Upload
orli779
View
255
Download
4
Embed Size (px)
DESCRIPTION
systemova oblast
Citation preview
Informatika 1 systmov oblast
1 seln soustavy, pevody, ascii tabulka
seln soustavy a jejich dlen
seln soustava je zpsob reprezentace sel. Rozliujeme dva zkladn druhy selnch
soustav:
Nepozin seln soustavy
Dnes u se tm nepouvaj, jsou povaovan za zastaran. V tto reprezentaci sel nen
hodnota slice dan jejm umstnm v dan sekvenci sel. asto vbec neobsahuj nulu
a zporn sla. Mezi nepozin seln soustavy pat napklad msk, egyptsk, eck
a etrusk soustavy.
msk slice:
na nkterch mstech se pouvaj dodnes nap. slice na hodinovm cifernku, na strnkch pedmluvy knih, v slovan kapitol, poad panovnk a podobn
jsou sloen z tchto znak: I = 1, V = 5, X = 10, L = 50, C = 100, D = 500, M = 1000
vt slice obvykle pedchzely ni (nap. 4 = IIII), pot se vak v zjmu zkrcen sla ustlilo pravidlo o odtn dvou znak zapisuje se tak, e ni cifra pedbhne cifru, kter je v hierarchii ve. Konkrtn je formln sprvnch 6 zpis:
IV = 4, IX = 9, XL = 40, XC = 90, CD = 400, CM = 900
Pozin seln soustavy
V tomto zpsobu zpisu sel je hodnota kad slice dan jej pozic v sekvenci symbol.
Klovou charakteristikou pozinch soustav je jejich zklad. To je obvykle pirozen slo
vt ne jedna. Vhy jednotlivch slic jsou potom mocninami tohoto zkladu. Zrove
zklad uruje poet symbol pro slice pouvan v dan soustav. Zklad se obvykle zna
jako z, v literatue se meme setkat i s r od anglickho radix.
Mezi nejpouvanj pozin seln soustavy pat:
binrn (dvojkov) - pouv pouze hodnoty 0 a 1
oktalov (osmikov)
decimln (dekadick, destkov) - m deset symbol pro slice 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 - vhy jednotlivch slic jsou mocniny sla 10: ; 1000; 100; 10; 1; 0,1; ...
Pklad:
2739 = MMDCCXXXIX 1428 = MCDXXVIII 999 =
CMXCIX
hexadecimln (estnctkov) - je-li zklad vy ne 10, pouvaj se pro vt slice velk psmena - pouv symboly 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F.
Hodnotu sla N zapsanho v dan soustav o zkladu z zskme jako souet hodnot
jednotlivch slic vynsobench jejich vhou.
Pevody mezi pozinmi selnmi soustavami
a) pevod z dekadickho tvaru na binrn - slo v dekadickm tvaru se vydl dvma - zbytek po dlen (0 nebo 1) postupn vytv slo v binrnm tvaru, zapisuje
se zprava doleva
- vsledek dlen se opt dl dvma, zbytek se zape dokud vsledek dlen nen roven nule
pklad: 179 : 2 = 88 zb. 1
89 : 2 = 44 zb. 1
+3+
,36,
44 : 2 = 22 zb. 0
22 : 2 = 11 zb. 0 10110011
11 : 2 = 5 zb. 1
5 : 2 = 2 zb. 1
2 : 2 = 1 zb. 0
1 : 2 = 0 zb. 1
existuje jet druh zpsob pevodu:
- zjistme nejvt n-tou mocninu 2, kter je men nebo rovna slu v dekadickm tvaru
- odeteme od sla v dekadickm tvaru 2n a zapeme 1, zapisujeme zleva doprava
- dle, je-li 2n-1 men ne rozdl z pedelho kroku, zapeme 0, v opanm ppad 1
- odeteme od rozdlu, snme mocninu o 1 a opakujeme kroky dokud n=0 pklad: 179 = 27 * 1 zb. 51 (179 128)
51 = 26 * 0 zb. 51
51 = 25 * 1 zb. 19 (51 32)
19 = 24 * 1 zb. 3 (19 16)
16 = 23 * 0 zb. 3
3 = 22 * 0 zb. 3
3 = 21 * 1 zb. 1 (3 2)
1 = 20 * 1 zb. 0
b) pevod z binrn na dekadickou soustavu - jednotliv cifry binrnho tvaru sla se nsob 2n, n je pozice cifry (posledn
cifra: n=0) zprava doleva
- vsledek je souet tchto souin pklad: 1 0 1 1 0 0 1 1
27 2
6 2
5 2
4 2
3 2
2 2
1 2
0
128 + 0 + 32 + 16 + 0 + 0 + 2 + 1 = 179
c) pevod z dekadick soustavy na Y-ovou soustavu: - postupuje stejn jako v prvnm ppad pi pevodu z dekadick na binrn
soustavu s tm rozdlem, e msto dlen 2 se dl slem Y
d) pevod z X-ov na dekadickou soustavu: - postupuje se stejn jako pi pevodu z binrn soustavy s tm rozdlem, e se
msto sla 2 umocuje slo X
e) pevod z hexadecimln na binrn soustavu - zde nen nutn pout mezikrok (z jedn soustavy na dekadickou, z dekadick
na druhou soustavu), pevod je usnadnn dky tomu, e slo 16 je mocninou sla 2 (24 = 16)
- slo rozdlme na jednotliv cifry, kter pevedeme podle nsledujc tabulky:
hexadecimln 0 1 2 3 4 5 6 7
binrn 0000 0001 0010 0011 0100 0101 0110 0111
hexadecimln 8 9 A B C D E F
binrn 1000 1001 1010 1011 1100 1101 1110 1111
pklad: F3A7 1111 0011 1010 0111
f) pevod z binrn na hexadecimln soustavu - vytvome tveice binrnch sel a pevedeme je na hexadecimln - nen-li poet cifer v binrnm vyjden dliteln 4, potom dopeme na levou
stranu nuly tak, aby jsme tveice mohli vytvoit pklad: 0010 1101 0110 1010 2D6A
ASCII tabulka
ASCII je anglick zkratka pro American Standard Code for Information Interchange, tedy
americk standardn kd pro vmnu informac. V podstat jde o kdovou tabulku kter
definuje znaky anglick abecedy, a jin znaky pouvan v informatice. Jde o historicky
nejspnj znakovou sadu, z kter vychz vtina souasnch standard pro kdovn
textu pinejmenm v euro-americk zn.
Kd ASCII je podle pvodn definice sedmibitov, obsahuje tedy 128 platnch znak. Pro
poteby dalch jazyk a pro rozen znakov sady se pouvaj osmibitov rozen ASCII
kdu, kter obsahuj dalch 128 kd. Takto rozen kd je pesto pli mal na to, aby
pojmul teba jen evropsk nrodn abecedy. Pro poteby jednotlivch jazyk byly vytvoeny
rzn kdov tabulky, vznam kd nad 127 nen tedy jednoznan.
Kad znak se zapisuje prostednictvm jednoho bajtu, kter se skld z osmi bit. Celkem teda meme vytvoit 28 rznch kombinac = 256 stav = 256 znak. Kad znak je reprezentovn jednoznanm celm slem v rozsahu 0 a 255.
Tabulka obsahuje tisknuteln znaky: psmena, slice, jin znaky (zvorky, matematick
znaky (+-*/% ), interpunkn znamnka, speciln znaky (@$~ )), a dc (netisknuteln)
kdy, kter byly pvodn ureny pro zen perifernch zazen (nap. tiskrny).
Hodnoty 0-31 a 127 jsou pouity pro netisknuteln dc kdy, hodnoty 32126 jsou pouity pro prezentaci psmen, slic a oddlovacch znak.
2 Definice a klasifikace st
Jako prvn krok je teba definovat si pojem potaov s (nkdy oznaovna tak jako
datov nebo komunikan s). Jde o oteven systm, kter zajiuje komunikaci mezi
jednotlivmi prvky (uzly) st navzjem. Abychom tedy mohli uritm zpsobem realizovat
komunikaci, potebujeme k n uritou s. Zkladn prvky st tvo tzv. pasivn vrstva,
aktivn prvky a koncov uzly. Pasivn vrstva a aktivn prvky tvo pot sovou
infrastrukturu. Pro lep pedstavu pikldm nzorn obrzek.
Obr. . 1 Nzorn model potaov st
Pasivn vrstva m za kol vst nmi poadovan data skrz s, proto do n pat nap. veker
kabel, rozvade, sov biuterie, kabelov trasy a u bezdrtovch penos tak samotn
vzduch. Aktivn prvky tvo hlavn opakovae, mosty, rozboovae, firewally, pepnae a
smrovae. Ji z nzv tchto prvk vyplv, e jejich hlavnm kolem je urovn a zen
toku dat v sti. Cel infrastruktura me mt nkolik rznch konstruknch podob, nazvme
je jako tzv. topologie infrastruktury st. Mezi zkladn druhy topologi pat Sbrnice, Kruh
a Hvzda.
V relnm svt a pro praktick vyuit se tyto jednotliv druhy vzjemn propojuj a
kombinuj. Dleitou vlastnost je fakt, e jednotliv topologie nemaj pouze lokln vyuit a
rozsah, ale mohou fungovat i nap kontinenty (potaov st dnes pokrvaj v podstat
cel svt, hranice potaovho svta neexistuj).
Koncov uzly pat mezi dal prvky cel st. Me jimi bt napklad fotoapart, tiskrna,
pota, telefon s faxem, praka, mobiln telefon. Role tchto uzl se dl na dva zkladn
typy, klient a server. Vtina tchto uzl pln oboustrannou funkci (poskytuj sluby), podle
poteby jsou jednou reprezentovny jako klient, jindy jako server. Klient poaduje po serveru
urit druh informac, server mu je ze sv databze zasl. Pi tto komunikaci pot server
zptn d klienta o dal pokyny a poadavky k zasln, ili se role obou koncovch uzl
vymn.
Nyn ji znme zkladn prvky, dky nim me komunikace v sti vbec probhat. Te jde o
to, jakm zpsobem nm bude komunikace fungovat (z pohledu uzl). Me se jednat o
komunikaci spojovanou nebo nespojovanou. Ob se li pedevm realizac penosu dat.
S tm souvis i dlen komunikace na stavovou a bezstavovou.
Spojovan komunikace funguje na nsledujcm principu. Nejprve je cel infrastruktue
pedn poadavek na spojen, pot nsleduje hledn a vymezen cesty komunikace. Pak
probh samotn komunikace, jakmile je ukonena, dojde ke zruen cel komunikan trasy.
Z vlastnost tto komunikace bych zmnil hlavn to, e je stavov (stavy navzno,
nenavzno). Pechod mezi jednotlivmi stavy mus bt korektn, ob strany mus mt stejn
stav. Poad vysln informac je stejn jako poad jejich pjmu. V neposledn ad mus bt
oeteny nestandardn situace, jako je vpadek spojen, jednostrann ukonen komunikace.
Nespojovan komunikace funguje na podobnm principu jako ta pedchoz. M vak odlin
vlastnosti. Je bezstavov, komunikujc uzly nemaj definovan dn stav. Penos dat je
realizovn po jednotlivch blocch dat, ne najednou. Bloky mus mt jasn daje o odeslateli i
adrestu. Bhem spojen nemus bt zachovno poad blok, penej se samostatn a
nezvisle na sob.
Nyn se zamm na klasifikaci st, tedy rozdlen samotnch st s jejich pklady. Odborn
toto rozdlen nazvme taxonomie potaovch st, jde o rozdlen podle jejich kritri a
vlastnost.
Pouvan kritria:
- rozsah (velikost st) (WAN, MAN, LAN, PAN, ) - uit st (potaov, telekomunikan, dohledov, antnn, ) - uren st (pten, arelov, pstupov, last mile, domc st, ) - architektura st (IP st, ATM st, ) - vlastnick vztahy (privtn, veejn, VPN, ) - pstup (intranet, extranet, ) - penosov techniky (pepojovn okruh/paket, spojov/nespojov) - pouit penosov medium (metalick, optick, rdiov, IR) - topologie (sbrnice, kruh, hvzda, ) - mobilita (pevn st, mobiln st, )
Dlen st podle rozsahu:
Zkladn lenn vychz z historie (pouit technologie, stupe vvoje).
LAN (Local Area Network)
Krtk vzdlenosti, vt rychlosti, men zpodn, vzjemn viditelnost, vlastnn
provozovatelem, pro sdlen zdroj, systematick topologie.
WAN (Wide Area Network)
Velk vzdlenosti, ni rychlosti, vt zpodn, uzly se nevid, pronajat s, pro ely
komunikace, nesystematick topologie.
S vvojem technologi se rozdly postupn straj, fyzick vzdlenosti pestvaj hrt roli.
Zvyuj se rychlosti a sniuje se zpodn zrove se zvyujc se kapacitou st WAN. Clem
je odstranit rozdly mezi LAN a WAN.
St MAN (Metropolitan Area Network)
Nemaj pesnou definici rozsahu, chovn. K tomuto typu st se hls napklad mstsk a
univerzitn st.
St PAN (Personal Area Network)
Uren pro osobn pouit a na krtk vzdlenosti (jednotky metr). Vyuit k propojen
periferi pota (myi, klvesnice, tiskrny, ), propojen osobnch mobilnch zazen
(PDA, telefon, hands-free), propojen spotebn elektroniky (AV, kuchysk spotebie),
inteligentn bydlen (topen, klimatizace, ostraha, rolety), pe o tlo (men tlaku, tepu,
teploty). Clem je propojit vechno se vm. Pouit technologie jsou Wi-fi, DECT, IRDA,
USB, Bluetooth.
Dlen st podle pstupu:
Intranet
slou k vnitnm potebm organizace. Obstarv komunikaci (email, vvsky), groupware
(die, adrese, plnovn), sdlen dokument, pohyb doklad.
Extranet
slou k realizaci komunikace zven. Obstarv prezentaci dat, marketing, reklamu,
podporu projekt, e commerce (objednvky, placen).
Dlen st podle vlastnictv:
Veejn st
slou ke komernmu vyuit. Vlastnk je obvykle i provozovatelem st, uivatel si kupuj
penosovou kapacitu st spolu s ostatnmi slubami. Pat sem pten a pstupov st.
Privtn st
nemaj komern vyuit. Vlastnk je zrove i provozovatelem, formou outsourcingu me
povit tet osobu sprvou st, nkter sti st mohou bt pronajaty, nevyuit kapacita st
se me nabdnout k pronjmu tetm osobm.
Poloprivtn a poloveejn st
jsou kombinac pedchozch dvou pklad. Nevyuit kapacita je veejn a komern
nabzena k pronjmu tetm osobm.
S VPN (Virtuln privtn s)
Jako celek se chov jako privtn s. Pro propojen svch soust vyuv veejn st.
Shrnut:
Uveden klasifikace a definice by mla postait k zkladnmu pochopen dan problematiky.
Zmnil jsem nejastj pklady a vci vyuiteln v praxi. Cel tma je vak tak obshl, e
pro jej podrobn nastudovn by bylo teba vce prostoru a asu. Jako pehled o problematice
vak tento rozsah odpovd.
3 Sov infrastruktura
Infrastrukturu potaov st tvo na fyzick vrstv soustava pasivnch a aktivnch prvk.
K pasivnm prvkm pat kabely, konektory a zsuvky, spojovac a zakonovac prvky a
pepojovac panely datovch rozvd.
K aktivnm prvkm pak pat pedevm
opakovae a rozboovae. Zkladn rozdl
mezi aktivnmi a pasivnmi prvky spov
v tom, e pasivn prvky elektrick signly
pouze pasivn penej, ani by je elektricky
jakkoli upravovaly, aktivn prvky signly
elektricky upravuj, nap. zesiluj, tvaruj a
obnovuj.
Pasivn vrstva Aktivn prvky
(vede data) (d tok dat)
- kabel - opakovae
- sov biuterie - mosty
- rozvade - rozboovae
- kabelov trasy - pepnae
- vzduch - smrovae
- firewally
Aktivn sov prvky
Zesilova, opakova (repeater)
Je nejjednodum aktivnm prvkem, protoe pouze zesiluje (opakuje) jm prochzejc signl.
Konstrukn se jedn o krabiku se dvma stejnmi konektory. Pouv se tam, kde je kabel
tak dlouh, e by na jeho konci u nebyl dostaten siln signl. Nejastji jej najdeme u
koaxilnch st.
Rozboova, konvertor (hub)
Byl nezbytnm prvkem v stch s hvzdicovou topologii (ale dnes jej nahradily switche). Jeho
zkladn funkc je rozboovn signlu, neboli vtven st.
Most (bridge)
Most je zazen starm, jeho hlavnm kolem je oddlen sovch segment. Most je
inteligentnm prvkem, kter se zajm o penen data, pn dv funkce:
filtrace paket ta vychz z toho, e most si pete clovou adresu paketu. Paket pak propust pouze do t sti st, v n je obsaen cl paketu. Filtrovnm se podstatn sniuje zaten st, protoe pakety neputuj do st segmentu, kam nepat.
druhou vhodou mostu je to, e dok propojit dv st rznch standard. Pracuj toti v linkov vrstv ISO/OSI, take fyzick odlinosti st je neovlivuj.
Switch
Dnes jsou msto hub v centru vech st s hvzdicovou topologi switche. V podstat je o
mosty pro hvzdicovou topologii (typick mosty pracovaly na topologii sbrnicov). Vtina
st pracuje podle normy Ethernet, pro nj je typick pstupov metoda CSMA-CD (stanice,
kter chce vyslat, zkontroluje, zda ji nevysl jin pota. Pokud tomu tak je, pok, a
bude na spojovacm kabelu klid a zane vyslat znovu. Nevhoda spov v tom, e se
stoupajcm potem stanic v st se zvyuje pravdpodobnost koliz, tj. souasnho vysln,
jeho nsledkem je peruen vysln. V meznch ppadech me dojt a k zahlcen st.)
Switch tuto nevhodu vrazn eliminuje, oddluje toti komunikujc stanice od zbytku st.
V podstat tvo virtuln okruh mezi momentln komunikujcmi stanicemi. Komunikujc
stanice nejsou zahlcovny cizmi pakety, nedochz ke zpomalen st a vmna dat mezi
koncovmi stanicemi probh maximln rychlost.
Smrova (router)
Router neboli smrova je sov zazen, kter procesem zvanm routovn peposl datagramy smrem k jejich cli. Routovn probh na tet (sov) vrstv sedmivrstvho modelu ISO/OSI.
Netechnicky eeno, router spojuje dv st a pen mezi nimi data. Router se podstatn li od switche, kter spojuje potae v mstn sti. Rozdln funkce router a switch si lze pedstavit jako switche coby silnice spojujc vechna msta ve stt a routery coby hranin pechody spojujc rzn zem.
Brna (gateway)
Pracuje a na nejvy rovni vrstvy ISO/OSI aplikan. Slou k pipojovn st LAN na ciz prosted. Brna (gateway) je v potaovch stch uzel, kter spojuje dv st s odlinmi protokoly. Brna mus vykonvat i funkci smrovae (routeru). Brna napklad pijme z mobiln GSM st SMS zprvu a odele ji do Internetu jako E-mail.
Firewall
Je sov zazen, kter slou k zen a zabezpeovn sovho provozu mezi stmi s
rznou rovn dvryhodnosti a zabezpeen.
Zjednoduen se d ct, e slou jako kontroln bod, kter
definuje pravidla pro komunikaci mezi stmi, kter od
sebe oddluje. Tato pravidla historicky vdy zahrnovala
identifikaci zdroje a cle dat (zdrojovou a clovou IP
adresu) a zdrojov a clov port, co je vak pro dnen
firewally u pomrn nedostaten modernj firewally se opraj pinejmenm o
informace o stavu spojen, znalost kontrolovanch protokol atd.
Pasivn sov prvky
Penosov mdia, jimi se signl. K dispozici jsou 3 zkladn typy mdi:
metalick kabely klasick penosov mdia zaloen na mdnm vodii, kterm se pen elektrick signly.
optick kabely ve kterch se penej svteln impulsy, v nich jsou zakdovan data
vzduch kterm se elektromagentick vlnn, mdium pro penos dat bezdrtovmi stmi WIFI.
Topologie st
Topologi st se rozum zpsob, jakm jsou jednotliv uzly st uspodny a vzjemn
propojeny. Topologie tud definuje plonou a poppad i prostorovou strukturu st.
Nejjednodu topologi je tzv. sbrnice i magistrla. Jde o linern veden konen dlky,
k nmu jsou pipojeny jednotliv uzly st, obr. 1a. Spojenm obou konc zskme kruhovou
topologii, obr. 1b. Zkrcenm magistrlnho veden na nulovou dlku a naopak prodlouenm
ppojnch veden k jednotlivm uzlm vznikne topologie, kter se k hvzda nebo tak
hvzdicov topologie, obr. 1c. Krom tchto zkladnch topologi se pouvaj i topologie
kombinovan. K nejastjm pat topologie hvzda-kruh, kter vznikne zmenenm prmru
kruhu a prodlouenm ppojnch kabel k uzlm, obr. 1d, nebo topologie stromov, obr. 1e,
kter vznikne hierarchickm upodnm dlch st s topologi typu hvzda. Tato topologie
je spolu s kombinac magistrly a hvzdy, obr. 1f, nejastji pouvanou architekturou pro
vytven st.
Nvrh sov infrastruktury:
Funkn a efektivn potaov s je dnes nezbytnm pedpokladem pro provoz firmy. Sov
sluby mus bt rychl, snadno pouiteln, bezpen a spolehliv.
Typick problmy een v rmci nvrhu infrastruktury:
- Optimalizace vkonu
- Nvrh zlohovch systm a politiky
- Zabezpeen a monitorovn systm
- Ochrana proti selhn hardware a software
- Zajitn vysok dostupnosti systm
- Ochrana proti nevydan pot (spamu)
- Vzdlen pstup a virtuln privtn st (VPN)
- Ochrana proti virm
- Souinnost systm rznch platforem
- Standardizace
4 Sov modely a architektury
Dva hlavn sov modely jsou ISO OSI model a TCP/IP model.
Referenn model ISO/OSI:
Tento model byl vypracovn v roce 1984 Mezinrodn organizac pro vytven norem - ISO
(Intemational Standards Organization). Je to sadu specifikac popisujc sovou architekturu
pro propojovn rozdlnch zazen. Tento model byl nazvn referenn model OSI (Open
Systems Interconnection) a slou jako vodtko pro tvorbu st.
Povauje se za zklad pro sov technologie, ale nikdy nebyl pesn realizovn. Obdobou
OSI modelu je TCP/IP, u kterho meme ci, e vychz z OSI modelu, ale upravuje jej, aby
byl vce flexibiln. Pesto je OSI model dobr pro vklad a teoretick popis st.
Model popisuje, jak sov hardware tak i software. Komunikuje na rznch rovnch vrstev
modelu OSI. V architektue modelu OSI je sov komunikace rozdlena do sedmi vrstev.
Kad ze sedmi vrstev vykonv skupinu jasn definovanch funkc potebnch pro
komunikaci. Pro svou innost vyuv slueb sv sousedn ni vrstvy. Sv sluby pak
poskytuje sousedn vy vrstv.
Obrzek 1: Vrstvy modelu ISO/OSI
Fyzick vrstva
kolem fyzick vrstvy je "fyzick" penos jednotlivch bit komunikanm kanlem
(njakm fyzickm mdiem) bez ohledu na jejich vznam. Fyzick vrstva nijak neinterpretuje
bity, kter pen, a s kadm nakld stejn jako s ostatnmi. Nepozn kter bity "pat k
sob" a pedstavuj tak njak ucelenj blok dat. Zabv se tm, jak jsou jednotliv bity
znzornny na penenm mdiu. Jak jsou kdovny i modulovny, jak je eeno asovn a
synchronizace, ppadn jak jsou pouvny konektory a jednotliv rozhran, jak jsou jejich
dc signly atd.
Je to jedin vrstva, kter skuten pen njak data. Data pen po bitech, a bezprostedn vy vrstv (vrstv linkov) tedy nabz dv sluby: odesln bitu nebo pjem bitu.
Linkov (spojov) vrstva
Linkov vrstva posl datov rmce ze sov vrstvy do fyzick vrstvy. Pokud data pota pijm, spojov vrstva skld jednotliv bity z fyzick vrstvy do datovch rmc(frames). Datov rmec je uspodan logick struktura, ve kter jsou data umstna:
ID
pjemce
ID
odesilatele
dc
informace Data CRC
- ID pjemce pedstavuje adresu potae, ktermu jsou data urena. - ID odeslatele pedstavuje adresu odeslajcho potae. - dic informace uvdj typ rmce, smrovn a daje o segmentaci. - Daty se mn vlastn pedmt penosu. - CRC (kontrola cyklickm kdem) slou pro oven, zda-li datov rmec byl doruen sprvn. Spojov vrstva odpovd za zajitn bezchybnho penosu rmc z jednoho potae do druhho pes fyzickou vrstvu. Pi odesln rmce ze spojov vrstvy ek obvykle tato vrstva na potvrzen od pjemce. Pokud data nejsou doruena v podku, zale se rmec znovu.
Sov vrstva
Sov vrstva se star o smrovn v sti a sov adresovn. Odpovd za adresovn zprv pekldnm logickch adres a nzv do fyzickch adres. V tto vrstv se tak ur cesta z odeslajcho do clovho potae. Sov vrstva tak napklad zajiuje ochranu st proti zahlcen. Na tto vrstv pracuj veker smrovae.
Transportn vrstva
Pijm data z relan vrstvy a rozkld je na tzv. packety, potvrzuje sprvnost pijet a odevzdv je sov vrstv. Zabezpeuje doruen paket bez chyb, aby se vechny sti zprvy dostaly k pjemci ve sprvnm poad, beze ztrt nebo duplikac.
Relan vrstva
Relan vrstva zajiuje zzen, pouit a ukonen spojen (relace) mezi dvma aplikacemi na rznch potach. Zajiuje podporu transakc, nebo zabezpeen penench dat (jejich ifrovn), ppadn i zen toku a poloduplexnosti (aby napklad klient nezahltil server pli mnoha poadavky). Nakonec se ale ukzalo, e takovto funkce buto nejsou vbec zapoteb, nebo sice zapoteb jsou, ale stejn si je podle svho zajist vy vrstvy (hlavn vrstva aplikan). Relan vrstva vlastn nem nic na prci.
Prezentan vrstva
Prezentan vrstva stanovuje formt pouvan pro vmnu dat mezi potai v sti. Formt dat (datov struktury) se me liit na obou komunikujcch systmech, navc dochz k transformaci pro el penosu dat nimi vrstvami. V potai, kter odesl data, pelo tato data z formtu z aplikan vrstvy do bn srozumitelnho, zprostedkujcho formtu. V potai, kter pijm data, pelo prezentan vrstva zprostedkujc formt do formtu srozumitelnho pro aplikan vrstvu tohoto potae.
Mezi funkce tto vrstvy pat nap. pevod kd a abeced, modifikace grafickho uspodn, pizpsoben poad bajt a pod. Vrstva se zabv jen strukturou dat, ale ne jejich vznamem, kter je znm jen vrstv aplikan.
Aplikan vrstva
Je to nejvy vrstva modelu OSI. elem tto vrstvy je poskytnout aplikacm pstup ke komunikanmu systmu a umonit tak jejich spoluprci. Definuje zpsob, jakm komunikuj se st aplikace. Nap. databzov systmy, elektronick pota, aplikace pro penos soubor atd. Pouv sluby nich vrstev a dky tomu je izolovna od problm sovch technickch prostedk. Aplikan vrstva d obecn pstup k sti, kontrolu toku a opravy chyb.
Protokol TCP/IP
Referenn model ISO/OSI nen zdaleka jedin sov architektura. V souasn dob k realizaci naprost vtiny sov komunikace pouvme soustavu protokol TCP/IP. ekne-li se TCP/IP, je to obvykle chpno jen jako oznaen dvou penosovch protokol, pouvanch v potaovch stch, konkrtn protokol TCP (Transmission Control Protocol) a IP (Internet Protocol). Ve skutenosti ale zkratka TCP/IP oznauje celou soustavu protokol, piem TCP a IP jsou sice nejznmj protokoly tto soustavy, ale zdaleka ne protokoly jedin. Sprvnj je ale povaovat TCP/IP za ucelenou soustavu nzor o tom, jak by se potaov st mly budovat, a jak by mly fungovat. Zahrnuje vlastn pedstavu o tom, jak by mlo bt sov programov vybaven lenno na jednotliv vrstvy, jak koly by tyto vrstvy mly plnit, a jakm zpsobem by je mly plnit, jak konkrtn protokoly by na jednotlivch rovnch mly bt pouvny. TCP/IP je tedy, stejn jako ISO/OSI model, sov architektura.
Obrzek 2:Vrstvy modelu TCP/IP a ISO/OSI
Vrstva sovho rozhran (Network Interface Layer)
Vrstva sovho rozhran (nkdy t linkov vrstva) m na starosti ve, co je spojeno s ovldnm konkrtn penosov cesty resp. st, a s pmm vyslnm a pjmem datovch paket. Definuje pravidla pro pipojen pota ke kabeli, typy konektor, zpsob zpracovn signl, elektrick parametry signl, atd. Nen nikterak omezeno pouit jakkoliv penosov technologie, kter bude pouita na rovni vrstvy sovho rozhran
(nap.: Ethernet, Token ring...). Vzhledem k velmi astmu pouvn lokln st typu Ethernet je vrstva sovho rozhran v rmci TCP/IP asto oznaovna tak jako Ethernetov vrstva (Ethernet Layer).
Sov vrstva (Internet Layer)
kol tto vrstvy je pibln stejn jako kol sov vrstvy v referennm modelu ISO/OSI. Star se o to, aby se jednotliv pakety dostaly od odesilatele a ke svmu skutenmu pjemci, pes ppadn smrovae resp. brny. Adresaci st zajiuje pomoc protokolu IP, proto je oznaovan tak jako IP vrstva (IP Layer). Vzhledem k nespojovanmu charakteru penos v TCP/IP je na rovni tto vrstvy zajiovna jednoduch (tj. nespolehliv) datagramov sluba.
Transportn vrstva (Transport Layer)
Transportn vrstva je implementovna a v koncovch zazench (potach) a umouje proto pizpsobit chovn st potebm aplikace. Poskytuje spojovan (protokol TCP, spolehliv) i nespojovan (UDP, nespolehliv) transportn sluby. Me se oznaovat tak jako TCP vrstva (TCP Layer). Je mapovan na transportn vrstv modelu ISO/OSI.
Aplikan vrstva (Application Layer)
Zajiuje vlastn aplikan sluby prostednictvm aplikanch protokol. Aplikace na rozdl od referennho modelu ISO/OSI komunikuj pmo s transportn vrstvou. Ppadn prezentan a relan sluby, kter v modelu ISO/OSI zajiuj samostatn vrstvy, si zde mus jednotliv aplikace v ppad poteby realizovat samy.
ISO/OSI vs. TCP/IP
Hlavn odlinosti mezi referennm modelem ISO/OSI a TCP/IP vyplvaj pedevm z rozdlnch vchozch pedpoklad a postoj jejich tvrc. ISO se nejprve sna o dokonal een, pozdji vak zjist e je to nad jej sly a mus slevovat. Nejdve vznikne standart a a pak se zkoum jeho praktick realizovatelnost. U TCP/IP vznikaj nejprve een skromn, pozdji se obohacuj. Nejprve se een ov a a pak vznik standart. ISO/OSI model pot se soustednm co mon nejvce funkc, vetn zajitn spolehlivosti penos, ji do komunikan podst, kter v dsledku toho bude muset bt pomrn sloit, zatmco k n pipojovan hostitelsk potae budou mt relativn jednoduchou lohu. Pozdji se ale ukzalo, e vy vrstvy nemohou povaovat komunikan pods za dostaten spolehlivou, a tak se sna zajistit si poadovanou mru spolehlivosti vlastnmi silami. V dsledku toho se pak zajiovnm spolehlivosti zabv vlastn kad vrstva referennho modelu ISO/OSI.
Tvrci protokol TCP/IP naopak vychzeli z pedpokladu, e zajitn spolehlivosti je problmem koncovch astnk komunikace, a mlo by tedy bt eeno a na rovni transportn vrstvy. Komunikan pods pak podle tto pedstavy nemus ztrcet st sv penosov kapacity na zajiovn spolehlivosti (na potvrzovn, optn vysln pokozench paket atd.), a me ji naopak pln vyut pro vlastn datov penos. Na rozdl od referennho modelu ISO/OSI tedy TCP/IP pedpokld jednoduchou (ale rychlou) komunikan pods, ke kter se pipojuj inteligentn hostitelsk potae. Model ISO/OSI pot pedevm se spojovanm penosem - tedy s mechanismem virtulnch okruh, TCP/IP naopak pedpokld nespojovan charakter penosu v komunikan podsti -
tedy jednoduchou datagramovou slubou - co ostatn vyplv i z pedstavy co mon nejjednodu komunikan podst.
5 Vrstvy RM ISO/OSI
Slovo MODEL
Technick termn vyjadujc popis relnho stavu dj na sti bez zjednoduujcch
pedpoklad.
Z dvodu existence sloitch problm pi vytven potaovch st je teba vyuvat
vhodn model, protoe nm umouj vytvoen standardizovanch prvk a usnadn jejich
pouit v realizaci st.
Model ISO/OSI
Jedn se o doporuen model definovan organizac ISO v roce 1983, kter rozdluje
vzjemnou komunikaci mezi potai do sedmi souvisejcch vrstev. Zmnn vrstvy jsou tak
znm pod oznaenm Sada vrstev protokolu.
Zkratka ISO/OSI
= International Standards Organization / Open Systems Interconnection
= Mezinrodn organizace pro normalizaci / Propojen otevench systm.
Vzjemn interakce mezi vrstvami
aplikan program
Aplikan vrstva
Prezentan vrstva
Relan vrstva
Transportn vrstva
Sov vrstva
Linkov vrstva
Fyzick vrstva
kolem kad vrstvy je poskytovat sluby nsledujc vy vrstv a pitom tuto vrstvu
nezatovat detaily o tom, jak je sluba ve skutenosti realizovna. Ne se data pesunou z
jedn vrstvy do druh, rozdl se do paket. V kad vrstv se pak k paketu pidvaj dal
doplkov informace (formtovn, adresa), kter jsou nezbytn pro spn penos po sti.
innost jednotlivch vrstev je samostatn, nicmn vzjemn podmiujc.
Jednotliv vrstvy
Fyzick vrstva
Definuje prostedky pro komunikaci s penosovm mdiem a s technickmi prostedky
rozhran. Dle definuje fyzick, elektrick, mechanick a funkn parametry tkajc se
fyzickho propojen jednotlivch zazen. Je hardwarov.
Linkov vrstva
Zajiuje integritu toku dat z jednoho uzlu st na druh. V rmci tto innosti je provdna
synchronizace blok dat a zen jejich toku. Kdovn informac. Je hardwarov.
Podvrstvou linkov vrstvy je LLC (Logical Link Control) v praxi realizuje logickou
topologii a pi instalaci st spolupracuje s MAC adresou.
Sov vrstva
Definuje protokoly pro smrovn dat, jejich prostednictvm je zajitn penos informac do
poadovanho clovho uzlu. V lokln sti vbec nemus bt pokud se nepouv smrovn.
Je hardwarov, ale kdy smrovn e PC s dvma sovmi kartami je softwarov. Funkce
router a switch (odehrv se zde logick innost).
Transportn vrstva
Definuje protokoly pro strukturovan zprvy a zabezpeuje bezchybnost penosu (provd
nkter chybov kontroly). e napklad rozdlen souboru na pakety a potvrzovn. Je
softwarov.
Jej koly:
a) validita bezchybnost penosu datovch paket (CRC)
b) rozpoznn nzvu hostitelskch PC + piazovn k log. adresm funkce DNS
(Domain Name System) = peklad IP adres
c) multitasking rozhodovn o priorit pchozch zprv
Protokoly:
a) TCP (spojovac transportn protokol) vytvoen spojen ped zaslnm dat, po jejich
zasln se vyaduje potvrzen o pjmu
b) UDP (transportn protokol bez spojen) spojen bez nutnosti zpt. potvrz.
Relan vrstva
Koordinuje komunikace a udruje relaci (vysln) tak dlouho, dokud je potebn. Dle
zajiuje zabezpeovac, pihlaovac a sprvn funkce. Je softwarov. Kontrola zasln dat
jako halfduplex nebo fullduplex.
Prezentan vrstva
Specifikuje zpsob, jakm jsou data formtovna, prezentovna, transformovna a kdovna.
e napklad hky a rky, CRC, kompresi a dekompresi, ifrovn dat. Je softwarov.
Odpovd za kvalitu penosu mezi uivateli. Zabv se tedy strukturou zprv, nikoli jejich
vznamem (smantikou).
Jej koly - komprese dat (rychlej penos), kdovn dat, peklad protokolu
Aplikan vrstva
Je to v modelu vrstva nejvy. Definuje zpsob, jakm komunikuj se st aplikace, napklad
databzov systmy, elektronick pota nebo programy pro emulaci terminl. Pouv
sluby nich vrstev a dky tomu je izolovna od problm sovch technickch prostedk.
Je softwarov. Jako jedin vrstva umouje zsah uivatele (nejen sprvce st).
Protokoly:
a) FTP (File Transfer Protocol) penos soubor
b) TELNET diagnostick sluba pro sprvce st (ztrty paket, as doruen)
c) SMTP (Simple Mail Transfer Protocol) pro elektronickou potu
d) SNMP (Simple Network Management Protocol) pro sprvce
e) HTTP (HyperText Transfer Protocol) - pomoc nj putuj data od webovho serveru k
vm dom
6 Vrstvy a protokoly architektury TCP/IP
Sada komunikanch protokol TCP/IP je pouvan pro internet a podobn st. Je
pojmenovna podle nejdleitjch a zrove nejpouvanjch protokol: Transmission
Control Protocol (TCP) a Internet Protocol (IP). Tyto protokoly byly v tomto standardu
definovny jako prvn.
Architektura TCP/IP je lenna do ty vrstev. Kad vrstva e sadu problm vyskytujc se
pi penosu dat a poskytuje pesn definovan sluby vrstv, kter je nad n a zrove vyuv
slueb vrstv kter se nachz pmo pod n. Komunikace mezi stejnmi vrstvami je zena
komunikanm protokolem. Architektura umouje vmnu protokol jedn vrstvy bez
dopadu na ostatn. Pkladem me bt monost komunikace po rznch fyzickch mdich
Ethernet, Token ring, EDGE. Vy vrstvy jsou logicky ble k uivateli a e abstraktnj
data, spolhaje se na ni vrstvy, kter data pelo do formtu, kter se d fyzicky poslat.
Vrstvy architektury TCP/IP:
Aplikan vrstva (Application layer)
Transportn vrstva (Transport layer)
Sov vrstva (Network layer)
Linkov vrstva (Link layer)
Linkov vrstva je rozdlena na dv podvrstvy a to LLC (Logic Link Control, d linkov
spoj) a MAC (Media Acces Control, d pstup ke sdlenmu mdiu). Pro doruovn rmc
vyuv MAC adresy, kter jsou vzny na sov rozhran a v dosahu linkov komunikace
mus bt jednoznan. Penosov protokoly umouj na linkov vrstv komunikaci jen v
rmci broadcastov domny, tedy mezi uzly, kter se vzjemn vid). Umouj tak
existenci osamocench st bez vzjemn komunikace.
Linkov vrstva pouv tyto zkladn protokoly:
MAC poskytuje adresaci a pstup ke kanlm
ARP Address Resolution Protocol, slou k vyhledn hardware pouze na zklad
MAC adresy
Sov vrstva zajiuje spojen mezi uzly nap jednotlivmi stmi. Pi komunikaci jsou
pouity stejn protokoly i v rmci jedn st. Jedinm protokolem na sov vrstv je
protokol IP(Internet Protokol), kter byl vytvoen s ohledem na rychlost a jednoduchost. Pi
doruovn datagram slou k adresaci na sov vrstv IP adresy.
Protokol IP pepravuje IP pakety (datagramy) mezi uzly i jinch st nespojovan,
nespolehliv, blokov a bez garance kvality.
IP adresy v sov vrstv s protokolem IPv.4 tvo tyi dekadick sla v rozsahu 0 a 255
oddlen tekami a adresa m dlku 32 bit.
IP adresy v sov vrstv s protokolem IPv.6 tvo osm skupin ty hexadecimlnch slic
oddlench dvojtekami a m dlku 128 bit.
Transportn vrstva me mnit charakter komunikace sov vrstvy na spojovanou (vytvo
nad sovou vrstvou virtuln spojen) a spolehlivou (dopln o kontrolu doruovn a npravy
chyb penosu).
Porty - procesy jsou adresovny pomoc port a jejich sel. Port je pechodovm bodem mezi
transportn a aplikan vrstvou. Procesy se dynamicky pipojuj k portm. Na jeden port nesm
bt pipojeno vce proces, ale jeden proces me bt pipojen k vce portm.
Sockety pi komunikace s procesem je fyzicky realizovna pomoc socketu (prgramov
objekt), port je jen logick pojem.
Transportn vrstva pouv dva zkladn protokoly a to UDP (User Datagram Protocol) a TCP
(Transmission Control Protocol).
UDP je vyuvn pro slubu datagram. Je jednoduch interface protokol aplikan vrstvy s
IP protokolem. Oproti IP protokolu poskytuje jet doruovn na porty a kontroln souty
(kontroln souty nejsou povinn). Pouv se pro rychlou a efektivn komunikaci, kdy nen
vyadovna spolehlivost.
TCP je vyuvn pro slubu stream. Zajiuje nad IP protokolem spolehlivou a spojovanou
komunikaci.
Aplikan vrstva - asto pouvan sluby jako je peklad adres, sdlen zdroj, penosy
soubor, jsou standardizovny a pln integrovny v aplikan vrstv (obvykle jako soust
operanho systmu) a komunikuj pomoc vlastnch protokol. Ty vyuvaj jednotliv
programy (procesy).
Nejpouvanj sluby a protokoly:
DNS protokol, port 53 (UDP,TCP). DNS (Domain Name systm) slou k pekladu
domnovch adres na IP adresy. DNS server naslouch pes UDP (dotazy na IP adresy) i TCP
(znov penosy).
Telnet, port 23 (TCP). Obecn terminlov protokol pro veden vzdlench
terminlovch relac. Aplikace b na hostitelskm serveru. Terminl pln pouze funkce
vstup/vstup (klvesnice, obrazovka)
FTP protokol, porty 21 (TCP) a 20 (TCP) (File Transfer Protocol)jednoduch
protokol uren pro model klient/server. Funkci zajiuj dva subjekty a to PI (Protocol
Interpreter) a DTP (Data Transfer Process):
PI pouv se pro penos pkaz po portu 21. Spojen je navzno po celou dobu relace
DTP spojen se navazuje pouze pro penos souboru z portu 20 na serveru, na port klienta
kter mu klient sdl (active-mode), pokud to ob strany umouj je port klienta me byt
tak 20 (pasive-mode)
TFTP protokol, port 69 (UDP) (Trivial File Transfer Protocol) znan redukovan
verze FTP uren pro natahovn frmware do aktivnch prvk (switch, firewall, router, WiFi
acces point) a zavdn operanch systm do bezdiskovch stanic. Spolehlivost si e sm,
data pen v blocch po 512 B.
Elektronick pota:
SMTP protokol, port 25 (TCP) rozesln zasln poty
POP3 protokol, port 110 (TCP) stahovn poty ze serveru ( pouze cel zprvy)
IMAP4 protokol, port 143 (TCP) - stahovn poty ze serveru (stahuje pouze hlaviky email,
pro ten zprvy sthne pouze poadovan data)
Shrnut Model TCP/IP pracuje ve tyech vrstvch. Komunikace mezi stejnmi vrstvami je
zena komunikanmi protokoly za pouit spojen vytvoenho spojen sousedn ni
vrstvou. Linkov vrstva pouv pro penos informace rmce a pro adresaci MAC adresy,
komunikace probh jen mezi uzly st. Sov pouv datagramy a jen protokol IP, penos je
nespojovan a nespolehliv. K adresovn pouv IP adres. Komunikace me probhat i
nap ostatnmi stmi. Transportn vytv nad sovou vrstvou virtuln spojen s aplikan
vrstvou. Penos je bu nespolehliv (UDP), nebo spojovan a spolehliv (TCP). Aplikan
m sadu standardizovanch slueb, kter pro komunikaci vyuvaj TCP, nebo UDP. K
rozlien slueb slou porty.
7 Zajitn dostupnosti prostedk IS/IT
Zlohovn dostupnosti elektrick energie
UPS - UPS (anglicky Uninterruptible Power Supply (Source) neperuiteln zdroj energie) je zazen nebo systm, kter zajiuje souvislou dodvku elektiny pro zazen, kter nesmj bt neoekvan vypnuta.
Off-line zdroje (standby) - pouvaj na svm vstupu vhradn pasivn filtr, kter neumouje dostaten inn potlait pronikn ruen ze st do zazen. Do aktivnho stavu se pepnou pouze v dsledku vpadku st. Jedn se o nejlevnj typ UPS, kter nabz pouze zabezpeen v ppad plnho vpadku elektrickho proudu a nem zabudovan jakkoliv vznamn zazen pro zlepen kvality elektrickho napjen. Nazv se off-line (stand-by), protoe zane fungovat pouze v ppad vpadku elektrick energie.
line-interactive zdroje - hybridn technologie, kter nabz lep ochranu, ne technologie standby, ale vychz levnji ne technologie s dvojitou konverz. Nabz ochranu v ppad vpadku elektrick energie, ale nejen to, nabz i pravu kvality elektrickho napjen, protoe vyhlazuje piky a odchylky od nominlnho napt. Pokud napklad poklesne napt pod stanovenou rove,
On-line zdroje (s dvojitou konverz) - nabz mnohem vy uitnou hodnotu a souasn poskytuj nejen stabilizaci a filtraci napt, ale eliminuj i jin ne absolutn vpadky st (podpt, pept, rzy...) Navc jsou tato zazen schopna zajistit stabilitu potaovho systmu i v bezobslunm provozu. Pouitm standardnch protokol (TCP/IP, IPX, Windows NT Pipes apod.) umouj pln zalenn UPS do st LAN i WAN. Veobecn uznvna jako nejlep typ UPS pro ochranu ivotn dleitch aplikac. Akoliv je dra, ne ob dve uveden technologie, cenu vysoce pevyuje zkladn vhoda: systm zajiuje, e nedojde ani ke chvilkovmu peruen dodvky elektrick energie. Toho je dosaeno tzv. technikou dvojit konverze, kdy se trvale konvertuje stdav proud na stejnosmrn, pivd se k akumultorm a potom jej invertor transformuje zpt na stdav.
Motorgenertory (nhradn zdroje elektrick energie) - zazen, kter jsou pi vpadku dodvky elektrick energie schopna nahradit jej dodvku dlouhodob (ppadn i trvale).
Energocentra - sdruuj motorgenertory a zlon zdroje UPS. Vyuvaj tedy vhody neperuen dodvky energie (UPS) a dlouhodob dodvky energie (motorgenertory). Energocentra jsou urena pro zlohovn mimodn nronch a kriticky dleitch aplikac, u kterch je naprosto nezbytn eliminovat dlouhodob vpadek elektrick energie.
Kogeneran jednotky - Pi vrob elektrick energie vznik jako vedlej produkt velk mnostv tepeln energie. Kogeneran jednotky jsou schopn takto vzniklou energii transformovat a dle ji vyuvat napklad pro vtpn i ohev.
Zlohovn dostupnosti hardwaru
Pro dostupnost hardwaru se mus zajistit e kdy vypadne njak hardwarov prvek je
poteba aby byl okamit nahrazen jinm.
Proto se zrcadl jednotliv komponenty pevn se jedn o HDD ale i stov karty a
pod.tak se alokuj cel PC.
U zlohovn hardwaru se pouv asto technologie Hot-swap - v doslovnm pekladu
znamen "vmnu za tepla". Jde o technologii kter umouje vmnu jednotlivch
komponent bhem chodu danho zazen tato technologie se vyuv pedevm tam kde je
kladen draz na neustal provoz nap: tehdy, jedn-li se o smrova (router) v rozshlej sti,
kter poskytuje ivotn dleit penosov sluby irokmu a pedem tko zjistitelnmu
okruhu uivatel - dalch pklad bychom vak jist nali celou adu. Mohou se takto mnit
jakkoliv komponenty u PC nap: Sov karty, grafick karty, CPU, HDD a jinn.
Potae a HDD se sdruuj do tzv. Cluster.
CLUSTER=shluk, svazek, chumel
V souvislosti s PC je to svazek PC kdy jeden je nadzen (server) a d ty ostatn.
Take pokud spustme njak program ten se rozdistribuje na ostatn PC a kad PC
zpracovv pouze st programu, take se program provede rychleji - vlastn je to jako by
bel na X procesorovm PC.
Zlohovn dat
ti rzn druhy zloh:
plnou zlohu (full backup), pi kter je vytvena zlon kopie vech soubor (resp. tch, kter urme k zlohovn),
diferenciln zlohu (differential backup), pi kter jsou vytveny zlon kopie jen tch soubor, kter se zmnily od posledn pln zlohy,
inkrementln zlohu (incremental backup), pi kter jsou vytveny zlon kopie jen tch soubor, kter se zmnily od posledn inkrementln zlohy (resp. od pln zlohy, jde-li o prvn inkrementln zlohu).
Zlohovac media
CD nzk kapacita stovky MB, nzk spolehlivost, stedn vysok rychlost, nzk cena
DVD stedn kapacita jednotky GB, nzk spolehlivost, stedn vysok rychlost jednotky
Mb/s, nzk cena
HDD vysok kapacita stovky GB, stedn vysok spolehlivost (rychl pstup k datm, a vak
riziko pokozen elektronickch st, tm pdem nedostupnost k datm), vysok rychlost
destky Mb/s
Psky vysok kapacita stovky GB, vysok spolehlivost (a vak jeliko je zznam provdn
elektromagneticky jsou tyto media k dlouhodobmu uchovn dat nevhodn), vysok rychlost
penosu destky Mb/s, ale pokud je poteba pracovat s daty je poteba psku pevyknout na
tato data
Magnetooptick disky - Jedn se o nejspolehlivj zlohovac mdia, jedin zde mte
garanci zachovn dat. Data na tomto disku by mla vydret a 100 let, tuto hodnotu nenabz
dn jin zpsob zlohy. Tato mdia se vyrb ve dvou provedench, a to s monost pouze
jednoho zpisu, nebo pepisovateln. Jejich kapacity jsou 1,3 GB, 2,6 GB, 5,2 GB a 9,1 GB.
Tyto kapacity plat pro oba zpsoby proveden. tec zazen je velmi skladn, m velikost
piblin jako extern CD-ROM mechanika.
8 Identity management kodliv programy kodliv
aktivity Management bezpenosti
Identity management
Identity Management je integrovan systm obchodnch proces, politik a technologi, kter
umouj organizacm zjednoduit a spravovat uivatelsk pstupy ke kritickm online
aplikacm a zdrojm pi souasn ochran dvrnch osobnch a obchodnch informac ped
neautorizovanmi uivateli.
Identity Management e nsledujc koly:
Pidlen pstupovch prv ke slubm (zdrojm)
Je kad uivatelsk pstup k danmu zdroji oprvnn?
Jsou pstupy uivatele ke vem zdrojm nastaveny korektn?
Jsou v souladu politiky se skutenm stavem?
Produktivita
Je zpsob pidlovn a zmn pstupovch prv uivatelm efektivn?
Pstupy
Jsou politiky pstupovch oprvnn a ochrany senzitivnch informac
implementovny konzistentn v kadm operanm systmu, aplikaci, a datovm
loiti?
Audit
Je mono efektivnm zpsobem dokladovat plnn politik pstupovch
oprvnn a ochrany senzitivnch informac?
Pnosy zaveden Identity managementu
Jednotn administrativn proces nap organizac /aplikacemi / platformami
Jednotn prosazovn bezpenostnch politik nap organizac
Jednodu a lpe dokladovateln audit (centralizovan vytven auditnch zznam o
pidlovn pstupovch oprvnn)
Zmna postaven IT auditu: Reaktivn -> Proaktivn (rekonciliace)
Jednodu implementace organizanch zmn
Automatizace rutinnch loh
Redukce celkovch nklad na administraci uivatel
Pehlednj systm pstupovch oprvnn znamen mn bezpenostnch rizik ->
uivatel maj pouze takov oprvnn ke slubm a datovm zdrojm, kter potebuj ke sv
prci
een problm se sirotmi ty, tzn. ty, kter kdysi byly pro uivatele
zavedeny a v souasn dob je ji dn oprvnn uivatel nepouv
Metodika implementace IM - Dva pstupy k implementaci Identity managementu
Pro a proti (1): zdola nahoru
Pro:
Uivatel jsou si vdomi novho identity een u v ranch fzch projektu
Mnoho manulnch proces se nahrad automatickmi
Sprva hesel (password management) se implementuje pro velk mnostv uivatel
V prvn fzi se pokrvaj standardn operan systmy a aplikace
Odpad tvorba custom agent v prvn fzi
Proti:
Organizan struktura me v pozdjch fzch vyadovat vt zmny
Vt dopad na uivatele, nutn vt souinnost na stran zkaznka
Implementace kopruje infrastrukturu a nen zena business pohledem na vc
Pro a proti (2): zhora dol
Pro:
Soustedn se na klovou obchodn aplikaci
Kompletn pokryt prvn aplikace je demonstrac toho, jak se Identity Management
roz na celou spolenost
Klov aplikace je pokryta komplexn (sprva hesel, automatick poskytovn t,
workflow, RBAC)
Dopad na uivatele bhem implementace je minimln
Proti:
Omezen pokryt v prvnch fzch, procento uivatel zahrnutch do projektu je mal
Custom agenti jsou obvykle programovni ji pro prvn aplikace
Pnos identity managementu nen v prvn fzi dky omezenmu pokryt zeteln
Nklady na implementaci jsou vy (dky del analze)
kodliv programy
Pojem kodliv software se vztahuje na ty typy program, kter se skryte i oteven
projevuj, neleglnm, vrovm, podvodnm anebo kodlivm chovnm. elem kodlivho
software je mnoho, od primitivnho sondovni po pevnm disku pes zskvni informac o
uivateli a po pokozovni a nien hardwarovho vybaven potae. Existuje mnoho typ
kodlivch programu s rznou nebezpenosti a relevanci:
erv
erv je program, kter roziuje svoje kopie skrz internet. erv rozesl kopie vyuitm
emailov komunikace, ppadn bezpenostn dry v operanm systmu. Sousti erva bv
obvykle kodliv program napklad tzv. backdoor. S oblibou zpsobuje aj zahlcen
komunikanch kanl.
Trojsk k
Trojsk k je kodliv program, kter nem schopnost se koprovat a infikovat soubory, ale
je vytven do formy spustitelnch souboru. Neobsahuje obvykle nic jinho, okrem
kodlivho kdu. Specifickou formou je RAT, ten je schopen systm ovldnout na dlku.
Adware
Adwarem je chpan software, kter zpsobuje stahovn, zobrazovan anebo pehrvni
reklamnch a propaganch materilu bez vdom uivatele.Pkladem me bt vyskakovni
pop-up oken, automatick nastaven domovsk strnky bez povolen uivatele atd.
Spyware
Spyware je program, kter se vyuv na posln rozlinch daj o pouivateli bez jeho
vdom. Ve velk me jsou sbrny statistick daje, napklad informace o nainstalovanch
programech, oblbench www strnkch, heslech, provozu na sti a jinch vcech . Zskan
informace jsou obvykle zneuit na clenou reklamu.
Viry
Virus je schopn se mnoit, ale mus mt hostitele. Pi aktivaci viru najde novho vhodnho
hostitele a vlen se do nj. Aby nebyl pi svch en objeven, vyuv nkterch metod
krytu.
Dvojit ppona Na utajen pouv asto uitou pponu. Infikovan soubor v ploze
emailu m dvojitou pponu (invex-data.doc.pif). Ve vsledku dochz v nkterch verzch
Windows k zobrazen jenom ppony doc.
Bl znaky Tady se vyuv mezer na dosaen toho, e druh ppona je tak daleko, e ji
zobrazovac rozhran vbec nevezme v potaz. Je to alternativa dvojitch ppon.
Pi mnoen viru dochz k falovni opravdovho odeslatele. Je pouita podvren adresa
anebo adresa nkoho z adrese. Vyuv aj sofistikovanj metody krytu, kdy u je v
napadenm potai.
Neviditelnost Virus kontroluje dleit innosti. Obyejn to vykon tak, e pesmruje
vektor peruen anebo API funkci na sebe. Jinou technikou zabezpeujc neviditelnost vru,
je doasn odvjen prv kontrolovanho souboru.
Polymorfizmus schopnost pipojovat mutovanou kopii vru, pomoc zmny porad instrukci,
vloen bitovho umu resp. dynamickho ifrovn.
Viru existuje mnostv variaci, podle druhu aktivace:
Boot viry viry,kter vyuvaj pro penos infikovan bootovac mdium
Souborov vry viry, kter se aktivuj sputnm infikovanho souboru.
Makroviry Obsahuj makro, kter je schopn zkoprovat samo sebe z jednoho dokumentu
do druhho. Oblben hlavn v dokumentech typu Word, Excel z dvodu stylu ukldan
maker v tchto typech.
Retro vry se sna o znekodnn ppadn deaktivaci antivirovch produkt.
HLL vry - HLL (High Level Languages) viry byli vytvoen pomoc jazyk jako C++,
Delphi, Visual Basic. Na rozdl od bnch vir, vytvoench v jazyku Assembler, jsou
mohutnj a jejich analza je komplikovanj. Detekce heuristickou analzou je takka
nemon.
Parazitn vry Jsou pipojen k souboru, ale nepokozuj ho. Pro el infekce je pvodn
soubor upraven tak aby dolo k aktivaci viru
Boty
Jedn se o programy, kter vykvaj v potai na signl od jejich autora pro aktivaci. Po
celm svte jsou obrovsk st tzv. zombie pota (cca. miliny), kter jsou infikovan
danm programem. Jejich nebezpe je v tom, e samotn majitel nevd o programech a
pota me bt zneuit na trestn resp. neetick in (nap. rozeslan spamu).
Spam
Slovo spam oznauje vekerou nevydanou potu, kterou dostv uivatel do sv emailov
schrnky. Podle vzkum kolem 90 % email utv spam. Spam se asto vyuv i pro ely
en viru a kodlivho kdu anebo en hoaxu.
Pro ochranu vi spamu se vyvinuly 2 pistupy:
opt-out Znamen, e koncov uivatel me dostvat spam a do doby dokud
se vi nim neohrad
opt-in - Umouje poslat nevydanou elektronickou potu jen tm
uivatelm, kte k takovm konm dali souhlas
Znmy 2 druhy nevydan poty:
Unsolicited Bulk Email (UBE) - nevyiadan masov pota,
Unsolicited Commercial Email (UCE) - nevyiadan komern pota.
Hoax
Poplan sprvy, kter obvykle varuju ped neexistujcm nebezpenm vrem anebo
i poplan sprvy. Vry, kter se poplanmi sprvami jsou metavry. en je pln
zvisl na uivatelch, kter sprvu dl. Zkladn obsah hoaxu obsahuje:
- popis nebezpe
- niiv inky vru
- dvryhodn zdroje kaj
- vzva k dalmu rozesln
Backdoor
Takzvan zadn vrtka, kter jsou instalovna ji jinm kodlivm kdem a umouj
bezproblmov ovldnut potae nebo vyuvan jeho zdroj.
Dialer
Dialerem chpeme program, kter bez vdom uivatele pesmruje pipojovn dial up
pipojen na urit placen slo. Pohromou jsou astronomick ty za telefon.
Exploit
Exploit je oznaen pro programov kd, pomoc kterho tonk vyuije chybu v softvri k
vlastnm clm. Payload je oznaen pro programov kd, kter je pipojen k exploitu a
umouje tak napklad neoprvnen pstup do systmu.
Ransomware
Pvod oznaen ransomware se ve ke spojen anglickch slov ransom (vkupn) a
software. Jde o softvr (kodliv kd), kter pinut uivatele zaplatit vydraovi vkupn.
Typickm pkladem je nedouc ifrovni uivatelovch dat bez jeho vdom. Nsledn je
poadovna urit sumu vmnou za sprvne heslo.
Wabbit
Jednoduch program, kter nem za el se it, ale zahlcovat systm nesmyslnmi procesi
(nap. tm e se program sm kopruje a vytv svoje klony).
Logick bomba
Je programov kd, kter me by samostatnou aplikaci, anebo me by soust jinho
programu. Tento kd ek na signl ve form stlaen klvesov kombinace uivatelem.
Squatters
Jde o zneuvan prklep pi zadvan adres server. Nsledn squatter zaregistruje domny
podobnho nzvu, priem vychz z monch peklep. Jednou z nejhorch variant je
umstnen trojskch kon, spywaru alebo phisingu na podstrenou strnku.
kodliv aktivity
Ke kodlivm aktivitm v sti i na internetu dochz clen ale i nevdom dky neznalosti
uivatel. Tyto aktivity maj za kol kodit.
Clen toky se nazvaj hacking. Dalmi kodlivmi aktivitami jsou nap. sociln
inenrstv, phishing a jin.
toky provd tonk, co je lovk se zlmi mysly. toky jsou zvanj, pokud s
napadne ji zkuen tonk. Meme je dlit na amatry, hackery a profesionly.
Hacking znamen: neoprvnn prnik do potaovho systmu. Zneuit, krde nebo
pokozen dat.
Metody prnik
Prakticky kad tok hackera zneuv njakou slabinu, kterou me bt:
chyba vrobce (pmo v aplikaci, operanm systmu)
chyba dodavatele nebo administrtora (patn nastaven)
chyba uivatele tato slabina se narozdl od pedchozch dvou velmi obtn e
Nechci zde podrobn popisovat technick detaily konkrtnch typ tok, uvedu pouze
zkladn informace o nkterch z nich:
Buffer Overflow (BOF) pomrn velk okruh slabin, jejich pinou je programtorsk chyba, dky n dochz za jistch okolnost k nedoucmu pepsn pamti, eho lze zneut pro sputn vlastnho kdu.
Zneuit chyb ve WWW aplikacch nejastji SQL injection i podobn variace, kdy opt dky chyb programtora lze prostednictvm manipulace s dynamickmi parametry WWW strnek (pp. cookies) proniknout na sever i neoprvnn zskat data.
Sov techniky Sniffing (odposlouchn potaov st), Spoofing (pedstrn ciz identity, obvykle IP adresy).
Denial of Service (DoS) toky toky na odmtnut sluby, tonk posl mnoho dotaz, systm je odmt, ale tm dochz k peten systmu nebo jeho sti. Tyto dotazy chod pouze z jedn IP adresy, proto lze tento tok eit tak, e dotazy rozmstme na vce server. Kvli tomuto een vznikly tzv. Distributed DoS (dDoS) toky. Ty vyuvaj vce pota (IP adres), kter zskaj nap. pomoc internetovho erva. V jeden okamik jim pak tonk d rozkaz k toku na jeden vybran PC. Tento PC pak nem anci vydit i miliony poadavk a dojde k pehlcen. Pkladem tohoto toku je erv Blaster, kter chtl souasn zatoit na spol Microsoft.
toky na heslo hdn/lmn hesel. Bohuel na rozdl od vkonu pota schopnosti lid pamatovat si del hesla stagnuje, proto tato velmi star metoda je stle velmi inn.
Osobn povauji za nejvt slabinu v drtiv vtin ppad lidsk faktor (tj. vlastn
zamstnance), z konvennch hrozeb vidm jako nejzkenj chyby ve WWW aplikacch
i jinch systmech vyvjench na zakzku jedn se o jedinen chyby programtora
(vlastn zamstnanec, i pracovnk dodavatele), kter dn bn dostupn scanner
obsahujc databz jen tch nejrozenjch chyb neodhal a asto je vytvoena falen
iluze bezpe.
Sociotechnika (sociln inenrstv) je pesvdovn a ovlivovn lid s clem oklamat je
tak, aby uvili, e jste nkdo jin a zmanipulovat je k vyzrazen nkterch informac nebo
proveden uritch kon. Dky tomu je sociotechnik schopn vyut lidi, se ktermi hovo,
ppadn dodaten technologick prostedky, aby zskal hledan informace.
Cracknout nezkonn se vloupat do potae, obvykle za elem zcizen i znien dat,
ppadn zamezen pstupu k systmu ostatnm uivatelm.
Phreaking souhrnn termn pro vloupvn se do telefonnch systm, pevn za elem
veden bezplatnch hovor, odposlouchvn nebo naruovn telefonnch slueb.
Phishing tmto slovem se oznauj podvodn e-maily, kdy jsou na velk mnostv adres
rozeslny podvodn dopisy, kter na prvn pohled vypadaj jako informace z urit banky.
Tyto dopisy pln vyuvaj tzv. sociln inenrstv. Pjemce je informovn o dajn nutnosti
vyplnit daje v pipravenm formuli, jinak mu me bt zablokovn et, nebo jinak
omezena monost vyuit svch finannch prostednk. V e-mailu bv uveden odkaz na
pipraven strnky s formulem, kter jakoby odkazovaly na server banky. Ve skutenosti je
uivatel pesmrovn na ciz server, ale vytvoen ve stejnm stylu, jako jsou strnky
pslun instituce. Chycen uivatel nepozn rozdl a me vyplnit pedvolen polka, kde
jsou po nm poadovny dvrn informace - sla tu, kdy k internetovmu bankovnictv,
pin pro platbu atd. Takto zskan daje mohou podvodnci velice snadno zneut.
Management bezpenosti
Hlavn subsystmy s hardware, software, orgware. V okol me by oprvnen uvate,
neoprvnen uvate a ostatn. Hlavnm cieom IS je poskytova sluby Oprvnenm
uvateom. Naruenie spsobuje: obmedzenie funknosti systmu, kody. Bezpenos
informcie je kov zloka IS. Zabezpeenie informci je sas podniovej bezpenostnej
politiky. Vea strategickch rozhodnut managementu podniku priamo i nepriamo
s informanou bezpenosou svisia.
Informan bezpenos obsahuje zloky koncepn, riadiacu, administratvnu, technick,
prvnu, psychologick a socilnu.
Informcie je potreba chrni pred: neoprvnenmi prstupmi k polokm, sfalovanm
dat, vyzradenm dat, znemonenm prstupu k polokm oprvnenm osobm, znemonenm
zistenia ako bolo s datami naloen.
Cieom zabezpeenia uritch komponentov IS je zaisti polokm: autenticitu, integritu,
dostupnos, nepopieratenos zodpovednosti, spoahlivos a dvernos.
Postup pri vstavbe bezpenho IS: urenie ciea co sa m dosiahnu, urenie stratgie
jak sa m ciel dosiahnu a urenie politiky stanovi pravidla postupu vedceho
k dosiahnutiu ciea.
Dvody vstavby bezpenho IS: Informcie s majetkom organizcie, maj urit finann
i nefinann hodnotu, preto ich treba chrni. Bezpen IS organizcie zvyuje jej prest
a sebavedomie, stva sa pre partnerov a klientov dveryhodnej, zvyuje stabilitu
organizcie.
Problmy so zavdzanm BIS: poiadavky na finann nklady a personlne obsadenie,
nutnos dodrova pravidla obmedzujce doterajie praktiky uvateom IS, potreba podpory
managementu/ veden organizcie, nutnos zvenia kvalifikcie bezpenostnho
povedomia.
Zraniten miesto: hrozba, tok, riziko, bezpenostn ciele, bezpenostn funkcie,
bezpenostn mechanizmy. Zraniten miesto: vlastnos IS umoujci urobi tok, vznik
chybami v nvrhu technolgi, v pecifikcii poiadavkch , v bezpenostnej politike,
v implementcii alebo konfigurcii technolgi, v dodvke, v prevdzke.
Hrozba je monos psobenia vplyvu, ktor spsob zmenu vlastnost IS. Na kad prvok IS
me by viazanch viac hrozieb. Realizcia hrozby sa nazva incident.
Hrozba objektvna vyplva z prostredia prrodnho, fyzickho, fyziklneho, technickho,
logickho. Hrozba subjektvna vyplva z udskho konania myseln, nemyseln.
o charakterizuje hrozbu: frekvencia, kritick uplatnenie, motivcia, schopnosti, finanan
monosti, asov monosti potencilneho tonka, typ monho tonka (zamestnanec so
kodlivmi myslami, zamestnanec nemyselne robiaci kodliv aktivity, vonkaj tonk
bval zamestnanec, hacker, laik)
Uskutonenie hrozby tok (bezpenostn incident, zlyhanie IS, napadnutie IS)
Typy tokov poda sily, ciea, spsobu, vyvinut aktivity.
Typy tokov poda sily
katastrofick vedie ku zniku organizcie alebo k jej trestnej zodpovednosti
vznamn vne pokodzujci organizciu
nevznamn spsobuje mal alebo zanedbaten kody
toky myseln sila toku svis s mierou vynaloenho asu, peaz, znalost, at.
tonk slabej sily amatr, nhodn, script-kiddy apod.
tonk strednej sily hackeri disponujci znalosami, asom, vinou bez finannho zzemia
tonk vekej sily profesionli (priemyslov pion, vzvedn sluby apod.)
Bezpenos informcie v IT zaist bezpenostn funkcia prostrednctvom bezpenostnch
mechanizmov.
Bezpenostn funkcie (BF) ved k splneniu bezpenostnho ciea alebo viacerch
bezpenostnch cieov
odstrauj zraniten miesta
zniuj riziko dan hrozbou
nsledne minimalizuj inok toku
BF vykonvaj bezpenostn mechanizmy (BM)
Riadenie bezpenosti IT v podniku: politika, bezpenosti IT, organizan aspekty,
Management rizk, implementcia ochrannch opatren, dodrovanie ochrannch opatren
Programy pre zistenie hesiel zabrni ich intalcii, zabrni fyzickmu prstupu k PC,
odhlasova sa pri odchodu od PC, intalova firewall!
Odpovanie hesla pri prenose man in the middle schopn odpova as hesla pri
prenose po sieti FTP a nechrnench web. systmov
ipov karty lia sa v tom, e obsahuj mikroprocesor karta sa ned nasimulova
Odtlaky prstov najastej - potom tvar u, nosa, sietnice, rozmery dlane
kombincie - lepie (odtlaok prsta + ipov karta)
Zlohovanie sli k rchlej obnove pri strate dat.
1. online po as innosti systmu (Pskov jednotky, zlohy na disky: najlep, najrchlej)
2. offline zastavme innos systmu, prstup k systmu, meme pouva klasick
prostriedky.
Typy zlohovania: pln databzu cel zlohujeme
prpustkov zlohujeme len data, ktor sa nm zmenili od poslednho zlohovania
rozdielov zist, ktor nie s zlohovan-
Rozdiel medzi archivciou a zlohovanm:
archivcia: nekladie poiadavky na rchlos obnovy, je treba dlhodobo uklada data
z hadiska legislatvy (daje o mzdch 30 rokov)
zlohovanie: sli k rchlej obnove pri strate dat.
Ochrana pred kodlivmi programami: pouvanie kvalitnho antivrusu, dobr firewall
a aplikova pravidelne zplaty na v operan systm. Pri emailovch ervoch u na vstupe
antivir, na schrnkach kontrola uloench mailov, nepouvanie automatickho nhadu
emailov. Webov ervy ochrana na firewallu, na klientskch PC (zakza skripty,
dotazovacie okno). Sieov ervy ochrana: firewall, zavret alebo filtrovan port.
o s firewall a proxy ?
Niektor intitcie sa snaia ochrni server svojej loklnej siete pred nepovolanmi a
nekorektnmi zsahmi zvonku. Za tm elom oddeuj loklnu sie od ostatnho Internetu
smerovaom, na ktorom be pecilny program - firewall. Technolgia firewallov spova v
zkaze priamej komunikcie medzi loklnou a globlnou sieou. Cieom je chrni sie
nielen pred bezprostrednmi tokmi, ale aj utaji jej skuton truktru. Vedajm efektom
je monos poui v chrnenej sieti 'classeless' adresy, take sa etr adresn priestor.
Komunikcia prebieha potom cez proxy server, ktor je sasou loklnej siete. Komunikcia
niektorch aplikci smerom z chrnenej siete do Internetu vyuva Proxy server, ale mu
by pouit aj tzv. brny. Proxy servery bvaj vybaven pecilnymi cache pamami, v
ktorch sa uchovvaj informcie stiahnut z globlnej siete aj pre prpadnch alch
klientov, ktor bud ma o ne zujem. Proxy servery sa prve kvli tejto vhode pouvaj aj
samostatne, mimo technolgie firewallov. Ke chcem ich ponuku vyui, musm si vhodne
nakonfigurova svoj prehliada.
Vpadok prdu, podptie, preptie (blesk) Ochrana: blesku sa neubrnime, ak robme wifi,
na antne mus by optika
Skladanie PC: kupova komponenty vyroben v 1 roku, v 1 obdob, najlepie od 1 firmy
Vznamnou zlokou zabezpeenia je Account manager.
Hot spare: v prpade vpadku jednho z diskov poa je okamite automaticky aktivovan a
s na om dopotan chbajce data za vypadnut disk. Tak je minimalizovan rizikov
asov okno.
Hot Swap: tak opatrenie, vaka ktormu je mon stvajce moduly vybera za chodu
zariadenia (centrlny pc) a rovnako tak zasva za chodu moduly nov. Hot swap znamen
"vmenu za tepla".
Potaov cluster: zoskupenie vone viazanch potaov, ktor spolu zko spolupracuj,
take navonok mu pracova ako jeden pota. Obvykle s prepojen potaovou sieou.
Clustery s obvykle nasadzovan pre zvenie vpotovej rchlosti alebo spoahlivosti s
vou efektivitou ne by mohol poskytn jedin pota, priom s lacnejie ne jedin
pota o zrovnatenej rchlosti alebo spoahlivosti.
Raid: Redundant Array of Independent Disks. V podstate ide o to, e pouitm diskovho
radia so pecilnymi funkciami a viacermi pevnmi diskami sa daj zska urit pecilne
vlastnosti. S to predovetkm: rchlos, spoahlivos, ich kombincie.
Zhrnutie:
Bezpenos PC je vemi dleit v kadej organizcii. Sname sa, aby do naeho systmu
nevnikli neoprvnen uvatelia. Zabezpeenie informci je vemi dleit sas
podnikovej bezpenostnej politiky, preto je dleit ak ochrann prostriedky si vyberie
vrcholov management, aby boli dostaujce.
9 Zkladn kryptografick funkce (symetrick ifry, MAC
funkce, hasovac funkce, gen. nhodnch sel)
Nzev kryptografie i obdobn kryptologie je odvozen z eckch slov krypts (schovan,
ukryt) a grfo (pst), ppadn logos (mluvit).
Funkc kryptografie je takov zmna zprvy, kter zabrn neoprvnnmu teni v jejm
peten. Oproti tomu steganografie se zabv ukrytm zprvy, aby se k n tonk nedostal.
Zkladn pojmy:
ifrovn: proces, kterm konvertujeme bnou informaci do nesrozumiteln zmti znak
(ifrovho textu)
deifrovn: opan proces, kdy tento ifrov text pevedeme v oteven text.
kl: utajen informace (v idelnm ppad znm pouze pjemci a odeslateli), bez kter
nen mono ifrov text pest
kdovn: nhrada jednotky otevenho textu zakdovanm.
Symetrick ifry
algoritmus, kter k ifrovn i deifrovn pouv stejn kl. Tento kl mus bt utajen a
mohou ho znt jen ti, co spolu komunikuj. Asi nejznmj symetrickou ifrou je Ceasarova
ifra (dochz k posunu psmena o ti pozice v abeced).
Symetrick ifry se dl na dv kategorie a to na ifry proudov a blokov.
Blokov ifry
ifrovn probh postupn po blocch. Velikost jednotlivch blok zvis na zvolen ife.
Ke zven bezpenosti se pouvaj rzn mdy blokovch ifer, pi kterch na sebe
jednotliv bloky navazuj.
Pklady md blok. ifer:
CBC
c0 = IV cj = EK(cj-1 xj)
Kad blok otevenho text se xoruje pedchozm zaifrovanm blokem (prvn blok se xoruje
s IV). Vsledek tto operace projde zvolenou funkc a tm vznikne blok ifrovanho textu.
OFB
I1 = IV Oj = EK( Ij ) cj = xj Oj Ij +1 = Oi
ifra generuje tok dat, kter se xoruje s otevenm textem.
CFB
I1 = IV Oj = EK ( Ij ) cj = xj Oj Ij+1 = cj
ECB vhodn pro krtk zprvy, bloky se zpracovvaj nezvisle
Pklady blokovch ifer:
AES (Advanced Encryption Standard) Vytvoila ji americk vlda za elem ifrovn
svch dokument. Velikost kle me bt 128, 192 nebo 256 bit prozatm nebyla
prolomena.
DES byla vyvinuta v sedmdestch letech a je povaovna za nedostatenou, nebo
pouv pouze 56 bit pro ifrovn ifru je metodou hrub sly mon rozlousknout
piblin za 24 hodin standardnm potaem dnen doby.
Triple DES pouv kl o dlce 168 bit je tak bezpenj ne klasick DES, avak taky
o dost pomalej vce ne AES 256 bit.
a dal: GOST , IDEA, RC2 ,
Proudov ifry
Oteven text je njakm jednoduchm zpsobem (nap. XOR) kombinovn s nhodnm
etzcem, kter se vytv pomoc genertoru nhodnch sel. ifruj se postupn jednotliv
bity (ped ifrovnm nemus bt shromdn cel text).
Pklad proudovch ifer:
FISH
RC4 ( Rivest Cipher 4 ) - Kl m promnlivou dlku. ifra je streamov - nem
jednoznan urenou dlku bloku.
Asymetrick ifry
Pi pouit asymetrickch ifer probh ifrovn a deifrovn pomoc rznch kl. Jedn se
soukrom a veejn kl. Jestlie poslme nkomu zprvu a chceme zabezpeit, aby se k n
nikdo jin nedostal, zaifrujeme ji pomoci veejnho kle pjemce. Pjemce m svj
soukrom kl, kter zn jen on a pomoc nho si me zprvu deifrovat. Druh zpsob
ifrovan pomoc asymetrickch ifer je elektronick podpis. Elektronick podpis slou k
tomu, aby si kdokoliv mohl ovit, e dan program, zprva, . pochz od urit osoby. Zde
se k ifrovn pouv soukrom kl autora. Kad si me ovit, kdo je autorem pomoc
veejnho kle, ke ktermu m pstup kad.
Vhodou oproti symetrickm ifrm spov v tom, e nemusme penet kl.
MAC (autentizan kd zprvy)
Jedn se o krtkou zprvu, kter autentizuje pvodn zprvu a slou k obran proti nhodnm
i myslnm zmnm nebo chybm na komunikanm kanlu. Nejastji se k vpotu pouv
hashovac funkce, do kter vstupuje krom samotn zprvy tak njak tajemstv (heslo).
Dky tomu me MAC spotat pouze ten, kdo toto tajemstv zn.
K ifrovn me bt tak namsto hashovc funkce pouita blokov ifra.
Typy MAC:
- PMAC nhodn sekvence se xoruje se zprvou
- OMAC zaloena na blokov ife, kter je pouita v CBC mdu
- HMAC zaloeno na hashovac funkci
Hashovac funkce
Jsou pedpisy pro vpoet kontrolnho soutu (hashe) ze zprvy i vtho mnostv dat.
Kryptografick funkce, kter mus splovat nsledujc podmnky:
- jde o jednosmrnou funkci
- je obtn najt dva vstupy, kter maj stejn vstup
- jestlie mme vstupn hodnotu y, je obtn najt vzor x, pro kter by platilo y = f(x)
- jestlie mme vzor x1, je obtn najt vzor x2, pro kter by platilo f(x1) = (x2)
Pkladem hashovac funkce me bt napklad funkce MD5 i SHA-1.
SHA-1
Vstupn blok je rozdlen na 160 bitov sti, kter jsou rozdleny na 5 slov po 32 bitech (A,B,
C, D, E) a pot jsou zpracovvny (viz. obrzek ve). Ve se opakuje 80-krt.
Pklad vstupu:
Oteven text: Zilibylidedibabkadedbyllapkababka
ifrovan text: b3fe9214ef23bac44d1aa6ec65dcf57a338f27a8
(mono ifrovat napklad na: http://www.sha1.cz )
PRNG
Slou ke generovn nhodnch dat.
Data jsou generovny pomoc njak funkce, tud nejsou pln nhodn.
Zaloeno na tech pedpokladech:
- nepedvdatelnost vstupu
- bezpenost (jednosmrnost) vnitn funkce
- dvrnost vnitnho stavu
10 Autentizace uivatel Bezpenost WiFi st
Elektronick podpis Systmy pro anonymitu
Autentizace uivatel
Autentizace je proces, pi kterm se ovuje, zda je uivatel nebo entita opravdu ten, za koho
se vydv. Objekt vytv vrok o sv identit a systm zjiuje, jestlli je to pravda (1:1). Na
rozdl od Identifikace, kdy objekt nesdluje svou identitu a systm prochz vechny zznamy
v databzi, dokud nenajde shodnou identitu (1:N).
Systmy pro autentizaci uivatel maj za kol ovit identitu uivatel ve vztahu k potai
nebo informanmu systmu. Vzhledem k omezenm schopnostem lidsk pamti mus bt
pouiteln autentizan mechanismus takov, aby autentizace byla:
tak jednoduch jak je to jen mon pro oprvnn uivatele, nap. pi pouit hesel je
teba vyadovat hesla relativn krtk;
tak obtn jak jen je mon pro neoprvnn uivatele, take hesla by mla bt
pokud mono dlouh a komplikovan.
Autentizan metody
Autentizan metody mohou bt zaloeny na nem co dan uivatel zn, na nem co m
nebo nem, m dan uivatel je.
Pkladem metod spadajcch do prvn kategorie je njak tajemstv jako teba heslo nebo
PIN. Do druh meme zaadit rzn fyzick objekty nazvan tokeny, nap. kl nebo karta.
No a konen do tet spadaj rzn biometrick charakteristiky danho jedince jako otisk
prstu, identifikace hlasu nebo sken stnice. Samozejm, e vechny tyto metody maj sv pro
a proti.
Vhodou toho, co uivatel zn je to, e to nen fyzick objekt, ale pouze znalost, kter se d
snadno penet a zadvat do potae. Nevhodou je omezen lidsk pam a taky to, e se
uivatel ani nemus dozvdt, e dolo k odcizen.
Naopak vhodou tokenu je, e ho lze jen velmi obtn zkoprovat, jeho ztrta je snadno
zjistiteln, a je schopen uchovvat a pedevm pak i asto zpracovvat nhodn informace s
velkou entropi (mra informace). Nevhodou je to, e uivatel neme bt bez tokenu
rozpoznn a vytvoen nahradnho tokenu (pi ztrt) je asov i finann nron.
U biometrick autentizace nememe nic zapomenout ani ztratit. Typicky se jedn o st tla
nebo uritou charakteristiku osoby. Nevhodou je, e biometrick informace jsou jen velmi
obtn miteln a prv pesnost men vrazn ovlivuje celkovou bezpenost mnoha
biometrickch systm.
Tfaktorov/dvoufaktorov autentizace
Aby se pi zachovn vhod tchto metod co nejvce eliminovaly jejich nevhody, je astm
eenm jejich vzjemn kombinace. Tedy kombinace neho co uivatel m, co zn a m je.
Jedn se o tzv. tfaktorovou autentizaci. V souasn dob je vak nejpouvanj
dvoufaktorov autentizace, nejastji karta a heslo / PIN.
Hesla
Autentizace pomoc hesla je nejjednodum zpsobem autentizace v souasn dob. Hesla
volen uivateli mus bt nesnadno odhadnuteln. Rozhodn by nemla bt tvoena
normlnmi slovy bn pouvanmi v nkterm jazyce, a u vbec ne vrazy zce
spojenmi s danm uivatelem, jako jmno manelky, rodn slo, potovn adresa i snad
dokonce heslem shodnm s pihlaovacm jmnem.
Tradin se doporuuje vymyslet alespo osmiznakov heslo, v nm budou zkombinovny
slice, verzlky, mnusky a nealfanumerick znaky. Zdnliv protichdnou podmnkou je,
aby se samotnmu uivateli dobe pamatovalo. Toho lze ale snadno doclit teba urenm
hesla jako akronymu z njak pro uivatele snadno zapamatovateln vty.
Pokroilej systmy implementuj algorytmy, kter poadovanou sloitost a
neodhadnutelnost nastavovanho hesla kontroluj. Mysl pi tom teba i na takov vci, jako
symetrick kombinace klves na klvesnici apod. Samozejm, e kad heslo ztrc vznam,
kdy ho mme napsan na paprku na monitoru.
PIN osobn identifikan slo
PINy poskytuj jinou monost poslen bezpenosti. V tomto ppad omezujeme poet
pokus, kter mme k dispozici pro uhdnut hodnoty PINu. Pokud se v tchto pokusech
netrefme, tak systm PIN zablokuje a je nutn pout njak sloitj mechanismus na
odblokovn PIN a uvolnn dalch pokus. Tmto mechanismem me bt mnohem del
PIN (nap. u mobilnch telefon je to PUK).
Obvykl PIN je sloen pouze z slic a jeho dlka bv 4-8 znak. V mnoha ppadech si PIN
mohou uivatel sami mnit podle poteby (mobiln telefony, kreditn karty). Nutnm
pedpokladem u PIN je nutnost fyzickho vlastnictv autentizanho pedmtu, bez kterho
se nen k emu autentizovat (SIM karta, kreditn karta atd.)
Autentizan tokeny
Tokeny jsou, zjednoduen eeno, zazen, kter mohou uivatel nosit neustle s sebou a
jejich vlastnictv je nutn pro to, aby se mohli autentizovat do systmu. Maj bu specifick
fyzick vlastnosti (tvar, elektrick odpor, elektrickou kapacitu, ...), nebo obsahuj specifick
tajn informace (nap. kvalitn heslo nebo kryptografick kl), nebo jsou dokonce schopny
provdt specifick (obvykle kryptografick) vpoty.
Asi nejastjm autentizanm tokenem souasnosti jsou karty.
Dalm obvyklm typem tokenu je tzv. autentizan kalkultor. Samotn kalkultory mohou
bt zaloeny bu na tajemstv, kter je uloeno v kalkultoru a v autentizanm serveru, nebo
na synchronizovanch hodinch. Dleitou vlastnost kalkultor je zpsob komunikace s
uivatelem - klasick komunikan rozhran typicky zahrnuje pouze klvesnici a displej,
speciln optick rozhran i infraerven port umouj navc kalkultoru komunikovat
pmo s potaem.
Karty
Karty jsou asi nejastjm autentizanm tokenem souastnosti. Tm kad, kdo m
bankovn et, vlastn alespo jednu kartu. U mobil karta SIM.
Typy karet:
s magnetickm proukem obsahuje nemnnou informaci; lze je vak jednodue zkoprovat
ipov karty sloitj a dra, obsahuj procesor nebo pam
bezkontaktn napjeny silnm elektromagnetickm polem, pjemnj pro uivatele
s viditelnmi kontakty pevn napjen, nutnost fyzickho kontaktu se tekou
Autentizan kalkultory
Autentizan kalkultory jsou specializovan zazen, kter vyaduj speciln infrastrukturu,
kterou nabz vrobce pslunho kalkultoru. Samotn kalkultory mohou bt zaloeny na
tajemstv, kter je uloeno v kalkultoru a v autentizanm serveru. Rozhran me bt jak
klasick -klvesnice s displayem, tak speciln optick, komunikujc nap. pes
infraerven port. Nejastji jsou kalkultory postaveny na protokolu vzva-odpov, kdy
odpov je generovna na zklad zadan vstupn informace. Nkdy je funkce kalkultoru
zvisl i na asov synchronizaci se serverem.
Vhody:
je obtn je zkoprovat
je snadn zjistit jejich ztrtu
me obsahovat velk mnostv dalch informac
Nevhody:
uivatel se mus nauit nejprve zazen ovldat
bez tokenu se uivatel neme autentizovat
cena je dky potebnmu zabezpeen pomrn vysok
me se pokazit
Tfaktorov autentizace
Jedn se o maximln zabezpeen autentizace a je zaloena na tchto metodch:
nco vlastnme kl, karta, kalkultor
nco znme PIN, heslo
co jsme biometrick informace Tfaktorov autentizace pouv vechny metody zrove.
Biometriky
Biometrickch technologi je mnoho a jsou zaloeny na men fyziologickch vlastnost
lidskho tla (nap. otisk prstu nebo geometrie ruky) nebo chovn lovka (nap. dynamika
podpisu nebo vzorek hlasu), piem se jedn o men automatizovanm zpsobem.
Systmy zaloen na fyziologickch vlastnostech jsou obvykle spolehlivj a pesnj ne
systmy zaloen na chovn lovka, protoe men fyziologickch vlastnost jsou lpe
opakovateln a nejsou ve velk me ovlivnna danm (psychickm, fyziologickm) stavem
jako nap. stres nebo nemoc.
Metody biometrick autentizace:
sejmut otisk prst jedna z nejstarch metod
skenovn on duhovky nejefektivnj a nejelegantnj
skenovn onho pozad velice pesn metoda
rozpoznn tve
rozpoznn hlasu
dynamika podpisu
Bezpenost WiFi st
Zabezpeen bezdrtov st je obtn kol, vyaduje detailn analzu bezpenostn politiky
a dsledn dodrovn technik zabezpeen. Zabezpeen wifi st meme rozdlit do dvou
skupin:
techniky ifrovn penosu dat
techniky zabrnn proniknut tonka do st
Techniky ifrovn penosu dat
WEP
pi vvoji se pedpokldalo, e se bude jednat o zabezpeen, kter nepjde prolomit,
avak se stle rostouc oblibou bezdrtovch st byly zjitny nedostatky
je soust standardu IEEE 802.11b, pouv se 64 a 128 bitov kl, ale prvnch 24
bit je inicializan vektor, v ppad 64b m kl WEP tedy dlku 40 bit, obdobn je
to u 128 bitovho kle
WEP pouv proudovou ifru RC4, tedy ifru s tajnm klem, kter je sdlen a
slou k ifrovn penench dat
RC4 pouv logickou operaci XOR k vytvoen zaifrovan zprvy, vstupem je
oteven text a pseudonhodn klovac proud o stejn dlce (tento je vstupem
PRNG); ifrovn pot probh tak, e se provede operace XOR na ifrovan hodnot
spolu s klovacm proudem. Deifrovn probh stejn.
cel WEP proces probh tedy takto:
o data jsou rozdlena na mal bloky, kter jsou zpracovny a odeslny
o za pomoci algoritmu CRC-32 je vytvoen etzec, kterm lze zkontrolovat
integritu pijatho paketu, pot je pouita ifra RC4 k zaifrovn obsahu
o dle je pipojen neifrovan inicializan vektor, kter byl pouit v ifrovacm
procesu, bez nj nen mon informace deifrovat
o data jsou odeslna a nsledn pijata druhou stranou
o provede se deifrovac proces, z paketu je oddlen IV, kter je pot
zkombinovn se sdlenm heslem, dle se pouije PRNG pro vytvoen
klovacho proudu
o vsledkem operace XOR je pot neifrovan paket a kontroln souet, tyto
hodnoty jsou porovnny, pot je paket prohlen za validn nebo nikoliv
WEP2
snaha o odstrann chyb a nedostatk WEP, tedy o rozen IV (inicializan vektor) a
pouvan 128 bit ifrovn, pvodn mezery ale zstaly, jen zabere vce asu na
prolomen
pouv se na zazench, kter hardwarov nestaila na WPA
WPA
wifi protected access, zaveden v roce 2002 jako nhrada za slab WEP, nabz dva
stupn zabezpeen personal a enterprise WPA
pouv stle ifru RC4, ale s 128 bitovm klem a 48 bitovm IV, zsadn vylepen
spov v dynamicky se mncm kli TKIP (Temporal Key Integrity Protocol)
je zde tak vylepena kontrola integrity dat, je pouvna metoda MIC (Message-
Integrity Check)
ve verzi enterprise se pouv autentizan server RADIUS, kter rozesl kle, ve
verzi personal maj vichni uivatel stejn kl PSK (Pre-Shared Key)
zvten dlky kle a IV, snen potu zaslanch paket s podobnmi kli a
ovovn integrity dl zabezpeen WPA tko prolomiteln
WPA2
vznikl v roce 2004, je soust IEEE 802.11i, pouv protokol CCMP se silnou ifrou
AES, obsahuje dynamicky se mnc 128 a 256 bitov kl a funkci MIC pro kontrolu
integrity paket
Techniky zabrnn proniknut tonka do st
Jedn se o metody zen pstupu do st, tedy autentizaci. Pro autentizaci se pouv nkolik
protokol:
EAP
EAP je zkladnm protokolem pro autentizaci, kter podporuje nkolik autentizanch metod,
a to Kerberos, jednorzov hesla, certifikty, autentizace, veejnm klem, ipov karty.
Pokud jsou tyto metody vyuvny spolu s 802.1x, tak se jedn o end-to-end autentizan
proces. Bezdrtov klient, kter poaduje pstup do st, bude mt udleno povolen, a v tom
okamiku, kdy dojde k spnmu oven. Pot co pijme AP poadavek na pipojen si
vyd od klienta identifikan informace, kter poslze ped autentizanmu serveru (nap.
RADIUS). Server tyto informace vyhodnot a sdl pstupovmu bodu, zda byla autentizace
spn i nikoliv.
VPN
Virtuln privtn st poskytuj zabezpeen komunikan kanly ve veejnch stch. Jsou
zaloeny na protokolu PPTP, kter vyuv autentizaci vtinou pomoc MS-CHAP v2.
Vhody pouvn VPN jsou tyto:
ifrovn provozu mezi dvma stanicemi nebo v rmci cel st
jedn se o SW een, nen poteba dal dodaten HW
poskytuje nkolik rovn zabezpeen
Prostednictvm VPN se lze pipojit do firemn st odkudkoliv na svt. Vyuv se
tunelovn, kdy jsou pakety zapouzdeny do jinch paket, kter poskytuj zabezpeen pi
prchodu veejnou st. Dle se vyuv Internet Protocol Security (IPsec) pro zajitn
integrity, autentinosti, a ppadn dalch rovn ochrany penench dat.
Zkladn doporuen pro zabezpeen wifi st :
zmnit SSID, kter je defaultn nastaveno a zvolit njak neutrln, kter nevypovd
o tom k emu je s urena nebo komu pat
zruit vysln SSID, v tomto ppad tonk s neuvid, existuj ale programy,
pomoc kterch me tonk SSID zjistit
pouvat filtrovn MAC adres, MAC adresy jdou sice mnit, ale s pouitm ifrovn
to ji nen tak snadn
zmnit hesla pro vzdlenou konfiguraci pstupovch bod
Typy tok na bezdrtov st
WEP cracking
jedn se o rozlutn kle WEP, jde o oblbenou metodu tonk
k rozlutn je poteba odposlechnout 5 a 10 milion pakt a tonk spolh na to,
e po celou dobu zachytvn paket nebude WEP kl zmnn
obrana: pouvat dal autentizan a ifrovac mechanismy, nap. VPN nebo EAP
MAC attack
jedn se o podobn tok jako pedchoz, pokud nen WEP aktivovn sta tonkovi
zachytit komunikaci mezi dvma body a vyhledat si hlaviku MAC adresy
v ppad pouit WEP je nutn nejprve dekdovat WEP, zde ovem sta i offline
analza zachycench rmc
v okamiku zskn MAC adresy ji tonk nastav sv kart a m stejn prva jako
oprvnn uivatel
obrana: stejn jako u pedchozho toku, tedy pouit dal autentizanch a
ifrovacch mechanism
Man in the middle
je charakteristick tm, e tonk vstoup mezi klienta a pstupov bod a zachytv
veker penesen data
ze zskanch informac lze vytvoit podvren pstupov bod a pepojit klienta na
tento bod, data, kter tento podvren AP pijal, posl tak pvodnmu pstupovmu
bodu, aby se oba domnvali, e je ve v podku
tonk se takto dostv ke vem datm vetn hesel apod.
obrana: opt pouit VPN nebo EAP, sestavit mapu st a run kontrolovat, zda nkde
nevysl podezel AP
Slovnkov tok
je zaloen na vyuit slovnku pro tok na uivatelsk jmna a hesla, tonk se sna
za pomoci databze nejastji vyuvanch login a hesel prolomit ifru, jakmile se
mu to poda, zskv pln pstup do st
vhodou je, e tyto toky jsou pevn zameny na anglofonn uivatele
obrana: pouvat vhodn hesla o dlce alespo 8mi znak sloench z psmen a slic
a pravideln je mnit
Session Hijacking
tonk je schopen komunikaci v sti nejenom odposlouchvat, ale i vkldat do n
vlastn data a tmto zpsobem pesmrovat komunikaci na sebe
obrana: zde se jedn o velmi sloit tok, ale autentizace by opt mla pomoci
Denial of Service (DoS)
tok zamen na vyazen st z provozu, pstupov bod je zahlcen nesmyslnmi
daty v obrovskm mnostv, AP se sna tyto data vyhodnotit a dochz k jeho
zahlcen
obrana: pout filtrovn MAC adres nebo firewall s analzou paket
Elektronick podpis
Elektronick podpis poskytuje u datovch zprv zpracovvanch v informanch systmech
i penench komunikanmi stmi funkn ekvivalent run psanho podpisu na
psemnch dokumentech. Mus tedy zajistit zejmna poadavky na
oven podepsan osoby a dkaz, e uveden osoba podepsala dokument vdom,
oven dokumentu, resp. oven, e dokument je prav a nebyl nsledn
modifikovn.
Realizace elektronickho podpisu
Elektronick podpis v souasn dob vyuv vlastnost kryptografickch algoritm s
veejnm klem. Tyto algoritmy charakterizuje zkladn princip, kter spov v konstrukci
dvojice jednoznan matematicky svzanch rznch kl. Jedn se o veejn kl, kter se
vyuv k zaifrovn zprv a je publikovn, naproti tomu privtn kl, uren k deifrovn
pijat zprvy mus bt peliv chrnn a zstat ped ostatnmi utajen. Zaifrujeme-li danou
zprvu veejnm klem pjemce, pak pouze on s pomoc svho privtnho kle me tuto
zprvu deifrovat a pest. Dleit je, e dvojice kl danho algoritmu je navrena tak, aby
nebylo mon ze znmho veejnho kle zskat, vypotat i odvodit kl privtn.
Nkter kryptografick algoritmy maj takovou vlastnost, e je mon pro ifrovn a
deifrovn datovch zprv pout veejnho i privtnho kle. V tomto ppad je mon tyto
algoritmy pout i pi realizaci elektronickho podpisu.
Uivatel, kter chce ke sv zprv pipojit elektronick podpis, pouije k tomu svho
privtnho kle. Kad, kdo zn jeho veejn kl me pomoc tohoto kle ovit pipojen
podpis a v, e zprvu mohl odeslat pouze on, nebo vlastn pslun privtn kl.
Pi podepisovn datov zprvy jsou tedy kle kryptoalgoritmu vyuity v obrcenm poad
ne v procesu ifrovn.
Zkladnmi algoritmy, kter se k podpisu datovch zprv pouvaj, jsou algoritmy RSA , u
kterho je bezpenost zaloena na obtnosti rozkladu velkch sel, a DSA , vychzejc z
algoritmu navrenho Schnorrem a ElGamalem a postavenm na matematickm apartu
diskrtnch logaritm.
Proces vytvoen elektronickho podpisu probh ve dvou nsledujcch krocch. Uivatel,
kter bude podepisovat datovou zprvu, je vlastnkem privtnho kle a ostatnm je znm
jeho veejn kl. Pak:
Z datov zprvy vytvo pomoc hash funkce kontroln vzorek zprvy;
Vstup hash funkce (kontroln vzorek zprvy) zaifruje privtnm klem
kryptoalgoritmu a zaifrovan kontroln vzorek, tvoc elektronick podpis, ke zprv
pipoj;
Pi oven elektronickho podpisu pjemce zprvy postupuje nsledovn:
Po obdren datov zprvy s elektronickm podpisem vypote pomoc stejn hash
funkce kontroln vzorek zprvy.
