PKI (Public Key Infrastructure) Hasła jednorazowe (OPIE, OTP, S\Key) AUTORYZACJA PKI (Public Key Infrastructure) Hasła jednorazowe (OPIE, OTP, S\Key) Infrastruktura Klucza Publicznego to szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacyjne (CA), urzędy rejestracyjne (RA), subskrybenci certyfikatów (użytkownicy), oprogramowanie i sprzęt. Głownym celem PKI jest wyznaczenie standartów certyfikatów, wystawianie, anulowanie, certyfikatów, przechowywanie informacji o sertyfikacie. public key is a string of bits Hasło jednorazowe (ang. One Time Password) pozwala na uzyskiwanie dostępu do usługi bądź systemu za pomocą unikatowego i nieużywanego nigdy wcześniej ciągu znaków. Hasła jednorazowe przypominają znany z kryptografii mechanizm szyfrowania kluczem jednorazowym (ang. One Time Pad – w skr. OTP) Системы аутентификации по одноразовым паролям, т.е. генерируется набор паролей, каждый из которых можно использовать только один раз. Обычно используют для входа из недоверительной среды, в которой пароль могут подсмотреть.

PKI – zasady działania CA - Certification Authority - urząd certyfikacji - wystawia certyfikaty, certyfikuje inne CA. RA - Registration Authority - urząd rejestracji - zbiera wnioski o wydanie certyfikatu, weryfikuje tożsamość subskrybentów. VA - Validation Authority - urząd weryfikacji klienta online Subskrybent - właściciel certyfikatu. Klient podaje swoej dane do urzędu rjestracji, weryfikuje tożsamość. Póżniej RA podtwierdza dane klienta i wysyła do urzędu sertyfikacji dane klienta. Klient odbiera sertyfikat z urząd certyfikacji. Przy korzystaniu z usługi klient używa swojego certyfikatu do weryfikacji. Jest sprawdzane przez użedy werifikacji.

PKI - funkcje Do podstawowych funkcji PKI należą: Generowanie kluczy kryptograficznych. Weryfikacja tożsamości subskrybentów. Wystawianie certyfikatów. Weryfikacja certyfikatów. Szyfrowanie przekazu. Potwierdzanie tożsamości. Certyfikat to dane podpisane cyfrowo przez stronę, której ufamy (Certificate Authority). Certyfikat kwalifikowany to taki, który został wystawiony jego właścicielowi z zastosowaniem odpowiednich procedur weryfikacji tożsamości i jest przechowywany w sposób bezpieczny (np. na karcie elektronicznej). Zgodnie z prawem polskim tylko podpis kwalifikowany ma automatycznie takie samo znaczenie jak podpis odręczny.

PKI - zastosowania Infrastrukturę klucza publicznego używają do: Autoryzacja (logowania np. do WWW, WiFi AP) Zabezpeczona poczta elektroniczna Protokoły systemów płatniczych Czeki elektroniczne Podpis cyfrowy dokumentów elektronicznych Ochrona danych w sieci z protokołem IP Tworzenie chronionych prywatnych sieci VPN Źriódło: http://mwawrzynczyk.blogspot.com/2006/07/pki.html

Podpis cyfrowy Podpis cyfrowy z szyfrowaniem Podpis cyfrowy (podpis elektroniczny) to dodatkowa informacja dołączona do wiadomości służąca do weryfikacji jej źródła. Systemy podpisu cyfrowego Najpopularniejsze standardy pozwalające na złożenie podpisu elektronicznego to X.509 oraz PGP. Systemy podpisu cyfrowego w PKI to Х.509, który zawiera: Nazwisko właściciela klucza publicznego Nazwisko urzędu certyfikacyjnego potwierdzającego autentyczność klucza Właściwy klucz publiczny Cyfrowa suma kontrola certyfikatu zaszyfrowana kluczem prywatnym urzędu certyfikacyjnego Klucz publiczny to klucz umożliwiający wykonywanie czynności, dostępu do których nie chcemy ograniczać, i który z tego powodu może być dowolnie rozpowszechniany. Czynności te to w szczególności: szyfrowanie (klucz prywatny służy do odszyfrowywania) weryfikacja podpisu (klucz prywatny służy do podpisywania)

Podpis cyfrowy (podpisany) Kroki 2 & 3: Bob szyfruje wiadomość kluczem publicznym Alice, która to następnie otrzymuje wiadomość i rozszyfro wuje ją za pomocą klucza prywatnego. Klucz prywatny klucz służący do wykonywania zastrzeżonej czynności, którego rozpowszechnienie zagraża bezpieczeństwu systemu. Czynności te to najczęściej: odszyfrowywanie (klucz publiczny szyfruje) podpisywanie (klucz publiczny weryfikuje podpisy) X.509 to standard opisujący sposób użycia asymetrycznych algorytmów kryptograficznych w celu składania podpisu elektronicznego oraz jego weryfikacji. Jego istota polega na istnieniu organizacji cieszacej się powszechnym zaufaniem, której zadaniem jest potwierdzanie tożsamości właścicieli konkretnych par kluczy poprzez podpisywanie za pomocą własnej pary kluczy certyfikatów subskrybentów systemu.

OTP OTP – One-time Passwords Zalety: Szyfrowanie jest bardzo bezpieczne Nieprzełamywalność OTP jest udowodniona matematycznie Wady: Niewygodne w zastosowaniu Wymoga transportu listy kluczy do odbiorcy zanim nawiąże się z nim łączność Źriódłó: http://www.heise-online.pl/security/articles/14 http://xslack.zsh.bash.org.pl/index.pl?page=howtos&art=3 Co to są hasła jednorazowe? Sama nazwa wskazuje, jakie właściwości mają hasła OTP (one-time passwords). Co ci to daje? Możesz się logować z hostów, którym nie ufasz (np. z kafejki). Jeśli ktoś podłożył keyloggera, zdobędzie tylko hasła, których nie będzie mógł później wykorzystać. OTP - One-time Passwords Jest ot jedno z zabezpieczeń stosowanych w systemach bankowości elektronicznej. Służy do autoryzowania operacji o podwyższonym stopniu ryzyka, takich jak przelewy. Listę haseł jednorazowych otrzymujemy po podpisaniu umowy z bankiem.

s/key Jedną z pierwszych implementacji haseł jednorazowych dla systemów typu Unix był system autentyfikacji S/KEY Zastosowanie: zdalna autentyfikacja użytkownika Wymagana funkcja jednokierunkowa f i hasło p0 kolejne hasła to pN, pN-1, pN-2,..., po, gdzie pi+1=f(pi) znając pi, nie da się wyznaczyć pi-1 po wyczerpaniu sekwencji N haseł, generujemy nową serię eliminuje nie tylko groźbę sniffingu, ale i przypadkowego ujawnienia hasła S/KEY - system autentykacji, jedna z pierwszych implementacji haseł jednorazowych dla systemów typu Unix Sniffing - podsłuch w sieci Umożliwia łatwe poznanie haseł Pozwala przechwycić inne tajemnice Funkcja domyślna - MD4 Jak działają hasła jednorazowe? Wybierasz sobie na początku tajne hasło, z którego będą wygenerowane hasła jednorazowe. System oblicza hasz tego hasła, potem hasz hasza itd. i kończy na takiej głębokości, ile chcesz mieć haseł. Zapisywany jest tylko ostatni obliczony hasz. Przy uwierzytelnianiu przedstawiasz hasz o głębokości o jeden mniejszej od tego, co jest zapamiętane. Jeśli hasz podanego przez ciebie ciągu zgadza się z zapamiętanym, to proces uwierzytelniania zakończył się poprawnie, a podany ciąg (hasz) jest zapamiętywany w miejsce starego hasza. W momencie, gdy podasz pierwszy hasz, musisz wygenerować nowy zestaw haseł.

opie OPIE (One-Time Passwords in Everything) Jest to próbą integracji S/KEY z różnymi usługami. Używamy biblioteki OPIE głównie do logowania ze zdalnych hostów (SSH) FreeBSD 5+ = OPIE (MD5).