Documente Academic
Documente Profesional
Documente Cultură
Protocoale de securitate
27.04.2015
Protocoale de comunicaie
Rezumatele mesajelor
Rezumat al mesajului (Message Digest, MD): caracterizeaz
mesajul.
Proprieti:
Cunoscnd P, este uor s se calculeze MD(P).
Cunoscnd MD(P), este practic imposibil s se afle P.
Cunoscnd P nimeni nu poate gsi P astfel ca MD(P) = MD(P).
O schimbare de 1 bit a intrrii produce o ieire mult diferit.
DA
cheie de cifrare
calcul MD
Alice
27.04.2015
Dispozitiv
calcul
MD
cifrare MD
Dispozitiv
cifrare
P
text clar
Protocoale de comunicaie
P, DA(MD(P))
text
clar semnat
Bob
27.04.2015
Protocoale de comunicaie
27.04.2015
Protocoale de comunicaie
27.04.2015
Protocoale de comunicaie
Semnturi digitale
Echivalentul unei semnturi pe hrtie, n format electronic.
Bazate pe:
Chei simetrice.
Chei publice.
Rezumate de mesaje.
Semntura poate fi trimis:
mpreun cu textul clar, ntr-un singur mesaj.
Separat de textul clar, n 2 mesaje.
27.04.2015
Protocoale de comunicaie
1
RNG
A, KA(B, RA, t, P)
2
Big Brother
Alice
P
text clar
27.04.2015
Protocoale de comunicaie
Algoritmi:
RSA: bazat pe factorizare numere mari)
DSS (Digital Signature Standard): bazat pe logaritmi discrei.
cifrare
Alice
P
text clar
Calculatorul
lui Alice
27.04.2015
Dispozitiv
cifrare
transmitere
pe linie
Dispozitiv
cifrare
DA(P)
text cifrat
DA
cheie secret
Dispozitiv
cifrare
Dispozitiv
descifrare
cifrare
P
Bob
DA(P)
text clar
text cifrat
C=EB(DA(P))
text cifrat
EB
cheie public
Calculatorul
DB
lui Bob
EA
cheie secret cheie public
Protocoale de comunicaie
DA
cheie secret
calcul MD
Alice
P
text clar
Dispozitiv
calcul
SHA-1
cifrare
rezumat
H(P)
rezumat
Dispozitiv
cifrare
RSA
DA(H(P))
rezumat
semnat
P, DA(H(P))
text
clar semnat
Bob
160 bii
lungime arbitrar
27.04.2015
Protocoale de comunicaie
Dispozitiv
cifrare
RSA
P, DA(H(P))
text
clar semnat
recepionat
P
Calculatorultext clar
primit
lui Bob
27.04.2015
H'(P)=
EA(DA(H(P)))
rezumat
primit
Verificare
H == H'?
Dispozitiv
calcul
SHA-1
Protocoale de comunicaie
Bob
H(P)
rezumat
calculat
10
27.04.2015
Protocoale de comunicaie
11
Alice
Cere (GET)
pagina lui Bob
EB
cheie public
Trudy
Bob
2
Primete pagina fals
cu ET n loc de EB
Calculatorul
lui Alice
Trimite ET(P)
Calculatorul
lui Trudy
Calculatorul
lui Bob
Trimite EB(P)
27.04.2015
Protocoale de comunicaie
12
Certificate
Un certificat e semnat de o autoritate de certificare CA
(Certificate Authority).
Rol: leag cheia public de un proprietar (principal) sau de un
atribut.
27.04.2015
Protocoale de comunicaie
13
27.04.2015
Protocoale de comunicaie
14
Certificate (Firefox)
27.04.2015
Protocoale de comunicaie
15
X.509
Cmpurile de baz dintr-un certificat X.509:
Cmp
Semnificaie
Versiune
Numr de serie
Algoritm de semnare
Emitent
Perioada de validitate
Numele subiectului
Cheia public
ID emitent
ID subiect
Extinderi
Semntura
27.04.2015
Protocoale de comunicaie
16
CA
Autoritate de ncredere care certific faptul c cheia public inclus
aparine persoanei cu numele ataat.
CA: administraie central care elibereaz certificate:
Organizaie sau companie: pentru angajai.
Universitate: pentru studeni.
CA publice (VeriSign): pentru clieni.
27.04.2015
Protocoale de comunicaie
17
27.04.2015
Protocoale de comunicaie
18
Revocarea certificatelor
Un certificat trebuie revocat cnd:
Cheia primar (secret) este compromis;
Cheia primar este pierdut;
O persoan pleac din companie.
27.04.2015
Protocoale de comunicaie
19
27.04.2015
Protocoale de comunicaie
20
Componente PKI
27.04.2015
Protocoale de comunicaie
21
SSL/TLS:
Acces sigur la servere Web.
SET:
Secure Electronic Transactions.
IPSec
n VPN pentru criptare i autentificare .
27.04.2015
Protocoale de comunicaie
22
Securitatea comunicaiei
IPsec
Ziduri de protecie (Firewalls)
Virtual Private Networks (VPN).
27.04.2015
Protocoale de comunicaie
23
IPsec
Are dou pri:
Descriere antet (discutat aici)
Generare chei
27.04.2015
Protocoale de comunicaie
24
IPsec
ESP: Encapsulating Security Payload
Security parameters index
Sequence number
Initialization vector (pentru criptare date)
HMAC Hashed Message Authentication Cod
27.04.2015
Protocoale de comunicaie
25
Firewalls
Firewall: dou rutere de filtrare a pachetelor i o poart de nivel
aplicaie:
27.04.2015
Protocoale de comunicaie
26
27.04.2015
Protocoale de comunicaie
27
27.04.2015
Protocoale de comunicaie
28
27.04.2015
Protocoale de comunicaie
29
Protocoale de autentificare
Folosesc:
Cheie secret partajat.
Stabilirea unei chei partajate: Diffie-Hellman.
27.04.2015
Protocoale de comunicaie
30
A
Alice
RB
KAB(RB)
Calculatorul
lui Alice
RA
KAB(RA)
27.04.2015
1
2
Bob
3
4
5
Protocoale de comunicaie
Calculatorul
lui Bob
31
RB, KAB(RA)
KAB(RB)
1
2
3
Calculatorul
lui Alice
27.04.2015
Bob
Calculatorul
lui Bob
Protocoale de comunicaie
32
A, RT
RB, KAB(RT)
A, RB
Calculatorul
lui Trudy
RB2, KAB(RB)
KAB(RB)
27.04.2015
1
2
S1
Bob
3
4
5
Protocoale de comunicaie
S2
Calculatorul
lui Bob
S1
33
Alice
Calculatorul
lui Alice
27.04.2015
RA
RA
KAB(RA)
KAB(RA)
S2
RA2
S1
RA2
KAB(RA2)
KAB(RA2)
10
Protocoale de comunicaie
Trudy
S1
S2
S1
Calculatorul
lui Trudy
S2
S1
34
Autentificarea cu HMAC
RA
Alice
Calculatorul
lui Alice
27.04.2015
1
2
Bob
3
Calculatorul
lui Bob
Protocoale de comunicaie
35
Alege x
Alice
n, g,
gx
mod n
RNG
Calculatorul
lui Alice
Alege y
RNG
gy
mod n
27.04.2015
Bob
Calculatorul
lui Bob
Protocoale de comunicaie
36
Atacul man-in-the-middle
Alege x
Alice
Trudy
Alege z
RNG
Calculatorul
lui Alice
27.04.2015
n, g, gx mod n
gz
mod n
n, g, gz mod n
RNG
RNG
Calculatorul
lui Trudy
Protocoale de comunicaie
Alege y
gy
mod n
Bob
Calculatorul
lui Bob
37
Alice
Calculatorul
lui Alice
27.04.2015
A, KA(B, KS)
KDC
Key
Distribution
Center
Protocoale de comunicaie
Bob
KB(A, KS)
Calculatorul
lui Bob
38
RA, A, B
Alice
Calculatorul
lui Alice
KS(RA2-1), RB
KS(RB-1)
27.04.2015
KDC
Bob
3
4
Calculatorul
lui Bob
Protocoale de comunicaie
39
KB,KDC(RB1)
RA1, A, B, KB,KDC(RB1)
1
2
Bob
3
4
KDC
Calculatorul
lui Alice
27.04.2015
Protocoale de comunicaie
Calculatorul
lui Bob
6
7
40
A, B, R, KA(A, B, R, RA)
Alice
Calculatorul
lui Alice
27.04.2015
A, KA(A, B, R, RA),
B, KB(A, B, R, RB)
KDC
KA(RA, KS)
Protocoale de comunicaie
KB(RB, KS)
Bob
Calculatorul
lui Bob
41
Kerberos
Protocol autentificare.
Dezvoltat n proiectul Athena la Massachusetts Institute of
Technology.
Sistem de securitate care ofer:
Autentificare;
Autorizare;
Confidenialitatea mesajelor.
27.04.2015
Protocoale de comunicaie
42
Obine
tichet
Calculatorul
lui Alice
27.04.2015
AS
Bob
3
4
5
6
Protocoale de comunicaie
TGS
Calculatorul
lui Bob
43
Cere EB
Alice
Calculatorul
lui Alice
27.04.2015
Primete EB
A, KA(B, KS)
KB(B, KS)
KA(B, KS)
Primete EA
Cere EA
3
Bob
6
7
Protocoale de comunicaie
Calculatorul
lui Bob
44
27.04.2015
Protocoale de comunicaie
45
27.04.2015
Protocoale de comunicaie
46
Securitatea Web
Atacuri:
nlocuire Home page.
Denial-of-service.
Citire mail-uri.
Furt numere credit card.
Soluii:
Secure Naming.
SSL Secure Sockets Layer.
27.04.2015
Protocoale de comunicaie
47
Secure Naming
(a) Situaie normal
(b) Un atac bazat pe modificarea nregistrarii lui Bob n DNS.
27.04.2015
Protocoale de comunicaie
48
27.04.2015
Protocoale de comunicaie
49
Secure DNS
Fiecare zona DNS are o pereche de chei public/privat.
Informaiile trimise sunt semnate cu cheia privat.
DNS records sunt grupate n RRSs (Resource Record Sets).
n DNS se adaug noi tipuri de nregistrri:
KEY: cheia public a unei zone, utilizator, host, etc.
SIG: hash semnat (criptat) pentru nregistrri A i KEY pentru
verificare autenticitate.
27.04.2015
Protocoale de comunicaie
50
27.04.2015
Protocoale de comunicaie
51
SSL
2 nivele:
Record
Secure Application
2 roluri
Client
Server
27.04.2015
Protocoale de comunicaie
52
Handshaking Messages
ClientHello
ServerHello
*Certificate
ServerKeyExchange
*CertificateRequest
ServerHelloDone
*Certificate
*CertificateVerify
ClientKeyExchange
ChangeCipherSpec
Finished
*=optional
27.04.2015
Protocoale de comunicaie
53
SSL
Versiune simplificat a subprotocolului de stabilire a unei
conexiuni:
Alice
Calculatorul
lui Alice
27.04.2015
Server done
EB(Premaster key)
Change cipher
Finished
Change cipher
Finished
Protocoale de comunicaie
Bob
Calculatorul
lui Bob
54
SSL
Transmiterea datelor folosind SSL:
27.04.2015
Protocoale de comunicaie
55
SSL
Handshaking Protocol
Stabilirea variabilelor de comunicare
ChangeCipherSpec Protocol
Schimbari ce apar in variabilele de comunicare
Alert Protocol
Mesaje importante pentru conexiunea SSL
http://www.openssl.org/docs/ssl/ssl.html
27.04.2015
Protocoale de comunicaie
56
Sumar
Rezumatele mesajelor
Securitatea comunicaiei
Semnturi digitale
Cu chei secrete (simetrice)
Cu chei publice (asimetrice)
Verificare semnatur digital
27.04.2015
S/MIME
SSL/TLS
SET
IPSec
IPSec
Ziduri de protecie (Firewalls)
Virtual Private Networks
Protocoale de autentificare
Cu cheie secret partajat
Cu HMAC
Cu Key Distribution Center
Folosind Kerberos
Cu Public-Key Cryptography
Protocoale de comunicaie
57