1 Artur Spulnik, Aleksandra OtrembaPKI OPIE Auth Artur Spulnik, Aleksandra Otremba
2 Metody szyfrowania
3 Metody szyfrowania
4 Czym jest PKI? PKI, Infrastruktura Klucza Publicznego(Public-key infrastructure) Szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacyjne (CA),urzędy rejestracyjne (RA), subskrybenci certyfikatów (użytkownicy), oprogramowanie i sprzęt.
5 Struktura PKI Urzędy Rejestracji (ang. Registration Authority – RA) dokonujący weryfikacji danych użytkownika a następnie jego rejestracji. Urzędy Certyfikacji (ang. Certification Authority - CA), Repozytoria kluczy, certyfikatów i list unieważnionych certyfikatów (ang. Certificate Revocation Lists – CRLs)
6 Podstawowe funkcje PKI Generowanie kluczy kryptograficznych. Weryfikacja tożsamości subskrybentów. Wystawianie certyfikatów. Weryfikacja certyfikatów. Podpisywanie przekazu. Szyfrowanie przekazu. Potwierdzanie tożsamości. Znakowanie czasem.
7 Podstawowe funkcje, które musi realizować każde PKI, aby zapewnić właściwy poziom usług to : Rejestracja (ang. Registration) Certyfikacja (ang Certification) Generacja kluczy (ang. Key generation) Odnawiania kluczy (ang. Key update) Upłynął okres ważności certyfikatu. Klucz prywatny skojarzony z kluczem publicznym umieszczonym na certyfikacie został skompromitowany. Certyfikacja wzajemna (ang. Cross-cerification) Odwołanie certyfikatu (ang. Revocation) Odzyskiwanie klucza (ang. Key recovery)
8 Usługi uwierzytelniania PKIuwierzytelnianie podmiotów partnerskich (ang. peer-entity authentication), uwierzytelnianie danych (ang. data authentication), integralność danych (ang. data integrity), niezaprzeczalność (ang. non-repudation), poufność (ang. confidentiality), prywatność (ang. privacy),
9 Zastosowanie infrastruktury PKIbezpieczna poczta, transakcje typu e-commerce (handel elektroniczny), wirtualne sieci prywatne (Virtual Private Network - VPN), zabezpieczenia stacji roboczej użytkownika (jego danych), zapewnienie bezpieczeństwa na witrynach internetowych, urządzeniach i aplikacjach klienta.
10 Hasła w Uniksie standardowy sposób zabezpieczania dostępu wsystemach typu Unix zapisywane najczęściej w plikach, rzadziej w bazach danych. przypisywane do nazwy użytkownika przechowywane w postaci zaszyfrowanej
11 Rodzaje haseł hasło uniksowe hasło jednorazowe hasło tajne
12 OTP (One-Time Password)hasło jednorazowe mechanizm challenge-response
13 Podatność na ataki Implementacje haseł jednorazowych podatne są na atak Man-in-The-Middle Last-Character-Attack przez kradzież listy haseł
14 S/KEY i OPIE S/Key to: schemat jednorazowych haseł, oparty o funkcje jednostronnych skrótów kryptograficznych jedna z pierwszych implementacji haseł jednorazowych dla systemów typu Unix. OPIE ( ang. Onetime Passwords In Everything- Jednorazowe Hasła Do Wszystkiego) to: biblioteka implementująca schemat haseł jednorazowych próba integracji S/KEY z różnymi usługami
15 Pojęcia związane z OPIE„ziarno” (ang. seed) lub “klucz” (ang. key) – ciag znaków składający się z dwóch liter i pięciu cyfr licznik iteracji- numer od 1 do 100
16 Działanie OPIE Stworzenie hasła jednorazowego poprzez złączeniehasła tajnego i ziarna Nałożenie na wynik hasha tyle razy, ile wskazuje licznik iteracji Zamiana wyniku na 6 krótkich słów w języku angielskim stanowiących hasło jednorazowe Sprawdzenie przez system uwierzytelniający ( zwykle PAM) jakie hasła zostały użyte ostatnio z zestawu i umożliwienie wykorzystania kolejnych 5. Zmniejszenie licznika iteracji po każdym prawidłowym załogowaniu ( po zmniejszeniu się licznika do 1, S/Key i OPIE należy przeinicjować.)
17 Programy wykorzystywane w OPIEkey oraz opiekey- przyjmują licznik iteracji, ziarno oraz tajne hasło generując w efekcie hasło jednorazowe lub listę haseł jednorazowych keyinit oraz opiepasswd- inicjalizują odpowiednio podsystemy S/Key i OPIE, umożliwiają zmianę haseł, liczników iteracji oraz ziarna keyinfo oraz opieinfo- przeglądają odpowiednie pliki przechowujące tajne informacje wyświetlając licznik iteracji i ziarno dla wywołującego je użytkownika.
18 KONIEC Dziękujemy za uwagę