Скинути презентацију
Отпремање презентације траје. Молимо да сачекате
1
SIGURNA KOMUNIKACIJA- OSNOVI KRIPTOGRAFIJE I INFRASTRUKTURE JAVNIH KLJUČEVA (PKI)
Milica Kovinić AMRES Radionica posvećena temama iz oblasti sigurnosti Beograd 22. februar 2011.
2
Sigurna komunikacija Sigurna komunikacija podrazumeva: Poverljivost
Simetrična enkripcija Asimetrična enkripcija Proveru integriteta Heš vrednost poruke Neporicanje Digitalni potpis Proveru identiteta Digitalni sertifikat
3
Infrastruktura javnih ključeva - PKI
PKI – Public Key Infrastructure Čine je hardver, softver, polise i procedure koje su neophodne za upravljanje, generisanje, skladištenje i distribuciju kriptografskih ključeva i digitalnih sertifikata. Definisana X.509 ITU-T standardom
4
PKI – osnovne komponenete i funkcije
a. registracija inicijalizacija podnošenje zahteva serifikacija b. opoziv sertifikata c. objavljivanje izdatih sertifikata i CRLova d. verifikacija sertifikata Politika sertifikacije (CP – Certificate Policy) Skup pravila koja definišu primenljivost sertifikata. Praktična pravila rada sertifikacionog tela (CPS – Certificate Practice Statement) Javna praktična pravila i procedure koje CA primenjuje u proceduri izdavanja sertifikata. Sertifikaciono telo (CA - Cetification Authority) Pravno lice koje izdaje digitalne sertifikate i kome svi učesnici u komunikaciji veruju. CA sertifikat – Sertifikat samog Sertifikacionog tela. Lanac CA sertifikata (certificate chain) – Uređen niz serifikata sertifikacionih tela koja formiraju hijerarhijski lanac poverenja. Procesira se u cilju provere sertifikacioog tela koje je izdalo sertifikat. Lista opozvanih sertifikata (CRL – Certificate Revocation List) Lista izdata i elektronski potpisana od strane CA koja sadrži serijske brojeve opozvanih sertifikata i vreme kada je opoziv izvršen. Repozitorijum – Baza podataka i/ili direktorijum na kome su objavljeni osnovni dokumenti rada CA, kao i liste izdatih/opozvanih sertifikata. Registraciono telo (RA - Registration Authority) Pravno lice delegirano od strane CA za obavljajnje poslova inicijalne provere identiteta krajnjih korisnika. Zahtev za sertifikatom (CSR – Certificate Signing Request)
5
Digitalni sertifikat Kako se formira digitalni sertifikat ?
6
Digitalni sertifikat Provera ispravnosti digitalnog sertifikata
7
Format digitalnog sertifikata
ITU-T X.509 standard v3
8
Hijerarhijsko ulančavanje CA
9
Lanac sertifikata – TCS primer
AddTrust External CA Root Issuer: ... CN=AddTrust External CA Root Subject: ... CN=AddTrust External CA Root UTN-USERFirst-Hardware Subject: ... CN=UTN-USERFirst-Hardware TERENA SSL CA Issuer: ... CN=UTN-USERFirst-Hardware Subject: ... CN=TERENA SSL CA
10
Potreba za PKI i digitalnim sertifikatima u okviru AMRESa
Autentifikacija krajnjih korisnika, klijenata od strane servera kome pristupaju (autentifikacija klijenata u GRID infrastrukturi). Sigurna razmena elektronske pošte koristi sertifikate kako bi se obezbedio integritet poruke i poverljivost komunikacije. Uspostava IPsec/TLS VPN tunela koristi digitalne sertifikate za autentifikaciju krajnjih korisnika koji iniciraju uspostavu VPN tunela, kao i za autentifikaciju samog SSL VPN servera od strane VPN klijenata. Digitalno potpisivanje softvera obezbeđuje dokaz o poreklu i integritetu softverskog koda. Autentifikacija servera (web, mejl ...) od strane klijenta ili drugog servera. U ovom slučaju se koriste serverski sertifikati koji potvrđuju identitet servera klijentu koji mu pristupa. Takođe, obezbeđuje se i poverljivost komunikacije primenom enkripcije.
11
Autentifikacija servera
Web, mail, RADIUS server Nezavisno od servisa koji se obezbeđuje, u osnovi se koristi SSL/TLS protokol
12
Autentifikacija servera: SSL/TLS Handshake
13
Autentifikacija servera: servisi i protokoli
Web server – HTTPS server – SMTPS, IMAPS, POP3 RADIUS server – EAP-TTLS
14
Web server HTTPS (Hypertext Transfer Protocol Secure) se koristi kako bi se obezbedila zaštićena komunikacija između web servera i web klijenta. Autentifikacija servera od strane klijenta. Autentifikacija klijenta od strane servera - opciono Enkripcija podataka koji se razmenjuju između klijenta i servera. HTTPS je zapravo HTTP protokol koji koristi usluge TLS/SSL protokola na sloju ispod. HTTPS port
15
Provera validnosti digitalnog sertifikata servera
16
server STARTTLS predstavlja ekstenziju SMTP, IMAP i POP3 protokola (SMTPS, IMAPS, POP3S) koja omogućava autentifikaciju servera i enkripciju uz podršku SSL/TLS protokola. Kako je STARTTLS nadogradnja postojećih protokola, nije potreban poseban port za enkriptovanu komunikaciju. Za SMTPS, IMAPS i POP3S su registrovani posebni portovi (465, ), pri čemu RFC ne preporučuje njihovo korišćenje, kako STARTTLS omogućava korišćenje istog porta i za zaštićenu i za nezaštićenu komunikaciju. Klijent započinje komunikaciju starttls porukom. Zaštićena komunikacija se ne odvija s kraja na kraj, već samo između onih servera/klijenata koji su konfigurisani da koriste STARTTLS.
17
RADIUS server RADIUS (Remote Authentication Dial In User Service) protokol omogućava centralizovan AAA (Authentication, Authorization, and Accounting) servis. U AMRES mreži upotreba sertifikata na RADIUS serverima je realizovana u okviru eduroam servisa: Autentifikacija servera Enkriptovana komunikacija Kao osnova za prenos autentifikacionih poruka (802.1x standard) koristi se EAP (Extensible Authentication Protocol) protokol u kombinaciji sa TLS, EAP-TTLS (Tunneled TLS)
18
RADIUS server – EAP-TTLS
Сличне презентације
© 2024 SlidePlayer.rs Inc.
All rights reserved.