Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

IT Arkitektur og Sikkerhed Kryptering og Enterprise sikkerhedsmodeller.

Offentliggjort afAndrea Lauridsen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "IT Arkitektur og Sikkerhed Kryptering og Enterprise sikkerhedsmodeller."— Præsentationens transcript:

1 IT Arkitektur og Sikkerhed Kryptering og Enterprise sikkerhedsmodeller

2 Kryptering Eksempler? SSL VPN Digital Signatur Satellitmodtagere

3 Kryptering – Hvad er det? ”Art and Science” omkring det at lave hemmeligheder Det at gemme og sende information, så det kun kan læses af dem, der har brug for det Lad os mødes kl. 9 (Plaintext) Krypterings- maskine Sdgstysda (Ciphertext)

4 Kryptering - Begreber Kryptoanalytiker Plaintext/Cleartext Ciphertext/Cryptogram Encipher/Encrypt/Encode Decipher/Decrypt/Decode Key Space

5 Kryptering historie Scytale-Sparta-400 før Kristi To ruller (grene) med nøjagtig ens diameter Tynd strimmel papir rullet omkring rullerne Tekst skrevet på papir Uden gren  Cipher text

6 Historie - Caeser Cipher Caeser Cipher er fra Rom omkring 49 før Kristi Også kaldet ”Substitution Cipher”

7 Enigma

8 Nyere… 1976 DES 1976 Public Key kryptering 1977 RSA 1990 IDEA 1991 PGP 2000 AES

9 Symmetrisk kryptering Bruger en nøgle, som både modtager og afsender har DES, 3DES, Blowfish, IDEA, RC4, AES

10 Symmetrisk kryptering M ciphertextciphertext M kk senderModtager KrypteringDekryptering Enc k Dec k Alice Bob

11 Symmetrisk kryptering Hurtig Sikker (ved store nøgler) Nøgleudveksling??? N(N-1)/2 (5 mil til 10.000 mennesker) Algoritmer typisk offentligt tilgængelige Hvem har afsendt? Er der nogen der har ændret noget?

12 Nøgler og styrke StyrkeNavnStørrelse SvagRC2-4040 DES56 RC5-6456 MediumSkipjack80 StærkRC2-128128 RC5128 IDEA128 Blowfish128 3DES168 Meget stærkRC6256 AES (Rindael)256

13 Asymmetrisk kryptering (Public Key) Ikke en nøgle, men et nøglepar De to nøgler er matematisk relaterede til hinanden Den ene nøgle er hemmelig og den anden offentlig Når data er krypteret med den ene nøgle er det KUN den anden, der kan læse det igen Baseret på One-Way funktioner og STORE primtal RSA, Diffie-Hellman, ECC, El Gamal

14 Public Key kryptering pubkeyprivkey SenderModtager M ciphertextciphertext M KrypteringDekryptering Enc pubkey Dec privkey Alice Bob

15 Public Key kryptering Kræver MEGET CPU Laaangsomt Løser problemet omkring nøgleudveksling (1000 brugere = 2000 nøgler) Giver authentication, integrity og non- repudiation

16 Hash One-way function Kan ikke genskabe en meddelelse ud fra en hash To forskellige meddelelser må IKKE kunne give den samme hash… Eksempler: RSA Message Digest, MD2, MD4, MD5, SHA og Haval MD5 = 128 bit hash

17 Birthday Attack Hvad dag har I fødselsdag? I en forsamling på 23 mennesker vil to i gennemsnit have fødselsdag samme dag…

18 Hash og sikkerhed… Fra Bruce Schneiers månedlige nyhedsbrev : New Cryptanalytic Results Against SHA-1 Xiaoyun Wang, one of the team of Chinese cryptographers that successfully broke SHA-0 and SHA-1, along with Andrew Yao and Frances Yao, announced new results against SHA-1 at Crypto's rump session. (Actually, Adi Shamir announced the results in their name, since she and her student did not receive U.S. visas in time to attend the conference.) Shamir presented few details -- and there's no paper -- but the time complexity of the new attack is 2^63. (Their previous result was 2^69; brute force is 2^80.) He did say that he expected Wang and her students to improve this result over the next few months. The modifications to their published attack are still new, and more improvements are likely over the next several months. There is no reason to believe that 2^63 is anything like a lower limit. But an attack that's faster than 2^64 is a significant milestone. We've already done massive computations with complexity 2^64. Now that the SHA-1 collision search is squarely in the realm of feasibility, some research group will try to implement it. Writing working software will both uncover hidden problems with the attack, and illuminate hidden improvements. And while a paper describing an attack against SHA-1 is damaging, software that produces actual collisions is even more so. The story of SHA-1 is not over. Again, I repeat the saying I've heard comes from inside the NSA: "Attacks always get better; they never get worse."

19 Digital Signatur Hver bruger har en public-private nøgle En digital signatur opstår ved at man krypterer en hash af en meddelelse med sin private nøgle Modtager kan så selv lave en hash og sammenligne resultatet med den hash, som han får ved at dekryptere din signatur med din offentlige nøgle  Meddelelse ikke ændret (hash det samme) og kan kun være lavet af dig (Hash blev dekrypteret af din offentlige nøgle) Bemærk: Meddelelsen er ikke hemmelig

20 Certifikater Formål  Digital identifikation (3-part) Er i virkeligheden en sikker måde at binde en public key til en private key. X509 Grundlæggende indeholder et certifikat: Navn Validitets periode Formål Algoritmer anvendt (anvendelige) Public key Signatur fra CA Eksempel 

21 Autentifikation på Internettet Encrypting File System Sikker E-Mail Software Code Signing Smart Card Logon Digital Signatur Digital Signatur IP Security Hvor bruges certifikater?

22 Certificate Authority (CA) Trusted Third Party der signerer certifikater Kan være hiraki Styrer blandt andet: Certifikation af at du er, hvem du siger Udstedelse Revocation

23 Public Key Infrastructure (PKI) PKI gør umiddelbart følgende: Agerer CA Styrer udstedelse og distribution af public/private keys Publicerer public keys som certifikater Key Backup og Recovery Automatisk Key Update Problem i PKI?

24 VPN Eksempel

25 IPSec Can use security protocols to encrypt or digitally sign traffic Can use tunnel mode to secure traffic between two networks Can use transport mode to secure traffic between any two hosts Router Tunnel Mode Transport Mode Router

26 IPSec Features FeatureDescription Automatic key management IKE services dynamically exchange and manage keys between communicating computers Automatic security negotiation IKE services dynamically negotiate a common set of security settings using IKE services Public key infrastructure support IPSec supports the use of public key certificates for authentication Preshared key support IPSec can use a preshared key for authentication

27 Sikkerheds Arkitektur

28 Typisk sikkerhedsarkitektur

29 Mere

30 Sikkerhedsarkitektur Sikkerhedsarkitektur er meget mere Handler om kontrol med information (hvad går hvor og hvorfor): Levels af sikkerhed Information Flow modeller Trusted Operating Systems Orangebook Common Criteria

31 Levels af sikkerhed Unclassified Restricted Confidential Secret Top Secret Hvad har vi i Danmark?

32 Sikkerhedsarkitektur Idéen i sikkerhedsarkitektur er at implementere levels af sikkerhed!!! Hvorfor sikrer man overhovedet et firma? Hvor mange levels af sikkerhed har I i jeres firma?

33 Bell-LaPadula sikkerhedsmodellen Bell-LaPadula (BLP) modellen handler om informationskonfidentialitet!!! Modellen søger at afbillede informationsflow typisk set i militæret fra virkelighedens verden Implementerer ”No-read-up” og ”No-write- down”

34 Bell-LaPadula sikkerhedsmodellen Top Secret Secret Unclassified Top Secret Secret Unclassified Read OK Read Forbidden Read OK

35 Bell-LaPadula sikkerhedsmodellen Top Secret Secret Unclassified Top Secret Secret Unclassified Read OK Read Forbidden

36 Bell-LaPadula sikkerhedsmodellen Top Secret Secret Unclassified Top Secret Secret Unclassified Write OK Write Forbidden

37 Bell-LaPadula sikkerhedsmodellen Top Secret Secret Unclassified Top Secret Secret Unclassified Write OK Write Forbidden

38 Biba sikkerhedsmodellen Bygger på erfaringer fra den kolde krig omkring at integritet også er vigtigt!!! Biba er - i modsætning til Bell-LaPadula - en sikkerhedsmodel, hvor integritet er vigtigt. Access er derfor ikke afgørende i denne model Derimod er modifikation (integritet) altafgørende “No-read-down”, “No-write-up”, “No-execute-up”

39 Biba sikkerhedsmodellen High Integrity Medium Integrity High Integrity Medium Integrity Read OK Read Forbidden

40 Biba sikkerhedsmodellen High Integrity Medium Integrity Low Integrity High Integrity Medium Integrity Low Integrity Write OK Write Forbidden

41 Hvad bruges alt dette til? Design af netværk!!! Trustede operativsystemer MAC DAC Eksempler???

42 Trusted OS HP Virtual Vault, Trusted Solaris Implementerer labels!!! Security Kernel Reference Monitor

43 Organisationer Orange Book (A1, B1, B2, B3, C1, C2 og D) European ITSEC Evaluation Common Criteria

44 Orange book D1: no security C1: lowest level of security File and directory read & write controls and authentication, root is insecure & auditing (system logging) is not available C2 features an auditing function records all security-related events & provides stronger protection on key system files, password file. B-rated: multilevel security, such as secret, top secret, and mandatory access control B2:every object & file is labelled, labels change dynamically depending on what is being used. B3: includes system hardware, terminals connect using trusted paths & specialised system hardware A1: highest level of security Mathematically design verified large amounts of processing power & disk space.

45 Trends Går fra at OS og netværk beskytter os til at klassifikation ligger i selve informationen… RMS Demo

46 Og så… Gruppeopgaver

Download ppt "IT Arkitektur og Sikkerhed Kryptering og Enterprise sikkerhedsmodeller."

Lignende præsentationer

Ordstilling Ordstilling er bl.a. rækkefølgen af grundled og udsagnsled i en sætning. Hvis grundleddet står før udsagnsleddet, taler vi om ligefrem ordstilling.

Ordstilling Ordstilling er bl.a. rækkefølgen af grundled og udsagnsled i en sætning. Hvis grundleddet står før udsagnsleddet, taler vi om ligefrem ordstilling.
Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.

Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.
Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.

Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.
Dagens program  Emne: Tim Berners-Lees WWW koncept og deraf følgende innovationer Forbered hver for sig Præsenter og diskutér i grupper Fremlæggelse med.

Dagens program  Emne: Tim Berners-Lees WWW koncept og deraf følgende innovationer Forbered hver for sig Præsenter og diskutér i grupper Fremlæggelse med.
2.-generationsintranet på KU Internet, intranet, ekstranet eller mit net? Claus Qvistgaard It-strategichef 060919.

2.-generationsintranet på KU Internet, intranet, ekstranet eller "mit net"? Claus Qvistgaard It-strategichef
Aalborg Universitet Esbjerg

Aalborg Universitet Esbjerg
Etiske & metodiske problemer i online research - kort diskussionsoplæg.

Etiske & metodiske problemer i online research - kort diskussionsoplæg.
Public Key kryptering INTRODUKTION TIL KRYPTERING.

Public Key kryptering INTRODUKTION TIL KRYPTERING.
Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.

Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.
Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.

Overskrift her Navn på oplægsholder Navn på KU- enhed For at ændre ”Enhedens navn” og ”Sted og dato”: Klik i menulinjen, vælg ”Indsæt” > ”Sidehoved / Sidefod”.
Tekst starter uden punktopstilling For at få punkt- opstilling på teksten, brug forøg indrykning For at få venstre- stillet tekst uden punktopstilling,

Tekst starter uden punktopstilling For at få punkt- opstilling på teksten, brug forøg indrykning For at få venstre- stillet tekst uden punktopstilling,
Sikkerhed Share with none Share with everybody Share with some.

Sikkerhed Share with none Share with everybody Share with some.
ESigner - Signatur på Web Bernt Bisgaard, Cryptomathic IT-erfagrupper i advokatbranchen.

ESigner - Signatur på Web Bernt Bisgaard, Cryptomathic IT-erfagrupper i advokatbranchen.
Arne Winther Et værdifuldt samarbejde mellem hospital og produktudvikler.

Arne Winther Et værdifuldt samarbejde mellem hospital og produktudvikler.
E-bøger gennem PrioInfo - oversigt v/ Claes Olsson.

E-bøger gennem PrioInfo - oversigt v/ Claes Olsson.
Introduktion til NemHandel Infrastrukturen

Introduktion til NemHandel Infrastrukturen
Introduktion til NemHandel Infrastrukturen Heinrich Clausen 4. november 2010.

Introduktion til NemHandel Infrastrukturen Heinrich Clausen 4. november 2010.
Magtteori I 7. September 2005.

Magtteori I 7. September 2005.
Digitale signaturer og CD-kort

Digitale signaturer og CD-kort
Database Normalization without Mathmatics

Database Normalization without Mathmatics

Lignende præsentationer

Annoncer fra Google