Artur Spulnik, Aleksandra Otremba PKI OPIE Auth Artur Spulnik, Aleksandra Otremba
Metody szyfrowania
Metody szyfrowania
Czym jest PKI? PKI, Infrastruktura Klucza Publicznego (Public-key infrastructure) Szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacyjne (CA),urzędy rejestracyjne (RA), subskrybenci certyfikatów (użytkownicy), oprogramowanie i sprzęt.
Struktura PKI Urzędy Rejestracji (ang. Registration Authority – RA) dokonujący weryfikacji danych użytkownika a następnie jego rejestracji. Urzędy Certyfikacji (ang. Certification Authority - CA), Repozytoria kluczy, certyfikatów i list unieważnionych certyfikatów (ang. Certificate Revocation Lists – CRLs)
Podstawowe funkcje PKI Generowanie kluczy kryptograficznych. Weryfikacja tożsamości subskrybentów. Wystawianie certyfikatów. Weryfikacja certyfikatów. Podpisywanie przekazu. Szyfrowanie przekazu. Potwierdzanie tożsamości. Znakowanie czasem.
Podstawowe funkcje, które musi realizować każde PKI, aby zapewnić właściwy poziom usług to : Rejestracja (ang. Registration) Certyfikacja (ang Certification) Generacja kluczy (ang. Key generation) Odnawiania kluczy (ang. Key update) Upłynął okres ważności certyfikatu. Klucz prywatny skojarzony z kluczem publicznym umieszczonym na certyfikacie został skompromitowany. Certyfikacja wzajemna (ang. Cross-cerification) Odwołanie certyfikatu (ang. Revocation) Odzyskiwanie klucza (ang. Key recovery)
Usługi uwierzytelniania PKI uwierzytelnianie podmiotów partnerskich (ang. peer-entity authentication), uwierzytelnianie danych (ang. data authentication), integralność danych (ang. data integrity), niezaprzeczalność (ang. non-repudation), poufność (ang. confidentiality), prywatność (ang. privacy),
Zastosowanie infrastruktury PKI bezpieczna poczta, transakcje typu e-commerce (handel elektroniczny), wirtualne sieci prywatne (Virtual Private Network - VPN), zabezpieczenia stacji roboczej użytkownika (jego danych), zapewnienie bezpieczeństwa na witrynach internetowych, urządzeniach i aplikacjach klienta.
Hasła w Uniksie standardowy sposób zabezpieczania dostępu w systemach typu Unix zapisywane najczęściej w plikach, rzadziej w bazach danych. przypisywane do nazwy użytkownika przechowywane w postaci zaszyfrowanej
Rodzaje haseł hasło uniksowe hasło jednorazowe hasło tajne
OTP (One-Time Password) hasło jednorazowe mechanizm challenge-response
Podatność na ataki Implementacje haseł jednorazowych podatne są na atak Man-in-The-Middle Last-Character-Attack przez kradzież listy haseł
S/KEY i OPIE S/Key to: schemat jednorazowych haseł, oparty o funkcje jednostronnych skrótów kryptograficznych jedna z pierwszych implementacji haseł jednorazowych dla systemów typu Unix. OPIE ( ang. Onetime Passwords In Everything- Jednorazowe Hasła Do Wszystkiego) to: biblioteka implementująca schemat haseł jednorazowych próba integracji S/KEY z różnymi usługami
Pojęcia związane z OPIE „ziarno” (ang. seed) lub “klucz” (ang. key) – ciag znaków składający się z dwóch liter i pięciu cyfr licznik iteracji- numer od 1 do 100
Działanie OPIE Stworzenie hasła jednorazowego poprzez złączenie hasła tajnego i ziarna Nałożenie na wynik hasha tyle razy, ile wskazuje licznik iteracji Zamiana wyniku na 6 krótkich słów w języku angielskim stanowiących hasło jednorazowe Sprawdzenie przez system uwierzytelniający ( zwykle PAM) jakie hasła zostały użyte ostatnio z zestawu i umożliwienie wykorzystania kolejnych 5. Zmniejszenie licznika iteracji po każdym prawidłowym załogowaniu ( po zmniejszeniu się licznika do 1, S/Key i OPIE należy przeinicjować.)
Programy wykorzystywane w OPIE key oraz opiekey- przyjmują licznik iteracji, ziarno oraz tajne hasło generując w efekcie hasło jednorazowe lub listę haseł jednorazowych keyinit oraz opiepasswd- inicjalizują odpowiednio podsystemy S/Key i OPIE, umożliwiają zmianę haseł, liczników iteracji oraz ziarna keyinfo oraz opieinfo- przeglądają odpowiednie pliki przechowujące tajne informacje wyświetlając licznik iteracji i ziarno dla wywołującego je użytkownika.
KONIEC Dziękujemy za uwagę