De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Tentamen Maandag, 1 juli H en H.2.403

Verwante presentaties


Presentatie over: "Tentamen Maandag, 1 juli H en H.2.403"— Transcript van de presentatie:

1 Cryptografie en ICT L.V.de.Zeeuw@HR.NL

2 Tentamen Maandag, 1 juli 2013 5+6 -12.10-13.50 - H.1.403 en H.2.403
(onder voorbehoud roosterwijzigingen) L.V. de Zeeuw Cryptografie en ICT

3 8 Beveiligd elektronisch dataverkeer
L.V. de Zeeuw Cryptografie en ICT

4 Te realiseren met symmetrische en asymmetrische cryptosystemen.
Beveiligingseisen Te realiseren met symmetrische en asymmetrische cryptosystemen. Vertrouwelijkheid Integriteit Authenticiteit Onweerlegbaarheid Autorisatie L.V. de Zeeuw Cryptografie en ICT

5 VPN of beveiliging vanuit applicaties?
Virtuel Private Network wordt ingezet in situaties waarbij een structurele voorziening nodig is voor een beveiligde verbinding over een onveilige fysieke openbare infrastructuur. ALLE data verkeer over een VPN wordt geëncrypt. Onveilige protocollen zoals telnet, mail, ftp, pop3, etc.  vinden zo bescherming. VPN heeft dus géén relatie met de applicaties die je zou willen gebruiken en beschermt alle dataverkeer. L.V. de Zeeuw Cryptografie en ICT

6 VPN of beveiliging vanuit applicaties?
Vanuit een toepassing kun je ook de data beschermen door gebruik te maken van encryptie. MAIL client: S/MIME, PGP Van andere toepassingen en protocollen bestaan ‘secure’ varianten waarbij dataverkeer op transport niveau wordt beveiligd door de protocollen: Secure Socket Layer (SSL) of Transport Layer Security (TLS) SSL en TLS werken onder de applicatielaag. Voorbeeld: HTTPS, SFTP,SSH L.V. de Zeeuw Cryptografie en ICT

7 Alle protocollen zijn varianten op het volgende principe.
 A wil beveiligd communiceren met B en stuurt daartoe een verzoek aan B  B stuurt zijn public-key voor asymetriche encryptie. . A genereert een random session-key voor symmetrische encryptie. . A gebruikt de ontvangen public-key om de gegenereerde symmetrische sleutel te encrypten.  De geëncrypte symmetrische sleutel wordt naar B gestuurd. . B decrypt de ontvangen symmetrische sleutel met zijn secret-key.   Vervolgens wordt de communicatie met tussen client en s erver beveiligd met de symmetrische session-key. L.V. de Zeeuw Cryptografie en ICT

8 VPNprotocollen IPSec (IP security)
PPTP (Point-to-Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) L.V. de Zeeuw Cryptografie en ICT

9 IPsec Het secure Internet Protocol (IPsec) is een suite van protocollen die er samen voor zorgen dat IP pakketten beveiligd over een IP netwerk verzonden kunnen worden. IPsec werkt op laag 3 van het OSI model. L.V. de Zeeuw Cryptografie en ICT

10 IPsec IP met aanvullingen
IPsec bestaat uit normale IP pakkets met 2 mogelijke aanvullingen: Authenticatie Header (AH) Encapsulated Security Payload header (ESP) L.V. de Zeeuw Cryptografie en ICT

11 IPsec Security Association (SA)
Wanneer twee hosts een beveiligde verbinding opzetten moet er een drager zijn waarmee de sleutels, encryptie en authenticatie technieken worden bijgehouden. Deze drager wordt een Security Association (SA) genoemd. Een SA is een éénzijdige overeenkomst tussen de hosts. L.V. de Zeeuw Cryptografie en ICT

12 L.V. de Zeeuw Cryptografie en ICT

13 L.V. de Zeeuw Cryptografie en ICT

14 L.V. de Zeeuw Cryptografie en ICT

15 L.V. de Zeeuw Cryptografie en ICT

16 IPsec SA onderhandelingen
Een SA moet worden opgebouwd, de beide hosts onderhandelen over het gebruik van de ESP en/of AH: de technieken voor encryptie of authenticatie de sleutellengten de levensduur van de SA L.V. de Zeeuw Cryptografie en ICT

17 IPsec SA onderhandelingen
Totstandkoming van de SA’s: Geautomatiseerd: Voor deze onderhandelingen is er het Internet Security Association en Key Management Protocol (ISAKMP) of Internet Key Exchange (IKE) protocol. Handmatig: door een handmatige invoer van de sleutels (meestal pre-shared) en de opgave van de authenticatie en/of encryptie protocollen. L.V. de Zeeuw Cryptografie en ICT

18 IPsec Modes IPsec kan in 3 vormen voorkomen:
Tunnelmode: het complete IP pakket (met alle bovenliggende protocol headers en velden) wordt in een nieuw IP pakket gestopt Transportmode: de headers (AH en/of ESP) worden in het IP pakket gestopt. Iterated mode: Combinatie van beide. L.V. de Zeeuw Cryptografie en ICT

19 IPsec Authentication Header (AH)
Voorziet IP pakketten van integriteit, authenticatie, non-repudiation. Integriteit: Berekenen van een Integrity Check Value (ICV) middels een hash functie: (bv MD5) Authenticatie: Protocol combinaties gebaseerd op symmetrische encryptie algoritmen (bv DES) of hash functies (bv MD5 of SHA-1) Voor non-repudiation wordt er gebruik gemaakt van bijvoorbeeld RSA. L.V. de Zeeuw Cryptografie en ICT

20 AH Toekomstig gebruik Type header na deze header
Lengte AH in veelvouden van 32 bits Identificeert de SA Volgnummer Bevat de Integrity Check Value (ICV) L.V. de Zeeuw Cryptografie en ICT

21 Zonder IPsec Tunnel Mode Transport Mode L.V. de Zeeuw
Cryptografie en ICT

22 IPsec Encapsulated Security Payload (ESP)
Voorziet IP pakketten van integriteit en confidentialiteit door data te encrypten en deze in het data gedeelte van de ESP header te plaatsen. Afhankelijk van de gewenste mate van beveiliging: alleen de data te encrypten het complete IP pakket in het ESP data veld te plaatsen (hierdoor ontstaat een nieuw IP pakket met nieuwe IP bron- en doeladressen). L.V. de Zeeuw Cryptografie en ICT

23 ESP Identificeert de SA Volgnummer De beveiligde data
Type header na deze header In verband met blokvercijfering Bevat de Integrity Check Value (ICV) L.V. de Zeeuw Cryptografie en ICT

24 Zonder IPsec Tunnel Mode Transport Mode L.V. de Zeeuw
Cryptografie en ICT

25 IPsec Encapsulated Security Payload (ESP)
Ook de ESP header bevat een Integrity Check Value (ICV) en kan gebruik maken van een aantal encryptie protocollen: DES in (Cipher Block Chaining) CBC mode. Hashing met MD5 of SHA-1. L.V. de Zeeuw Cryptografie en ICT

26 IPsec scenario L.V. de Zeeuw Cryptografie en ICT

27 IPsec Security Association database (SAD)
Elk IPsec protocol (AH of ESP) heeft een eigen SA. De Security Associations worden opgeslagen in een Security Association Database (SAD) L.V. de Zeeuw Cryptografie en ICT

28 IPsec Security Policy Database (SPD)
Voor verwerking van IPsec pakketten zijn er ook ‘policies’ nodig. Deze policies zijn vastgelegd in een Security Policy Database (SPD) Er zijn 3 typen policies: Bypass: geen IPsec processing Dismiss: pakket wordt gedropped Negotiate : IPsec processing L.V. de Zeeuw Cryptografie en ICT

29 Demo VPN HR-Thuis Doel:
Via een VPN veilig je files benaderen die je thuis op een server hebt staan. Voorbeeld server: Linux PC NAS Mediaspeler L.V. de Zeeuw Cryptografie en ICT

30 Configureren server L.V. de Zeeuw Cryptografie en ICT

31 Configureren Router L.V. de Zeeuw Cryptografie en ICT

32 Op HR PC VPN verbinding configureren
L.V. de Zeeuw Cryptografie en ICT

33 Op HR PC VPN verbinding configureren
L.V. de Zeeuw Cryptografie en ICT

34 Op HR PC VPN verbinding configureren
L.V. de Zeeuw Cryptografie en ICT

35 Op HR PC VPN verbinding configureren
Wat je niet wilt is dat de VPN de default gateway wordt. Dan gaat het fout omdat al je connecties voor de HR over je VPN gaan lopen. En als je eenmaal buiten bent mag je niet meer naar binnen. Je kunt dat echter uitzetten en er voor zorgen dat gewoon de HR gateway ( x.y) wordt gebruikt. Ga naar VPN Connection properties / Internet Protocol Version 4 / Advanced. Hier moet je dan 'Use default gateway ...' uitzetten. Vervolgens maak via CMD een permanent route (overleeft een reboot van je PC) naar je thuis netwerk: route -p ADD MASK GATEWAY Zie volgende slide. L.V. de Zeeuw Cryptografie en ICT

36 Op HR PC VPN verbinding configureren
Via CMD Route aanpassen L.V. de Zeeuw Cryptografie en ICT

37 Secure Socket Layer (SSL)
SSL is ontwikkeld door Netscape en daarna aangepast door de IETF en is nu bekend als Transport Layer Security (TLS) L.V. de Zeeuw Cryptografie en ICT

38 SSL en TLS stadia Onderhandeling over de te gebruiken algoritmes.
Public-key cryptografie: RSA, Diffie-Hellman, DSA of Fortezza. Symmetrische cryptografie: RC2, RC4, IDEA, DES, Triple DES of AES. Hash functies: MD5 of SHA. Op certificaten gebaseerde authenticatie. Op public-key gebaseerde voor het uitwisselen van sleutels. Op symmetrische cryptografie gebaseerde encryptie van data. L.V. de Zeeuw Cryptografie en ICT

39 SSL en TLS SSL en TLS draaien op een laag onder applicatieprotocollen.
SSL en TLS kunnen veiligheid bieden aan elk protocol dat gebruik maakt van TCP. SSL het meest gebruikt voor HTTPS L.V. de Zeeuw Cryptografie en ICT

40 PGP Pretty Good Privacy (PGP) is een encryptie programma voor e-mail.
PGP is ontworpen door Phil Zimmerman. PGP heeft cryptografische software toegankelijk gemaakt voor velen. PGP was eerst freeware maar is nu een commercieel product. De PGP specificaties zijn als openstandaard bekend onder de naam openPGP met implementaties als: GNU Privacy Guard (GnuPG, GPG), Hushmail, Veridis, Authora, EasyByte’s Cryptocx L.V. de Zeeuw Cryptografie en ICT

41 Demo GnuPG http://www.gnupg.org/ Download en installeer:
GnuPG compiled for Microsoft Windows L.V. de Zeeuw Cryptografie en ICT

42 GnuPG Opvragen van help: gpg –help Instellen home directory:
set GNUPGHOME=C:\GnuPG Maken van een public+secret key: gpg --gen-key Bekijken van je sleutelring met public-keys: gpg --list-keys Bekijken van je sleutelring met secret-key(s): gpg --list-secret-keys Exporteren van je public-key naar een ascii file: gpg --export –a –o pubkey.txt Encrypten van een file: gpg --encrypt test.txt Decrypten van een file: gpg --decrypt test.txt.gpg L.V. de Zeeuw Cryptografie en ICT

43 GnuPG Signeren van een file: gpg --sign test.txt
gpg --clearsign test.txt Controlleren van een signature: gpg --verify test.txt.asc Encrypten en signeren tegelijk: gpg --encrypt --sign test.txt Decrypten én controlleren van een signature: gpg --decrypt test.txt.gpg L.V. de Zeeuw Cryptografie en ICT

44 Electronic commerce Business to business (B2B): handel tussen twee bedrijven. Business to consumer (B2C): handel tussen een bedrijf en een consument. Business to administration (B2A): 'handel' tussen een bedrijf en de overheid. Consumer to Consumer C2C: handel tussen consumenten. L.V. de Zeeuw Cryptografie en ICT

45 Electronic commerce Onzekerheden voor leverancier:
Is de consument wel degene die hij beweert te zijn? Is het niet de concurrent die zich voor een ander uitgeeft? Is de bestelling van de consument tijdens transport over internet niet gewijzigd? Kan de consument achteraf ontkennen dat hij een bestelling heeft geplaatst? Is de bezoeker bevoegd om een bestelling te plaatsen? Onzekerheden voor consument: Is de leverancier wel degene die hij beweert te zijn? Zijn de gegevens van de consument ontoegankelijk voor derden? Is het mogelijk dat de verstuurde gegevens tijdens transport over internet zijn gewijzigd? Kan de leverancier ontkennen dat hij de bestelling heeft ontvangen? L.V. de Zeeuw Cryptografie en ICT

46 Protocollen Betalingen over Internet:
Secure Electronic Transaction … heeft het niet gehaald. Dus geen tentamenstof! Universal Cardholder Authentication Field (UCAF) (Mastercard) Voorlopig gebruikt men SSL … L.V. de Zeeuw Cryptografie en ICT


Download ppt "Tentamen Maandag, 1 juli H en H.2.403"

Verwante presentaties


Ads door Google