Sunteți pe pagina 1din 43

Securitate informatic

7 martie 2012

UTI Grup

7 martie 2012

Structura

1. Concepte de securitatea informaiilor


2. Fundamente criptografice
3. PKI
4. Servicii PKI
5. Workshop PKI

6. ntrebri

UTI Grup

7 martie 2012

1. Concepte de securitatea
informaiilor

UTI Grup

7 martie 2012

Concepte de securitatea informaiilor


Cele 4 obiective principale ale securitii informaiilor

Confidenialitatea

- accesul la coninutul informaiilor este permis


numai celor autorizai

Integritatea datelor

- asigur c informaia nu a fost modificat prin


mijloace neautorizate sau necunoscute

Autentificare

- confirmarea identitii unei entiti (persoan,


aplicaie, dispozitiv)

Nerepudierea

- serviciu ce mpiedic o entitate s nege


aciunile anterioare

UTI Grup

7 martie 2012

Concepte de securitatea informaiilor


Necesiti de securitate : soluii clasice versus soluii electronice

Confidenialitate Plicuri sigilate

Criptare

Integritate

Semnturi, sigilii,
coduri de bare

Autenticitate

Notari, prezena fizic,


acte de identitate

Semntur digital,
Certificate digitale
(identitate digital)
Algoritmi hash,

Nerepudiere

Semnturi, note de
confirmare

Disponibilitate

Trasee diferite,
mijoace de
transport

UTI Grup

7 martie 2012

message digest,
semntur digital
Semntur digital,
audit de securitate
(fiiere log)
Sisteme redundante,
soluii disaster

recovery
5

Concepte de securitatea informaiilor

Aprarea n adncime

Nivel Logic Reea

Soluii Securitate
Criptare,
Antivirus,
smart-cards, back-up,
certificate digitale
smart-cards,
certificate digitale,
Roled Based Acces
smart logon, certificate
digitale,Single Sign On

Informaii
Aplicaii

Host/SO
Reea
Perimetru reea
UTI Grup

IDS, DMZ, criptare,


semnare digitala, log-uri
Firewall/VPN, liste control al
accesului, politici de rutare, AAA,
redundana
7 martie 2012

2. Fundamente criptografice

UTI Grup

7 martie 2012

Fundamente criptografice
Criptografie

cu cheie simetric

cu cheie public (asimetric)

UTI Grup

7 martie 2012

Fundamente criptografice
Necesitatea cheilor
Protocoalele criptografice sunt publice

Securitatea se regsete n cheile alese


Dac s-ar lucra cu protocoale secrete, spargerea sistemului ar nsemna
nlocuirea complet a algoritmilor

Compromiterea cheii ofer soluia simpl de a nlocui doar cheia i nu


ntregul protocol
Exemplu:
Spargerea unei ui fr urme de for brut duce la decizia normal de a
nlocui broasca
Dac ua ar fi fost prevazut cu o ncuietoare cu cifru, soluia ar fi fost
schimbarea combinaiei ce deschide ua
UTI Grup

7 martie 2012

Fundamente criptografice

Criptarea simetric
Criptarea i decriptarea se realizeaz cu aceeai cheie
Se mai folesete i termenul de cheie secret
(e nevoie de cel puin dou entiti pentru a avea un secret)
Cheie secret
Va informam
prin prezenta,
ca din
22.04.2000,
la sala ..

Mesaj n clar

George
UTI Grup

$%#y^rafyftd
Dsadt^sad^%s
Ds&d^%asa$
A^ds$a^ada

Mesaj criptat

INTERNET
Reea Public

Mediu de
transmisie

7 martie 2012

Va informam
prin prezenta,
ca din
22.04.2000,
la sala ..

$%#y^rafyftd
Dsadt^sad^%s
Ds&d^%asa$
A^ds$a^ada

Mesaj criptat

Mesaj n clar

Cheie secret

Dan
10

Fundamente criptografice

Criptografia cu cheie simetric - avantaje

vitez de calcul ridicat


chei relativ scurte
istorie ndelungat

UTI Grup

7 martie 2012

11

Fundamente criptografice

Criptografia cu cheie simetric - dezavantaje


dificulti n stabilirea unei comunicaii sigure ntre parteneri care nu se
cunosc
problema distribuiei cheii simetrice
(cheia trebuie s rmn secret)
numrul mare de chei simetrice necesare ntre mai muli parteneri
problema administrrii cheilor (key management)
ntr-o comunicaie securizat cheile trebuie schimbate frecvent,
eventual pentru fiecare nou sesiune
atacuri tip brute force

UTI Grup

7 martie 2012

12

Fundamente criptografice

Criptografia asimetrica (cu cheie publica)

Tehnologie nou (jumtatea anilor 70)


Utilizeaz o pereche de chei: cheie privat + cheie public

Cunoaterea cheii publice nu implic deducerea cheii private


Fiecare entitate poseda o pereche de chei
cheia sa public este disponibila intr-o locatie publica

Oricine poate trimite mesaje criptate (cu cheia publica a destinatarului)


dar numai posesorul cheii private (asociate) le poate decripta

UTI Grup

7 martie 2012

13

Fundamente criptografice

Criptarea asimetric
Cheie publica
Dan
Va informam
prin prezenta,
ca din
22.01.2009,
la sala ..

Mesaj n clar

$%#y^rafyftd
Dsadt^sad^%s
Ds&d^%asa$
A^ds$a^ada

INTERNET
Retea Publica

Mesaj criptat

Mesaj criptat
Mediu de
transmisie

George

Va informam
prin prezenta,
ca din
22.01.2009,
la sala ..

$%#y^rafyftd
Dsadt^sad^%s
Ds&d^%asa$
A^ds$a^ada

Mesaj n clar

Cheie privata

Dan

Dan

14

Fundamente criptografice

Criptografia cu cheie public avantaje

Numai cheia privat trebuie inut secret (totui trebuie garantat


autenticitatea cheii publice)
Managementul cheilor se realizeaz mult mai uor
Perechea de chei poate rmne neschimbat pentru mai multe
sesiuni i chiar mai muli ani
Utilizarea n protocoale de semntur electronic

UTI Grup

7 martie 2012

15

Fundamente criptografice

Criptografia cu cheie public dezavantaje


Protocoale mult mai lente dect cele cu cheie simetric
(n lumea real se foloseste criptare hibrida:
- continutul mesajului se cripteaza cu o cheie simetrica
- cheia simetrica se cripteaza cu cheia publica a destinatarului)
Cheile publice trebuie autentificate
Dimensiunea cheilor este mult mai mare
Tehnic destul de recent (jumtatea anilor 70)

UTI Grup

7 martie 2012

16

Fundamente criptografice

Semntura electronic
Cea mai important utilizare a criptografiei cu cheie public

Atinge obiectivele criptografice:


autentificare
integritate

nerepudiere
Soluioneaz problema autentificrii cheilor publice
se utilizeaz un ter de ncredere (TTP Trusted Third Party)

TTP-ul asociaz fiecrei chei publice un titular certificnd astfel


legtura dintre o cheie criptografic i o identitate
certific asocierea printr-o semntur electronic

UTI Grup

7 martie 2012

17

Fundamente criptografice

Semntura electronic
Semntura digital este un serviciu de baz ntr-o infrastructur cu chei
publice (PKI), folosit pentru asigurarea autenticitii documentelor
electronice. Conceptul este similar cu cel de semntur scris.
Cheie privat
George
Semntura digital
Va informam
prin prezenta,
ca din
22.01.2009,
la sala ..

Mesaj n clar

$%#y^rafyftd
Dsadt^sad^%s
Ds&d^%asa$
A^ds$a^ada

$%#y^rafyftd
Dsadt^sad^%s
Ds&d^%asa$
A^ds$a^ada

INTERNET
Digest

Semntura digital

Reea Public

Va informam
prin prezenta,
ca din
22.01.2009,
la sala ..

Mesaj n clar

UTI Grup

George

Cheie public Digest


George
Va informam
prin prezenta,
ca din
22.01.2009,
la sala ..

Mediu de
transmisie

7 martie 2012

Mesaj n clar

COMPARARE

$%#y^rafyftd
Dsadt^sad^%s
Ds&d^%asa$
A^ds$a^ada

Digest

Dan

18

Fundamente criptografice
Fiecare utilizator dispune de o pereche de chei

cheie privat
Se afl n posesia proprietarului

Nu se poate deduce din cheia public


Este folosit numai de ctre proprietar
cheie public
Se public ntr-o locaie cunoscut sub forma unui
certificat digital
Este folosit de ctre ali utilizatori
UTI Grup

7 martie 2012

19

Fundamente criptografice

Cheie public Certificat Autoritate de certificare


Certificatul este un ir de octei n format standard (X.509), care
conine datele de identificare ale unui utilizator mpreun cu
cheia sa public

Certificatul este emis si semnat digital de catre o Autoritate de


certificare care garanteaz corespondena dintre cheia public
i datele titularului menionate n certificat

UTI Grup

7 martie 2012

20

Fundamente criptografice

Certificat digital = identitatea digitala a titularului

Informaii cuprinse n certificatul digital:


Versiune
Numr serial
Algoritm de semnare
Emitent
Perioada de valabilitate
Subiect
Cheia public

UTI Grup

7 martie 2012

21

3. PKI

UTI Grup

7 martie 2012

22

PKI
Ce este PKI ?
PKI = Public Key Infrastructure ( Infrastructur cu chei publice )
Set de standarde pentru vehicularea securizat a informatiilor
electronice, avnd la baz conceptul de chei publice si private.

Cel mai rspndit sistem de securitate electronic pentru retele


publice (nesigure) si private.
Aplicatii ale infrastructurilor PKI
Securizare e-mail si alte comunicatii de date:
Comunicatii electronice de la persoan la persoan
Sisteme pentru managementul documentelor
Securizare tranzactii WEB:
Comunicatii criptate VPN (Virtual Private Network)
Tranzactii electronice
UTI Grup

7 martie 2012

23

PKI

PKI furnizeaz:
Autentificare
Utilizatori i dispozitive de reea
Nerepudierea i integritatea datelor
Semnatura electronic
Marca temporal (time stamp)
Confidenialitate
Securizarea transportului
Criptare fiiere
Criptare email
UTI Grup

7 martie 2012

24

Participani ntr-un PKI

Autoritatea de certificare
emitent de certificate
Titularii de certificate
proprietarii perechilor de chei (privat, public), utilizatori ai
certificatelor digitale
Prile partenere
au ncredere n certificatele digitale ale altor utilizatori

UTI Grup

7 martie 2012

25

PKI nu este doar un proiect tehnic


Legal
Politici de certificare (CP, CPS)
Rspundere

Organizaional
nregistrare
Distribuire
Revocare
Help Desk
Training
Operaional
Locaii securizate
Recuperare n cazul dezastrelor (Disaster Recovery)
Audituri de securitate

UTI Grup

7 martie 2012

26

Structura unei CA
Autoritatea de certificare - CA (Certification Authority)
emite certificate
menine informaii despre starea certificatelor i emite liste
de certificate revocate (CRL)
public certificatele neexpirate i CRL

Autoritatea de nregistrare RA (Registration Authority)


verific coninutul unui certificat n numele unui CA

informaiile furnizate CA-ului despre un utilizator vor fi cele


scrise n certificat

Componenta de publicare (repository)


public certificatele utilizatorilor i CRL-urile

Arhiva
pstreaz informaiile despre certificate pe termen lung

UTI Grup

7 martie 2012

27

Arhitecturi PKI
Arhitectur cu CA unic
CA

Alice

Bob

Pro
simplitate
Contra
nu se poate utiliza pentru organizaii mari

compromitere CA => reemiterea tuturor certificatelor


UTI Grup

7 martie 2012

28

Arhitecturi PKI
Arhitectur cu list de ncredere
CA
Org 1
Lista de
CA
ncredere Org 2
a lui Alice
-

CA Org 2

CA Org 1

Alice

Bob

Carol

Dave

Pro
simplitate
nu exist ci de certificare
mecanism uor de adugare de noi CA-uri la PKI
Contra

utilizatorul actualizeaz manual informaiile despre CA-urile din lista sa


UTI Grup

7 martie 2012

29

Arhitecturi PKI
Arhitectur de tip ierarhic

CA
Org

CA
Resurse
umane

Alice

CA
Org

Bob

CA
Org

Carol

David

Pro
simplitate
compromiterea unei CA subordonate nu afecteaz relaiile dintre
utilizatorii altor CA-uri
Contra
compromitere CA Org(Root) duce la compromiterea ntregului PKI
UTI Grup

7 martie 2012

30

4. Servicii PKI

UTI Grup

7 martie 2012

31

Servicii PKI
1.

Time-stamp marc temporal

Cum certifici cnd a fost creat sau modificat un document ?


Cerine:
Trebuie marcate temporal datele i nu structura de
stocare (timpul asociat de OS unui fiier nu e de
ncredere)
Data i timpul mrcii temporale s nu poat fi falsificate

2.

OCSP Online Certificate Status Protocol


Protocol de validare online a strii unui certificat

UTI Grup

7 martie 2012

32

Time-stamp

Definiie:
Dovada c un fragment de informaie a existat la un anumit moment anterior,
indicat de marca temporal.

Exemple:
o carte potal, o scrisoare nedeschis cu tampila potei
un document semnat i datat de ctre un notar

time-stamp electronic
Serviciu furnizat de o Autoritate de time-stamp (TSA Time Stamp Authority)

funcioneaz ca un TTP
dispune de o pereche de chei (public, privat) i de un certificat
server de time-stamp vs. server de timp
UTI Grup

7 martie 2012

33

Time-stamp

Utilizri ale mrcii temporale


Uzuale
Cercetare i patentare: dovada c ai fost primul

Credibilitate pentru documente organizaionale


Credibilitate pentru fotografii, audio, video

n criptografie
Protecie pe termen lung a semnturilor electronice mpotriva
compromiterii cheii, expirrii certificatului i slbiciunii algoritmilor:
time-stamp-ul poate demonstra c o semntur a fost creat nainte de
compromitere / expirare / spargerea algoritmului

UTI Grup

7 martie 2012

34

Time-stamp

Marcarea temporal
Document

Registru TSA

marca temporal

d
Se folosete o

TSAPri(Timp, h(d)) = ts

funcie hash: h

h(d)

h(d)

TSA include timpul i


semneaz cu cheia sa privat
TSAPri

TSA

Client

UTI Grup

h(d) + timp+ts

7 martie 2012

35

OCSP Online Certificate Status Protocol

Revocarea
Ce este revocarea?
Aciune a CA-ului (emitentul certificatului)
Excluderea din PKI a unui participant din diferite motive

Avem nevoie de revocare?


Compromiterea cheii private
Modificarea elementelor de identificare ale titularului

Parol uitat
PKI este la fel de mult de sigur ca i mecanismul de revocare
Cum aflm dac a avut loc o revocare?

CRL
OCSP
UTI Grup

7 martie 2012

36

OCSP Online Certificate Status Protocol

CRL
Conine numere seriale de certificate
Data expirrii
Data urmtoarei actualizri
Semnat electronic de CA-ul emitent
Disponibil public

OCSP - Serviciu furnizat de un Server OCSP


Poate fi chiar CA-ul emitent
Poate fi un TTP independent
Clientul cunoate adresa server-ului
Clientul trimite un numr serial
Serverul trimite rspuns semnat electronic: good, revoked, unknown

UTI Grup

7 martie 2012

37

OCSP Online Certificate Status Protocol

Structura unui CRL standard


CertificateList ::= SEQUENCE {
tbsCertList
signatureAlgorithm
signatureValue
TBSCertList ::= SEQUENCE {
version

signature
issuer
Name,
thisUpdate
nextUpdate
revokedCertificates
userCertificate
revocationDate
crlEntryExtensions

crlExtensions

UTI Grup

TBSCertList,
AlgorithmIdentifier,
BIT STRING }
Version OPTIONAL,
-- dac e prezent, va fi v2
AlgorithmIdentifier,
Time,
Time OPTIONAL,
SEQUENCE OF SEQUENCE {
CertificateSerialNumber,
Time,
Extensions OPTIONAL
-- dac e prezent, va fi v2
} OPTIONAL,
[0] EXPLICIT Extensions OPTIONAL
-- dac e prezent, va fi v2
}
7 martie 2012

38

OCSP Online Certificate Status Protocol

OCSP Cerere/Rspuns

Versiune protocol
Service request
Identificatorul certificatului

Client
Identificatorul certificatului
Valoarea strii certificatului

UTI Grup

7 martie 2012

Server
OCSP

39

5. Workshop PKI

UTI Grup

7 martie 2012

40

Workshop PKI
Certificate digitale
[15 min] [practic]
Campuri si extensii standard vizualizate in Windows
Simplu vs. calificat (indicarea extensiei de calificat)
Certificate Demo certSIGN generare pe www.certsign.ro
shellSAFE (clickSIGN), dispozitiv criptografic
[30 min] [practic]

semnare/criptare
marca temporala
validare OCSP si LDAP(certificate valid si revocat)
corupere semnatura
mail securizat Outlook
[15 min] [practic]
semnare email
criptare email

UTI Grup

7 martie 2012

41

6. ntrebri

UTI Grup

7 martie 2012

42

Contact

Bogdan PTRACU
Security Product Engineer, CISSP, MCSE, MCSA, MCTS, Security+
Implementation, Integration & Support Department
certSIGN
E-mail:

bogdan.patrascu@certsign.ro
bogdan.patrascu@uti.eu.com

Florian OPREA
Security Product Engineer, MCSA, MCTS
Implementation, Integration & Support Department
certSIGN
E-mail: florian.oprea@certsign.ro
florian.oprea@uti.eu.com
UTI Grup

7 martie 2012

43