Zastosowania informatyki w gospodarce Wykład 8



Podobne dokumenty
SSL (Secure Socket Layer)

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Podstawy Secure Sockets Layer

Zastosowania informatyki w gospodarce Wykład 5

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

ZiMSK. Konsola, TELNET, SSH 1

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Zdalne logowanie do serwerów

Bezpieczeństwo systemów informatycznych

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Protokoły zdalnego logowania Telnet i SSH

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczeństwo usług oraz informacje o certyfikatach

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Sieci VPN SSL czy IPSec?

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Laboratorium nr 6 VPN i PKI

Praktyczne aspekty wykorzystania nowoczesnej kryptografii. Wojciech A. Koszek

SET (Secure Electronic Transaction)

Stos TCP/IP. Warstwa aplikacji cz.2

Bezpieczna poczta i PGP

Opis efektów kształcenia dla modułu zajęć

BeamYourScreen Bezpieczeństwo

WHEEL LYNX SSL/TLS DECRYPTOR. najszybszy deszyfrator ruchu SSL/TLS

Usługi sieciowe systemu Linux

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

Przewodnik użytkownika

Problemy z bezpieczeństwem w sieci lokalnej

Instrukcja instalacji usługi Sygnity Service

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Ochrona danych i bezpieczeństwo informacji

12. Wirtualne sieci prywatne (VPN)

Protokół SSH. Patryk Czarnik

SMB protokół udostępniania plików i drukarek

Bezpieczeństwo w sieci lokalnej - prezentacja na potrzeby Systemów operacyjnych

Łukasz Przywarty Wrocław, r. Grupa: WT/N 11:15-14:00. Sprawozdanie z zajęć laboratoryjnych: OpenSSL

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych

Zastosowania informatyki w gospodarce Wykład 7

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Konfiguracja OpenVPN w AS30GSM200P. Informator Techniczny Strona 1 z 11

System Użytkowników Wirtualnych

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Laboratorium nr 4 Sieci VPN

Program szkolenia: Bezpieczny kod - podstawy

APACHE SSL Linux. Użycie certyfikatów niekwalifikowanych w oprogramowaniu APACHE SSL Linux. wersja 1.5

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Bezpieczeństwo systemów komputerowych

WSIZ Copernicus we Wrocławiu

Szczegółowe informacje dotyczące przekazywania do Bankowego Funduszu Gwarancyjnego informacji kanałem teletransmisji

Problemy z bezpieczeństwem w sieci lokalnej

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

Bazy danych i usługi sieciowe

Bezpieczna poczta i PGP

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Wykład 9. Bezpieczeństwo systemów komputerowych. Protokoły SSL i TLS. Scentralizowane systemy uwierzytelniania. 5 listopada 2013

Technologia Internetowa w organizacji giełdy przemysłowej

ZABEZPIECZENIE KOMUNIKACJI Z SYSTEMEM E-PŁATNOŚCI

Metody zabezpieczania transmisji w sieci Ethernet

Laboratorium nr 5 Sieci VPN

Bezpieczne protokoły Główne zagadnienia wykładu

Protokół HTTPS. Adam Danecki Informatyka gr. 1.4

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Technologie zapewniajace bezpieczeństwo w systemach operacyjnych (PKI, Smart Cards, SSL, SSH)

Bringing privacy back

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

BEZPIECZEŃSTWO W SIECIACH

Advanced Security Option i inne metody szyfrownia po³¹czeñ w Oracle 9i

APACHE SSL Linux Użycie certyfikatów niekwalifikowanych w oprogramowaniu APACHE SSL Linux wersja 1.4 UNIZETO TECHNOLOGIES S.A.

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

5. Metody uwierzytelniania i bezpiecznej komunikacji Certyfikat klucza publicznego oparty o standard X.509

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

System Express ELIXIR

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Laboratorium nr 3 Podpis elektroniczny i certyfikaty

WorkshopIT Komputer narzędziem w rękach prawnika

BEZPIECZEOSTWO SYSTEMU OPERO

Metody uwierzytelniania klientów WLAN

Instrukcja instalacji usługi Sygnity SmsService

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, . A. Kisiel,Protokoły DNS, SSH, HTTP,

Tomasz Greszata - Koszalin

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

TelCOMM Wymagania. Opracował: Piotr Owsianko Zatwierdził: IMIĘ I NAZWISKO

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

Transkrypt:

Instytut Informatyki, Automatyki i Robotyki Zastosowania informatyki w gospodarce Wykład 8 Protokół SSL dr inż. Dariusz Caban dr inż. Jacek Jarnicki dr inż. Tomasz Walkowiak

Protokoły SSL oraz TLS Określenia SSL Secure Socket Layer TLS Transport Layer Security Opracowany przez Netscape Communications Corp. Wiodąca implementacja przez RSA Securities posiadali patenty na większość stosowanych algorytmów kryptograficznych Bardzo dobre implementacje publiczne autorstwa E. Young (SSLeay) oraz OpenSSL Protokół stosowany w: https (http po łączach szyfrowanych protokołem SSL) Pops, imaps (protokoły pocztowe po SSL) 2

Składowe protokołu SSL Połączenie szyfrowane szyfrem symetrycznym Dopuszczalne są różne algorytmy szyfrujące Przy nawiązywaniu połączenia ustalany jest najbezpieczniejszy znany dla serwera i klienta Można uzgodnić połączenie nie szyfrowane, jedynie chronione pod względem integralności znacznikami MAC Klucz szyfrujący/deszyfrujący ustalany jest losowo dla każdej sesji (połączenia) Protokół bez wspólnej tajemnicy (without shared secret) Implementowane są różne algorytmy bezpiecznej wymiany klucza (Diffie-Hoffman, RSA) Przy nawiązaniu połączenia uwierzytelnienie serwera w oparciu o jego certyfikat Ustalanie klucza i uwierzytelnienie serwera w jednym kroku 3

SSL Record Protocol Protokół przesyłania danych między bezpiecznymi gniazdami Etapy przetwarzania Podział na rekordy Kompresja Dołączenie MAC i/lub szyfrowanie Przesyłanie pakietami TCP Bieżący stan protokołu ustala parametry przetwarzania Protokoły wykorzystujące SSL RP SSL Handshake Protocol SSL Change Cipher Spec SSL Alert Protocol Protokół aplikacyjny 4

Nawiązanie połączenia SSL ClientHello/ServerHello Ustalenie wersji protokołu SSL Uzgodnienie zestawu szyfrów Cipher Suite Metoda wymiany klucza sesyjnego (RSA, Diffie-Hellman) Szyfr symetryczny Null encoding RC4 40/128 RC2 40 AES 128/256 3DES, IDEA, Fortezza Algorytm wyznaczania skrótów (do wyznaczania MAC) Null, MD5, SHA1 Uzgodnienie metody kompresji Uzgodnienie klucza sesyjnego Uwierzytelnienie serwera i (opcjonalnie) klienta 5

Uzgodnienie klucza sesyjnego Algorytm RSA Serwer przesyła nonce jawnie i zaszyfrowany kluczem prywatnym Klient odczytuje nonce i rozszyfrowuje go kluczem publicznym z certyfikatu Podstawowy algorytm Diffie Hellman Nie wymaga wcześniejszych uzgodnień Zasada: Jawnie znane: liczba pierwsza p oraz inna liczba g < p Serwer wybiera/losuje TAJNĄ liczbę S Serwer wyznacza T = g^s mod p Serwer przesyła do klienta (p, g, T) jawnym tekstem! Klient wybiera losowo liczbę W Klient wyznacza TAJNY klucz sesyjny K = T^W mod p Klient przesyła do serwera V = g^w mod p jawnym tekstem! Serwer wyznacza klucz sesyjny K = V^S mod p Uzasadnienie: V^S = g^ws = T^W = K (mod p) 6

Oprogramowanie Pakiet OpenSSL Publiczna implementacja bibliotek SSL i TLS (openssl.so) Publiczna implementacja biblioteki algorytmów kryptograficznych (libcrypto.so) Implementacja podstawowych narzędzi dla centrum autoryzacji system openssl Serwer Apache z obsługą protokołu SSL (Apache/ModSSL) Pakiet Stunnel Prosta aplikacja komunikująca się ze zdalnym komputerem po łączu szyfrowanym protokołem SSL Tunelowanie u klienta: aplikacja bez SSL -> stunnel => serwer z SSL Tunelowanie na serwerze: klient SSL => stunnel -> serwer bez SSL 7

HTTPS Pakiety wymieniane w protokole HTTP Do wymiany wykorzystywany SSL / TLS Aby klient wiedział, że dokument należy obsługiwać po łączu szyfrowanym, URL ma postać: https://normalny_adres_url Domyślny port, pod którym serwery nasłuchują zapytań HTTPS Nie jest portem 80 (domyślny dla HTTP) Jest to port 443 Dzięki temu na tym samym komputerze mogą być równolegle uruchomione odrębne serwery http i https Strony łączące obiekty przesyłane w HTTP i HTTPS 8

Apache z mod_ssl Dwie niezależne implementacje serwera Apache z szyfrowaniem SSL Apache / mod_ssl Apache-SSL Apache / mod_ssl wymaga zainstalowania bibliotek OpenSSL rekompilacji serwera Apache z poprawkami (patch) implementującymi EAPI zainstalowania modułu mod_ssl wersja modułu musi być zgodna z wersją serwera Apache <mod_ssl-version>-<apache-version> skonfigurowania serwera w pliku httpd.conf uruchomienia SSLEngine on 9

Konfiguracja mod_ssl - certyfikaty SSLCertificateFile i SSLCertificateKeyFile Wskazują ścieżki do plików z certyfikatem serwera oraz z kluczem prywatnym (jeżeli to inny plik) Konieczne, ponieważ serwer HTTPS musi przedstawiać się swoim certyfikatem Nazwa CN musi pokrywać się z adresem DNS Pliki w kodzie PEM Mogą wystąpić osobne dyrektywy wskazujące certyfikaty z szyfrem RSA i DSA SSLPassPhraseDialog Jak httpd ma uzyskać hasło do zaszyfrowanego klucza SSLCertificateChainFile Plik powinien zawierać certyfikaty wszystkich CA podpisujących certyfikat serwera (całą ścieżkę certyfikacji) w pliku PEM 10

Autoryzacja przez certyfikaty klientów SSLVerifyClient Może być: none, optional, optional_no_ca, require SSLVerifyDepth Maksymalna liczba pośrednio weryfikowanych CA w ścieżce Powinna być mała, 1 => certyfikat podpisany przez CA znane serwerowi SSLCACertificatePath Katalog zawierający wszystkie certyfikaty CA, uznawane za znane przez serwer Do każdego pliku z certyfikatem należy utworzyć dowiązanie symboliczne o nazwie wartość-hash.n Nazwę dowiązania otrzymuje się ze skrótu nazwy DN SSLCARevocationPath Katalog zawierający listy unieważnionych certyfikatów dla zainstalowanych CA z linkami wartość-hash.rn SSLCACertificateFile, SSLCARevocationFile 11

Elektroniczna obsługa kont bankowych Realizowana poprzez bezpieczny serwis HTTPS Certyfikat serwera powinien zapobiegać podszywaniu się Podpisany przez zaufanego dostawcę certyfikatów (np. VeriSign, Entrust) Serwer wymusza bezpieczny poziom szyfrowania Dostęp do serwisu wymaga uwierzytelnienia Proste hasło (niebezpieczeństwo przechwycenia przez oprogramowanie lokalne) Hasła jednorazowe Tokeny identyfikacyjne Niektóre operacje wymagają dodatkowego potwierdzenia PIN przesłany SMS em na telefon użytkownika Autoryzacja telefoniczna 12

Przelew bankowy Przekazanie środków pieniężnych z jednego konta na drugie Płatnik inicjuje przelew ze swojego konta, podając konto odbiorcy (IBAN) Bank płatnika przekazuje do banku odbiorcy polecenie udostępnienia środków na koncie odbiorcy (poprzez bezpieczne połączenie np. SWIFT) Komunikat zawiera również informacje do rozliczenia międzybankowego Jeżeli pomiędzy bankami nie ma porozumienia dot. rozliczeń, to przelew poprzez bank korespondencyjny W Polsce pośrednikiem jest Elektroniczna Izba Rozrachunkowa ELIXIR Opłata za przelew Pokrywana przez płatnika lub odbiorcę lub obie strony Może być bardzo wysoka w przypadku przelewów międzynarodowych Dyrektywa unijna ogranicza wysokość opłat w obrębie 32 krajów SEPA (do poziomu opłat lokalnych) Ryzyko transakcji Stosunkowo bezpieczne, uwierzytelnienie nadawcy i odbiorcy Ryzyko związane z anonimowym odbiorcą Podatne na oszustwo transakcja jest nieodwracalna 13

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres