De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

HOGESCHOOL ROTTERDAM / CMI Cryptografie en ICT

Verwante presentaties


Presentatie over: "HOGESCHOOL ROTTERDAM / CMI Cryptografie en ICT"— Transcript van de presentatie:

1 HOGESCHOOL ROTTERDAM / CMI Cryptografie en ICT

2 HOGESCHOOL ROTTERDAM / CMI 6 Sleutelmanagement L.V. de ZeeuwCryptografie en ICT2

3 HOGESCHOOL ROTTERDAM / CMI Veilige sleutellengten Factoren van belang: Het gekozen cryptosysteem De levensduur van de sleutel –Levensduur is periode waarna de sleutel wordt vervangen. De beschikbare computerkracht om sleutels te kraken. –Uitgedrukt in MIPS jaren. MIPS (million instructions per second). Een MIPS jaar is het aantal instructies in een jaar. L.V. de ZeeuwCryptografie en ICT3

4 HOGESCHOOL ROTTERDAM / CMI Computerkracht vergeleken L.V. de ZeeuwCryptografie en ICT4

5 HOGESCHOOL ROTTERDAM / CMI Sleutelmanagement Taken Sleutel generatie: Onbevoegden mogen geen kennis kunnen nemen van de gegenereerde sleutels. Het genereren van sleutels moet willekeurig gebeuren (random-generator) L.V. de ZeeuwCryptografie en ICT5

6 HOGESCHOOL ROTTERDAM / CMI Sleutelmanagement Taken Distributie van sleutels: Handmatig: Sleutel splitsen en door twee functionarissen de distributie laten begeleiden. Geautomatiseerd. De sleutel wordt vercijferd → Hiërarchisch sleutelmanagement. Bijvoorbeeld: Gebruik RSA om DES sleutels te distribueren. L.V. de ZeeuwCryptografie en ICT6

7 HOGESCHOOL ROTTERDAM / CMI Sleutelmanagement Taken Opslaan van sleutels: Sleutel vercijferd opslaan. Fysieke maatregelen nemen om de sleutel te beschermen. Sleutel splitsen in meer delen. L.V. de ZeeuwCryptografie en ICT7

8 HOGESCHOOL ROTTERDAM / CMI Sleutelmanagement Taken Vervangen van sleutels: Sleutels mogen niet te lang worden gebruikt: De bruikbaarheid van bekend geraakte sleutels wordt zo voorkomen. Onderscheid: –Lang houdbare sleutels: Sleutels die weinig worden gebruikt. –Kort houdbare sleutels: Sleutels die zeer frequent worden gebruikt. Bijvoorbeeld: Eén communicatie sessie (session-key) L.V. de ZeeuwCryptografie en ICT8

9 HOGESCHOOL ROTTERDAM / CMI Sleutelmanagement Taken Vernietigen van sleutels: Sleutels die niet meer nodig zijn worden volgens strikte procedures vernietigd. In de procedure wordt onder andere vastgesteld dat er geen gegevens meer zijn die met de te vernietigen sleutel zijn vercijferd. L.V. de ZeeuwCryptografie en ICT9

10 HOGESCHOOL ROTTERDAM / CMI Sleutel probleem bij public-key cryptografie Hoe kun je controleren van wie een specifieke publieke sleutel is? L.V. de ZeeuwCryptografie en ICT10 Public-key van Anna Public-key van Chris Geheim bericht van Bob aan Anna vercijfert met de public-key van Chris Door Chris gelezen en/of aangepast bericht van Bob aan Anna

11 HOGESCHOOL ROTTERDAM / CMI Public-Key Infrastructure (PKI) Public Key Infrastructure (PKI) is een verzameling van technische en organisatorische voorzieningen die het gebruik van encryptie door middel van publieke sleutels ondersteunt. Centraal in de infrastructuur is de derde partij. Deze derde partij bevestigt de identiteit van de eigenaar van een bepaalde sleutel door er een bewijs van vertrouwen, een certificaat, aan te koppelen. L.V. de ZeeuwCryptografie en ICT11

12 HOGESCHOOL ROTTERDAM / CMI Certificaat Dit certificaat vormt voor andere gebruikers een bewijs dat een publieke sleutel bij een bepaalde persoon hoort. De waarde die men aan dit bewijs kan hechten is afhankelijk van het vertrouwen dat de uitgever van het certificaat geniet. L.V. de ZeeuwCryptografie en ICT12

13 HOGESCHOOL ROTTERDAM / CMI Certificaat De derde partij kan een kennis van de eigenaar van de sleutel zijn, maar vaak vervult een instelling die algemeen vertrouwen geniet, de rol van derde partij. Tegenwoordig zijn er veel bedrijven en instellingen die een Public Key Infrastructure als dienst aanbieden en als derde partij optreden. L.V. de ZeeuwCryptografie en ICT13

14 HOGESCHOOL ROTTERDAM / CMI Certificaat Een certificaat bevat minimaal: de geregistreerde naam van de eigenaar. de publieke sleutel van de eigenaar. de geldigheidsduur van het certificaat. de naam en de digitale handtekening van de uitgever van het certificaat. een serienummer. L.V. de ZeeuwCryptografie en ICT14

15 HOGESCHOOL ROTTERDAM / CMI Standaard Voor certificaten is een officiële standaard ontwikkeld: X.509 v3 Zie: L.V. de ZeeuwCryptografie en ICT15

16 HOGESCHOOL ROTTERDAM / CMI Structuur X.509 v3 certificaat Certificate –Version –Serial Number –Algorithm ID –Issuer –Validity Not Before Not After –Subject –Subject Public Key Info Public Key Algorithm Subject Public Key –Issuer Unique Identifier (Optional) –Subject Unique Identifier (Optional) –Extensions (Optional)... Certificate Signature Algorithm Certificate Signature L.V. de ZeeuwCryptografie en ICT16

17 HOGESCHOOL ROTTERDAM / CMI PKI begrippen Certification Authority (CA) De functie van de CA is om de publieke sleutel aan een identiteit te koppelen. De CA heeft als rol te garanderen dat de persoon die het unieke certificaat in handen heeft, ook daadwerkelijk degene is wie hij zegt dat hij is. L.V. de ZeeuwCryptografie en ICT17

18 HOGESCHOOL ROTTERDAM / CMI PKI begrippen Registration Authority (RA) De functie van de RA is, in verband met de schaalbaarheid, werk uithanden nemen van de CA. De functie van het uitgeven van certificaten (CA) en het registreren van eindgebruikers en vaststellen van de identiteit van eindgebruikers (RA) wordt zo van elkaar gescheiden. L.V. de ZeeuwCryptografie en ICT18

19 HOGESCHOOL ROTTERDAM / CMI PKI begrippen Trusted Third Party (TTP) De CA en/of RA wordt ook wel de een Trusted Third Party genoemd. L.V. de ZeeuwCryptografie en ICT19

20 HOGESCHOOL ROTTERDAM / CMI PKI begrippen Certification Practice Statement (CPS) Een beschrijving van het hele proces van certificering: Doelgroep Toepassingsgebied Algemene bepalingen Beveiligingsbeleid Procedures voor de aanvraag van certificaten L.V. de ZeeuwCryptografie en ICT20

21 HOGESCHOOL ROTTERDAM / CMI PKI begrippen Certifcate Revocation List (CRL) Een lijst met ingetrokken of geblokkeerde certificaten. L.V. de ZeeuwCryptografie en ICT21

22 HOGESCHOOL ROTTERDAM / CMI Componenten PKI L.V. de ZeeuwCryptografie en ICT22 Anna RA CA Bob Directory

23 HOGESCHOOL ROTTERDAM / CMI Typen PKI Gesloten omgeving: Een organisatie richt een PKI in voor gebruik binnen de eigen organisatie. Open omgeving: Een PKI ingericht voor gebruik tussen meerdere organisaties en/of privé personen. L.V. de ZeeuwCryptografie en ICT23

24 HOGESCHOOL ROTTERDAM / CMI Typen PKI L.V. de ZeeuwCryptografie en ICT24 Gesloten OmgevingOpen Omgeving

25 HOGESCHOOL ROTTERDAM / CMI Vertrouwensrelaties Hiërarchische model (De pijlen geven certificerings relaties aan) L.V. de ZeeuwCryptografie en ICT25 Root CA Ca

26 HOGESCHOOL ROTTERDAM / CMI Vertrouwensrelaties Netwerk model (De pijlen geven certificerings relaties aan) L.V. de ZeeuwCryptografie en ICT26 Ca

27 HOGESCHOOL ROTTERDAM / CMI Vertrouwensrelaties ModelVoordeelNadeel Hiërarchisch modelDuidelijkheid over de opbouw van vertrouwensrelaties Een compromis in de structuur heeft grote gevolgen Netwerk modelGroei mogelijkheden zonder tussen komst van een root-CA Onduidelijkheid over de opbouw van vertrouwensrelaties L.V. de ZeeuwCryptografie en ICT27

28 HOGESCHOOL ROTTERDAM / CMI Cross-certificering L.V. de ZeeuwCryptografie en ICT28 Gesloten OmgevingOpen Omgeving Cross- certificering Beide CA’s moeten gelijkwaardig aan elkaar zijn.

29 HOGESCHOOL ROTTERDAM / CMI Trusted Third-Parties Het opzetten en onderhouden van een PKI infrastructuur en aanvullende diensten is veel werk. Als organisatie kun dit vele werk uitbesteden aan een vertrouwd gespecialiseerd bedrijf: de Trusted Third- Partie (TTP) L.V. de ZeeuwCryptografie en ICT29 TTP

30 HOGESCHOOL ROTTERDAM / CMI Trusted Third-Parties diensten Registratie, identificatie en authenticatie van gebruikers. Generatie en beheer van certificaten Sleutelbeheer Beschikbaar stellen van de Certificate Practice Statements (CPS) Key escrow L.V. de ZeeuwCryptografie en ICT30

31 HOGESCHOOL ROTTERDAM / CMI Key escrow Overheidsinstanties zijn niet blij met de (sterke) cryptografische mogelijkheden waarover de burger inmiddels beschikt. Cryptografie bemoeilijkt het werk van opsporings-instanties. Opsporingsinstanties willen over de mogelijkheid beschikken afgetapt en vercijfert elektronisch dataverkeer te ontcijferen. Om dit mogelijk te maken wil de overheid graag dat bij gebruik van sterk cryptografie de gebruiker zijn privé sleutel deponeert bij een TTP. De overheid mag vervolgens via een gerechtelijk bevel deze sleutel opvragen en gebruiken om jouw vercijferde en afgetapte dataverkeer te kunnen ontcijferen. L.V. de ZeeuwCryptografie en ICT31

32 HOGESCHOOL ROTTERDAM / CMI PKI real-life 20% Techniek 80% Organisatorische en Juridische aspecten L.V. de ZeeuwCryptografie en ICT32

33 HOGESCHOOL ROTTERDAM / CMI SURFnet PKI Voorbeeld: L.V. de ZeeuwCryptografie en ICT33


Download ppt "HOGESCHOOL ROTTERDAM / CMI Cryptografie en ICT"

Verwante presentaties


Ads door Google