Bez tytułu slajdu - Technologie Informacyjne … Kryptografia.pdfKryptografia dziedzina wiedzy...

59
Wiosna 2016.

Transcript of Bez tytułu slajdu - Technologie Informacyjne … Kryptografia.pdfKryptografia dziedzina wiedzy...

Wiosna 2016.

Kryptografiadziedzina wiedzy zajmująca się

zasadami, narzędziami i metodami

przekształcania danych w celu

ukrycia zawartych w nich

informacji, zapobiegania możliwości

tajnego ich modyfikowania lub

eliminacji dostępu do nich osobom

niepowołanym

Kryptografia

ogranicza się do

przekształcania informacji za

pomocą jednego lub więcej

„tajnych parametrów” (np.

szyfrów) i/lub związanego z

tym zarządzaniem kluczami

Klucze

do szyfrowania dowolnego

dokumentu elektronicznego,

przez praktycznie

nieograniczoną liczbę osób

można stosować jeden, ten

sam komputerowy program

szyfrujący

Klucz kodowy

zazwyczaj szereg cyfr, od których zależy

sposób przekształcania (szyfrowania)

określonej informacji

im więcej cyfr, tym bardziej skuteczny jest

sposób kodowania (trudniej jest

odszyfrować tak zmienioną informację)

Kryptografia (symetryczny klucz)

Tajne/poufne

...................

Tajne/poufne

...................

kryptowanie dekryptowanie

amdh$%&*^(()987

Lkjhgfd<?><L:PIYU

INTERNET

Metody klucza tajnego

(symetryczne)

• DES (Data/Digital Encryption Standard)

• 3DES (Triple DES)

• RC4 (Ron’s Code 4)

• IDEA (International Data Encryption

Algorithm)

• Blowfish

• Twofish

• AES (Advanced Encryption Standard)

Szymon Sokół; [email protected] Uczelniane Centrum Informatyki Akademii Górniczo-Hutniczej w Krakowie

RSA

Ideę algorytmu (RSA) szyfrowania z

wykorzystaniem powiązanych ze sobą

dwóch kluczy – prywatnego i

publicznego opracowali w 1977 roku

Ron Rivest, Adi Shamir oraz Adleman.

Szyfrowanie symetryczne

• Istnieją dwie popularne metody szyfrowania

symetrycznego.

– szyfr strumieniowy (np. RC4), w którym dane z

bloków są łączone w trakcie szyfrowana z

wartościami losowymi.

– szyfr blokowy, w którym szyfrowane są bloki

danych o równej wielkości.

Szyfrowanie symetryczne

CZERWIEC 2015 CHIP.PL

Klucze asymetryczne

• Publiczne/prywatne pary

kluczy są niezbędne do

bezpiecznej korespondencji w sieci.

• Publiczny klucz powinien być

upowszechniony.

• Prywatny klucz powinien być

dostępny tylko jego właścicielowi.

• Informacja zakodowana publicznym

kluczem może być odczytana tylko przy

pomocy klucza prywatnego.

Metody klucza publicznego

(jawnego)

• D-H (Diffie-Hellman) - uzgadnianie kluczy

sesyjnych

• RSA (Rivest-Shamir-Adleman) - szyfrowanie i

podpis

• ElGamala - szyfrowanie i podpis

• DSA/DSS (Digital Signature Algorithm/Digital

Signature Standard) - podpis

• ECC (Elliptic Curve Cryptosystem)

Zagrożenia – klucz publiczny

• Korzystaj z klucza publicznego gdy masz

pewność co do jego oryginalności

(otrzymałeś bezpośrednio od właściciela lub

klucz jest certyfikowany)

• Dbaj o fizyczne bezpieczeństwo pary obu

swoich kluczy

• Zrób kopię zapasową kluczy

Phil Zimmermann on PGP, „Wstęp do kryptografii”, załączony do komercyjnej wersji PGP 7.1.

Certyfikat (certyfikat klucza

publicznego)

- wiadomość, która zawiera co najmniej

nazwę lub identyfikator organu

wydającego certyfikaty, identyfikator

subskrybenta, jego klucz publiczny,

okres ważności certyfikatu, numer

seryjny certyfikatu oraz jest podpisany

przez organ wydający.

http://www.certum.pl/pl/dokumentacja/slownik/

Słabość certyfikatów

• Fałszywe lub skompromitowane (złamane)

certyfikaty podważają sens stosowania

jakiegokolwiek szyfrowania w trakcie

wymiany danych przez Sieć.

• Warto sprawdzić, czy podczas teoretycznie

bezpiecznego połączenia nie jest

wykorzystywany certyfikat wydany przez

złamany certyfikat, np. wydany przez

Comodo.

• Narzędzie aprawdzenia: filippo.io/Badfish.

Zagrożenia – hasło klucza

prywatnego

• nie stosuj słów łatwych do odgadnięcia

• nie stosuj pojedynczych słów

• użyj łatwych do zapamiętania, trudnych do

odgadnięcia fraz,

Phil Zimmermann on PGP, „Wstęp do kryptografii”, załączony do komercyjnej wersji PGP 7.1.

Narzędzia do szyfrowania

Narzędzia do szyfrowania

• Największy poziom bezpieczeństwa za

pomocą szyfrowania asynchronicznego.

• Do popularnych metod należą PGP (Pret-

ty Good Privacy) i S/MIME (Secure/

Multipurpose Internet Mail Exten-

sions).

• EFS – szyfr i deszyfr, w locie. Dla

profesjonalnych wersji Windows

• BitLocker – działa na komputerach z TPM

Programy szyfrujące

• Gpg4win

• Dekart Private Disk Light

• MaxCrypt

• PGP

• FineCryptHandyBits Easy Crypto Deluxe

• Cryptainer

• ABC Chaos

• Secure Task

• I inne

Dobre do szyfrowania

• TrueCrypt- szyfrowanie dysków, partycji, nośników USB. Tworzenie zaszyfrowanych dysków wirtualnych o określonej pojemności (również ukrytych). Niebezpieczny. Zawiera luki (X.2014)

• AxCrypt- integruje się z menu kontekstowym, pozwala na łatwe zabezpieczenie plików przechowywanych na DropBox, SkyDrive czy Google Disc. Wbudowany moduł do całkowitego usuwania plików z dysku.

• CloudFogger- użytkownik otrzymuje także prywatny, wirtualny dysk działający na zasadzie sejfu – wszystkie kopiowane do niego pliki i foldery zostają automatycznie zaszyfrowane i zabezpieczone.

• Gpg4win- zaawansowane narzędzie przeznaczone do szyfrowania danych. Aplikacja podczas pracy opiera się na dwóch kluczach –prywatnym i publicznym.

• DiskCryptor- tworzenie zaszyfrowanych nośników CD/DVD, obsługa plików z kluczami i automatyczne montowanie w systemie zabezpieczonych dysków.

Narzędzie kryptograficzne

DriveLock 7.5.6.0Privatefree

• Program umożliwia szyfrowanie zawartości

katalogów na dysku oraz danych zapisanych w

chmurze, np. na Dropboxie, Dysku Google'a,

OneDrivie i TeamDrivie.

Programy do szyfrowania

danych – porownanie funkcji

PC WORLD październik 2014

Sprzętowe szyfrowanie

pendrive’a

• Dedykowany układ elektroniczny

(procesor) umieszczony bezpośrednio w

pamięci przenośnej, realizuje zadania

związane z szyfrowaniem

WWW.PCWORLDPL LIPIEC 2014WWW.PCWORLDPL LIPIEC 2014

Kryptowanie czatów

• Cryptocat wykorzystuje nowoczesne

technologie do szyfrowania czatów.

• Wszystko jest kryptowane przed

opuszczeniem komputera i odwrotnie

Szyfrowanie maili

• Podstawowe standardy: PGP (wzajemna

wymiana kluczy) i X.509 (S/MIME) –

korzysta z certyfikatów wystawianych przez

centrum certyfikacji.

SZYFROWANIE SMARTFONU

• Każdy smartfon działający pod kontrolą

systemu Android w wersji A.U (KitKat) i

nowszej można zaszyfrować, przy czym

zakres szyfrowania obejmuje całą pamięć

wewnętrzną urządzenia (system, aplikacje,

zdjęcia, muzyka i inne pliki użytkownika).

• Szyfrować można również zawartość

umieszczonej w smartfonie karty microSD. • Oba polecenia dotyczące pełnego szyfrowania podanych miejsc

znajdziemy na ekranie „Ustawienia | Zabezpieczenia | Szyfrowanie".

KWIECIEŃ 2016 CHIP.PL

Oprogramowanie, które

wykorzystuje, generowane

przez właściciela,

publiczne/prywatne klucze do

bezpiecznej elektronicznej

korespondencji

Siła PGP

„Gdyby zaangażować wszystkie komputery świata – 260 milionów – do rozkodowania jednej wiadomości zaszyfrowanej przy pomocy PGP, nie starczyłoby 12 milionów okresów istnienia wszechświata by tę informację odszyfrować”

Wliiliam Crowell z NSA, 20 marca 1997 roku, za Phil Zimmermann on PGP,

„Wstęp do kryptografii”, załączony do komercyjnej wersji PGP 7.1.

Teoretyczne maksymalne czasy złamania

kluczy klasy DES (profesjonalne)/typowe

(dla np.:Netscape)

• 40 bitów - 0,4 s/ 15 dni

• 56 bitów - 7 godzin/ 2 691,49 lat

• 64 bity - 74 godz. 40 min./689 021,57 lat

• 128 bitów - 157 129 203 952 300 000 lat/

12 710 204 652 610 000 000 000 000 lat

Thom Stark, Encryption for a Small Planet, Byte, marzec 1997

Złamanie szyfrogramu metodą Brute-Force w

jeden dzień - 256 mln operacji odszyfrowania/s

• 56 bitów - 3 300 procesorów za 23 mln$

• 64 bity - 830 300 procesorów za 6 mld$

• 128 bitów - 1,5x10 procesorów za 1,1x1025 29

TrueCrypt i BitLocker

• TrueCrypt bezpłatne oprogramowanie, za

pomocą którego można chronić zawartość

kieszonkowych dysków USB, a także lokalnych

twardych dysków przed nieautoryzowanym

dostępem. Niebezpieczny, luki X.2014.

• BitLocker (Windows) jw. jest dostępny

wyłącznie w wersjach Ultimate oraz Enterprise

Windows 7 oraz wersjach Pro i Enterprise

Windows 8. Narzędzie to dostępne również w

Windows Serverze 2008 R2 i 2012.

PC WORLD luty 2014

Szyfrowanie poczty i IM

• Bezpieczeństwo maili: OpenPGP i

S/MIME.

– Uwierzytelnianie osób w PGP odbywa się na

zasadach sieci zaufania (ang. web of trust,

WoT), w której użytkownicy wzajemnie

potwierdzają swoją tożsamość.

– X.509 korzysta z certyfikatów cyfrowych

wystawianych użytkownikom przez centrum

certyfikacji.

• Crypto.cat – umożliwia szyfrowanie

konwersacji w sieci.

Tworzenie i używanie

szyfrowanych dysków

• Program VeraCrypt, będący następcą

popularnego niegdyś TrueCrypta,

dzięki wbudowanemu kreatorowi krok po

kroku prowadzi użytkownika

przez proces tworzenia zaszyfrowanego

wirtualnego dysku. Alternatywnie można

również zaszyfrować już istniejącą partycję

dyskową.

CZERWIEC 2015 CHIP.PL

Bezpłatny MAXA Crypt

Portable

• program umożliwiający zaszyfrowanie

dowolnej liczby wybranych plików jednym

kliknięciem.

• Ta niewymagająca instalacji aplikacja

pozwala też wygenerować bezpieczne

hasło.

Chmura i prywatność

• BoxCryptor ułatwia zaszyfrowanie ważnych

plików przed ich przesłaniem na serwery

chmurowe takich popularnych

usług, jak Dropbox, OneDrive czy Dysk

Google.

• BoxCryptor standardowo szyfruje dane

użytkownika silnym algorytmem AES z 256-

bitowym kluczem. Program jest dostępny jako

klasyczna aplikacja Windows, a także jako

rozszerzenie przeglądarki Google Chrome.

CZERWIEC 2015 CHIP.PL

szyfrowanie poczty

elektronicznej

• Dzięki programowi GPG4Win można

zabezpieczyć swoją elektroniczną

korespondencję i wymieniać zaszyfrowane

treści z innymi internautami.

• Aplikacja umożliwia ustawienie długości

klucza szyfrowania - zalecane wartości do

2048, a nawet 3072 bitów.

CZERWIEC 2015 CHIP.PL

Narzędzia do kompresowania

danych

• 7-Zip obsługuje algorytm kryptograficzny

AES z kluczem o długości 256 bitów.

• WinRAR szyfruje metodą AES z 128-

bitowym kluczem.

• VeraCrypt, następca porzuconego projektu

TrueCrypt.

Zarządzanie hasłami

• Do wygenerowania i zapamiętania haseł

aplikacja Password Depot

Anti Theft Intela

• Zdalna blokada skradzionego komputera

• ESET Anti-Theft – lokalizacja zaginionego

komputera + wykonanie zdjęcia złodzieja +

zrzuty ekranu skradzionego komputera.

Dystrybucja i weryfikacja

kluczy

• Kontakt bezpośredni

• Serwery kluczy i inne

mechanizmy sieciowe

• CA (Certificate

Authority) -

instytucja

poświadczająca

• Web of trust - sieć

zaufania

Trusted Third Parties

W niektórych krajach (pomysł USA)

wymagane jest złożenie w TTP, przez

użytkownika, narzędzi/kluczy

umożliwiających, w przypadku

sądowego dochodzenia, odczytanie

przez odpowiednie służby,

zaszyfrowanej przez użytkownika

informacji

• produkt Netscape Communications -narzędzie zapewniające prywatność i autentyczność cyfrowej komunikacji,

• nowa wersja SSL zastosowana do zabezpieczania operacji finansowych przez wiele poważnych banków

• Więcej: http://ecommerce-guide.com/solutions/secure_pay/article.php/3510761

SSL (Secure Socket Layer)

• Zastąpił Secure HTTP

• Elastyczny - używany nie tylko z HTTP (POP3, IMAP4, SMTP, ...)

• Możliwa dwustronna autentykacja -certyfikaty serwera i klienta

• Aktualnie SSL 3.0, docelowo TLS (Transport Layer Security)

• stunnel - tunelowanie przez SSL

SSL, ale... 1/2

• połączenie realizowane przez SSL jest dobrzezabezpieczone. Gorzej jest z jegonawiązywaniem,

• ta faza, a także realizacja systemowej obsługicertyfikatów przechowywanych w Windows masłabości,

• możliwe jest przeprowadzenie ataku typu man-in-the-middle

• użytkownik próbuje połączyć się z serwerembanku,

• działający w sieci lokalnej program zakłócafunkcjonowanie usługi DNS i przekierowujewywołanie na adres komputera osobyatakującej.

SSL ale... 2/2• Tam działa aplikacja, która pośredniczy w

podsłuchiwanej transmisji,

• Z jednej strony odbiera żądania klienta i przekazujeje do banku, a z drugiej odbiera odpowiedzi serwera iprzesyła je do komputera ofiary.

• Połączenie pomiędzy atakowanym systemem akomputerem hakera zabezpieczone jest jużpodmienionym certyfikatem.

• Dlatego przeglądarka ustala parametry szyfrowaniaz fałszywym komputerem, a nie z serwerem banku.

• W efekcie cała transmisja przechodzi przezpośredniczący system i może być w całościodczytana przez intruza,

• Jedyny ratunek w certyfikacie, wyświetlony błąd jestzazwyczaj ignorowany, lub są inne obejścia.

Klient używa tak zwanego portfela

elektronicznego (oprogramowanie)

przechowującego numer jego karty

kredytowej i publiczny, autoryzowany,

klucz

do jej kodowania.

Autoryzacja polega na wydawaniu, na każde

życzenie, zaświadczenia, że dany klucz należy do

osoby za którą się ona podaje

Secure Electronic Transactions

• Kupujący wysyła do e-sklepu zaszyfrowany

(kluczem z e-portfela) nr karty kredytowej.

• Sklep wysyła tak zaszyfrowany numer do banku.

Tam numer jest odszyfrowany.

• Po deszyfracji, dokonany zostaje przelew na konto

sklepu i przesłanie potwierdzenia wykonania tej

operacji do sklepu.

• W żadnym momencie numer karty kredytowej nie

pojawia się w swojej oryginalnej postaci –

zna go tylko klient i bank.

Szyfrowanie dysków

• DriveCrypt

• Klucz upoważnia do odczytywania

zawartości wirtualnego dysku.

• Dostęp: liczba dni ważności klucza, nawet

godziny

Narzędzia

• AES Crypt: Proste narzędzie umożliwiające

zaszyfrowanie i odszyfrowanie wybranego

dokumentu.

• Androsa FileProtector. Aplikacja do szyfrowania

zawartości całych folderów oraz jednoczesnego,

nieodwracalnego usuwania oryginalnych plików

• BoxCryptor. Umożliwia przechowywanie

zaszyfrowanych dokumentów w chmurze. Współpracuje z serwisami DropBox, Google Drive, Skydrive

• TrueCrypt – mobilny sejf na pendrivie

WTLS (ang. Wireless

Transport Layer Security)• służy do szyfrowania danych podczas

transmisji za pośrednictwem technologii

WAP.

• WTLS jest rozwiązaniem analogicznym do

SSL.

• Dane są zwykle szyfrowane protokołem

WTLS na drodze od klienta do bramki

internetowej WAP operatora telefonii

komórkowej.

Skuteczna forma zabezpieczenia

komunikacji

• Zestawienie łącza VPN umożliwia nawiązanie

bezpiecznej, szyfrowanej komunikacji przez sieci

publiczne, takie jak internet.

• Sposobów na zestawienie połączeń VPN jest

bardzo wiele.

• Osoby zainteresowane samodzielnym

utworzeniem połączenia VPN mogą w tym celu

skorzystać z funkcji dostępnych w systemie

Windows. • Np. w Windows 10 wystarczy uruchomić aplikację „Ustawienia",

następnie wybrać „Sieć i internet", a w kolejnym oknie, z lewej strony

kategorię VPN i kliknąć „Dodaj połączenie VPN”.KWIECIEŃ 2016 CHIP.PL

Steganografia

Steganografia

- metoda ukrywania informacji w cyfrowych fotografiach i w plikach muzycznych.

- Steganografia nie pozostawia śladów włączania do wspomnianych plików „przemycanych” w nich informacji

- Internet w tym zakresie stanowi doskonałe medium do przesyłania informacji w tej właśnie formie.

• Więcej: Steganography is no laughing matter, March

12, 2013, http://phys.org/news/2013-03-steganography.html

Steganografia

• Literalnie: „ukryte pismo„

• Dane są ukryte w plikach

multimedialnych

• Ukrycie = dodanie w małoznaczących

bitach ukrywanej informacji – np.

Ostatnie bity w zapisie pikseli obrazu.

Przykład steganografii

• Ukrycie litery "a" (ASCII kod: 97 - 01100001) w ośmiu bajtach:– 10010010

– 01010011

– 10011011

– 11010010

– 10001010

– 00000010

– 01110010

– 00101011

http://www.devx.com/dotnet/Article/22667

Steganografia - informacje

• Jako sposób niewidocznego podpisu

fotografii, utworów muzycznych itp.

• Dobrej jakości zdjęcie (15 MB – 1600

stron)

• Darmowe programy: SecurEngine, S-Tools

• Wykrycie przez porównanie oryginału z

kontenerem

Entropia – detekcja

szyfrowania

• Poziom entropii różnego rodzaju danych

różni się od siebie

• Entropia może wskazać różnice zapisów

(program/80, proza/95, obraz)

• Entropia może wskazać zmiany w pliku

• Entropia może pomóc w łamaniu szyfrów

Hakin9 3/2008