SIDE (IRT 3930) Loeng 21 Võrkude kasutus () Teema teenusekvaliteet Põhipunktid Infoülekande salastamine (krüptimine) utentimine utoriseerimine rveldus PKI avaliku võtme infrastruktuur vo Ots telekommunikatsiooni õppetool, TTÜ raadio- ja sidetehnika inst. avo.ots@ttu.ee 601 602 Kodeerimine ja krüpteerimine Kodeerimine (encoding) - andmete teisendamine mingi koodiga Dekodeerimine (decoding) - kodeeritud andmete kodeerimiseelsele kujule teisendamine Krüpteerimine (encryption) - andmete viimine kõrvaliste inimeste jaoks loetamatule kujule Dekrüpteerimine (decryption) - krüptogrammi teisendamine avatekstiks, ka šifrit ja/või võtit teadmata Šifreerimine ja dešifreerimine 603 Krüptovõti E K vatekst P Turvaline arvutivõrk Krüptovõti D K E K (P) sissetungija D K (E K (P)) Pealtkuulamine arvutivõrk võltsimine vatekst P 604 Võrgukasutus Sidesüsteemi ründed Erivajadused vatud keskkond Juhtmevaba Kasutus usaldus (Trust) Efficiency turvalisus (Security) tõhusus (Efficiency) Trust Security Interception Internet Hacker/Cracker VPN Viruses 606 1
Infoülekanne ja autentimine E (X) D (X) 607 utentimisviisid Millegi teadmine Password PIN Mother s maiden name Millegi omamine Physical key Token Magnetic card Smart card Milline olemine Fingerprint Voice 1059 Iris 608 Krüpteerimisviisid Sümmeetrilised ehk salajase võtmega krüptoalgoritmid (võtme edastamine vajab täiendavat turvalist sidekanalit, nt kuller) sümmeetrilised ehk avaliku võtmega krüptoalgoritmid (kasutatakse võtmepaari: avalik võti ja privaatvõti) Sender Salajase võtme kasutus Secret key = shift characters left 1 space in alphabet Receiver Keep Secret in safe Message = ifmmp Decrypt Hello Lihtne kasutada väikestes võrkudes, kus üksteist usaldatakse 609 610 Sender Võtmepaari kasutus Receiver Võtmekasutus Igal on oma salajane võti ja ta teab teiste kasutajate avalikke võtmeid Generate a key pair (Public/Private) Sender 5 - Encrypt message with recipients public key roadcast Public Key to as many relevant people as possible Decrypt with private key D E E C INTERNET D E E C Message Contents Krüpteeritakse avaliku võtmega ja õige lugeja dekrüpteerib oma privaatvõtmega. 611 C D C E E 612 2
Võtmete levitamine Salajane võti levitatakse saatjalt vastuvõtjale teise infovahetuse kanali kaudu valiku võtme hoidmiseks on kataloogid (telefoniraamat). valike võtmete tsentraliseeritud levitamine on mahukas sideülesanne. Seetõttu levitavad sertifitseerimiskeskused (C) selle keskuse avaliku võtmega krüpteerituna Sertifikaat on dokument, mis seostab isiku tema avaliku võtmega. Privaatvõtit ei reeglina ei levitata. utentimine Kes on see võrgukasutaja? - identifitseerimine Kas ta on see, keda ta väidab end olevat? Kasutaja peab kuuluma andmebaasi Range autentimine Ühekordsed paroolid 613 614 Keskne autentimine utentimine telefonivõrgus User 1 User 2 uthentication Server Service PSTN User 3 Service RDIUS 615 616 utoriseerimine Mida Teil on lubatud teha Milliseid ressursse Teil on lubatud kasutada KuhuTeil on juurdepääs Millise kiirusega kanalid on kasutuses rveldus Kasutusmahtude hindamine Kasutusstatistika kogumine Õiguste haldus Maksustamine 617 618 3
Tulemüür / hallatud võrk Eraldab sisevõrgu (hallatud võrgu) tagades ainult osalise (piiratud) infovahetuse administered network firewall public Internet 619 Tulemüürid Teenuse tõkestamisele (DoS) suunatud rünnakud SYN flooding: attacker establishes many TCP connections, no resources left for real connections. Takistavad illegaalset sisemiste andmete kasutamiset/muutmist Tagavad juurdepääsupiirangud Jaotuvad kaheks: Rakendustaseme tulemüür Pakettifilter 620 Paketifilter Should arriving packet be allowed in? Departing packet let out? Marsruuter töötleb igat paketti eesmärgiga otsustada paketi lubamine/keelamine: source IP address, destination IP address TCP/UDP source and destination port numbers ICMP (Internet control) message type TCP SYN and CK bits 621 Digitaalsete õiguste käitlemine Digital Rights Management (DRM) Eesmärk: võimaldada sideoperaatoritel digitaalsete sisuteenuste (helinad, pildid, mängud, muusika, video, uudised jne) jagamist turvaliselt ja kasutajapõhiselt. OM DRM 1.0, 2002 lõpp Orienteeritud WPile OM DRM 2.0, test faasis PKI põhine Personaliseerimine (autentimine) Domeenipõhise jagamise võimalus Tühistamise võimalus udio, videovoo edastamine 622 DRM struktuur Turvalisuse tagamine Nõuded Käideldavus Töökindlus Terviklikkus Konfidentsiaalsus Saavutamine rusaamine protsessidest Täiuslikumad seadmed kvalifitseeritum personal otstarbekam rutiin pidev riskianalüüs 623 624 4
Turvarikke teke (ISO 2382-8) + + Rünne attack Nõrkus vulnerability Risk = risk High = Paljang Level of Security Oht threat Turvalisuse maksumus exposure Murre breach Kahju Sissetung penetration Low loss Turvarike Passwords Passwords Low compromise 625 High Cost of Solution 626 VPN teenus Tunneldamine DMZ External Home gent Kaugligipääs CN VPN Internal Home gent Firewall MN MN 627 Kohtvõrkude ühendamine Lõpulingid (21) SSL Web rowser http://www.zone.ee/krypto/ http://www.itcollege.ee/~valdo/turve/ http://www.sk.ee http://www.arvutikaitse.ee/ http://www.bluecoat.com/ Web Server ver Ser icate tif Cer dom Ran etric m Sym Key ver Ser icate tif Cer Server s Private Key Server s Public Key pple ted Pie ryp nc ERecipe 628 http://www.nwfusion.com/links/encyclopedia/w/715.html http://www.wi-fiplanet.com/tutorials/article.php/1368661 http://www.wi-fiplanet.com/tutorials/article.php/2106281 http://www.wi-fiplanet.com/columns/article.php/1556321 http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html http://www.wirelessdevnet.com/channels/wireless/features/newsbyte3 1.html dom Ran etric m Sym Key Pavlov ted a ryp nc ERecipe 629 630 5