Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy i transportowy IPsec SPI (Security Parameter Index)
Kryptografia symetryczna i asymetryczna SZYFROWANIE SYMETRYCZNE postać jawna szyfrowanie!@#$%^ postać zaszyfrowana deszyfrowanie SZYFROWANIE ASYMETRYCZNE postać jawna szyfrowanie: klucz publiczny!@#$%^ postać zaszyfrowana deszyfrowanie: klucz prywatny klucze są matematycznie powiązane prywatny: 2 liczby pierwsze (rzędu 100 cyfr), publiczny: ich iloczyn uzyskanie klucza prywatnego z publicznego praktycznie nierealne: rozkład na czynniki zajmuje kilka milionów lat
wykorzystanie kryptografii asymetrycznej - podpis elektroniczny SZYFROWANIE!@#$%^ szyfruję kluczem publicznym odbiorcy otrzymałem zaszyfrowaną wiadomość... spróbuję odszyfrować swoim kluczem prywatnym... udało się! to była wiadomość do mnie! PODPIS ELEKTRONICZNY!@#$%^ podpisuję swoim kluczem prywatnym otrzymałem podpisaną wiadomość... spróbuję zweryfikować kluczem publicznym nadawcy... udało się! to była wiadomość od nadawcy!
podpis elektroniczny szczegóły
certyfikacja kluczy 2. certyfikuję klucze użytkownika (tj. podpisuję swoim kluczem prywatnym!) CA (Certificate Authority) podejście alternatywne PGP: web of trust, wzajemna certyfikacja użytkowników 5. OK, podany klucz należy do Tadeusza Nowaka właściciel:tadeusz Nowak PKI: Public Key Infrastructure 4. Otrzymałem klucz publiczny.. sprawdzam czy nadawca jest tym za kogo się podaje.. 1. składam wniosek o certyfikację swoich kluczy (prywatnego i publicznego) 3. chcę wysłać dane do Jana Kowalskiego przy wykorzystaniu krypt. asym., przesyłam swoj klucz publiczny.. właściciel:jan Kowalski
IPsec IPsec to zbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy kodowych pomiędzy komputerami. Protokoły tej grupy mogą być wykorzystywane do tworzenia Wirtualnej Sieci Prywatnej (ang. VPN). źródło: http://pl.wikipedia.org
tryb transportowy i tunelowy TRYB TRANSPORTOWY segmentu segmentu szyfrowania segmentu ZASZYFROWANE TRYB TUNELOWY szyfrowania segmentu segmentu ZASZYFROWANE segmentu LAN 10.0.1.0/24 LAN 10.0.2.0/24
Protokoły szyfrowania warstwy sieciowej 2 standardy: - AH (Authentication Header) : autentykacja, integralność - ESP (Encapsulating Security Payload) : autentykacja, integralność, poufność 1 etap: autentykacja i ustalanie tzw. SPI (Security Parameters Index) dla każdego z kierunków transmisji! 2 etap: szyfrowanie osobno dla każdego z kierunków transmisji!
Proces negocjacji parametrów poprzez IKE (Internet Key Exchange) oraz szyfrowanie w protokole ESP SPI 1111 (A B) SPI: 1111 zaszyfrowane dane negocjacja nr sekw.: 3SPI poprzez IKE dla każdego z kierunków transmisji! szyfrowania szyfrowania SPI: 2222 nr sekw.: 7 zaszyfrowane dane SPI 1111 (A B) - Algorytm szyfrowania: DES - klucz szyfrujący: 1234 - rozmiar okna numerów sekwencyjnych : 500 - adresy IP nadawcy: 1.0.0.1 - adres IP odbiorcy: 2.0.0.5 SPI 2222 (A B) - Algorytm szyfrowania: DES - klucz szyfrujący: 1234 - rozmiar okna numerów sekwencyjnych : 500 - adresy IP nadawcy: 1.0.0.1 - adres IP odbiorcy: 2.0.0.5 SPI 2222 (A B) - Algorytm szyfrowania: AES - klucz szyfrujący: 4321 - rozmiar okna numerów sekwencyjnych : 700 - adresy IP nadawcy: 2.0.0.4 - adres IP odbiorcy: 1.0.0.2 - Algorytm szyfrowania: AES - klucz szyfrujący: 4321 - rozmiar okna numerów sekwencyjnych : 700 - adresy IP nadawcy: 2.0.0.4 - adres IP odbiorcy: 1.0.0.2
Racoon przykład pliku konfiguracyjnego path certificate "/etc/racoon/"; sainfo anonymous { pfs_group modp768; encryption_algorithm des ; authentication_algorithm hmac_md5; compression_algorithm deflate; lifetime time 20 seconds; } remote 10.1.1.62 { exchange_mode aggressive,main; my_identifier asn1dn; peers_identifier asn1dn; certificate_type x509 "klient.public" "klient.private"; peers_certfile "serwer.public"; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method rsasig; dh_group 2 ; } }
Tematyka wykładu 3 podsumowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy i transportowy IPsec SPI (Security Parameter Index)