© Jasmin Azemović

ITpredavanja

Sigurnost i/ili privatnost u IT-uKriptografija

© Jasmin Azemović

Summary

• Sigurnost

• Maliciozno ponašanje

• Sigurnosni inženjering

• Elementi sigurnosnog inženjeringa

• Gdje je bitna informacijska sigurnost

• Primjer sigurnosnog sistema

• Principi privatnosti

• Kriptografija (osnovni koncepti)

© Jasmin Azemović

Sigurnost

• Sigurnost je proces, a ne krajnje stanje;

• Vrlo aktuelna problematika u modernom IT društvu;

• Računarska sigurnost je naučna disciplina koja se bavi primjenom informacijskih i komunikacijskih tehnologija u cilju kontrolisanja malicioznih namjera i ponašanja;

Više fokusirana na računarske sisteme u i širem smislu

• Informacijska sigurnost je disciplina fokusirana na konkretnu zaštitu podataka unutar samih informacijskih sistema

© Jasmin Azemović

Maliciozno ponašanje

• Prevare/krađe;

• Špijunaža;

• Sabotaže;

• Spam;

• Ilegalne aktivnosti;

• Vandalizam;

• Elektronski rat (Warfare);

© Jasmin Azemović

Sigurnosni inženjering

• Bavi se izradom sistema koji su otporni na maliciozna ponašanja

Fokusiran na namjerne i/ili slučajne faktore koji se mogu javiti u svakodnevnom radu;

• Za postizanje toga cilju koristi se sa:

alatima

procesima

metodama

• ..u dizajniranju, implemetiranju i testiranju informacijskih sistema;

• Više se fokusira se na namjerne nego slučajne aktivnosti

© Jasmin Azemović

Elementi sigurnosnog inženjeringa;

Pravila Motivisanost

Mehanizmi Uvjerenost

© Jasmin Azemović

Gdje je bitna informacijska sigurnost

• Poslovna okruženja;

• Medicinske institucije;

• Vojna okruženja;

• Kućanstva

• Društvo (eSociety) u cjelini;

• ...

© Jasmin Azemović

Glavni elementi informacijske sigurnosti - CIA

• Confidentiality: prevencija neautorizovanog čitanja informacija:

Kriptografija;

• Integrity: detekcija neautorizovanog pisanja informacija

Kriptografija

• Availability: Podaci trebaju biti dostupni kada su potrebni

Jedan od novih sigurnosnih elemenata

© Jasmin Azemović

Integritet i dostupnost

• Rollback;

• Authenticity;

• Audit;

• Intrusion detection

© Jasmin Azemović

Povjerljivost

• Data protection;

• Anonymity/untraceability;

• Unlinkability

GUID, cookies

• Pseudonymity;

• Unobservability;

© Jasmin Azemović

Primjer sigurnosnog sistema

• Banka

U bankama djeluju veliki broj sigurnosno kritičnih računarskih sustama koji se mogu podjeliti na:

1. Osnovne operacije u banci (računi, transakcije, logiranje..)

• Bookkeeping

2. Bankomati

3. Web okruženje

4. Sistem za razmjenu poruka

5. Poslovnice

© Jasmin Azemović

Prinicipi privatnosti

• Privatnost je pravo svake individude da kontroliše svoje lične podatke.

Definisanje namjene podataka;

Dozvola korisnika za upotrebu pojedinih podataka

Ograničeno prikupljanje podataka;

Ograničena upotrebe podataka;

Ograničeno otkrivanje podataka unutar i van granica sistema;

Ograničeno čuvanje podataka;

Tačnost unesenih podataka;

Implementacija sigurnosnih standarda;

Korisnička dostupnost;

Provjere od strane korisnika

© Jasmin Azemović

KRIPTOGRAFIJA

© Jasmin Azemović

Terminologija...

• Kriptologija - Naučna disciplina kreiranja i razbijanja „tajnih

kodova“

• Kriptografija - kreiranje „tajnih kodova“

• Kriptoanaliza - razbijanje „tajnih kodova“

• Kripto - sve navedeno (i još mnogo toga)

© Jasmin Azemović

...terminologija

•Šifra cipher ili kriptosistem cryptosystem se koriste za enkriptovanje encrypt otvorenog teksta plaintext

•Rezultat šifrovanja je šifrovani tekst ciphertext

•Dekriptovanjem decrypt šifrovanog teksta se ponovo dobivaotvoreni tekst

•Ključ key se korisiti za konfigurisanje kriptosistema

•Kriptosistem simetričnog ključa symmetric key koristi isti ključ za enkriptovanje/dekriptovanje

•Kriptosistem javnog ključa public key koristi javni ključ za enkriptovanje, a privatni ključ private key za dekriptovanje

© Jasmin Azemović

Osnovni principi

•Principi

•Sistem je potpuno poznat napadaču

•Samo je ključ tajan

•Kriptoalgoritam nije tajan

•Ovo je poznato kao Kerckhoff-ov princip

•Zašto je ovako?

• Iskustvo je pokazalo da su tajni algoritmi slabi kada se otkriju

•Tajni algoritam nikada nije ostao tajan

•Prije će se pronaći slabost i ispraviti.

© Jasmin Azemović

Metoda jednostavne zamjene

• Otvoreni tekst: predavanje

• Ključ: 3

a b c d e f g h i j k l m n o p q r s t u v w x y

D E F G H I J K L MN O P Q R S T U VWX Y Z A B

z

C

• Šifrovani tekst:

• SUHGDYDQMH

• Pomjeranje za 3 mjesta je još poznata kao „Cezarova Šifra“

Plaintext

Ciphertext

© Jasmin Azemović

Malo komplikovanija metoda zamjene

• Pomjeri sve za n koji je iz skupa n {0,1,2,…,25}

• Ključ je n

• Primjer: ključ n = 7

a b c d e f g h i j k l m n o p q r s t u v w x y

H I J K L M N O P Q R S T U VWX Y Z A B C D E F

z

G

Plaintext

Ciphertext

© Jasmin Azemović

...Kriptoanaliza...jeli baš tako teško?

• Znamo da je jednostavna zamjena

• Nije pomjerno za n

• Možemo li pronaći ključ u navedenom šifrovanom tekstu:

PBFPVYFBQXZTYFPBFEQJHDXXQVAPTPQJKTOYQWIPBVWLXTOXBTFXQWAXBVCXQWAXFQJVWLEQNTOZQGGQLFXQWAKVWLXQWAEBIPBFXFQVXGTVJVWLBTPQWAEBFPBFHCVLXBQUFEVWLXGDPEQVPQGVPPBFTIXPFHXZHVFAGFOTHFEFBQUFTDHZBQPOTHXTYFTODXQHFTDPTOGHFQPBQWAQJJTODXQHFOQPWTBDHHIXQVAPBFZQHCFWPFHPBFIPBQWKFABVYYDZBOTHPBQPQJTQOTOGHFQAPBFEQJHDXXQVAVXEBQPEFZBVFOJIWFFACFCCFHQWAUVWFLQHGFXVAFXQHFUFHILTTAVWAFFAWTEVOITDHFHFQAITIXPFHXAFQHEFZQWGFLVWPTOFFA

• Tvorci kriptoanalize su Arapi (Al-Kindi)

© Jasmin Azemović

...Kriptoanaliza...jeli baš tako teško?

•Teško je probati svih 288 ključeva

•Šta sad?

•Frekvencija korištenja slova… (eng. erzija)

0,00

0,02

0,04

0,06

0,08

0,10

0,12

0,14

A C E G I K M O Q S U W Y

© Jasmin Azemović

Zimmermanov telegram

•Najpoznatiji primjer codebook šifre u istoriji

•Glavni faktor ulaska USA u I svjetski rat

© Jasmin Azemović

Enigma

© Jasmin Azemović

Vrste kriptografije (moderno doba)

•Simetrična enkripcija

•Asimetrična enekripcija

© Jasmin Azemović

Simetrična kriptografija

• Isti ključ za šifrovanje i dešifrovanje

• Poznati algoritmi:

DES 56 bita

Triple DES 112 bita

AES (Rijndael algoritam)

• Dužina ključa: 128, 192 i 256 bita

• IDEA

• Blowfish

• RC6

• TEA

© Jasmin Azemović

Asimetrična kriptografija

• Dva ključa:

• (public)

• (private)

• DSA

• RSA (najpoznatiji algoritam kriptografijejavnim ključem. Nazvan je po početnimslovima prezimena svojih pronalazačaRivestu, Shamiru u Adlemanu)

• PGP

• GNU Privacy Guard (GnuPG)

© Jasmin Azemović

Primjena

• Email enkripcija

• Šifrovanje fajlova

• Enkripcija diskova

• Zaštita mrežnog saobraćaja

• Podaci u bazama podataka

• ...

© Jasmin Azemović

Pitanja