Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
B IT MAN126/1 v: 2015.09.08B IT MAN
8. Ea: Lakat alatt
Információs technológiák
Az informatikai biztonságról
B IT MAN126/2
Az informatikai biztonságról
B IT MAN126/3
Adatbiztonság
Általános alapfogalmak
Adatvédelem
Ellenőrző kérdések
Témakörök
B IT MAN126/4
Adat, jel, információ
Adat: tények, fogalmak, eligazítások olyan formai
megjelenése, amely alkalmas az emberi vagy az
automatikus eszközök által történő kommunikációra,
értelmezésére, feldolgozására.
– Az adat valamilyen formában tárolt ismeretet jelent.
Jel: Az adat hordozója, mely valamilyen módon
felfogható: hallható, látható, valamilyen eszközzel
érzékelhető.
Információ: az adatok feldolgozásával keletkező hatás,
(értelmezett adat) amely a befogadó számára
megnövekedett jelentéstartalmat hordoz.
B IT MAN126/5
Kommunikáció
Információátadás, szereplői: emberek és gépek.
A sikeres kommunikáció feltételei:
A kommunikáló felek között olyan kapcsolatnak kell
kialakulnia, amely lehetővé teszi a kommunikáció
megtörténtét.
Szükség van a kommunikáló feleket összekötő
csatornára, amely alkalmas üzenet továbbítására.
Szükség van egy közös kódrendszerre (annak mindkét
fél általi ismeretére).
Az üzenetnek olyan tartalommal kell bírnia, amelyet a
címzett megért.
B IT MAN126/6
A kommunikáció modellje
Claude Elwood Shannon, 1948
Forrás Adó
kódolás
Vevő Felhasználó
dekódolás
jel jelcsatorna
Kódolás: a közlemény csatornán átvihető jelekké történő
alakítása valamilyen kódrendszer segítségével.
Dekódolás: a jelek visszaállítása közleménnyé.
Csatorna: az a (fizikai) közeg, melyen keresztül a
közlemény eljut a feladótól a vevőhöz.
Redundancia: általában bizonyos adatokat megismét-
lünk az üzenetben, ezeket az újabb információt nem adó
elemeket redundáns adatoknak nevezzük.
zaj
B IT MAN126/7
Kommunikáció - Dokumentum
Kommunikáció: Az információk cseréje, átadása.
Dokumentum: Az információ megjelenési formája.
Olyan önálló szellemi termék, független
információegység, melynek célja az információ közlése,
a tudás átadása. Számítógépes környezetben a
dokumentumok fájlok formájában jelennek meg, így
tárolódnak, így továbbíthatók.
Információ DekódolásKódolás InformációCsatorna
Adó Vevő
B IT MAN126/8
Adatvédelem - Adatbiztonság
Adatvédelem: Adatok meghatározott csoportjára
vonatkozó jogszabályi előírások érvényesítése az
adatok kezelése során.
Adatbiztonság: Az adatok jogosulatlan megszerzése,
módosítása és tönkretétele elleni technikai
megoldások (műszaki és szervezési intézkedések és
eljárások) együttes rendszere.
B IT MAN126/9
Adatbiztonság
Általános alapfogalmak
Adatvédelem
Ellenőrző kérdések
Témakörök
B IT MAN126/10
Adatvédelem
Adatvédelem: Adatok meghatározott csoportjára
vonatkozó jogszabályi előírások érvényesítése az
adatok kezelése során.
Fő ellentmondás:
Személyes
adatok
védelme
Az információ
szabad
áramlása
B IT MAN126/11
Adatvédelmi ajánlások
Európa tanács – 1973
– Az egyének magánéletének védelméről, a magán, ill.
az állami szektorban tárolt elektronikus
adatbankokkal szemben.
Európa Tanács - 1979
– A kormányzati dokumentumok nyilvánosságáról és az
információszabadságról
Gazdasági Együttműködés és Fejlesztési Szervezet
(OECD) - 1980
– A magánélet védelméről és a személyes adatok
határt átlépő áramlásáról
B IT MAN126/12
Adatvédelmi ajánlások 2.
Európa Tanács - 1981
– Titokvédelmi egyezmény a személyes adatok automatikus kezelésével kapcsolatos védelméről
Általános Vám- és Kereskedelmi Egyezmény - 1993
– Egyezmény a szellemi tulajdon kereskedelmével összefüggő kérdésekről
Európai Unió és az Európa Parlament - 1997
– Irányelv az adatbázisok jogi védelméről
NATO - 1997
– Az információ biztonságáról
Európai Unió és az Európa Parlament - 1999
– Akcióterv az Internet biztonságos használatának előkészítésére
B IT MAN126/13
Hazai szabályozás
Az Alkotmány XII. fejezete, 59. §
A Magyar Köztársaságban mindenkit megillet a jó
hírnévhez, a magánlakás sérthetetlenségéhez, valamint
a magántitok és a személyes adatok védelméhez való
jog.
B IT MAN126/14
1992. évi LXIII. törvény
Az állampolgárnak döntési és cselekvési joga van a róla
szóló információk felett, valamint joga van a közérdekű
információk megismeréséhez.
A törvény főbb pontjai:
– A törvény célja
– Értelmező rendelkezések
– A személyes adatok védelme
– A közérdekű adatok nyilvánossága
– Az adatvédelmi biztos és az adatvédelmi nyilvántartás
B IT MAN126/15
Személyes adatok
Az érintett személlyel kapcsolatba hozható adat, melyből
következtetés vonható le az érintettről.
Pl: név, születési dátum, hely, anyja neve, végzettség,
foglakozás…
B IT MAN126/16
Különleges adatok
A magánszféra leginkább védelemre szoruló adatai,
amelyek a következőkre vonatkoznak:
– Faji, nemzeti, nemzetiségi és etnikai eredetre,
– Politikai véleményre, pártállásra,
– Vallási vagy más meggyőződésre,
– Egészségi állapotra,
– Káros szenvedélyre,
– Szexuális beállítottságra,
– Büntetett előéletre.
B IT MAN126/17
Az adatkezelés szabályozása
Adatkezelő: Az a természetes vagy jogi személy
(hatóság, intézmény vagy más szervezet), amelynek
törvényes joga van meghatározni az adatkezelés célja
szerint tárolandó személyes adatok fajtáit és
végrehajtani velük a szükséges műveleteket
(adatgyűjtés, módosítás, nyilvánosságra hozás, törlés).
Személyes adat kezelhető, ha az érintett hozzájárul,
vagy a törvény elrendeli.
Különleges adat kezelhető, ha az érintett írásban
hozzájárul, vagy külön törvény elrendeli.
B IT MAN126/18
Közérdekű adatok
Az állami vagy helyi önkormányzati feladatot ellátó szerv
kezelésében, a személyes adat fogalma alá nem eső, és
törvényben meghatározott kivételek körébe nem tartozó
adat.
Közfeladatot ellátó szerv köteles tájékoztatást adni
tevékenységéről.
Belső használatra és döntés-előkészítésre használt adat 30
évig nem nyilvános.
De! Létezik:
– Állam- és szolgálati titok,
– Banktitok, üzleti titok, levéltitok
B IT MAN126/19
Adatbiztonság
Általános alapfogalmak
Adatvédelem
Ellenőrző kérdések
Témakörök
B IT MAN126/20
Adatbiztonság
Alapfogalmak
Titkosítási módszerek
Az informatikai biztonság megvalósítása
B IT MAN126/21
Adatbiztonság
Adatbiztonság: Az adatok jogosulatlan megszerzése,
módosítása és tönkretétele elleni technikai megoldások
(műszaki és szervezési intézkedések és eljárások)
együttes rendszere.
Alapkövetelmények:
Rendelkezésre állás
– A rendszer szolgáltatásai és adatai a megfelelő időben
legyenek működőképesek.
Sértetlenség
– Az adatokat és a programokat csak az arra jogosultak
változtathatják meg, véletlenül sem módosulnak.
B IT MAN126/22
Adatbiztonság – Alapkövetelmények 2.
Bizalmasság
– Az adatokhoz az arra jogosultak, és csak az előírt
módokon férhetnek hozzá.
Hitelesség
– A partnerek kölcsönösen és kétségtelenül
felismerhetik egymást, és ez az állapot a kapcsolat
egész idejére változatlanul fennmarad.
Működőképesség
– A rendszernek és elemeinek az elvárt és igényelt
üzemelési állapotban való tartása.
B IT MAN126/23
Kockázatmenedzsment
Fenyegető tényezők: a biztonsági alapkövetelmények
teljesítését zavaró körülmények vagy események.
A kockázatmenedzsment feladata a rendszert fenyegető
veszélyek felmérése, és a megfelelő védelmi stratégia
kidolgozása.
– Törekedni kell egy egyenszilárdságú rendszer
kiépítésére, mely minden pontján egyforma erősségű
védelmet nyújt.
– Fontos: a védelemre fordított energia és
tőkebefektetés ne haladja meg a lehetséges kár által
okozott veszteséget.
B IT MAN126/24
Támadások
Az adat a támadások célja, de általában nem közvetlenül
érhetők el az adatok, hanem az azokat "körülvevő"
rendszerelemeken (a hardver és/vagy szoftver
elemeken, a környezeti infrastruktúrán) keresztül.
Támadás: Azok az akciók, amelyek az adatok
– bizalmasságát,
– sértetlenségét,
– hitelességét,
– rendelkezésre állását,
– a funkcionális követelményeknek megfelelő
felhasználásukat veszélyeztetik.
B IT MAN126/25
Veszélyforrások
ADAT
Op.Rendszer
Hardver + Hálózat
Épület, szerverszoba
Ára
me
llátá
s
Tűzvédelem, Hűtés
Vill
ám
vé
de
lem
Személyek (belső, külső)
Megvesz-tegetés
Szakkép-zetlenség
Bosszúállás Szabályok hiánya
Fizikai behatolás
Üzemzavar
Szakszerűtlen üzemeltetés
Tűz Túlmelegedés
Vírusok
Programhibák
Illetéktelen szoftverek
Illetéktelen rácsatlakozás
Alkalmazások
Illetéktelen hozzáférés
Villámcsapás
Kém-programok
B IT MAN126/26
Veszélyforrások 2.
Szervezési gyengeségek
– Szervezési hiányosságokból eredő veszélyek, nem megfelelő erőforrás és kapacitástervezés
Természeti veszélyforrások
– Tűz, csőtörés, árvíz, villám, földrengés
Fizikai veszélyek
– Betörés, lopás, rongálás
Logikai fenyegetések
– Informatikai csalás, hálózati betörés, lehallgatás
Humán veszélyforrások
– Belső munkatársak gondatlansága, visszaélések, szándékos rongálás
B IT MAN126/27
Az informatikai biztonság
az az állapot, amikor az informatikai rendszer védelme
a rendszer által kezelt adatok bizalmassága,
hitelessége,
sértetlensége
rendelkezésre állása,
a rendszerelemek rendelkezésre állása és
funkcionalitása szempontjából
zárt, teljes körű, folyamatos és a kockázatokkal arányos.
B IT MAN126/28
Az informatikai biztonság 2.
Zárt védelem: az összes releváns fenyegetést
figyelembe vevő védelem.
Teljes körű védelem: a védelmi intézkedések a rendszer
összes elemére kiterjednek.
Folyamatos védelem: az időben változó körülmények és
viszonyok ellenére is megszakítás nélkül megvalósuló
védelem.
A kockázattal arányos védelem: egy kellően nagy
időintervallumban a védelem költségei arányosak a
potenciális kárértékkel.
B IT MAN126/29
Az informatikai biztonság 3.
– A védelmi költségek és a kárérték arányát a
biztonságpolitika határozza meg, és ezt, mint a
védelem erősségét is értékelhetjük.
– A védelem akkor kielégítő erősségű (mértékű), ha a
védelemre akkora összeget és olyan módon
fordítanak, hogy ezzel egyidejűleg a releváns
fenyegetésekből eredő kockázat a szervezet számára
még elviselhető szintű vagy annál kisebb.
B IT MAN126/30
Biztonságpolitika
A szervezetek, intézmények biztonságpolitikájának
elemzéséhez és meghatározásához azok
alapfeladataiból, illetve az azokat gátló, veszélyeztető
hatásokból kell kiindulni.
A biztonsági koncepció az adott intézményre vonatkozó
informatikai biztonsági alapelveket fogalmazza meg és
az informatikai biztonságpolitika alapját képzi.
A biztonságpolitika a szervezet és tagjainak az
informatikai biztonsághoz kívánatos viszonyulást, az
érvényesítés alapelveit fogalmazza meg egységes
szemlélettel és az intézmény egészére.
B IT MAN126/31
A biztonsági stratégia
Meghatározzuk a védelmi célokat,
kiválasztjuk és elhatároljuk azokat a területeket,
amelyeken a biztonsági rendszereket kialakítani és az
intézkedéseket érvényesíteni kell,
meghatározzuk a biztonsági tervezés módszerét,
körvonalazzuk a minimális követelményeket,
megtervezzük és ütemezzük az intézményre vonatkozó
biztonsági intézkedéseket, beleértve a katasztrófa-
elhárítást is,
meghatározzuk a követhetőség és a menedzselhetőség
követelményeit, valamint a felügyelet és az ellenőrzés
rendszerét.
B IT MAN126/32
Az adatvesztés főbb okai
Forrás: Contigency Planning Research
B IT MAN126/33
Keletkező károk
Dologi károk: közvetlen vagy közvetett költségvonzat
– Károsodás az infrastruktúrában (épület, vízellátás,
áramellátás, klímaberendezés stb.),
– károsodás az informatikai rendszerben (hardver,
hálózat sérülése stb.),
– a dologi károk bekövetkezése utáni helyreállítás
költségei.
B IT MAN126/34
Keletkező károk 2.
Politikai és társadalmi károk:
– Állam- vagy szolgálati titok megsértése,
– személyiséghez fűződő jogok megsértése,
személyek vagy csoportok jó hírének károsodása,
– bizalmas adatok nyilvánosságra hozatala,
– hamis adatok nyilvánosságra hozatala,
– közérdekű adatok titokban tartása,
– bizalomvesztés hatóságokkal, felügyeleti szervekkel
szemben.
B IT MAN126/35
Keletkező károk 3.
Gazdasági károk:
– Lopás károk,
– az intézmény vagy cég image-ének romlása,
– rossz üzleti döntések hiányos vagy hamis információk
alapján.
Személyek biztonságában esett károk:
– Személyek megsérülése,
– megrokkanása,
– haláleset.
B IT MAN126/36
Keletkező károk 4.
A tudomány területén okozott károk:
– Eredmények idő előtti, illetve hamis név alatti
nyilvánosságra kerülése,
– tudományos eredmények meghamisítása.
B IT MAN126/37
Kárérték szintek
Anyagi kárHelyreállítás
időtartamaHatások
„0”
Jelentéktelen
kár
Néhány
10.000 Ft< 1 nap
Jelentéktelen személyi sérülések
Szervezeten belül maradó problémák
Nem védett adat bizalmassága
vagy hitelessége sérülhet
„1”
Csekély kár
Néhány
100.000 Ft< 1 hónap
Könnyű személyi sérülések
Kínos helyzet a szervezeten belül
Védett adatok bizalmassága vagy
hitelessége sérülhet
„2”
Közepes kár Néhány
millió Ft< 1 év
Néhány súlyos személyi sérülés
Bizalomvesztés a szervezet
középvezetésében
Fegyelmi intézkedések
Jogszabállyal védett adatok (levél-
orvosi-, üzleti titkok) bizalmassága
vagy hitelessége sérülhet
B IT MAN126/38
Kárérték szintek 2.
Anyagi kárHelyreállítás
időtartamaHatások
„3”
Nagy kár
Néhány
tízmillió Ft > 1 év
Tömeges személyi sérülések
Bizalomvesztés a szervezet
vezetésében, vezetők lemondása
Szolgálati titkok, és/vagy nagy
tömegű védett személyes adatok
bizalmassága vagy hitelessége
sérülhet
„4”
Kiemelkedően
nagy kár
Néhány
százmillió
Ft
> 10 év
Halálesetek, és/vagy tömeges
személyi sérülések
Államtitkárok, tárcavezetők leváltása
Katonai-, nagy értékű üzleti
titkok, bizalmassága vagy
hitelessége sérülhet
„4+”
Katasztrofális
kár
Néhány
milliárd Ft > 10 év
Tömeges halálesetek
Kormányon belüli személyi változás
Államtitkok bizalmassága vagy
hitelessége sérülhet
B IT MAN126/39
Információbiztonsági osztályozás
A besorolás az informatikai rendszert maximálisan
fenyegető események alapján történik:
Alapbiztonsági: a rendszerben maximum „2”, azaz
legfeljebb közepes kárértékű esemény bekövetkezése
fenyeget.
Fokozott biztonsági: a rendszerben maximum „3”,
azaz legfeljebb nagy kárértékű esemény bekövetkezése
fenyeget.
Kiemelt biztonsági: a rendszerben a „4+”, azaz a
katasztrofális kárértékig terjedő esemény bekövetkezése
fenyeget.
B IT MAN126/40
Információbiztonsági osztályozás 2.
Alapbiztonsági: Személyes adatok,pénzügyi adatok,
illetve az intézmény belső szabályozásában hozzáférés-
korlátozás alá eső és a nyílt adatok feldolgozására,
tárolására alkalmas rendszer biztonsági osztálya.
Fokozott biztonsági: A szolgálati titok, valamint a
különleges személyes adatok, nagy tömegű személyes
adatok, banktitkok, közepes érték üzleti titkok
feldolgozására, tárolására is alkalmas rendszer
biztonsági osztálya.
Kiemelt biztonsági: Az államtitok, a katonai szolgálati
titok, valamint a nagy tömegű különleges személyes
adatok és nagy érték üzleti titkok feldolgozására,
tárolására alkalmas rendszer biztonsági osztálya.
B IT MAN126/41
Rendelkezésre állás
Tüz= 1 hónapRendelkezésre
állás
Megengedett
kiesési idő
Egyszeri max.
kiesés hossza
IB-A
Alapbiztonsági95,5 % 23,8 óra -
IB-F
Fokozott biztonsági99,5 % 2,6 óra 30 perc
IB-K
Kiemelt biztonsági99,95 % 16 perc 1 perc
Az a valószínség, amellyel egy definiált időintervallumon
belül az alkalmazás a tervezéskor meghatározott
funkcionalitási szintnek megfelelően a felhasználó által
használható.
B IT MAN126/42
Az alapbiztonsági (IB-A) osztály kialakítása
Az intézkedéseknek az alábbiakra kell kiterjednie:
Az infrastruktúra kialakítása
Hardver-, szoftver védelem
Adathordozók védelme
Dokumentumok, dokumentációk védelme
Adatok védelme
A kommunikáció, és az osztott rendszerek védelme
Személyi intézkedések
B IT MAN126/43
Az IB-A osztály infrastruktúrája
Irányelvek a kialakításhoz:
Az adatok feldolgozását, tárolását, a hálózat működését
biztosító berendezésekre és a tárolt szoftverekre,
adatokra és dokumentációkra kell megvalósítani a
védelmet.
A védelemnek az alkalmazások rendelkezésre állásának
értékével, a hardver és a szoftver beszerzési értékével,
az adatok pótlásának költségével kell arányban lennie.
A védelem teljes kör, mindenre kiterjedő legyen.
B IT MAN126/44
Az IB-A osztály infrastruktúrája 2.
Követelmények:
A mechanikai védelemnél, a falazatok, a nyílászárók, a
zárak biztonsági kialakításánál az építészeti szabványok,
a MABISZ és a Rendőrség ajánlásai szerint kell eljárni.
Az intézmény őrzés-védelmét mind munkaidőben, mind
azon túl biztosítani kell, az épület zárását, a belépést ezen
időszakoknak megfelelően szabályozni és érvényesíteni
kell.
Az olyan hivatali helyiségeket, ahol számítástechnikai
eszközökkel történik a munkavégzés, biztonsági zárral kell
ellátni és a helyiséget távollét esetén zárva kell tartani.
Biztosítani kell az adathordozók és dokumentációk tűz- és
vagyonvédett tárolását.
B IT MAN126/45
Hardver-, szoftver védelem
A számítástechnikai eszközökre a vagyonvédelem
szempontjából a MABISZ ajánlásait kell alkalmazni.
A PC-s munkaállomásokat a felhasználói igények
figyelembevételével úgy kell konfigurálni, hogy a
felhasználóhoz kötött jelszó használat biztosított, illetve
az illetéktelen adathordozó használat megakadályozható
legyen.
Biztosítani kell az intézmény egészére kiterjedő,
rendszeres és folyamatos vírusvédelmet.
A szoftverben megvalósított védelmeket az operációs rendszer és a felhasználói rendszer védelmi tulajdonságai kölcsönös gyengítése nélkül kell kialakítani.
B IT MAN126/46
Hardver-, szoftver védelem 2.
Követelmény, hogy az alkalmazások szintjén
megvalósított védelmi funkciók az operációs rendszer
megfelelő védelmi eszközeire - ha ilyenek léteznek -
épüljenek.
Össze kell állítani és elérhető helyen kell tartani a
számítástechnikai eszközök használatára felhatalmazott
személyek névsorát, feladataikat körül kell határolni.
A programok, alkalmazások és eszközök tervezése,
fejlesztése, tesztelése és üzemeltetése során a
biztonsági funkciókat kiemelten és elkülönítetten kell
kezelni.
B IT MAN126/47
Adathordozók védelme
Az adathordozó eszközök elhelyezésére szolgáló
helyiségeket úgy kell kialakítani, hogy elegendő
biztonságot nyújtsanak illetéktelen vagy erőszakos
behatolás, tűz vagy természeti csapás ellen.
Adatátvitelre, valamint mentésre, archiválásra használt
adathordozók tárolása csak megbízhatóan zárt helyen
történhet.
Az adathordozók beszerzését, tárolását, felhasználását
és hozzáférését szabályozni, nyilvántartani,
rendszeresen és dokumentáltan ellenőrizni kell.
A mentésre, archiválásra szolgáló adathordozók
tartalmáról nyilvántartást kell vezetni.
B IT MAN126/48
Adathordozók védelme 2.
Az intézménynél csak leltár szerint kiadott, azonosítóval
ellátott adathordozót szabad használni. Idegen
adathordozó használata nem megengedhető.
Az intézményen kívüli adatforgalomban használt
adathordozók előállítása, kiadása és fogadása csak
kijelölt helyeken, írásban szabályozott, dokumentált és
ellenőrzött módon történhet. Az adathordozókat
használatba venni csak az előírt ellenőrző eljárások (pl.
vírusellenőrzés) után szabad.
Minden adathordozót újra alkalmazás előtt, felszabadítás,
selejtezés után az adatok megsemmisítését
eredményező megfelelő eljárással törölni kell.
B IT MAN126/49
Dokumentumok, dokumentációk védelme
A nyomtatott anyagok kezelését az iratkezelési
szabályzat szerint kell elvégezni.
Az informatikai rendszer biztonságával kapcsolatos
dokumentációt az informatikai rendszer biztonsági
fokozatának megfelelően kell kezelni.
Az informatikai rendszer vagy annak bármely elemének
dokumentációját változásmenedzsment keretében kell
aktuális szinten tartani.
B IT MAN126/50
Adatok védelme
Az információs rendszer hozzáférési kulcsait (azonosító
kártya, jelszó), a jogosultságokat és más, a biztonsággal
kapcsolatos paramétereket titkosítva kell továbbítani.
A rendszer biztonságát érintő adatok (pl. jelszavak,
jogosultságok, naplók) védelméről a hozzáférési
jogosultságok kiosztásánál kell gondoskodni.
Külső személy - pl. karbantartás, javítás, fejlesztés
céljából - a számítástechnikai eszközökhöz úgy férhet
hozzá, hogy a kezelt adatokat ne ismerhesse meg.
Az adatbevitel során a bevitt adatok helyességét az
alkalmazási követelményeknek megfelelően ellenőrizni
kell.
B IT MAN126/51
Adatok védelme 2.
Programfejlesztés vagy próba céljára valódi adatok
felhasználását - különösen akkor, ha a próbát külső
szerv vagy személy végzi, vagy annak eredményeit
megismerheti - el kell kerülni. Ha ez nem valósítható
meg, akkor az adatok bizalmasságát más módszerekkel
kell megőrizni.
Gondoskodni kell arról, hogy a számítógépen
feldolgozott minden adatállomány az adattípust jelölő
biztonsági címkével legyen ellátva.
B IT MAN126/52
A kommunikáció, és az osztott rendszerek védelme
Az elektronikus úton továbbított üzenetek, állományok
tekintetében az iratkezelési szabályzatnak megfelelően
kell eljárni.
Az alanyokra a szolgáltatások indítása vagy az azokkal
történ kommunikáció megkezdése előtt megvalósítandó
a hitelesítési eljárás.
Az adott hálózati alrendszer hitelesítési mechanizmusa
nem érintheti a hálózat többi alrendszerének hitelesítési
rendszerét.
Egy adott alhálózatban azonosítani kell a más
alhálózatból importált adatok feladóját.
Ha ilyen nincs, ezeket az adatok el kell különíteni.
B IT MAN126/53
A kommunikáció, és az osztott rendszerek védelme 2.
Az osztott rendszerben a jelszavak, a jogosultságok és a biztonsággal kapcsolatos más paraméterek, adatok csak titkosítva továbbíthatók.
A hálózati erőforrások használata a felhasználók számára szabályozandó, korlátozandó.
A hálózat elosztott és diszkrét elemeit rendszeresen ellenőrizni kell annak érdekében, hogy a hálózatban a hálózati forgalom monitorozására és rögzítésére alkalmas erőforrást illetéktelenül ne használjanak.
Egy alhálózatban definiált azonosító hozzáférési joga delegálható egy másik alhálózatba és ez alapján kell érvényesíteni az eredeti azonosítóhoz rendelt jogokat.
A szabad belátás szerint kialakított hozzáférés-vezérlést ki kell terjeszteni a teljes osztott rendszerre.
B IT MAN126/54
A kommunikáció, és az osztott rendszerek védelme 3.
Központi hozzáférés-menedzsment esetén az alanyoknak egy privilegizált hálózati szolgáltatás (pl. egy biztonsági szerver) által kezelt hozzáférési jogai biztonságos úton eljutnak az osztott rendszer többi feldolgozó egységéhez a hozzáférés-vezérlés végrehajtása céljából. Ehhez elosztott hozzáférés-vezérlési táblakezelés szükséges. Az ilyen információk titkosítva kerüljenek továbbításra.
A biztonságos adatcsere követelményének teljesítéséhez biztosítani kell az adatintegritást mind a protokollvezérlő, mind a felhasználói adatokra.
Az adatvesztés és sérülés elkerülése céljából hibadetektáló és javító eljárásokat kell alkalmazni.
B IT MAN126/55
Személyi intézkedések
Az intézmény területén ki kell alakítani a kitűzők viselésével kapcsolatos szabályozást.
A belépés rendjét a hozzáférési jogosultságokkal összhangban kell szabályozni.
A magasabb jogosultságú személyeknél el kell kerülni a jogok túlzott koncentrációját.
Munkába álláskor minden munkatárs számára biztosítani kell az informatikai biztonsággal kapcsolatos oktatást, valamint az összes munkatárs számára a rendszeres továbbképzést.
Az informatikai rendszer biztonságát meghatározó munkakörökben dolgozó munkatársak helyettesítési rendjét ki kell alakítani.
B IT MAN126/56
Személyi intézkedések 2.
A fontosabb alkalmazásokhoz rendszergazdákat kell
kinevezni, akiknek feladatkörét pontosan meg kell
határozni.
A fejlesztő környezetet el kell választani az alkalmazói
környezettől, szét kell választani a fejlesztői, működtetői
és adminisztrációs hozzáférési jogköröket.
Külső partnerekkel kötött fejlesztési, karbantartási
szerződések biztonsággal kapcsolatos részeinek
kialakítására pontos szabályozást kell adni.
B IT MAN126/57
Adatbiztonság
Alapfogalmak
Titkosítási módszerek
Az informatikai biztonság megvalósítása
B IT MAN126/58
Az informatikai biztonság megvalósítása
Fizikai védelem
Ügyviteli védelem
Algoritmusos védelem
B IT MAN126/59
Fizikai védelem
Zárható géptermek, irodák,
Beléptető rendszerek, mozgásérzékelők,
Mechanikus rögzítés,
Kamerás megfigyelő rendszerek használata,
Szünetmentes áramforrások,
Rejtett hálózati kábelek,
Szekrényekbe zárt aktív hálózati elemek,
Hő-, füstérzékelők,
Elzárt adathordozók,
Lelakatolt számítógépek,
Hordozható eszközökben RFID csipek.
B IT MAN126/60
Ügyviteli védelem
Szűkebb értelemben:
Dokumentumok kezelési szabályozása (létrehozás,
iktatás, továbbítás, tárolás, törlés)
Tágabb értelemben:
Az intézmény informatikai biztonsági koncepciója:
– Minden olyan előírás, hogy mit, mikor, hogyan lehet,
és hogyan kell lebonyolítani.
– Mi mit jelent, mire kell figyelni, hogyan kell észrevenni
– Feladatkörök, felelősségi körök, hatáskörök
definiálása
– Módszerek, teendők, felelősök, szankciók
B IT MAN126/61
Ügyviteli védelem 2.
Az ügyviteli védelem érint a következő területeket:
Eszközök azonosítása (vonalkód, RFID),
Rendszeres ellenőrzés (biztonsági szolgálat),
Rendszeres eszközleltár,
Csak munkaidőben igénybe vehető hardverek,
szolgáltatások,
Eszközök mozgatása csak engedéllyel,
Javítás, szervízelés csak üres adathordozókkal,
Adathordozók (CD, DVD) megsemmisítése (ledarálás),
Jelszavak használata (rendszeres módosítás!),
B IT MAN126/62
Ügyviteli védelem 3.
WiFi használatának tiltása,
Internet szűrése,
Frissítések tiltása,
Szoftverek telepítésének szabályozása,
Rendszeres adatmentések, mentési terv,
Katasztrófa gyakorlat,
Események naplózása (rendszeres olvasással),
Kötelező vírusvédelem,
A személyzet rendszeres tájékoztatása, továbbképzése,
Intézkedési mechanizmusok betartásának ellenőrzése.
B IT MAN126/63
Ügyviteli védelem 4.
A jelszavak „minősége”, és az összes lehetséges variáció
kipróbálása közötti összefüggés (átlagos sz.gép esetén):
Karakterkészlet Jelszó hossza Megfejtési idő
a - z
4 <1 mp
6 30 mp
8 5,5 óra
10 160 nap
Karakterkészlet Jelszó hossza Megfejtési idő
a - z 8 5,5 óra
a – z, 0 – 9 8 3,2 nap
A – Z, a – z 8 62 nap
A – z, 0 – 9 8 252 nap
magyar abc, 0-9 8 5,3 év
fenti + spec.karakterek 8 33 év
B IT MAN126/64
Algoritmusos védelem
Azokból az eljárásokból, protokollokból áll, amelyek a
rendszer szolgáltatásaival egyidejűleg, velük szorosan
együttműködve látják el a védelmi feladatokat.
Kriptográfia: az információ algoritmikus módszerekkel
történő védelmének tudománya.
– Olyan módszerekkel foglalkozik, amelyek biztosítják
az üzenetek vagy tárolt információk titkosságát,
védettségét, illetve hitelességét.
– Matematikai módszereket alkalmazó algoritmusok az
eszközei, amelyek használatának pontos leírását a
kriptográfiai protokollok tartalmazzák.
B IT MAN126/65
A kriptográfia alapvető szolgáltatásai
Titkosítás: egy üzenet olyan leképezése, átalakítása,
hogy annak információtartalma csak meghatározott
eszközök birtokában állítható vissza. Az üzenet
bármilyen típusú állomány lehet, titkosítására kulcsot
használnak. Ezzel lehet az állományt visszafejteni. Az
adattitkosítás leírható matematikai függvénnyel, amely
az eredeti szöveghez a kódolt szöveget rendeli.
Hitelesítés: a tárolt adatok vagy kommunikációs
üzenetek tartalmára vonatkozó védelmi eljárás. Az
adatokat a hamisítás, manipulálás, megváltoztatás,
kiegészítés ellen védi. Azt bizonyítja, hogy az adatok a
keletkezésük óta nem változtak meg.
B IT MAN126/66
A kriptográfia alapvető szolgáltatásai 2.
Partnerazonosítás: a partnerek kétséget kizáró,
kölcsönös azonosítására használt eljárás. A küldő
biztosítja, hogy az üzenetet csak az általa kiválasztott
vevő partner értheti csak meg, a fogadó fél pedig
egyértelműen tudja bizonyítani, hogy az üzenetet a
küldőtől kapta.
Digitális aláírás és időbélyeg: Az üzenethez kapcsolva
képes bizonyítani azt, hogy ki volt az üzenet kibocsátója,
és hogy az üzenet sértetlen. Az időbélyeg pedig a
keletkezés idejét bizonyítja, így véd az újra kibocsátás
ellen.
B IT MAN126/67
A kriptográfia alapvető szolgáltatásai 3.
Hozzáférés-védelem, jogosultság: a „valamit tud és
valamivel rendelkezik” elvet alkalmazva valósítja meg a
különféle informatikai rendszerekhez való szelektív
hozzáférést. Jelszavakat menedzselő, ellenőrző, illetve
hozzáférési jogosultságot és hardverkulcsot kezelő
részekből áll.
Eseménynapló: automatikusan rögzíti az informatikai
rendszerben történ összes lényeges aktivitás időpontját
és körülményeit. Beállításai és működési
mechanizmusai csak a legmagasabb jogosultsággal
rendelkező felhasználók számára elérhető.
B IT MAN126/68
Adatbiztonság
Alapfogalmak
Titkosítási módszerek
Az informatikai biztonság megvalósítása
B IT MAN126/69
Titkosítás – Történelmi áttekintés
Eredete: Ókor. Görög háborúk. Üzenetküldés úgy, hogy
csak a címzett tudja megfejteni, más ne.
Szteganográfia: adatok elrejtése
– Üzenet írótáblára írása, beborítása viasszal
– Emberi fej leborotválása, üzenet a fejbőrre kerül, és
meg kell várni, még kinő a haj…
– Üzenet becsomagolása, lenyelése,…
Kriptográfia: kódolás, rejtjelezés
– Az üzenet jeleinek összekeverése, helyettesítése
más jelekkel
B IT MAN126/70
Szteganográfia
Láthatatlan tinták alkalmazás:
– Írás tejjel vagy ecettel, melegítéskor megbarnulnak,
láthatóvá válnak.
UV fényben látható tinták, kréták
Ártalmatlan szövegbe rejteni a titkos üzenetet:
– Benedek! Idén talán már akad Neked valaki, aki
gyönyörű, okos, kedves, akinek Te adhatsz nagyon
ábrándos reményeket.
B IT MAN126/71
Szteganográfia 2.
Adatrejtés képbe:
– A képpontokat leíró bitek egy megfelelő részét ha
megváltoztatjuk, attól a kép még értelmezhető lesz,
sőt a változás olyan kis mértékű lesz, hogy azt
szabad szemmel nem is lehet észrevenni.
– BMP formátum esetén a kép méretének egy
nyolcadát tudjuk az üzenet rejtésére felhasználni.
Adatrejtés hang vagy video állományba:
– Tömörítetlen formátumok esetén akár az állomány
fele is felhasználható adatrejtésre.
Szöveges állományok felhasználása:
– 1-2 % adat elrejtésére használhatók.
B IT MAN126/72
Titkosítás – Történelmi áttekintés
Caesar módszer: Egy betűt egy másik betűvel helyettesít
mégpedig úgy, hogy a helyettesítő betűt az abc betűit
valamennyi pozícióval eltolva kapjuk meg. Az eredeti
Caesar helyettesítés 3 betűnyi eltolást használt vagyis
"A" helyett "D" betűt írt, "B" helyett "E"-t, és így tovább.
Pl: A módszer a „holnap 8-kor” üzenetet
„hroqds 1-nrv” karaktersorozattá alakítja.
Próbálgatással könnyen megfejthető a módszer.
Továbbfejlesztés: nem eltolást használunk, hanem a
második sor betűit összekeverjük és így rendeljük hozzá
a helyettesítő karaktereket az eredeti nyílt szöveghez.
B IT MAN126/73
Titkosítás 2.
Továbbfejlesztés: nem eltolást használunk, hanem a
második sor betűit összekeverjük és így rendeljük hozzá
a helyettesítő karaktereket az eredeti nyílt szöveghez.
a b c d e f g h i j k l m n o p q r s t u v w x y z
f k b o j h w n u i q a z s x t e y d p v r c l g m
0 1 2 3 4 5 6 7 8 9
4 6 8 2 9 1 0 5 7 3
A módszer a „holnap 8-kor” üzenetet
„nxasft 7-qxy” karaktersorozattá alakítja.
B IT MAN126/74
Titkosítás
Szintén a Caesar módszer az alapja a következő
módszernek:
– Megfelezzük az abc betűit, párba állítjuk őket, és a
nyílt szöveg betűit a neki megfelelő betűpárral
helyettesítjük.
a b c d e f g h i j k l m
n o p q r s t u v w x y z
b i t m a n
o v g z n a
B IT MAN126/75
B IT MAN126/76
Titkosítás 3.
Csoportos helyettesítés: A nyílt szöveg betűit
betűcsoporttal helyettesítjük. A titkosított szöveg hossza a
nyílt szöveg hosszának annyi szorosa lesz, ahány betűből
állnak a helyettesítő csoportok.
Példa egy 3 betűs csoportos helyettesítésre:
„holnap 8-kor” „daaaabbccdbbcbaccc cbb-babaabbca”
aa ab ac ba bb bc ca cb cc
a g o j 0 e w 9 c 2
b b k 3 s 5 6 r x l
c v y f a 8 m d 7 p
d h u q 1 n i 4 t z
B IT MAN126/77
Titkosítás 4.
Vigenere módszere 1560-ból: A titkosítás során először
a betűknek számokat feleltet meg aszerint, hogy
hányadik helyen áll az abc-ben. Ez angol abc esetén azt
jelenti, hogy A=0, B=1, ..., Z=25, 0=26,…, 9=35. Ezután
a kulcsszót ismétlődően a nyílt szöveg fölé írja. A kulcs
és a nyílt szöveg betűinek megfeleltetett számokat
betűnként összeadja, majd 36-tal maradékos osztást
végez rajta. Az így kapott számokat betűvé alakítja és
máris kész a titkos szöveg.
B IT MAN126/78
Titkosítás 5.
a b c d e f g h i j k l m n o p q r s t u v w x y z
0 1 2 3 4 5 6 7 8 9 1
0
1
1
1
2
1
3
1
4
1
5
1
6
1
7
1
8
1
9
2
0
2
1
2
2
2
3
2
4
2
5
0 1 2 3 4 5 6 7 8 9
2
6
2
7
2
8
2
9
3
0
3
1
3
2
3
3
3
4
3
5
Kulcsszó r e t e k r e t e k
Érték 17 4 19 4 10 17 4 19 4 10
Nyílt szöveg h o l n a p 8 k o r
Érték 7 14 11 13 0 15 34 10 14 17
Összeg 24 18 30 17 10 32 38 29 18 27
Mod 36 24 18 30 17 10 32 2 29 18 27
Rejtjelezett szöveg y s 4 r k 6 c 3 s 1
B IT MAN126/79
Titkosítás 6.
Visszafejtésnél természetesen szükség van a
kulcsszóra. A titkos szöveget számokká alakítjuk,
kivonjuk belőle betűnként a kulcs betűinek számát és
végül ahol kell, 36-tal maradékos osztást végzünk.
Rejtjelezett szöveg y 2 4 r k 6 c 3 s 1
Érték 24 18 30 17 10 32 2 29 18 27
Kulcsszó r e t e k r e t e k
Érték 17 4 19 4 10 17 4 19 4 10
Kivont érték 7 14 11 13 0 15 -2 10 14 17
Mod 36 7 14 11 13 0 15 34 10 14 17
Visszafejtett szöveg h o l n a p 8 k o r
B IT MAN126/80
Titkosítás 7.
Keverő titkosítók: A keverő titkosítók a betűket nem
helyettesítik más karakterrel, változatlanul hagyják őket,
de a szövegbeli sorrendjüket megváltoztatják a kulcs
függvényében. Egyszerű módszer, ha a szöveget egy
adott oszlopszámú táblázatba beírjuk sorfolytonosan,
majd oszlop folytonosan kiolvassuk a titkosított
szöveget. Visszafejtésnél szükségünk van az oszlopok
számára, vagyis a kulcsra.
holnap 8kor találkozunk
hptkko8aolklznoáuarln
h o l n a
p 8 k o r
t a l á l
k o z u n
k
B IT MAN126/81
Titkosítás 8.
Titkosítás sablonnal: Készítünk egy négyzetrácsos és
négyzet alakú sablont, amelyen néhány cellát kivágunk.
Egy a sablonnal azonos méretű négyzetrácsos papírra
írjuk az üzenetet, úgy hogy a sablon lyukaiba egy-egy
betűt írunk, majd a sablont 90 fokkal elforgatva folytatjuk
a felírást. (Legfeljebb háromszor fordíthatunk és a
négyzetháló betelik.) A felírás befejeztével a papíron
csak egy négyzethálót látunk tele betűkkel.
Ez a módszer is keverő titkosító.
B IT MAN126/82
Titkosítás 9.
h o
l
n
h a o p
l
n 8 k
holnap 8kor randi
h a o p
l o
n r 8 k
r a
h a o p
n d l o
n r 8 k
i t a
B IT MAN126/83
Titkosítás 10.
Az Enigma: A történelem talán leghíresebb titkosító
berendezése, amit a német hadsereg használt a II.
világháborúban. A gép működési elvét Arthur Scherbius
dolgozta ki 1918-ban.
Az Enigma egy elektromechanikus, rotoros elven
működő titkosító gép volt. A rotor egy egyszerű
egyábécés helyettesítést valósított meg. Valójában ez
két együtt forgó korong, amelyeken 26 elektromos
érintkező van (mivel 26 betűs az abc). A két korong
érintkezői tetszőlegesen vannak összekötve, így a
bemenő oldal "A" érintkezője például a kimenőoldalon az
"F" érintkezőre van kötve.
Ilyen rotorból típustól függően 3, 4 vagy 5 volt a gépben.
B IT MAN126/84
Titkosítás 11.
Az első rotor helyettesítését a második tovább helyettesítette, amit a harmadik még tovább.
Hogy mindez ne legyen elég minden egyes betű után az első rotor fordult egy betűnyit, így máris más helyettesítő abc-t használt. Amint az első rotor egyszer körbefordult, a második lépett egyet, és így tovább.
A dolgot tovább bonyolították azzal, hogy a harmadik rotoron kijövő betűt visszavezették a rotor egy másik érintkezőjére, így az újra áthaladt a három rotoron és megjelent az első rotoron. A visszavezető eszközt reflektornak nevezték, amelyet kézzel lehetett huzalozni, így az szabadon konfigurálható volt.
A gép működése szimmetrikus, tehát ugyanazokkal a beállításokkal a titkosított üzenetet begépelve a nyílt szöveget olvashatták le róla.
B IT MAN126/85
A titkosítás folyamata
1. A feladó titkosítja a dokumentumot egy titkos kulccsal,
2. A dokumentumot valamilyen csatornán keresztül
eljuttatja a címzettnek.
3. A címzett visszafejti a kódolt dokumentumot.
410F 396D
5CF3 B00A
3CDA 4107
FAC4 660D
00F1 300BD
CCD4 BAF0
337DD 239C
33F5 0B6A
Szigorúan
bizalmas!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
Titkosítás
Feladó
Visszafejtés
Szigorúan
bizalmas!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-)
Címzett
kulcs kulcs
B IT MAN126/86
A titkosítás folyamata 2.
Kétféle megoldás lehetséges:
– Szimmetrikus titkosítás – a feladó és a címzett
ugyanazt a kulcsot használja (egykulcsos megoldás)
– Aszimmetrikus titkosítás – a címzett más kulcsot
használ, mint a feladó (kétkulcsos megoldás)
410F 396D
5CF3 B00A
3CDA 4107
FAC4 660D
00F1 300BD
CCD4 BAF0
337DD 239C
33F5 0B6A
Szigorúan
bizalmas!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
Titkosítás
Feladó
Visszafejtés
Szigorúan
bizalmas!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-)
Címzett
kulcs kulcs
B IT MAN126/87
A szimmetrikus titkosítók jellemzői
A szimmetrikus algoritmusok gyorsak, így jól
használhatók olyan alkalmazásokban, melyek nagy
adatátviteli sebességet igényelnek.
Az alkalmazott kulcsok viszonylag rövidek. (56-128 bit)
A rövid kulcsok kedveznek a brute-force támadásnak,
ezért azokat minél sűrűbben cserélni kell.
A kulcsok száma a résztvevők számával négyzetesen
arányos.
A kulcsoknak mind a feladó, mint a címzett oldalán
titokban kell maradniuk!
B IT MAN126/88
Brute-force
A kulcsot a „teljes kipróbálás” módszerével fejtik meg,
vagyis minden lehetséges variációt kipróbálnak.
A megoldás elvileg mindig eredményre vezet,
időszükséglete a kulcs hosszától függ.
B IT MAN126/89
DES – Data Encryption Standard
Szimmetrikus kulcsú titkosítási eljárás, IBM fejlesztés, Az
USA kormányának szabványa, 1977 óta nyilvános.
64 bites blokkos rejtjelezés, vagyis a nyílt szöveg egy 64
bit méretű blokkjához rendel egy ugyanekkora rejtjeles
blokkot.
A kulcs 56 bites, (ez az algoritmus gyenge pontja)
Ma is élő, még engedélyezett szabvány, széles körben
használják a polgári élet minden területén,de:
Egy gyorsabb mai géppel kb. 1 óra alatt feltörhető!
Továbbfejlesztése a 3DES, mely háromszor hajtja végre
egymás után a DES algoritmust.
B IT MAN126/90
AES - Advanced Encryption Standard
Az USA kormányának szabványa 2001-től, ezzel
váltották le a DES-t.
128 bites blokkos rejtjelezés,
128 (192, 256) bites kulccsal,
Kitalálói (Vincent Rijmen és Joan Daemen) a Rijndael
névre keresztelték, de AES néven terjedt el.
Jellemzői: kicsi méret, nehéz törhetőség, gyorsaság és a
kis méretű eszközökben való alkalmazhatóság.
B IT MAN126/91
IDEA
International Data Encryption Algorithm
Szimmetrikus kulcsú algoritmus,
Svájcban fejlesztették ki 1990 és 1992 között.
Nyolc input bájtot nyolc output bájtra képező blokkos
rejtjelező algoritmus.
Kulcsmérete 128 bit.
Kifejezetten adatátvitelhez tervezték, beleértve a
digitalizált hang/kép valós idejű kódolását is.
Egyelőre nem törhető.
B IT MAN126/92
Aszimmetrikus titkosítás
Válasz
410F 396D
5CF3 B00A
3CDA 4107
FAC4 660D
00F1 300BD
CCD4 BAF0
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
Titkosítás
Feladó: Jim
Visszafejtés
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-)
Címzett: Joe
Joe-kulcs Joe-kulcs
472F 4ABD
3CDA 4107
BB52 616C
5CA3 B00A
0329 177D
B52F A200
Titkosítás
Feladó: Joe
Visszafejtés
Jim!
OK. Ez
esetben
elmegyünk
csajozni.
Joe -o
Címzett: Jim
Jim-kulcs Jim-kulcs
Jim!
OK. Ez
esetben
elmegyünk
csajozni.
Joe -o
B IT MAN126/93
Aszimmetrikus titkosítás 2.
Lényege, hogy minden résztvevő (címzett és feladó
egyaránt) rendelkezik két kulccsal: egy titkossal és egy
nyilvánossal.
A kulcsokat egy erre a célra fejlesztett programmal állítja
elő mindenki, saját magának.
A két kulcs egyszerre jön létre; a titkosat eltesszük
magunknak, a nyilvánost pedig (akár e-mailen is)
elküldjük mindazoknak, akikkel levelezni szeretnénk.
A két kulcs egymásból nem számítható ki, vagyis nem
állítható elő a nyilvános kulcsból a titkos kulcs.
B IT MAN126/94
Aszimmetrikus titkosítás 3.
Olyan algoritmust használ, ahol a kódoláshoz használt
paraméter nem azonos a dekódoláshoz használt
paraméterrel, és a kódoláshoz használt paraméterből
nem határozható meg a dekódoláshoz szükséges
paraméter a módszer ismeretében sem.
A nyilvános kulcsú titkosítással elküldött üzenet egy
olyan ládához hasonlítható, melyet bezárni a nyilvános
kulccsal, de kinyitni már csak egy másik, a titkos kulccsal
lehet. Ezek a kulcsok egymással összefüggnek: a titkos
kulccsal lehet megfejteni azt az üzenetet, amit a
nyilvános kulccsal kódoltak.
B IT MAN126/95
Aszimmetrikus titkosítás 4.
A rendszer képes a titkosítás és az azonosítás kombinálására is:
1. Küldés előtt a feladó a titkosító algoritmussal és saját titkos kulcsával rejtjelezi az üzenetet. Ezzel olyan átalakítást végez, amit csak ő tud végrehajtani, mert a titkos kulcsot csak ő ismeri.
2. A következő lépésben az imént kapott eredményt titkosítja a címzett nyilvános kulcsa segítségével. Ezzel azt biztosítja, hogy az üzenetet csak a címzett tudja megfejteni.
3. A címzett a megkapott küldeményt saját titkos kulcsával és a megfejtő algoritmussal kibontja.
B IT MAN126/96
Aszimmetrikus titkosítás 5.
4. A kapott eredményt még nem tudja olvasni, hiszen az
a feladó titkos kulcsával titkosítva van, ezért a feladó
nyilvános kulcsával meg kell fejtenie azt.
5. A feladó biztos lehet benne, hogy csak a címzett
képes az üzenet elolvasására, mert a 3-as lépéshez
szükséges kulcsot csak ő ismeri.
6. A címzett biztos lehet a feladó személyét illetően,
mert a 4-es lépésben csak akkor tudja megfejteni az
üzenetet, ha azt a feladó titkos kulcsával rejtjelezték.
B IT MAN126/97
B IT MAN126/98
RSA algoritmus
Aszimmetrikus kulcsú megoldás 1976-ból.
Elnevezés: Ron Rivest, Adi Shamir és Leonard Adleman
(matematikusok)
A kulcsok hossza 1024-3072 bit, emiatt nagyon
biztonságos,
A kulcs hossza miatt az eljárás viszonylag lassú,
A brute-force támadás a kulcs hossza miatt gyakorlatilag
lehetetlen,
Ma az e-mailek titkosítása, aláírása ezzel az
algoritmussal történik,
A banki átutalások is ezt a módszert alkalmazzák.
B IT MAN126/99
PGP algoritmus
Elnevezés: Pretty Good Privacy
1991, alkotója Philip Zimmermann,
Ingyenes szoftverként megjelent az Interneten,
Hibrid titkosítás, mely egyesíti a szimmetrikus titkosítás
gyorsaságát az aszimmetrikus titkosítás biztonságával.
Az alkalmazott módszer miatt a dekódoláshoz elég egy
átlagos PC is.
Használható levelekhez, fájlokhoz, digitális aláíráshoz.
B IT MAN126/100
PGP algoritmus 2.
A kódolási folyamat e-mail esetén:
1. Véletlen generálású, egyszer használatos kulcs
előállítása (session key),
2. A nyílt szöveg titkosítása az egyszeri kulccsal,
3. Az egyszeri kulcs titkosítása a címzett nyilvános
kulcsával,
4. A küldendő csomag a kódolt szöveget és a titkosított
egyszeri kulcsot tartalmazza.
B IT MAN126/101
PGP algoritmus 3.
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
Titkosítás Feladó: Jim
kulcsrandom
1x-kulcs
1 2
1x-kulcs
1x-kulcs BB07CAFFA
53108DATitkosítás
Joe-kulcs
472F 4ABD
3CDA 4107
BB52 616C
5CA3 B00A
0329 177D
3
472F 4ABD
3CDA 4107
BB52 616C
5CA3 B00A
0329 177D
BB07CAFFA
53108DA
B IT MAN126/102
PGP algoritmus 4.
A dekódolási folyamat e-mail esetén:
1. Az üzenet fogadása,
2. A véletlen generálású, egyszer használatos kulcs
(session key) visszafejtése a címzett titkos kulcsával,
3. Az üzenet visszafejtése a véletlen generálású kulcs
(session key) segítségével,
4. Az üzenet megjelenítése.
B IT MAN126/103
PGP algoritmus 5.
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
1x-kulcs
2
1x-kulcs
Joe-kulcs
472F 4ABD
3CDA 4107
BB52 616C
5CA3 B00A
0329 177D
1
472F 4ABD
3CDA 4107
BB52 616C
5CA3 B00A
0329 177D
BB07CAFFA
53108DA
BB07CAFFA
53108DAVisszafejtés
Visszafejtés
Fogadó: Joe
B IT MAN126/104
Digitális aláírás PGP algoritmussal
A digitális aláírás segítségével a címzett meggyőződhet
a neki küldött üzenet hitelességéről. Vagyis arról, hogy a
levél feladója tényleg az, akinek mondja magát, és a
levél tartalma továbbítás közben nem változott meg.
Módszer: hash függvényt alkalmazása, amely az
üzenetből egy kis méretű ellenőrző összeget készít (ez a
digitális aláírás).
Az ellenőrző összeg az üzenet
részeként szintén eljut a
címzetthez, így az ellenőrzés során
azonnal kiszűrhető az esetleges
módosítás.
B IT MAN126/105
A hash függvények jellemzői
Egyirányú - lehetetlen belőle előállítani az eredeti
szöveget,
Lavina hatással rendelkezik - 1 bit változtatás az
ellenőrző összegen hatalmas (50%) változással jár,
Ütközésmentes - két szöveg ellenőrző összeg értéke
mindig eltérő.
Néhány hash algoritmus:
– MD5 (Message Digest): 128 bites lenyomat
– SHA-1 (Secure Hash Algorithm): 160 bites lenyomat
B IT MAN126/106
Digitális aláírás PGP algoritmussal 2.
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
Aláírás
Feladó: Jim
Jim-kulcsJim-kulcs
BB07CAFFA
53108DA
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
Ellenőrzés
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-)
Címzett: Joe
A folyamat e-mail esetén:
– Aláírás a feladó titkos kulcsával
– Ellenőrző összeg készítése és beillesztése az üzenetbe
– Küldés
– Fogadás
– Ellenőrzés a feladó nyilvános kulcsával
B IT MAN126/107
Időbélyeg
Az időbélyeg egy olyan igazolás, melyet egy biztonságos
harmadik fél – ebben az esetben időbélyeg-szolgáltató –
bocsát ki annak igazolására, hogy az adott dokumentum,
állomány a kibocsátás pillanatában adott állapotban volt.
Az időbélyeg a szolgáltató által két nagypontosságú
megbízható időforrásból vett referenciaidő adatból és a
szolgáltató elektronikus aláírásából áll.
Nem szükséges az ügyfélnek a teljes dokumentumot
elküldenie, elegendő annak egy rövid lenyomata, ehhez
csatolják az időbélyeget és azt írják alá, így nem sérül a
dokumentum bizalmassága, viszont bármikor lekérhető
annak keltezése.
B IT MAN126/108
Időbélyeg 2.
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
Lenyomat
Hash-fgv.
A001B7CCF
B52CCD46A
E66B2792CD
43D72B88A2
Lenyomat
Időbélyeg
szolgáltató
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
A001B7CCF
B52CCD46A
E66B2792CD
43D72B88A2
Időpont
Aláírás
B IT MAN126/109
Hitelesítés
Az adatokat a hamisítás, manipulálás, megváltoztatás,
kiegészítés ellen védi.
Azt bizonyítja, hogy az adatok a keletkezésük óta nem
változtak meg.
A hitelesítés egy olyan igazolás (certificate), melyet egy
biztonságos harmadik fél – ebben az esetben hitelesítés-
szolgáltató (Certification Authory) – bocsát ki, a
kibocsátott tanúsítványok hitelt érdemlően azonosítják
az adott partnert, rendszert, kapcsolatot vagy
szolgáltatást.
B IT MAN126/110
Hitelesítés 2.
Személy azonosítás:
Hitelesítés
szolgáltató
Kis Béla
Kis Béla
Sz.Ig.szám:
AA 555-666
00BB17FD
25CCA007
Azonosító
Aláírás
Adatbázis
Ellenőrzés: A személy az azonosítója alapján a
szolgáltató adatbázisából kikereshető, beazonosítható.
B IT MAN126/111
Hitelesítés 3.
Szoftvertanúsítvány:
Hitelesítés
szolgáltató
Szoftver
gyártó
program
Gyártó: P&Q
Dátum: 12.12
Méret: 30b
Hash-kód
00BB17FD
25CCA007
Azonosító
Aláírás
Adatbázis
program
Ellenőrzés: A program az azonosítója alapján a
szolgáltató adatbázisából kikereshető, beazonosítható.
B IT MAN126/112
Hitelesítés 4.
Megtekintés Windowsban: Sajátgép Eszközkezelő
az adott eszközre\Illesztőprogram2x
B IT MAN126/113
Hitelesítés 5.
Webhely-hitelesítés:
Hitelesítés
szolgáltató
www.q.hu
www.q.hu
index.html
Dátum: 12.12
Méret: 6k
Hash-kód
00BB17FD
25CCA007
Azonosító
Aláírás
Adatbázis
index.html
Ellenőrzés: A böngésző a szolgáltató adatbázisa alapján
ellenőrzi, hogy a weblap internet címe, és az ellenőrző
kódja megegyezik-e a betöltött oldaléval.
B IT MAN126/114
Hitelesítés 6.
Megtekintés Firefoxban: Eszközök\Beállítások\Haladó\
Titkosítás\Tanúsítványkezelő\Hitelesítésszolgáltatók
B IT MAN126/115
Hitelesítés 7.
B IT MAN126/116
Titkosítási módszerek
Kódolások
ModernKlasszikus
Áthelyező Szimmetrikus AszimmetrikusHelyettesítő
Tárcsagépek
B IT MAN126/117B IT MAN
Ellenőrző kérdések
Információs technológiák
B IT MAN126/118
Ellenőrző kérdések 1.
1. Írja a meghatározás elé a megfelelő fogalom betűjelét!
A rendszer szolgáltatásai és adatai a megfelelő időben
legyenek működőképesek.
Az adatokat és a programokat csak az arra jogosultak
változtathatják meg, véletlenül sem módosulnak.
Az adatokhoz az arra jogosultak, és csak az előírt
módokon férhetnek hozzá.
A partnerek kölcsönösen és kétségtelenül felismerhetik
egymást.
A: Működő képesség B: Bizalmasság
C: Rendelkezésre állás D: Sértetlenség
E: Hitelesség
B IT MAN126/119
Ellenőrző kérdések 2.
2. Alakítson ki két kategóriát, és sorolja az alábbi
veszélyforrásokat az egyes kategóriákba!
Kategóriák: Veszélyforrások:
A: Kémprogramok B: Vírusok
C: Szakképzetlenség D: Illetéktelen szoftverek
E: Programhibák F: Bosszúállás
G: Szabályok hiánya H: Megvesztegetés
B IT MAN126/120
3. Igaz vagy Hamis az állítás?
Különleges adat kezelhető, ha az érintett szóban
hozzájárul.
A büntetett előéltre vonatkozó adatok személyes
adatok.
Az adatvédelem az adatok jogosulatlan megszerzését
akadályozza meg.
Az adatvédelemmel foglalkozik az 1992. évi LXIII.
törvény.
Az adatvesztést legnagyobbrészt a hardver- és
szoftverhibák okozzák.
A szteganográfia az adatok elrejtésével foglalkozik.
Ellenőrző kérdések 3.
B IT MAN126/121
Ellenőrző kérdések 4.
4. Caesar módszerrel, 2 betűnyi eltolással kódolja a
zsebora szöveget! Ékezetek nélkül!
5. Keverő titkosítással, 4-es oszlopszélességgel kódolja a
zsebóralánc szöveget!
6. Keverő titkosítással, 4-es oszlopszélességgel kódolt a
síézztptáóaamgsl szöveg. Mi az eredeti szöveg?
B IT MAN126/122
Ellenőrző kérdések 5.
7. A DES
A: 32 B: 56 C: 64 D: 128 E: 160
bites kulcsot használ, ez az algoritmus
F: gyenge pontja. G: erőssége.
8. Az IDEA
A: 32 B: 56 C: 64 D: 128 E: 160
bites kulcsot használ, ez az algoritmus
F: gyenge pontja. G: erőssége.
9. Melyik algoritmus alkalmaz véletlen generálású, egyszer
használatos kulcsot?
A: AES B: DES C: PGP D: RSA
B IT MAN126/123
Ellenőrző kérdések 6.
10. Andi aszimmetrikus titkosítású üzenetet küld Benőnek.
Jellemezze a folyamatban részt vevő kulcsokat!
A: Andi kulcsa
B: Benő kulcsa
C: Titkos kulcs
D: Nyilvános kulcs
410F 396D
5CF3 B00A
3CDA 4107
FAC4 660D
00F1 300BD
CCD4 BAF0
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-(
Titkosítás
Feladó: Andi
Visszafejtés
Joe!
Elmarad az
akció, mert
elfelejtettük
a pontos
címet! :-)
Címzett: Benő
kulcs kulcs
B IT MAN126/124
B IT MAN126/125
F. Ható Katalin: Adatbiztonság, adatvédelem
(Számalk, 2005)
Ködmön József: Kriptográfia (ComputerBooks,
1999.)
Virrasztó Tamás: Titkosítás és adatrejtés
(Netakadémia, 2004)
Felhasznált irodalom
B IT MAN126/126
VÉGEVÉGE