De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

HOGESCHOOL ROTTERDAM / CMI Cryptografie en ICT

Verwante presentaties


Presentatie over: "HOGESCHOOL ROTTERDAM / CMI Cryptografie en ICT"— Transcript van de presentatie:

1 HOGESCHOOL ROTTERDAM / CMI Cryptografie en ICT

2 HOGESCHOOL ROTTERDAM / CMI Tentamen Maandag, 1 juli H en H (onder voorbehoud roosterwijzigingen) L.V. de ZeeuwCryptografie en ICT2

3 HOGESCHOOL ROTTERDAM / CMI 8 Beveiligd elektronisch dataverkeer L.V. de ZeeuwCryptografie en ICT3

4 HOGESCHOOL ROTTERDAM / CMI Beveiligingseisen Vertrouwelijkheid Integriteit Authenticiteit Onweerlegbaarheid Autorisatie L.V. de ZeeuwCryptografie en ICT4 Te realiseren met symmetrische en asymmetrische cryptosystemen.

5 HOGESCHOOL ROTTERDAM / CMI VPN of beveiliging vanuit applicaties? Virtuel Private Network wordt ingezet in situaties waarbij een structurele voorziening nodig is voor een beveiligde verbinding over een onveilige fysieke openbare infrastructuur. ALLE data verkeer over een VPN wordt geëncrypt. Onveilige protocollen zoals telnet, mail, ftp, pop3, etc. vinden zo bescherming. VPN heeft dus géén relatie met de applicaties die je zou willen gebruiken en beschermt alle dataverkeer. L.V. de ZeeuwCryptografie en ICT5

6 HOGESCHOOL ROTTERDAM / CMI VPN of beveiliging vanuit applicaties? Vanuit een toepassing kun je ook de data beschermen door gebruik te maken van encryptie. MAIL client: S/MIME, PGP Van andere toepassingen en protocollen bestaan ‘secure’ varianten waarbij dataverkeer op transport niveau wordt beveiligd door de protocollen: –Secure Socket Layer (SSL) of –Transport Layer Security (TLS) SSL en TLS werken onder de applicatielaag. Voorbeeld: HTTPS, SFTP,SSH L.V. de ZeeuwCryptografie en ICT6

7 HOGESCHOOL ROTTERDAM / CMI Alle protocollen zijn varianten op het volgende principe.  A wil beveiligd communiceren met B en stuurt daartoe een verzoek aan B  B stuurt zijn public-key voor asymetriche encryptie..A genereert een random session-key voor symmetrische encryptie..A gebruikt de ontvangen public-key om de gegenereerde symmetrische sleutel te encrypten.  De geëncrypte symmetrische sleutel wordt naar B gestuurd..B decrypt de ontvangen symmetrische sleutel met zijn secret-key.   Vervolgens wordt de communicatie met tussen client en s erver beveiligd met de symmetrische session-key. L.V. de ZeeuwCryptografie en ICT7

8 HOGESCHOOL ROTTERDAM / CMI VPN protocollen IPSec (IP security) PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) L.V. de ZeeuwCryptografie en ICT8

9 HOGESCHOOL ROTTERDAM / CMI IPsec Het secure Internet Protocol (IPsec) is een suite van protocollen die er samen voor zorgen dat IP pakketten beveiligd over een IP netwerk verzonden kunnen worden. IPsec werkt op laag 3 van het OSI model. L.V. de ZeeuwCryptografie en ICT9

10 HOGESCHOOL ROTTERDAM / CMI IPsec IP met aanvullingen IPsec bestaat uit normale IP pakkets met 2 mogelijke aanvullingen: Authenticatie Header (AH) Encapsulated Security Payload header (ESP) L.V. de ZeeuwCryptografie en ICT10

11 HOGESCHOOL ROTTERDAM / CMI IPsec Security Association (SA) Wanneer twee hosts een beveiligde verbinding opzetten moet er een drager zijn waarmee de sleutels, encryptie en authenticatie technieken worden bijgehouden. Deze drager wordt een Security Association (SA) genoemd. Een SA is een éénzijdige overeenkomst tussen de hosts. L.V. de ZeeuwCryptografie en ICT11

12 HOGESCHOOL ROTTERDAM / CMI L.V. de ZeeuwCryptografie en ICT12

13 HOGESCHOOL ROTTERDAM / CMI L.V. de ZeeuwCryptografie en ICT13

14 HOGESCHOOL ROTTERDAM / CMI L.V. de ZeeuwCryptografie en ICT14

15 HOGESCHOOL ROTTERDAM / CMI L.V. de ZeeuwCryptografie en ICT15

16 HOGESCHOOL ROTTERDAM / CMI IPsec SA onderhandelingen Een SA moet worden opgebouwd, de beide hosts onderhandelen over het gebruik van de ESP en/of AH: de technieken voor encryptie of authenticatie de sleutellengten de levensduur van de SA L.V. de ZeeuwCryptografie en ICT16

17 HOGESCHOOL ROTTERDAM / CMI IPsec SA onderhandelingen Totstandkoming van de SA’s: Geautomatiseerd: Voor deze onderhandelingen is er het –Internet Security Association en Key Management Protocol (ISAKMP) of –Internet Key Exchange (IKE) protocol. Handmatig: door een handmatige invoer van de sleutels (meestal pre-shared) en de opgave van de authenticatie en/of encryptie protocollen. L.V. de ZeeuwCryptografie en ICT17

18 HOGESCHOOL ROTTERDAM / CMI IPsec Modes IPsec kan in 3 vormen voorkomen: Tunnelmode: het complete IP pakket (met alle bovenliggende protocol headers en velden) wordt in een nieuw IP pakket gestopt Transportmode: de headers (AH en/of ESP) worden in het IP pakket gestopt. Iterated mode: Combinatie van beide. L.V. de ZeeuwCryptografie en ICT18

19 HOGESCHOOL ROTTERDAM / CMI IPsec Authentication Header (AH) Voorziet IP pakketten van integriteit, authenticatie, non- repudiation. Integriteit: Berekenen van een Integrity Check Value (ICV) middels een hash functie: (bv MD5) Authenticatie: Protocol combinaties gebaseerd op –symmetrische encryptie algoritmen (bv DES) of –hash functies (bv MD5 of SHA-1) Voor non-repudiation wordt er gebruik gemaakt van bijvoorbeeld RSA. L.V. de ZeeuwCryptografie en ICT19

20 HOGESCHOOL ROTTERDAM / CMI AH L.V. de ZeeuwCryptografie en ICT20 Type header na deze header Lengte AH in veelvouden van 32 bits Toekomstig gebruik Identificeert de SA Volgnummer Bevat de Integrity Check Value (ICV)

21 HOGESCHOOL ROTTERDAM / CMI L.V. de ZeeuwCryptografie en ICT21 Transport Mode Tunnel Mode Zonder IPsec

22 HOGESCHOOL ROTTERDAM / CMI IPsec Encapsulated Security Payload (ESP) Voorziet IP pakketten van integriteit en confidentialiteit door data te encrypten en deze in het data gedeelte van de ESP header te plaatsen. Afhankelijk van de gewenste mate van beveiliging: alleen de data te encrypten het complete IP pakket in het ESP data veld te plaatsen (hierdoor ontstaat een nieuw IP pakket met nieuwe IP bron- en doeladressen). L.V. de ZeeuwCryptografie en ICT22

23 HOGESCHOOL ROTTERDAM / CMI ESP L.V. de ZeeuwCryptografie en ICT23 Identificeert de SA Volgnummer De beveiligde data Type header na deze header Bevat de Integrity Check Value (ICV) In verband met blokvercijfering

24 HOGESCHOOL ROTTERDAM / CMI L.V. de ZeeuwCryptografie en ICT24 Transport Mode Tunnel Mode Zonder IPsec

25 HOGESCHOOL ROTTERDAM / CMI IPsec Encapsulated Security Payload (ESP) Ook de ESP header bevat een Integrity Check Value (ICV) en kan gebruik maken van een aantal encryptie protocollen: DES in (Cipher Block Chaining) CBC mode. Hashing met MD5 of SHA-1. L.V. de ZeeuwCryptografie en ICT25

26 HOGESCHOOL ROTTERDAM / CMI IPsec scenario L.V. de ZeeuwCryptografie en ICT26

27 HOGESCHOOL ROTTERDAM / CMI IPsec Security Association database (SAD) Elk IPsec protocol (AH of ESP) heeft een eigen SA. De Security Associations worden opgeslagen in een Security Association Database (SAD) L.V. de ZeeuwCryptografie en ICT27

28 HOGESCHOOL ROTTERDAM / CMI IPsec Security Policy Database (SPD) Voor verwerking van IPsec pakketten zijn er ook ‘policies’ nodig. Deze policies zijn vastgelegd in een Security Policy Database (SPD) Er zijn 3 typen policies: Bypass: geen IPsec processing Dismiss: pakket wordt gedropped Negotiate : IPsec processing L.V. de ZeeuwCryptografie en ICT28

29 HOGESCHOOL ROTTERDAM / CMI Demo VPN HR-Thuis Doel: Via een VPN veilig je files benaderen die je thuis op een server hebt staan. Voorbeeld server: –Linux PC –NAS –Mediaspeler L.V. de ZeeuwCryptografie en ICT29

30 HOGESCHOOL ROTTERDAM / CMI Configureren server L.V. de ZeeuwCryptografie en ICT30

31 HOGESCHOOL ROTTERDAM / CMI Configureren Router L.V. de ZeeuwCryptografie en ICT31

32 HOGESCHOOL ROTTERDAM / CMI Op HR PC VPN verbinding configureren L.V. de ZeeuwCryptografie en ICT32

33 HOGESCHOOL ROTTERDAM / CMI Op HR PC VPN verbinding configureren L.V. de ZeeuwCryptografie en ICT33

34 HOGESCHOOL ROTTERDAM / CMI Op HR PC VPN verbinding configureren L.V. de ZeeuwCryptografie en ICT34

35 HOGESCHOOL ROTTERDAM / CMI Op HR PC VPN verbinding configureren Wat je niet wilt is dat de VPN de default gateway wordt. Dan gaat het fout omdat al je connecties voor de HR over je VPN gaan lopen. En als je eenmaal buiten bent mag je niet meer naar binnen. Je kunt dat echter uitzetten en er voor zorgen dat gewoon de HR gateway ( x.y) wordt gebruikt. Ga naar VPN Connection properties / Internet Protocol Version 4 / Advanced. Hier moet je dan 'Use default gateway...' uitzetten. Vervolgens maak via CMD een permanent route (overleeft een reboot van je PC) naar je thuis netwerk: route -p ADD MASK GATEWAY Zie volgende slide. L.V. de ZeeuwCryptografie en ICT35

36 HOGESCHOOL ROTTERDAM / CMI Op HR PC VPN verbinding configureren Via CMD Route aanpassen L.V. de ZeeuwCryptografie en ICT36

37 HOGESCHOOL ROTTERDAM / CMI Secure Socket Layer (SSL) SSL is ontwikkeld door Netscape en daarna aangepast door de IETF en is nu bekend als Transport Layer Security (TLS) L.V. de ZeeuwCryptografie en ICT37

38 HOGESCHOOL ROTTERDAM / CMI SSL en TLS stadia Onderhandeling over de te gebruiken algoritmes. –Public-key cryptografie: RSA, Diffie-Hellman, DSA of Fortezza. –Symmetrische cryptografie: RC2, RC4, IDEA, DES, Triple DES of AES. –Hash functies: MD5 of SHA. Op certificaten gebaseerde authenticatie. Op public-key gebaseerde voor het uitwisselen van sleutels. Op symmetrische cryptografie gebaseerde encryptie van data. L.V. de ZeeuwCryptografie en ICT38

39 HOGESCHOOL ROTTERDAM / CMI SSL en TLS SSL en TLS draaien op een laag onder applicatieprotocollen. SSL en TLS kunnen veiligheid bieden aan elk protocol dat gebruik maakt van TCP. SSL het meest gebruikt voor HTTPS L.V. de ZeeuwCryptografie en ICT39

40 HOGESCHOOL ROTTERDAM / CMI PGP Pretty Good Privacy (PGP) is een encryptie programma voor . PGP is ontworpen door Phil Zimmerman. PGP heeft cryptografische software toegankelijk gemaakt voor velen. PGP was eerst freeware maar is nu een commercieel product. De PGP specificaties zijn als openstandaard bekend onder de naam openPGP met implementaties als: GNU Privacy Guard (GnuPG, GPG), Hushmail, Veridis, Authora, EasyByte’s Cryptocx L.V. de ZeeuwCryptografie en ICT40

41 HOGESCHOOL ROTTERDAM / CMI Demo GnuPG Download en installeer: GnuPG compiled for Microsoft Windows L.V. de ZeeuwCryptografie en ICT41

42 HOGESCHOOL ROTTERDAM / CMI GnuPG Opvragen van help: –gpg –help Instellen home directory: –set GNUPGHOME=C:\GnuPG Maken van een public+secret key: –gpg --gen-key Bekijken van je sleutelring met public-keys: –gpg --list-keys Bekijken van je sleutelring met secret-key(s): –gpg --list-secret-keys Exporteren van je public-key naar een ascii file: –gpg --export –a –o pubkey.txt Encrypten van een file: –gpg --encrypt test.txt Decrypten van een file: –gpg --decrypt test.txt.gpg L.V. de ZeeuwCryptografie en ICT42

43 HOGESCHOOL ROTTERDAM / CMI GnuPG Signeren van een file: –gpg --sign test.txt –gpg --clearsign test.txt Controlleren van een signature: –gpg --verify test.txt.asc Encrypten en signeren tegelijk: –gpg --encrypt --sign test.txt Decrypten én controlleren van een signature: –gpg --decrypt test.txt.gpg L.V. de ZeeuwCryptografie en ICT43

44 HOGESCHOOL ROTTERDAM / CMI Electronic commerce Business to business (B2B): handel tussen twee bedrijven. Business to consumer (B2C): handel tussen een bedrijf en een consument. Business to administration (B2A): 'handel' tussen een bedrijf en de overheid. Consumer to Consumer C2C: handel tussen consumenten. L.V. de ZeeuwCryptografie en ICT44

45 HOGESCHOOL ROTTERDAM / CMI Electronic commerce Onzekerheden voor leverancier: 1.Is de consument wel degene die hij beweert te zijn? 2.Is het niet de concurrent die zich voor een ander uitgeeft? 3.Is de bestelling van de consument tijdens transport over internet niet gewijzigd? 4.Kan de consument achteraf ontkennen dat hij een bestelling heeft geplaatst? 5.Is de bezoeker bevoegd om een bestelling te plaatsen? Onzekerheden voor consument: 1.Is de leverancier wel degene die hij beweert te zijn? 2.Zijn de gegevens van de consument ontoegankelijk voor derden? 3.Is het mogelijk dat de verstuurde gegevens tijdens transport over internet zijn gewijzigd? 4.Kan de leverancier ontkennen dat hij de bestelling heeft ontvangen? L.V. de ZeeuwCryptografie en ICT45

46 HOGESCHOOL ROTTERDAM / CMI Protocollen Betalingen over Internet: Secure Electronic Transaction … heeft het niet gehaald. Dus geen tentamenstof! Universal Cardholder Authentication Field (UCAF) (Mastercard) Voorlopig gebruikt men SSL … L.V. de ZeeuwCryptografie en ICT46


Download ppt "HOGESCHOOL ROTTERDAM / CMI Cryptografie en ICT"

Verwante presentaties


Ads door Google