47961954 Pitanja i Odgovori 2v

  • View
    37

  • Download
    7

Embed Size (px)

DESCRIPTION

pit

Text of 47961954 Pitanja i Odgovori 2v

  • ApeironPitanja i odgovori 2

    1. Faktori autentikacije korisnikaJedno -, dvo i tro komponentni sistemi autentikacije korisnika.Sistemi jake autentikacije dvo komponentni sistemi sa ukljuenom challenge-response procedurom.Pojavni oblici onoga to se ima: disketa, mini CD, hardverski token, smart kartica, USB smart kartica.Autentikacioni sistemi najvieg kvaliteta dvo ili trokomponentni sistemi autentikacije sa PKI challenge-response procedurom.Jaka autentikacija ovlaenih uesnika u nekom distribuiranom raunarskom sistemu je jedna od najvanijih bezbednosnih funkcija koju dati informacioni sistem treba da implementira. Nain prijavljivanja legalnog korisnika na odreenu raunarsku mreu ili informacioni sistem korienjem standardne procedure unosom korisnikog imena i lozinke sigurno nije dovoljno pouzdano niti dovoljno bezbedno. Naime, postoje tehnike primenom kojih nelegalni korisnik moe u realnom vremenu izvriti rekonstrukciju poverljivih parametara (korisniko ime i lozinka) legalnog korisnika. Komponente (faktori) autentikacije korisnika su: ono to se zna (npr. PIN, username/lozinka), ono to se poseduje (npr. token, smart kartica) i odreena biometrijska karakteristika korisnika (npr. otisak prsta, itd.). Metode jake autentikacije predstavljaju u stvari dvofaktorsku ili dvokomponentnu autentikaciju uz najee primenu odgovarajue challenge-response procedure.

    2. S/MIME Skraenica Secure / Multi Purpose Internet Mail Extension

    Predstavlja bezbednosno proirenje standardnog MIME formata za e-mail poruke

    Digitalna envelopa, digitalni potpis Bazira se na:

    postojeim javnim kriptografskim standardima (PKCS) standard za poruke (MIME) standard digitalnih certifikata (X.509)

    iroko prihvaen standard

    S / MIME (Secure / Multipurpose Internet Mail Extensions) je protokol koji osigurava digitalne potpise i enkripciju Internet MIME poruka. S / MIME, koja koristi RSA (Rivest-Shamir-Adleman) javni-klju za ifriranje tehnologije, je sigurna metoda za slanje e-pote. S / MIME definira kako digitalni certifikat i kodiranje informacije mogu se osigurati kao dio tijela poruke. S / MIME protokolu slijedi sintaksu kako je propisano u PCKS # 7 (Public-Key Cryptography Standard format broj 7). S / MIME predloena je od strane RSA kao standard za Internet Engineering Task Force (IETF). PGP / MIME je alternativa za S / MIME. S / MIME kriptografske prua sigurnosne usluge za e-aplikacije kao to su: integritet poruke, autentifikaciju, a ne-povreda porijekla, privatnosti i sigurnost podataka. Funkcionalnost S / MIME je ugraen u veinu recentnih izdanja sustava e-potu programa ukljuujui Gmail, Outlook Express, Apple Mail, Mozilla Thunderbird, The Bat!, Lotus Notes, Netscape Communicator, Gnus, KMail, Balsa, i Sun Java Messaging .

    S/MIME je IETF standard koji definie zatitu elektronikih poruka, a ukljuuje enkripciju sadraja i digitalno potpisivanje. Rije je o elementu sigurnosti na nivou aplikacije, to znai da se zatita i provjera poruka odvija u klijentu elektronike pote. Budui da S/MIME nije jedini dostupni standard ove namjene, niti je podran u svim klijentima elektronike pote, njegova upotreba moe biti poneto nepraktina. Metode na koje se oslanja S/MIME su pouzdani kriptografski algoritmi za (de)kriptiranje sadraja, izraunavanje saetaka poruka te za generisanje i provjeru digitalnih potpisa. Zatiene poruke umeu se kao prilog u jasni MIME format i tako alju kroz Internet.

    S/MIME zatita Digitalni potpis

    provera autentinosti potpisnika zatita integriteta podataka neporecivost

    Digitalna envelopa zatita tajnosti podataka

    Sertifikati dokaz identiteta strana u komunikaciji

    3.PKCS#7 standard za digitalno potpisanu i ifrovanu (envelopa) porukuPKCS#7 standard opisuje metode ifrovanja podataka korienjem RSA asimetrinog algoritma i najee se koristi za konstrukciju digitalnog koverta i digitalnog potpisa. U sluaju digitalnog koverta, sadraj poruke se prvo ifruje odreenim simetrinim algoritmom (kao to su DES, 3-DES, RC2, RC4, IDEA, AES, ili neki namenski privatni algoritmi). Zatim se tajni klju primenjenog simetrinog algoritma koji je upotrebljen za ifrovanje date poruke ifruje RSA algoritmom upotrebom javnog kljua korisnika kome je data poruka namenjena (RSA public key operacija). Tako ifrovan sadraj poruke i tajni klju kojim je ta poruka ifrovana zajedno predstavljaju digitalni koverat. PKCS#7 standardom se pored bezbednosnih mehanizama definie i unutranja struktura validnih poruka ime se omoguava dodatni mehanizam verifikacije ispravnosti poruka. Naime, svaka poruka koja ima naruenu strukturu se smatra neispravnom i odbacuje se.

    Treba posebno naglasiti da je trenutno aktuelan i vaei PKCS#7 standard verzije 2.1 i da su njime znaajno izmenjene preporuke date u PKCS#7 standardu verzije 1.5, koje se odnose na format bloka podataka koji podlee operacijama ifrovanja i potpisivanja. Razlog za ovakve drastine promene lei u injenici da prema verziji 1.5 pri formiranju bloka za ifrovanje postoji niz bita na poetku bloka koji je uvek isti. To se moe iskoristiti da se bez poznavanja tajnih informacija, samo uz poznavanje ifrata doe do otvorenog teksta. Ovde treba naglasiti da ovim nije kompromitovana bezbednost samog RSA algoritma ve je, grubo govorei, nain njegove upotrebe bio takav da je pod odreenim uslovima dolazilo do oticanja informacija. U verziji 2.1 ovog standarda blok podataka koji se ifruje prethodno se kodira OAEP (Optimal Assymetric Encryption Padding) metodom koja ima dobre bezbednosne karakteristike tako da ak ni dva identina bloka podataka posle kodiranja ovim metodom ne daju isti rezultat. Time su izbegnute slabosti detektovane u verziji 1.5. PKCS#7 standard verzije 2.1 je neophodno primeniti u mehanizmima zatite u specijalizovanim raunarskim mreama i informacionim sistemima.

    4. Zatita web transakcija na aplikativnom nivouU cilju realizacije mehanizama zatite na aplikativnom nivou u okviru informacionog sistema organizacije, predlae se primena digitalnog potpisa i digitalne envelope, na bazi smart kartica za korisnike. Klijentska offline aplikacija (standalone) sa ugraenom kriptografskom bibliotekom treba da ima sledee kriptografske karakteristike:

    Primena mehanizmima zatite na aplikativnom nivou kojima se obezbeuju sledee funkcije:

    o Autentinost potpisnika (asimetrini kriptografski algoritam i tehnologija digitalnog potpisa),

    o Zatita integriteta fajlova (asimetrini kriptografski algoritam i tehnologija digitalnog potpisa),

    o Obezbeenje neporecivosti (asimetini kriptografski algoritam i generisanje kljueva na samim smart karticama i tehnologija digitalnog potpisa),

    o Zatita tajnosti podataka (simetrini kriptografski algoritam i tehnologija digitalne envelope).

    Koriste se tehnologije digitalnog potpisa i digitalne envelope. Univerzalnost u odnosu na smart kartice i itae smart kartice. Klijentska aplikacija sa ugraenom kripto kontrolom mora da obezbedi

    funkciju provere autentinosti korisnika na bazi njegove smart kartice i odgovarajueg PIN-a pre nego to se omogui korienje same aplikacije, tj. aplikacija ne moe da se startuje bez korienja odgovarajue smart kartice ovlaenog korisnika.

    Bazira se na kriptografskim operacijama koje se izvravaju na samoj smart kartici: digitalni potpis i deifrovanje simetrinog kljua kod digitalne envelope .

    Bazira se na PKCS de facto standardima za zatitu, i to:

    o PKCS#1 za digitalni potpis i digitalnu envelopu,o PKCS#7 za format zatienih podataka,o PKCS#11 standardni interfejs za pristup smart karticama.

    Aplikacija treba da bude otvorena za stalnu dogradnju kako novih algoritama tako i za zamenu onih algoritama za koje je utvreno da su kriptografski slabi za korienje.

    Aplikacija treba da bude otvorena za eventualnu ugradnju privatnih simetrinih algoritama kreiranih i verifikovanih od strane nadlene institucije za poslove kriptozatite u zemlji, ukoliko postoje zahtevi za to.

    Klijentska i serverska kripto komponenta treba da u ovom trenutku podri sledee kriptografske algoritme i pridruene duine kljueva:

    o Asimetrini algoritmi RSA algoritam (koji se izvrava na smart kartici) sa duinom asimetrinog kljua od 2048 bita.

    o Hash algoritmi SHA-1, SHA-224, SHA-256, SHA-384 ili SHA-512.

    1

  • o Simetrini algoritmi 3DES algoritam sa duinom kljua od 168 bita ili AES algoritam sa duinama kljua od 128, 192 ili 256 bita.

    5. PGPPretty Good Privacy, osnovne karakteristike:

    Raspoloive verzije za razliite operativne sisteme, Bazira se na primeni testiranih algoritama kao to su: RSA,

    IDEA, MD5.

    Nije razvijan niti kontrolisan od nekog dravnog tela za standarde.

    Digitalni potpis: RSA + MD5

    Kriptografska hash vrednost poruke se dobija primenom MD5 algoritma. Digitalni potpis, dobijen primenom, nad sadrajem hash-a, operacije sa privatnim RSA kljuem, dodaje se poruci.

    Tajnost: RSA + IDEA Poruka se ifruje korienjem IDEA algoritma, primenom

    jednokratnog sesijskog kljua koga generie poiljalac. Sesijski klju se ifruje sa javnim RSA kljuem primaoca i dodaje se poruci.

    Kompresija podataka: ZIP algoritam Poruka se moe, pre realizacije kriptografskih operacija,

    saeti (kompresovati) korienjem ZIP algoritma.ifrovana poruka se konvertuje u ASCII string. Autentikacija: Poiljalac kreira poruku. SHA-1 se koristi za kreiranje 160-bitnog hash otiska poruke. Otisak poruke se se ifruje korienjem RSA algoritma primenom privatnog kljua, i rezultat ifrovanja se dodaje poruci. Primalac koristi RSA algoritam (operacija sa javnim kljuem poiljaoca) da bi izvrio deifrovanje hash koda. Primalac generie vrednost hash koda