1 / 66

Δίκτυα Υπολογιστών (Γ’ έτος, ΣΤ’ εξ)

Δίκτυα Υπολογιστών (Γ’ έτος, ΣΤ’ εξ) Διάλεξη #8 : Θέματα ασφάλειας δικτύων , ασφάλεια συναλλαγών, ασφαλείς πληρωμές. Προσομοίωση δικτύων Ethernet με το εργαλείο προσομοίωσης OPNET. Γαβαλάς Δαμιανός dgavalas@aegean.gr. Εαρινό εξάμηνο. Περίληψη διάλεξης.

rebekkah-clay
Download Presentation

Δίκτυα Υπολογιστών (Γ’ έτος, ΣΤ’ εξ)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Δίκτυα Υπολογιστών (Γ’ έτος, ΣΤ’ εξ) Διάλεξη #8:Θέματα ασφάλειας δικτύων, ασφάλεια συναλλαγών, ασφαλείς πληρωμές. Προσομοίωση δικτύων Ethernet με το εργαλείο προσομοίωσης OPNET Γαβαλάς Δαμιανός dgavalas@aegean.gr Εαρινό εξάμηνο

  2. Περίληψη διάλεξης • Θέματα ασφαλείας δικτύων υπολογιστών • Κρυπτογραφία • Συμμετρική και μη συμμετρική κρυπτογραφία • Αλγόριθμοι κρυπτογράφησης • Ψηφιακές υπογραφές • Ψηφιακά πιστοποιητικά • PGP • Firewalls • Πρωτόκολλα για ασφαλείς ηλεκτρονικές συναλλαγές • Εργαστήριο: Προσομοίωση Ethernet δικτύων με το OPNET

  3. Θέματα ασφαλείας δικτύων υπολογιστών

  4. Σημασία Ασφάλειας στο Ηλεκτρονικό Εμπόριο • Εμπορικές συναλλαγές απαιτούν ασφάλεια • Το ΗΕ έχει γνωρίσει τεράστια ανάπτυξη τα τελευταία χρόνια • Ο σημαντικότερος φραγμός για την περαιτέρω ανάπτυξη του ΗΕ είναι η ασφάλεια των συναλλαγών • Σύμφωνα με την εταιρεία CyberDialogue το 85% των online αγοραστών δηλώνει πως η ασφάλεια δεδομένων αποτελεί έναν από τους σημαντικότερους παράγοντες επιλογής ηλεκτρονικού καταστήματος • Άρα, τα θέματα ασφαλείας πρέπει να έχουν απόλυτη προτεραιότητα τόσο κατά το σχεδιασμό & λειτουργία μιας ηλεκτρονικής επιχείρησης

  5. Σχέση Συμβατικής – Ηλεκτρονικής Ασφάλειας • Φιλολογία γύρω από την Η.Α. είναι δυσανάλογα μεγάλη σε σχέση με εκείνη για τη Σ.Α., γιατί; • Ανάγκη επαναπροσδιορισμού όλων των πρακτικών ασφάλειας που έχουν δημιουργηθεί μέσα από χιλιάδες χρόνια • Μεγάλος βαθμός διασύνδεσης Η/Υ (Internet) • Απουσία φυσικής παρουσίας που υπάρχει στις συμβατικές συναλλαγές • Το (δια)δίκτυο εκ φύσεως δεν είναι ασφαλές: Τα δεδομένα περνούν από διάφορους, άγνωστους σταθμούς • Το δίκτυο είναι ψηφιακό: Υλικό αντιγράφεται, μεταβάλλεται και διαγράφεται πολύ εύκολα σε σχέση με τις Σ.Α. (πχ. ένα περιοδικό) • Οι υπολογιστές συλλέγουν πληροφορίες (αριθμοί πιστ. καρτών) • Οι υπολογιστές μπορούν να προγραμματισθούν (ιοί, δούρειοι ίπποι)

  6. Σχέση Συμβατικής – Ηλεκτρονικής Ασφάλειας • Τα ίχνη ενός ηλεκτρονικού εγκλήματος μπορούν «εύκολα» να εξαφανισθούν εντελώς (το «τέλειο» έγκλημα;) • Ένας φυσικός πωλητής μπορεί (γενικά) να αντιληφθεί πιο εύκολα ένα «ύποπτο» πελάτη από ένα ηλεκτρονικό πωλητή • Υπάρχει μεγαλύτερη τάση επίθεσης εναντίον ενός ηλεκτρονικού καταστήματος σε σχέση με ένα συμβατικό κατάστημα (φόβος φυσικής παρουσίας;) • Πιο εύκολη εξαπάτηση του πελάτη μέσω προσποίησης • Ελλείψεις νομικού πλαισίου – ανάγκη συνεχούς παρακολούθησης τεχνολογικών εξελίξεων

  7. Σημαντικότερες απειλές ασφάλειας στο χώρο του ΗΕ • Υποκλοπή αριθμών πιστωτικών καρτών ενώ μεταδίδονται στο Διαδίκτυο • Κωδικοί (passwords) αντιμετωπίζουν τον ίδιο κίνδυνο. • Κλοπή χρημάτων τροποποιώντας το ποσό μιας συναλλαγής. • Συλλογή ποσών με απάτη, αν ο επίδοξος παραβάτης προσποιηθεί κάποιον άλλον (ισχυρισμός κατοχής υπηρεσιών χωρίς άδεια) • Μέτοχος σε συναλλαγή ενδέχεται αργότερα να αρνηθεί την πράξη του • Πρόκληση διακοπής δικτυακών υπηρεσιών • Αποκάλυψη προς τρίτους κατά τη διάρκεια της συναλλαγής εμπιστευτικώνστοιχείων (π.χ. αριθμός πιστωτικής κάρτας, είδη και πλήθος αντικειμένων που παραγγέλλονται, κλπ)

  8. Παράμετροι Ασφάλειας • Εμπιστευτικότητα (Confidentiality) • Πιστοποίηση αυθεντικότηταςή αυθεντικοποίηση (Authentication) • Εξουσιοδότηση (Authorization) • Ακεραιότητα (Integrity) • Μη αποποίηση ευθύνης (Non-repudiation) • Διαθεσιμότητα (Availability) • Δυνατότητα παρακολούθησης (Auditability)

  9. Παράμετροι Ασφάλειας • Εμπιστευτικότητα(Confidentiality) • Η συχνότερη απαίτηση ασφάλειας σε συνδυασμό με την ταυτοποίηση προσώπου για τη συντριπτική πλειοψηφία των εμπορικών συναλλαγών • Εξασφαλίζει ότι η πληροφορία που ανταλλάσσεται (όλη ή μέρος της) δεν θα αποκαλυφθεί σε μη-εξουσιοδοτημένες πλευρές. Ενδεχομένως να μην αποκαλυφθεί ούτε η ταυτότητα των συναλλασσόμενων πλευρών. • Πιστοποίηση Αυθεντικότητας (Authentication) • Εξασφαλίζει την ταυτότητα μιας συναλλασσόμενης πλευράς • Μπορεί να εφαρμοσθεί σε πρόσωπα, εταιρίες, υπολογιστές κτλ. • Γίνεται με τη χρήση: • Κωδικών (passwords, PIN) • Κατοχή φυσικού υλικού (κλειδί, κάρτα, δακτυλικό αποτύπωμα) • Κατοχή ψηφιακού υλικού (ψηφιακό πιστοποιητικό)

  10. Παράμετροι Ασφάλειας • Εξουσιοδότηση (Authorization) • Προσδιορίζει τα δικαιώματα και τους περιορισμούς μιας συναλλασσόμενης πλευράς • Συνήθως συνοδεύει την πιστοποίηση αυθεντικότητας • Δίνει τη δυνατότητα πρόσβασης ή/και χρήσης ευαίσθητων δεδομένων (αρχεία, πιστωτικές κάρτες) • Ακεραιότητα (Integrity) • Εξασφαλίζει ότι τα δεδομένα δε θα αλλοιωθούν κατά τη μεταφορά τους ή/και αν αλλοιωθούν, θα γίνει αντιληπτό από τις συναλλασσόμενες πλευρές ώστε να προβούν στις προβλεπόμενες ενέργειες • Είναι ανεξάρτητη όλων των άλλων θεμάτων ασφάλειας (εμπιστευτικότητα, πιστοποίηση, διαθεσιμότητα κτλ)

  11. Παράμετροι Ασφάλειας • Μη αποποίηση ευθύνης (Non-repudiation) • Εξασφαλίζει ότι μια συναλλασσόμενη πλευρά δεν μπορεί να αρνηθεί τη συμμετοχή σε μια συναλλαγή, αφού υπάρχουν αποδεικτικά στοιχεία που καταδεικνύουν κάτι τέτοιο (ψηφιακή υπογραφή) • Διαθεσιμότητα (Availability) • Εξασφαλίζει την απρόσκοπτη και συνεχή παροχή προϊόντων και υπηρεσιών, αντικρούοντας επιθέσεις Άρνησης Υπηρεσίας (Denial of Service attacks), επιθέσεις με στόχο την κατάρρευση του συστήματος κα. • Δυνατότητα παρακολούθησης (Auditability) • Δίνει τη δυνατότητα συλλογής, ανάλυσης και αναφοράς των ενεργειών μιας εξουσιοδοτημένης ή μη πλευράς με στόχο κυρίως την ανίχνευση εισβολέων στο σύστημα

  12. Παράμετροι Ασφάλειας

  13. Ασφάλεια στο Internet και στο ΗλεκτρονικόΕμπόριο • Οι συναλλαγές ΗΕ αφορούν την αλληλεπίδραση ενός web clientκαι ενός web serverμέσω ενός καναλιού με δημόσια πρόσβαση • client-side ασφάλεια • τεχνικές προστασίας της μυστικότητας (privacy) τουχρήστη (παρεμπόδιση μη εξουσιοδοτημένης χρήσηςπροσωπικών στοιχείων όπως στοιχεία πιστωτικής κάρταςγια απάτη) και της ακεραιότητας του υπολογιστικού τουσυστήματος (από πχ. ιούς) • server-side ασφάλεια • Τεχνικές προστασίας του υλικού και λογισμικού του Webserver από παραβιάσεις, του Web site από επιθέσειςβανδαλισμού και άρνησης υπηρεσίας, διασφάλισηςλογικής πρόσβασης στις υπηρεσίες • ασφαλή μετάδοση της πληροφορίας • Τεχνικές προστασίας από κρυφάκουγμα και σκόπιμηαλλαγή μηνυμάτων, διατήρησης της εμπιστευτικότηταςκαι ακεραιότητας των πληροφοριών κατά τηνανταλλαγή

  14. Ασφάλεια στο Internet και στο ΗλεκτρονικόΕμπόριο • Δύο γενικές κατηγορίες απειλών ασφάλειας: • Επιθέσεις κατά μεταδιδόμενης πληροφορίας η ασφαλή μετάδοση της οποίας είναι επιτακτική (ασφάλεια πληροφορίας) • Επιθέσεις κατά της αποθηκευμένης πληροφορίας σε sites για τα οποία απαιτείται ασφάλεια πρόσβασης (ασφάλεια υπολογιστικών συστημάτων)

  15. CD Store Merchant’s Bank Katie’s Bank Bank Bank Internet Payment Network Katie’s order Online CD Store Web Server ISP Order printed at CD warehouse CD Warehouse Katie sends Order Form CD arrives 2-3 days after order is received • Τυπική B2C συναλλαγή

  16. Πιθανές απειλές A ως D μέσω ασφαλούς μετάδοσης με χρήση μεθόδων κρυπτογραφίας Ε μέσω μεθόδων ελεγχόμενης πρόσβασης ISP C Sniffer on Internet backbone A Tapping line Internet Backbone E Breaking into store database D Online CD Store Sniffer at web server Web Server B Sniffer at ISP CD Warehouse Katie

  17. Ασφάλεια συναλλαγών

  18. Τεχνολογίες Ηλεκτρονικής Ασφάλειας • Το Διαδίκτυο είναι εκ φύσεως ένα μη-ασφαλές μέσο μετάδοσης και ανταλλαγής πληροφοριών: • Τα δεδομένα που ανταλλάσσονται μπορούν να υποκλαπούν, αλλοιωθούν, διαγραφούν • Οι διευθύνσεις αφετηρίας-προορισμού (IP) μπορούν εύκολα να αλλαχθούν INTERNET Χρήστης Α Χρήστης Β

  19. Τεχνολογίες Ηλεκτρονικής Ασφάλειας • Οι τεχνολογίες ασφάλειας που προσφέρονται σε διάφορα επίπεδα του μοντέλου OSI-ISO είναι: • Επίπεδο εφαρμογής: Συμμετρική και Μη-συμμετρική κρυπτογραφία, Ψηφιακές Υπογραφές, Ψηφιακά Πιστοποιητικά και Αρχές Πιστοποίησης, Διαχείριση κλειδιών, Αλγόριθμοι Κρυπτογράφησης • Επίπεδο μεταφοράς: S-HTTP, SSL, S/MIME, PGP, Firewalls

  20. Κρυπτογραφία • Σκοπός της κρυπτογραφίας • Ασφάλεια αποθηκευμένης πληροφορίας ανεξάρτητα από το αν έχει αποκτηθεί πρόσβαση σε αυτή • Ασφάλεια μεταδιδόμενης πληροφορίας ανεξάρτητα από το αν η μετάδοση έχει παρακολουθηθεί • Υπηρεσίες που παρέχονται από την κρυπτογραφία: Εμπιστευτικότητα, Ακεραιότητα μηνυμάτων, Μη απάρνηση (non-repudiation), πιστοποίηση αυθεντικότητας

  21. Βασικά κρυπτογραφίας • Το απλό κείμενο μετατρέπεται σε κρυπτογραφημένο (cipher)κείμενο με χρήση ενός αλγορίθμου και ενός κλειδιού • Ο αλγόριθμος είναι δημόσια γνωστός • Το κλειδί κρατιέται μυστικό • Τρεις κύριες κατηγορίες: • Μυστικό κλειδί(συμμετρική κρυπτογραφία) • Ένα μεμονωμένο κλειδί χρησιμοποιείται για να κρυπτογραφήσει και αποκρυπτογραφήσει την πληροφορία • Δημόσιο/Ιδιωτικό Κλειδί (μη συμμετρική κρυπτογραφία) • Χρησιμοποιούνται δύο κλειδιά : ένα για κρυπτογράφηση (δημόσιο κλειδί) και ένα για αποκρυπτογράφηση (ιδιωτικό κλειδί) • One-way Function • Η πληροφορία κρυπτογραφείται έτσι ώστε να παράγει ένα “digest” της αρχικής πληροφορίας το οποίο χρησιμοποιείται αργότερα για να αποδείξει την αυθεντικότητά της

  22. Συμμετρική Κρυπτογραφία Κλειδί (κοινό) Το μήνυμα αυτό δεν πρέπει να το δει κανείς 01010101111010001001010101100010100 y=f(x) x=f-1(y) Αρχικό μήνυμα Αλγόριθμος Κρυπτογράφησης Κρυπτογραφημένο μήνυμα (cipher)

  23. Συμμετρική Κρυπτογραφία • Παράδειγμα: Συνάρτηση XOR (one-time pad) Μήνυμα: Μ = 111001010 Κλειδί: Κ = 010111100 Κρυπτογράφημα: C = 101110110 = M XOR K Αποκρυπτογράφηση: Μ = C XOR K • Πρόβλημα: πώς θα συμφωνήσουν ο αποστολέας και ο παραλήπτης πάνω σε ένα συγκεκριμένο (κοινό) κλειδί και μάλιστα με ασφαλή τρόπο; Ακόμα κι αν κάποιος υποκλέψει το κρυπτογραφημένο μήνυμα και γνωρίζει τον αλγόριθμο κρυπτογράφησης, θα πρέπει να ξέρει και το κλειδί για να αναπαράγει την αρχική πληροφορία

  24. Μη-συμμετρική κρυπτογραφία: διαδικασία κρυπτογράφησης Δημόσιο κλειδί του παραλήπτη Το μήνυμα αυτό δεν πρέπει να το δει κανείς 01010101111010001001010101100010100 y=f(x) Αρχικό μήνυμα Αλγόριθμος Κρυπτογράφησης Κρυπτογραφημένο μήνυμα (cipher)

  25. Μη-συμμετρική κρυπτογραφία : διαδικασία αποκρυπτογράφησης Ιδιωτικό κλειδί του παραλήπτη 01010101111010001001010101100010100 Το μήνυμα αυτό δεν πρέπει να το δει κανείς x=f-1(y) Κρυπτογραφημένο μήνυμα Αρχικό μήνυμα Αλγόριθμος Κρυπτογράφησης

  26. Μη-συμμετρική Κρυπτογραφία • Λύνει το πρόβλημα ασφάλειας της συμμετρικής κρυπτογραφίας (ασφαλούς συμφωνίας και ανταλλαγής κλειδιού μεταξύ αποστολέα/παραλήπτη) • Κάθε συναλλασσόμενη πλευρά διαθέτει ένα δημόσιο και ένα ιδιωτικόκλειδί • Το δημόσιο κλειδί κάθε πλευράς μπορεί να δημοσιοποιηθεί (δηλαδή να μεταδοθεί στο δίκτυο) και είναι γνωστό σε κάθε άλλη πλευρά • Κάθε πλευρά γνωρίζει μόνο το δικό της ιδιωτικό κλειδί και δεν το αποκαλύπτει σε άλλους • Ο αποστολέας χρησιμοποιεί το δημόσιο κλειδί του παραλήπτη για να κρυπτογραφήσει τα μηνύματα που στέλνει. Από τη στιγμή που θα κωδικοποιηθούν αυτά, μόνο ο παραλήπτης μπορεί να τα αποκωδικοποιήσει με το ιδιωτικό του κλειδί. • Τα δημόσια κλειδιά τοποθετούνται συνήθως σε ένα μητρώο δημοσίων κλειδιών

  27. Συμμετρική vs. Μη-συμμετρική Κρυπτογραφία

  28. Αλγόριθμοι κρυπτογράφησης • DES (56-bit) • Triple-DES (3 x 56-bit) • RC2 (κλειδιά μεταβλητού μεγέθους) • RC4 (πρωτόκολλο SSL) • IDEA (128-bit) • RSA • Diffie-Hellman • DSA (El-Gamal)

  29. Αλγόριθμοι κρυπτογράφησης: DES • Ανήκει στην κατηγορία των αλγορίθμων συμμετρικής κρυπτογράφησης • Αναπτύχθηκε στις αρχές της δεκαετίας του '70 και καθιερώθηκε επίσημα από την κυβέρνηση των Ηνωμένων Πολιτειών το 1977 • Μέγεθος κλειδιού: 56 bits • αν κάποιος θέλει να "σπάσει" την κωδικοποίηση πρέπει να δοκιμάσει 255 διαφορετικά κλειδιά • Την εποχή που καθιερώθηκε ο αλγόριθμος και με βάση τις τότε υπολογιστικές δυνατότητες των Η/Υ, ήταν πρακτικά ανέφικτο και πολυδάπανο να "σπάσει" αυτού του είδους η κρυπτογράφηση σε κάποιο λογικό πλαίσιο χρόνου • Σήμερα είναι σχετικά εφικτό, ωστόσο εξακολουθεί να είναι πολυέξοδο από πλευράς απαιτούμενης υπολογιστικής ισχύος • Μία από τις τελευταίες προσπάθειες "επίθεσης" εναντίον του DES στηρίχτηκε στη "γραμμική κρυπτανάλυση" όπου, κωδικοποιώντας 247 συγκεκριμένες λέξεις, έγινε δυνατό να ανακτηθεί το μυστικό κλειδί ύστερα από υπολογισμούς 50 ημερών σε 12 Η/Υ • Το 1998 παρόμοιο εγχείρημα κατέστη δυνατό μέσα από τη σύνδεση δεκάδων χιλιάδων υπολογιστών μέσω Ιnternet σε 39 ημέρες

  30. Αλγόριθμοι κρυπτογράφησης • IDEA • Συμμετρικός αλγόριθμος με μέγεθος κλειδιού 128bits, δημοσιεύτηκε το 1990 • «Αντιστέκεται» καλύτερα από τον DES σε τεχνικές όπως η γραμμική κρυπτανάλυση • RC2 • Αλγόριθμος γρηγορότερος από τον DES (σχεδιάστηκε ως αντικαταστάτης του) • Δυνατότητα χρήσης κλειδιού μεταβλητού μεγέθους • RSA • Από τους δημοφιλέστερους αλγορίθμους δημοσίου κλειδιού, προτάθηκε το 1977 • Προσφέρει δυνατότητα κρυπτογράφησης και πιστοποίησης • Diffie-Hellman • Σχεδιάστηκε το 1976 και επιτρέπει σε 2 άτομα να ανταλλάξουν με ασφαλή τρόπο ένα μυστικό κλειδί σε ένα μη ασφαλές μέσο

  31. Κρυπτογράφηση στο www: SSL • Οι webbrowsersIE και Netscape σε συνδυασμό με λογισμικό Web Servers, υποστηρίζουν τρόπους κωδικοποίησης των πληροφοριών που ανταλλάσσονται μεταξύ client και server • Το δημοφιλέστερο πρωτόκολλο είναι το SSL (Secure Socket Layer) • Αναπτύχθηκε από την εταιρία Netscape και χρησιμοποιεί τεχνικές δημόσιου κλειδιού στην αρχική επικοινωνία, ώστε να επιτευχθούν οι ακόλουθοι στόχοι: • Ο server δηλώνει την ταυτότητά του μέσω της ψηφιακής υπογραφής του • O server και ο client συμφωνούν στη χρήση ενός συγκεκριμένου κλειδιού/αλγορίθμου, με το οποίο θα κρυπτογραφηθεί το υπόλοιπο της συνομιλίας

  32. Κρυπτογράφηση στο www: SSL & S-HTTP • Στην έκδοση SSL v3 χρησιμοποιούνται οι συμμετρικοί αλγόριθμοι κρυπτογράφησης RC4 128bit και Triple DES • Η αδυναμία του SSL για τους χρήστες όλων των χωρών εκτός των Η.Π.Α. είναι το μικρό μέγεθος κλειδιού (40 bits) που χρησιμοποιεί για τη συμμετρική κρυπτογράφηση των δεδομένων • Για συγκεκριμένες υπηρεσίες υψηλής ασφάλειας και ρίσκου (π.χ. τραπεζικές συναλλαγές), δεν γίνονται αποδεκτοί browsers που δεν προσφέρουν 128-bit κωδικοποίηση • Εκτός του SSL, υπάρχει δυνατότητα χρήσης και του πρωτοκόλλου S-HTTP (SecureHypertextTransferProtocol) • Σε αντίθεση με το SSL που λειτουργεί στο επίπεδο μεταφοράς, το S-HTTP λειτουργεί στο επίπεδο εφαρμογής • Eνώ στο SSL γίνεται κωδικοποίηση ολόκληρου του διαύλου επικοινωνίας, στο S-HTTP κάθε μήνυμα κωδικοποιείται ξεχωριστά (το S-HTTP παρέχει τη δυνατότητα καθένα από τα μηνύματα που μεταφέρονται να "υπογράφεται" ψηφιακά και όχι μόνο τα αρχικά μηνύματα κατά τη διάρκεια της πιστοποίησης όπως στο SSL)

  33. SSL: χαρακτηριστικά • Λειτουργεί στο TCP/IP transport layer • Οι client και server κρυπτογραφούν (αποκρυπτογραφούν) είσοδο από τοapplication (transport) layer • Οποιοδήποτε πρόγραμμα που χρησιμοποιεί το TCP μπορεί νατροποποιηθεί για να χρησιμοποιεί SSL συνδέσεις • Η SSL σύνδεση χρησιμοποιεί ειδικό TCP/IP socket (π.χ. port443 για HTTP over SSL - https) • Eίναι ευέλικτο στην επιλογή συμμετρικής κρυπτογραφίας, message digest, και αλγορίθμων αυθεντικότητας • Όταν ένας SSL client έρχεται σε επαφή με έναν SSL server, προσπαθούν να επιλέξουν την δυνατότερη μέθοδο κρυπτογράφησης που έχουν από κοινού • Δεδομένα που κρυπτογραφούνται σε μια τέτοια σύνδεση • Το URL του ζητούμενου εγγράφου και τα περιεχόμενα του εγγράφου • Περιεχόμενα των browser forms • Cookies που στέλνονται από τον browser στον server και από τον server στον browser • Περιεχόμενα του HTTP header

  34. Ψηφιακές υπογραφές (digital signatures) • Οι μη-συμμετρικοί αλγόριθμοι είναι αργοί για την κρυπτογράφηση ενός ολόκληρου μηνύματος • Ταχύτερο να προσαρτήσω στο μήνυμα την «υπογραφή» του αποστολέα • Εφαρμόζεται στο μήνυμα μια συνάρτηση (hash) από την οποία προκύπτει ένα μικρότερο μήνυμα προκαθορισμένου μεγέθους (message digest) • To message digest κρυπτογραφείται (με χρήση του ιδιωτικού κλειδιού του αποστολέα) και αποτελεί την ψηφιακή υπογραφή του αποστολέα • Η ψηφιακή υπογραφή συνενώνεται με το μήνυμα, κρυπτογραφείται με το δημόσιο κλειδί του δέκτη και αποστέλλεται στο δέκτη • Ο δέκτης αρχικά αποκρυπτογραφεί το μήνυμα αυτό με το ιδιωτικό κλειδί του και ελέγχει την αυθεντικότητα του χρήστη: • Εφαρμόζει την ίδια hash συνάρτηση (με εκείνη του αποστολέα) δημιουργώντας έτσι τη δική του εκδοχή για το ορθό message digest • Αποκρυπτογραφεί τη ψηφιακή υπογραφή που έλαβε (χρησιμοποιώντας το δημόσιο κλειδί του αποστολέα), αναπαράγοντας έτσι το message digest που δημιούργησε ο αποστολέας • Το αποκρυπτογραφημένο κείμενο μπορεί να συγκριθεί με το κανονικό κείμενο για να ελεγχθεί η ακεραιότητά του: αν ταιριάζουν, αυθεντικοποιείται η ψηφιακή υπογραφή του αποστολέα, διαφορετικά: (α) κάποιος προσποιείται τον αποστολέα, (β) το μήνυμα μεταβλήθηκε από τη στιγμή που στάλθηκε από τον αποστολέα, (γ) υπήρξε λάθος στη μετάδοση του μηνύματος

  35. Ψηφιακές Υπογραφές Το μήνυμα αυτό είναι του Α Το μήνυμα αυτό είναι του Α Συνάρτηση Hash Message digest + Χρήστης Α Aj9834efy3JO Ψηφιακή Υπογραφή INTERNET Κρυπτ. με το ιδιωτικό κλειδί του Α Χρήστης Α Χρήστης Β Αποκρυπτ. με το δημόσιο κλειδί του Α Ψηφιακή Υπογραφή Το μήνυμα αυτό είναι του Α Εφόσον τα δύο message digest είναι ίδια, τότε το μήνυμα είναι αυθεντικό και ακέραιο Message digest Message digest Aj9834efy3JO Aj9834efy3JO Συνάρτηση Hash Το message digest που δημιούργησε ο αποστολέας Η εκδοχή του δέκτη για το σωστό message digest

  36. Ψηφιακά Πιστοποιητικά • Για την αντιμετώπιση του προβλήματος όπου ο Α προσποιείται τον Β χρησιμοποιώντας ένα ζευγάρι κλειδιών που είναι δήθεν του Β • Συσχετίζουν μια οντότητα με ένα συγκεκριμένο δημόσιο κλειδί • Οι αρχές πιστοποίησης (certification authorities) αποτελούν τον πλέον αξιόπιστο τρόπο διανομής δημόσιων κλειδιών • Μια αρχή πιστοποίησης θα δεχτεί το δημόσιο κλειδί του χρήστη/εταιρίας σε συνδυασμό με κάποιο είδος απόδειξης της ταυτότητάς του (ποικίλει ανάλογα με την κλάση του πιστοποιητικού) • Οι άλλοι μπορούν να επαληθεύουν το δημόσιο κλειδί τουχρήστη απευθυνόμενοι στην αρχή πιστοποίησης, μπορούν δηλαδή να θεωρούν δεδομένοότι ο χρήστης είναι αυτός που ισχυρίζεται ότι είναι • Οι αρχές πιστοποίησης είναι φορείς που χαίρουν γενικής αποδοχής και διατηρούν μητρώα πιστοποιητικών • π.χ. Verisign, Cybertrust, Nortel, Globalsign • Ένα ψηφιακό πιστοποιητικό μπορεί να εκδοθεί σε μία από τις 4 ορισμένες κλάσεις, που υποδεικνύουν σε τι βαθμό έχει διασταυρωθεί η ταυτότητα του χρήστη (από απλή επαλήθευση ονόματος και e-mail μέχρι έλεγχο αριθμού κοινωνικής ασφάλισης, άδειας οδήγησης, ημερομηνίας γέννησης και διενέργεια πιστωτικού ελέγχου) • Η τομή έκδοσης ψηφιακού πιστοποιητικού αυξάνει με την κλάση

  37. Πρότυπα (standards) ασφαλείας στο διαδίκτυο • SSL (επίπεδο σύνδεσης): Παρέχει ασφάλεια σε πακέτα δεδομένων στο επίπεδο δικτύου • S-HTTP (επίπεδο εφαρμογής): Καθιστά ασφαλείς τις web συναλλαγές • S/MIME (επίπεδο εφαρμογής): Καθιστά τα προσαρτημένα σε μηνύματα ηλεκτρονικού ταχυδρομείου αρχεία ασφαλή (secure mail attachments) • SET (επίπεδο εφαρμογής): Εγγυάται ασφάλεια σε συναλλαγές με πιστωτικές κάρτες

  38. S-HTTP και SSL • Παρέχουν αυθεντικοποίηση, εμπιστευτικότητα και ακεραιότητα των δεδομένων • Το SSL χρησιμοποιεί ασύμμετρη κρυπτογράφηση ώστε: • Ο εξυπηρετητής ή και ο πελάτης (προαιρετικά) αυθεντικοποιούνται μέσω των ψηφιακών πιστοποιητικών. • Εξυπηρετητής και πελάτης συμφωνούν στη χρήση ενός συγκεκριμένου κλειδιού με το οποίο θα κρυπτογραφηθεί το υπόλοιπο της συναλλαγής. Το κλειδί κρυπτογραφείται με το δημόσιο κλειδί του εξυπηρετητή και στέλνεται στον πελάτη. Το κλειδί αλλάζει από σύνδεση σε σύνδεση.

  39. PGP (Pretty Good Privacy) • Χρησιμοποιείται για την ασφαλή αποθήκευση και αποστολή αρχείων μέσω e-mail. Προσφέρει: • Κρυπτογράφηση μηνύματος • Ψηφιακές υπογραφές • Συμπίεση δεδομένων • Δυνατότητα αποστολής με e-mail • Τοπική διαχείριση κλειδιών • Για την κρυπτογράφηση, αρχικά χρησιμοποιείται ένας συμμετρικός αλγόριθμος για τη μετάδοση του δημοσίου κλειδιού και στη συνέχεια αποστέλλεται το μήνυμα κρυπτογραφημένο με το κλειδί αυτό • Συμμετρικοί αλγόριθμοι που χρησιμοποιούνται: • CAST, IDEA και Triple-DES

  40. Firewall • Mέθοδος διατήρησης ενός δικτύου (π.χ. τουεσωτερικού δικτύου ενός οργανισμού) ή ενός υπολογιστή συνδεδεμένου στο διαδίκτυο ασφαλές από κάποιον που θέλει να εισβάλει παράνομα • Χρησιμοποιούνται για να παρέχουν στους χρήστες ασφαλή πρόσβαση στο δίκτυο και να χωρίσουν τον δημόσιο εξυπηρετητή web μιας εταιρείας από το εσωτερικό της δίκτυο • Χρησιμοποιούνται επίσης για να προστατεύσουν τμήματα του εσωτερικού δικτύου (π.χ. το λογιστήριο) • Υλοποίηση σε Υλικό (hardware) ή και Λογισμικό (software)

  41. Firewall • Αποτελείται από: • φίλτρα για μπλοκάρισμα και/ή παρακολούθηση μετάδοσης συγκεκριμένου είδους μηνυμάτων (καθορισμένα από τον τύπο, τον προορισμό τους ή συνδυασμό και των δύο) • gateways για προώθηση των αποδεκτών μηνυμάτων από τη μια μεριά του firewall στην άλλη • application proxies που εκτελούν έλεγχο ειδικής πρόσβασης σε εφαρμογές, παρακολούθηση και αναφορά.

  42. Firewall • Έλεγχος κίνησης με βάση τα πακέτα: • Πρωτόκολλο (π.χ. TCP, UDP, ARP, ICMP κλπ) • Διεύθυνση (IP) προέλευσης • Διεύθυνση (IP) προορισμού • TCP ή UDP θύρα προέλευσης • TCP ή UDP θύρα προορισμού, π.χ. αν αφήσω πακέτα που προορίζονται για το port 25 (SMTP), αφήνω να περνούν μηνύματα ηλεκτρονικού ταχυδρομείου • Δίκτυο από το οποίο έρχεται το πακέτο • Δίκτυο στο οποίο θα μεταφερθεί το πακέτο • Έλεγχος κίνησης με βάση τις εφαρμογές. Μια προβληματική εφαρμογή μπορεί να απομονωθεί περιστασιακά από το να λαμβάνει ή να εγκαθιστά συνδέσεις

  43. Firewall • Μειονεκτήματα: • Μια κακή εγκατάσταση του firewall προσφέρει εικονική ασφάλεια που μπορεί να αποβεί καταστροφική, να δημιουργήσει καθυστερήσεις, διακοπές και γενικά απρόβλεπτη συμπεριφορά • Δεν προστατεύουν από επιθέσεις από το εσωτερικό του τοπικού δικτύου • Απαιτεί συχνό έλεγχο στα αρχεία (logs) για να εντοπισθούν τυχόν προσπάθειες παραβίασης

  44. Ασφαλείς πληρωμές

  45. Secure ElectronicTransaction (SET) • Πρωτόκολλο που σχεδιάστηκε για ναεξασφαλίζει ασφαλείς onlineσυναλλαγές με κάρτες τόσο για τουςκαταναλωτές όσο και για τουςεμπόρους • Αναπτύχθηκε από κοινού από τις Netscape, Visa, MasterCard,και άλλους • Τι παρέχει: • Πιστοποίηση ταυτότητας όλων τωνεμπλεκόμενων στην συναλλαγή • Εμπιστευτικότητα: η συναλλαγή κρυπτογραφείταιγια να αντιμετωπίσει υποκλοπές ευαίσθητων δεδομένων • Ακεραιότητα μηνυμάτων: δεν είναι δυνατό νααλλαχθεί ο αριθμός λογαριασμού ή το ποσόσυναλλαγής • Σύστημα σύνδεσης: επισυναπτόμενα αρχείαμπορούν να διαβαστούν από τρίτη οντότητα μόνοαν είναι απαραίτητο

  46. Τι παρέχει το SET • To πρωτόκολλο SET υποστηρίζει όλα τα χαρακτηριστικά ενός πλήρους συστήματος πιστωτικών καρτών: • Καταχώρηση του ιδιοκτήτη κάρτας • Καταχώρηση του εμπόρου • Αιτήσεις αγορών • Εξουσιοδοτήσεις πληρωμών • Μεταφορά χρηματικών ποσών • Επιστροφή χρημάτων - Chargebacks • Πιστώσεις • Ακυρώσεις πιστώσεων • Συναλλαγές χρεωστικών καρτών • Το SET μπορεί να διαχειριστεί: • Συναλλαγές μαζικές και πραγματικού χρόνου • Πληρωμές με δόσεις

  47. Ηλεκτρονικές αγορές με το SET • To e-shop ανοίγει λογαριασμό (τράπεζα αποδέκτη). Η τράπεζα αποδέκτης καθορίζει ποιες πιστωτικές κάρτες γίνονται δεκτές στις συναλλαγές • Ο πελάτης δίνει τα στοιχεία της πιστωτικής του κάρτας στον έμπορο πάνω από το Διαδίκτυο μέσω ασφαλούς σύνδεσης • Ο έμπορος μεταβιβάζει ασφαλώς τα στοιχεία που δέχτηκε στο διατραπεζικό σύστημα επεξεργασίας χρεώσεων και διαπιστώνει την πιστοληπτική ικανότητα του πελάτη χάρη στην αυτόματη επικοινωνία με την τράπεζα έκδοσης της πιστωτικής κάρτας του πελάτη • Η μεταφορά των χρημάτων στο λογαριασμό του εμπόρου γίνεται σε μεταγενέστερο στάδιο λόγω νομικών περιορισμών που διέπουν το χώρο του H.E. • Το SET είναι πρωτόκολλο βασισμένο σε ψηφιακές υπογραφές, οπότε λύνονται προβλήματα «αποποίησης» παραγγελίας

  48. Ασφαλείς ηλεκτρονικές πληρωμές με SETκαι SSL • Σύμφωνα με το πρωτόκολλο SET, ο έμπορος δεν αποθηκεύει τα εμπιστευτικά στοιχεία του πελάτη, αλλά τα διαβιβάζει απ’ ευθείας στο διατραπεζικό σύστημα χρέωσης που ελέγχει την εγκυρότητα της κάρτας • Προαπαιτούμενα για την υλοποίηση του πρωτοκόλλου SET • Λογισμικό, ηλεκτρονικό πορτοφόλι (SET wallet) το οποίο είναι ενσωματωμένο στους σύγχρονους browsers • Πιστοποιητικό πωλητή, υπογεγραμμένο με το δημόσιο κλειδί της «τράπεζας αποδέκτη» και το δημόσιο κλειδί του εκδοτικού οργανισμού της κάρτας (π.χ. Visa ή MasterCard) • SSL (Secure Socket Layer): εξασφαλίζει ασφαλή μεταφορά δεδομένων από τοbrowser του πελάτη στο server του εμπόρου καθώς επίσης και από το server του εμπόρου στο διατραπεζικό σύστημα επεξεργασίας χρέωσης • Οι υπηρεσίες που προσφέρει το SSL στο SET είναι η αυθεντικοποίηση (authentication) για servers και bowsers, η εμπιστευτικότητα (confidentiality) και ακεραιότητα (integrity) των δεδομένων

  49. Ηλεκτρονικές Πληρωμές (e-payments) 6. Επιστροφή κουπονιού Τράπεζα αποδέκτη Web site πωλητή 5. Έλεγχος εγκυρότητας πιστωτικής κάρτας 4. Αίτηση πληρωμής 8. Ρύθμιση Πύλη SET πληρωμών Διατραπεζικό δίκτυο επεξεργασίας πιστωτικών καρτών 2. Περιγραφή παραγγελίας, ξυπνά το wallet 1. Επιλογή προϊόντων 3. Απόφαση πληρωμών 7. Απόδειξη Πελάτης με SET πορτοφόλι Τράπεζα έκδοσης πιστωτικής κάρτας πελάτη

  50. Προσομοίωση Ethernet δικτύων με το ΟPNET

More Related