Безопасность в Интернете

Краткое содержание третьего занятия:

• Интернет безопасность

• Шифрование (криптография) с секретными ключами

• Шифрование открытыми ключами

• Целое умножение

• Протокол обмена ключами

• Электронные сертификаты

• Использование временных меток

• Инфраструктура открытых ключей (PKI)

• Протоколы систем защиты

• Протокол защищенных сокетов (SSL)

• Защищенные электронные транзакции (SET)

• Атаки на безопасность

• Церберы

• Биометрика

Интернет безопасность

• Количество попыток взлома безопасных соединений увеличивается

• Четыре требования для проведения безопасных транзакций:

  • Конфиденциальность- к информации не могут получить доступ не авторизированные лица

  • Целостность - подтверждение того, что информация не замещена третьими лицами

  • Аутентификация - лицо, посылающее и принимающее информацию сначала идентифицируются и подтверждают свою личность

  • Невоспроизводимость - легальное обоснование, что это сообщение ушло и было получено принимающей стороной

• Доступность (компьютерные системы доступны некоторое количество времени)

Шифрование (криптография) с секретными ключами

• Характеристики:

  • Один и тот же ключ шифрует и расшифровывает сообщения

  • Тот, кто посылает сообщения, должен поделиться своим ключом с получателем зашифрованного сообщения

• Проблемы:

  • Ключ должен, каким то образом передаваться получателю информации

  • Для каждого получаемого сообщения от разных лиц нужны свои ключи

• Алгоритм шифрования

  • Стандарт шифрования данных (DES), Тройной DES, Улучшенный стандарт шифрования (AES)

Шифрование открытыми ключами

• Ассимеричность - два обратнозависимых криптографических ключа

  • Секретный ключ

  • Открытый ключ

• Если шифрование производится открытым ключом, то расшифровать сообщение можно только секретным ключом, и наоборот

• Или открытый или секретный ключи могут использоваться для шифрования

• Алгоритм открытых ключей RSA www.rsasecurity.com

Целое умножение

• Две центральных проблемы в истории математики:

  • Определение того является ли некоторое целое число простым числом

  • Определение целого множителя для некоторого целого числа

• Разделение на множители предположим 200 значного числа на сегодняшний день является невозможным даже для самых быстрых компьютеров при использовании самых оптимизированных на сегодня алгоритмов

• Перемножение целых чисел рассматривается как односторонняя функция

• Для деталей смотри: http://www.math.clemson.edu/faculty/Gao/crypto_mod/node1.html

Протокол обмена ключами

• Шифрование открытыми ключами:

  • Намного медленнее, чем шифрование с использованием симметричного криптографического ключа

  • Обычно передается симметричный ключ во время взаимного обмена, и для этого используется термин "рукопожатие" (handshake)

• Протокол обмена ключами:

• Процесс, при котором стороны могут обмениваться ключами

• Электронный конверт включает:

• Зашифрованное сообщение, используя симметричный ключ

• Симметричный ключ, закодированный открытым ключом

• Цифровая подпись

Электронные сертификаты

• Идентификация держателя открытого ключа

• Издаются подтвержденными сертификационными органами (CA-certificate authorities) Безопасная передача

1. Сообщение "режется" по кускам до длины префикса профиля сообщения (короткой цифровой строки фиксированной длины, формируемой из более длинного сообщения с использованием специального алгоритма) . 2. Сообщение кодируется с помощью секретного ключа подписи посылающего лица, и создается электронная подпись. 3. Созданное сообщение, цифровая подпись и сертификат отправителя кодируются тем же симметричным ключом, который генерируется на компьютере отправителя для отправки любого сообщения. В результате получатся одно цельное закодированное сообщение. Протокол SET для кодирования использует алгоритм DES вместо RSA так как DES работает намного быстрее по сравнению с RSA. 4. Симметричный ключ сам кодируется с помощью открытого ключа получателя, который должен быть заранее передан посылающему лицу. В результате получается цифровой конверт. 5. Зашифрованное сообщение и цифровой конверт передаются через Интернет на компьютер получателя.м 6. Электронный конверт декодируется с помощью секретного обменного ключа получателя. 7. Используя симметричный восстановительный ключ пришедшее сообщение расшифровывается на составляющие его части: само сообщение, цифровая подпись и сертификат посылающего лица. 8. Для подтверждения целостности, цифровая подпись расшифровывается используя открытый ключ посылающего лица и образуется профиль сообщения. 9. Поступившее сообщение собирается из кусков. 10. Профиль сообщения, полученный вследствие шагов 8 и 9 соответственно, сравнивается с отправителем для подтверждения того что в результате посылки сообщения оно не было изменено третьими лицами. Этот шаг подтверждает логическую целостность сообщения. Безопасная передача

Использование временных меток

• Связывает с самим сообщением дату о времени создания сообщения специальным образом, что является еще одним подтверждением достоверности

• Третьи лица, агентство проставления временных меток, специальные сообщения содержащие только временную метку

Инфраструктура открытых ключей (PKI)

• Сертификационные органы распространяют цифровые сертификаты

• Вэрисайн- Verisign (www.verisign.com)

  • Ведущий сертификационный орган

• Паспорт микрософта

  • Электронный бумажник с функцией аутентификации

  • У компаний Америка онлайн и Сан Микросистемс есть свои альтернативные системы аутентификации

Протоколы систем защиты

• Транзакционные безопасные протоколы

• Протокол защищенных сокетов (протокол, гарантирующий безопасную передачу данных по сети; комбинирует криптографическую систему с открытым ключом и блочное шифрование данных) (SSL)

• Защищенные электронные транзакции (SET)

Протокол защищенных сокетов (SSL)

• Разработан компанией Нетскейп

• Использует открытые ключи и цифровые сертификаты

• Защищает информацию, передающуюся через сеть Интернет

  • Защита заканчивается в момент собирания пакетов на сервере принимающей стороны

• Продуманный, простой и очень часто используемый

Защищенные электронные транзакции (SET)

• Разработаны совместно компаниями Виза и МастерКард

• Созданы для защиты платежей в отрасли электронной коммерции

• Требования

  • У продавцов должен быть цифровой сертификат и специальное SET программное обеспечение

  • У покупателей должны быть специальные цифровые сертификаты и цифровой бумажник

• Цифровые бумажники

  • В них хранится идентификационная информация и информация о кредитных карточках

• Система является достаточно сложной по своей структуре и маловероятно, что она будет широко использоваться

Атаки на безопасность (Security Attacks)

• Отказ от обслуживания (на поступившие запросы)

  • Сеть компьютеров начинает перегружать сервер большим количеством "пустых запросов" и блокирует нормальную работы информационных сервисов в сети

  • Фактически происходит "затопление" серверов большим количеством входящих пакетов

• Вирусы

  • Программы которые могут портить или удалять файлы

  • Могут посылаться как вложения по электронной почте или вписывать себя в другие программы

• Черви

  • Могут самостоятельно и интеллектуально самовоспроизводиться в сетях

• Типы вирусов

  • Прилипающие вирусы

    • Вписывают себя в код запускаемой рабочей программы

    • Запускаются каждый раз когда происходит запуск программы

  • Резидентные вирусы

    • Однажды попав в память находятся там все время пока происходит работа с компьютером

  • Логические бомбы

    • Срабатывают когда свершается какое то определенное условие, например дата, до этого времени их практически невозможно обнаружить

• Искажение веб содержания

  • Хакеры незаконно изменяют содержание веб страниц

• Антивирусное программное обеспечение

• Реактивное - может отследить только уже известные вирусы

  • Программа (VirusScan) просматривает информацию на компьютере и определяет на наличие вирусов(Более подробная информация здесь http://www.mcafee.com

  • Программа (ActiveShield) автоматически проверяет все загруженные из сети файлы

  • Еще один распространитель антивирусного ПО http://www.symantec.com

• Команда по оперативному реагирование на компьютерные внештатные ситуации (CERT)http://www.cert.org

  • Реагирует и исследуте всме сообщения о появлении новых вирусах и других типах атак

  • Производит специальные модули обновления систем безопасности - (CERT security improvement modules)

"Церберы"

• От 70 до 90 процентов атак являются внутренними

• Церберы - это протокол с открытым исходным кодом

  • Разработан в MIT (Массачусетский Технологический Институт)

  • Использует симетричные секретные ключи для аутентификации

  • Пользователи аутентифицируются по имени и паролю и им выдается "билет" на пользование системой на какое то определенное время

• Цербер v5 используется в паролях

Биометрика

• Аутентификация по уникальной личностной характеристике

  • Отпечатки пальцев, голос, радужная оболочка глаза или сканирование лица

  • Стоимость сканирующих устройств очень сильно упала за последнее время

  • Известны две крупные компании занимающиеся разработкой данной технологии IriScan и Keytronic

  • Микрософт будет использовать Биометрический Программный интерфейс (BAPI) в будущих версиях Winodws

  • В настоящее время актуален вопрос:будет ли необходимым применения криптографических ключей (PKI) с началом использования биометрики?

• Другой нерассмотренный метод аутентификации - это использование смарт карт (smart cards)

Стеганография

• Информация, которая прячется в другую информацию

• Картинка внутри картинки (или аудио клип и т.д.)

• Может быть обнаружена и может служить доказательством подлинности оригинала

Цифровые водяные знаки

• Могут быть заметными и незаметными

• Чаще всего, это логотип компании или какое то высказывание

  • Встраиваются в музыкальные цифровые произведения и изображения

  • Могут использоваться как доказательство права собственности

  • Их нельзя отдельно выделить и удалить, не нарушаю при этом целостность данных

  • Размещаются в случайном порядке

  • Если попытаться их удалить, то чаще всего это повредит информацию