_identifier asn1dn; peers_identifier asn1dn; certificate_type x509 "klient.public" "klient.private"; peers_certfile "serwer.public"; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method rsasig; dh_group 2 ; } }
Tematyka wykładu 4 podsumowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy i transportowy IPsec SPI (Security Parameter Index)