Milica Kovinić AMRES Radionica posvećena temama iz oblasti sigurnosti

Презентација на тему: "Milica Kovinić AMRES Radionica posvećena temama iz oblasti sigurnosti"— Транскрипт презентације:

1 SIGURNA KOMUNIKACIJA- OSNOVI KRIPTOGRAFIJE I INFRASTRUKTURE JAVNIH KLJUČEVA (PKI)
Milica Kovinić AMRES Radionica posvećena temama iz oblasti sigurnosti Beograd 22. februar 2011.

2 Sigurna komunikacija Sigurna komunikacija podrazumeva: Poverljivost
Simetrična enkripcija Asimetrična enkripcija Proveru integriteta Heš vrednost poruke Neporicanje Digitalni potpis Proveru identiteta Digitalni sertifikat

3 Infrastruktura javnih ključeva - PKI
PKI – Public Key Infrastructure Čine je hardver, softver, polise i procedure koje su neophodne za upravljanje, generisanje, skladištenje i distribuciju kriptografskih ključeva i digitalnih sertifikata. Definisana X.509 ITU-T standardom

4 PKI – osnovne komponenete i funkcije
a. registracija inicijalizacija podnošenje zahteva serifikacija b. opoziv sertifikata c. objavljivanje izdatih sertifikata i CRLova d. verifikacija sertifikata Politika sertifikacije (CP – Certificate Policy) Skup pravila koja definišu primenljivost sertifikata. Praktična pravila rada sertifikacionog tela (CPS – Certificate Practice Statement) Javna praktična pravila i procedure koje CA primenjuje u proceduri izdavanja sertifikata. Sertifikaciono telo (CA - Cetification Authority) Pravno lice koje izdaje digitalne sertifikate i kome svi učesnici u komunikaciji veruju. CA sertifikat – Sertifikat samog Sertifikacionog tela. Lanac CA sertifikata (certificate chain) – Uređen niz serifikata sertifikacionih tela koja formiraju hijerarhijski lanac poverenja. Procesira se u cilju provere sertifikacioog tela koje je izdalo sertifikat. Lista opozvanih sertifikata (CRL – Certificate Revocation List) Lista izdata i elektronski potpisana od strane CA koja sadrži serijske brojeve opozvanih sertifikata i vreme kada je opoziv izvršen. Repozitorijum – Baza podataka i/ili direktorijum na kome su objavljeni osnovni dokumenti rada CA, kao i liste izdatih/opozvanih sertifikata. Registraciono telo (RA - Registration Authority) Pravno lice delegirano od strane CA za obavljajnje poslova inicijalne provere identiteta krajnjih korisnika. Zahtev za sertifikatom (CSR – Certificate Signing Request)

5 Digitalni sertifikat Kako se formira digitalni sertifikat ?

6 Digitalni sertifikat Provera ispravnosti digitalnog sertifikata

7 Format digitalnog sertifikata
ITU-T X.509 standard v3

8 Hijerarhijsko ulančavanje CA

9 Lanac sertifikata – TCS primer
AddTrust External CA Root Issuer: ... CN=AddTrust External CA Root Subject: ... CN=AddTrust External CA Root UTN-USERFirst-Hardware Subject: ... CN=UTN-USERFirst-Hardware TERENA SSL CA Issuer: ... CN=UTN-USERFirst-Hardware Subject: ... CN=TERENA SSL CA

10 Potreba za PKI i digitalnim sertifikatima u okviru AMRESa
Autentifikacija krajnjih korisnika, klijenata od strane servera kome pristupaju (autentifikacija klijenata u GRID infrastrukturi). Sigurna razmena elektronske pošte koristi sertifikate kako bi se obezbedio integritet poruke i poverljivost komunikacije. Uspostava IPsec/TLS VPN tunela koristi digitalne sertifikate za autentifikaciju krajnjih korisnika koji iniciraju uspostavu VPN tunela, kao i za autentifikaciju samog SSL VPN servera od strane VPN klijenata. Digitalno potpisivanje softvera obezbeđuje dokaz o poreklu i integritetu softverskog koda. Autentifikacija servera (web, mejl ...) od strane klijenta ili drugog servera. U ovom slučaju se koriste serverski sertifikati koji potvrđuju identitet servera klijentu koji mu pristupa. Takođe, obezbeđuje se i poverljivost komunikacije primenom enkripcije.

11 Autentifikacija servera
Web, mail, RADIUS server Nezavisno od servisa koji se obezbeđuje, u osnovi se koristi SSL/TLS protokol

12 Autentifikacija servera: SSL/TLS Handshake

13 Autentifikacija servera: servisi i protokoli
Web server – HTTPS server – SMTPS, IMAPS, POP3 RADIUS server – EAP-TTLS

14 Web server HTTPS (Hypertext Transfer Protocol Secure) se koristi kako bi se obezbedila zaštićena komunikacija između web servera i web klijenta. Autentifikacija servera od strane klijenta. Autentifikacija klijenta od strane servera - opciono Enkripcija podataka koji se razmenjuju između klijenta i servera. HTTPS je zapravo HTTP protokol koji koristi usluge TLS/SSL protokola na sloju ispod. HTTPS port

15 Provera validnosti digitalnog sertifikata servera

16 server STARTTLS predstavlja ekstenziju SMTP, IMAP i POP3 protokola (SMTPS, IMAPS, POP3S) koja omogućava autentifikaciju servera i enkripciju uz podršku SSL/TLS protokola. Kako je STARTTLS nadogradnja postojećih protokola, nije potreban poseban port za enkriptovanu komunikaciju. Za SMTPS, IMAPS i POP3S su registrovani posebni portovi (465, ), pri čemu RFC ne preporučuje njihovo korišćenje, kako STARTTLS omogućava korišćenje istog porta i za zaštićenu i za nezaštićenu komunikaciju. Klijent započinje komunikaciju starttls porukom. Zaštićena komunikacija se ne odvija s kraja na kraj, već samo između onih servera/klijenata koji su konfigurisani da koriste STARTTLS.

17 RADIUS server RADIUS (Remote Authentication Dial In User Service) protokol omogućava centralizovan AAA (Authentication, Authorization, and Accounting) servis. U AMRES mreži upotreba sertifikata na RADIUS serverima je realizovana u okviru eduroam servisa: Autentifikacija servera Enkriptovana komunikacija Kao osnova za prenos autentifikacionih poruka (802.1x standard) koristi se EAP (Extensible Authentication Protocol) protokol u kombinaciji sa TLS, EAP-TTLS (Tunneled TLS)

18 RADIUS server – EAP-TTLS