Τεχνολογία Ηλεκτρονικού Εμπορίου. 6η διάλεξη: Ασφάλεια ιαδικτυακών Συναλλαγών και Ηλεκτρονικού Εμπορίου (EC Security) Χρήστος Γεωργιάδης

Σχετικά έγγραφα
ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 11η Διάλεξη: Ασφάλεια στο Web

Ασφάλεια Υπολογιστικών Συστημάτων

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια

Τεχνική Ανάλυση των η-υπογραφών & των η-πιστοποιητικών

ΥΠΟΓΡΑΦΗ. Ηλεκτρονική επικοινωνία. Κρυπτογραφία και ψηφιακές υπογραφές ΚΡΥΠΤΟΓΡΑΦΙΑ & ΨΗΦΙΑΚΕΣ ΥΠΟΓΡΑΦΕΣ

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΙΑ ΑΣΦΑΛΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΜΕΝΗ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ. Οδηγίες προς τις Συνεργαζόμενες Τράπεζες

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Ασφάλεια στο Ηλεκτρονικό Επιχειρείν. ΤΕΙ Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων - Πάτρα Κουτσονίκος Γιάννης

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

Ασφάλεια Υπολογιστικών Συστηµάτων

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο. Ψηφιακή Υπογραφή και Αυθεντικοποίηση Μηνύματος

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

κρυπτογραϕία Ψηφιακή ασφάλεια και ιδιωτικότητα Γεώργιος Σπαθούλας Msc Πληροφορική και υπολογιστική βιοιατρική Πανεπιστήμιο Θεσσαλίας

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Cryptography and Network Security Overview & Chapter 1. Fifth Edition by William Stallings

9 - Ασφάλεια Ηλεκτρονικών Συναλλαγών ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ & ΑΥΤΟΔΙΟΙΚΗΣΗΣ

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

8.3 Ασφάλεια ικτύων. Ερωτήσεις

Security & Privacy. Overview

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

Πληροφορική Ι. Μάθημα 10 ο Ασφάλεια. Τμήμα Χρηματοοικονομικής & Ελεγκτικής ΤΕΙ Ηπείρου Παράρτημα Πρέβεζας. Δρ. Γκόγκος Χρήστος

ΕΠΛ 674: Εργαστήριο 1 Ασφάλεια Επικοινωνιακών Συστημάτων - Κρυπτογραφία

Ασφάλεια Υπολογιστικών Συστημάτων

«ΑΣΦΑΛΕΙΑ ΣΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ»

8.3.4 Τεχνικές Ασφάλειας Συμμετρική Κρυπτογράφηση Ασυμμετρική Κρυπτογράφηση Ψηφιακές Υπογραφές

Ψηφιακή Υπογραφή. Ένα εργαλείο στα χέρια του σύγχρονου μηχανικού

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. PGP (Pretty Good Privacy)

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

YΒΡΙΔΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΣΤΗΝ ΕΕ

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Ασφαλείς Εφαρμογές η-υπογραφών

Αρχιτεκτονική Ασφάλειας

ΚΕΦΑΛΑΙΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ

Κρυπτογραφία και Ηλεκτρονικοί Υπολογιστές. ΣΥΝΤΕΛΕΣΤΕΣ: Κραβαρίτης Αλέξανδρος Μαργώνη Αγγελική Χαλιμούρδα Κων/να

Λειτουργικά Συστήματα (ΗΥ321)

Freedom of Speech. Κρυπτογραφία και ασφαλής ανταλλαγή πληροφοριών στο Internet

ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ. Απόστολος Πλεξίδας Προϊστάµενος της ιεύθυνσης ιαφάνειας & Ηλεκτρονικής ιακυβέρνησης της Περιφέρεια Κεντρικής Μακεδονίας

ΑΣΦΑΛΕΙΑ ΠΕΡΙΒΑΛΛΟΝΤΩΝ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ

ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Βασικά Θέματα Κρυπτογραφίας Συμμετρική & Ασύμμετρη Κρυπτογραφία-Ακεραιότητα)

Εισ. Στην ΠΛΗΡΟΦΟΡΙΚΗ. Διάλεξη 8 η. Βασίλης Στεφανής

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Εισαγωγή. Χρήστος Ξενάκης

Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου Τμήμα Τηλεπληροφορικής & Διοίκησης

ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΣΥΝΑΛΛΑΓΩΝ

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιά

γ. Αυθεντικότητα (authentication) δ. Εγκυρότητα (validity) Μονάδες 5

Ελληνική Δημοκρατία Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου. Πληροφορική Ι. Ενότητα 10 : Ασφάλεια. Δρ. Γκόγκος Χρήστος

Κρυπτογραφία. Κεφάλαιο 1 Γενική επισκόπηση

Ανάλυση Δικτυακής Κίνησης Πρωτοκόλλων Υπηρεσιών. Ασφάλεια Δικτύων. (4 η άσκηση) Διαχείριση Δικτύων - Ευφυή Δίκτυα, 9 ο Εξάμηνο,

Ασφάλεια ικτύων (Computer Security)

Ασφάλεια Υπολογιστικών Συστημάτων

Οδηγίες Εγκατάστασης και Χρήσης Ψηφιακών Πιστοποιητικών

Εφαρμογή στο Ηλεκτρονικό πρωτόκολλο

ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΕΛΟΠΟΝΝΗΣΟΥ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΠΜΣ: Προηγμένα Τηλεπικοινωνιακά Συστήματα και Δίκτυα

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

ΜΑΥΡΟΥΔΗ ΜΑΓΔΑΛΗΝΗ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ

Β. Μάγκλαρης 30/11/2015

MOBILE BANKING ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΕΤΑΠΤΥΧΙΑΚΟΣ ΦΟΙΤΗΤΗΣ: ΜΠΙΖΑΝΙΔΗΣ ΓΕΩΡΓΙΟΣ, 35/05 ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ: ΜΑΝΙΤΣΑΡΗΣ ΑΘΑΝΑΣΙΟΣ

Ασφάλεια Πληροφοριακών Συστηµάτων

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Ασφάλεια Υπολογιστικών Συστηµάτων. Ορισµοί

Κρυπτογραφία. Εργαστηριακό μάθημα 1

Ασφάλεια Υπολογιστικών Συστηµάτων

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 5 ΣΕΛΙ ΕΣ

ΕΚΦΩΝΗΣΕΙΣ ΘΕΜΑ Α. α. Πριν εμφανιστεί η τεχνολογία ISDN οι υπηρεσίες φωνής, εικόνας και δεδομένων απαιτούσαν διαφορετικά δίκτυα.

Εισαγωγή στην Κρυπτογραφία και τις Ψηφιακές Υπογραφές

«Αnti- Spamming σε publish/ subscribe συστήματα»

Ασφάλεια Πληροφοριακών Συστημάτων

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ Πρόγραμμα Μεταπτυχιακών Σπουδών (Π.Μ.Σ.) Ασφάλεια Δικτύων. Δρ. Κωνσταντίνος Παπαπαναγιώτου

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 5 ΣΕΛΙ ΕΣ

ΑΣΦΑΛΕΙΑ & ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ(Θ)

Cryptography and Network Security Chapter 15

Κρίσιμα θέματα στην πορεία προς την Ηλεκτρονική Διοίκηση και Διακυβέρνηση: Οι παρεμβάσεις του κράτους και η κοινωνία των πολιτών

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS. Β. Μάγκλαρης

Σελίδες Βοήθειας - Υπηρεσία Ψηφιακών Πιστοποιητικών - Υπηρεσία Εγκατάσταση Πιστοποιητικών Αρχής Πιστοποίησης (ROOT CA)

Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL

Ασφάλεια Υπολογιστικών Συστημάτων

Μελέτη Μεθόδων Ασφάλειας Ιατρικών Δεδομένων

Συμμόρφωση με το ΠΨΑ Παραδείγματα εφαρμογής

ΤΟ ΣΥΣΤΗΜΑ «ΕΡΜΗΣ» ΤΟΥ ΧΡΗΜΑΤΙΣΤΗΡΙΟΥ ΑΘΗΝΩΝ (ΧΑ) ΚΑΙ ΟΙ ΥΠΗΡΕΣΙΕΣ ΨΗΦΙΑΚΗΣ ΠΙΣΤΟΠΟΙΗΣΗΣ ΤΗΣ ΑΣΥΚ Α.Ε.

Ψηφιακή Υπογραφή. Εργασία της φοιτήτριας Αμαλίας Γιαννακά. Μάθημα «Ψηφιακές Βιβλιοθήκες» Υπεύθυνος Καθηγητής Σαράντος Καπιδάκης

Transcript:

Τεχνολογία Ηλεκτρονικού Εμπορίου 6η διάλεξη: Ασφάλεια ιαδικτυακών Συναλλαγών και Ηλεκτρονικού Εμπορίου (EC Security) Χρήστος Γεωργιάδης

Απαιτήσεις Ασφάλειας Συναλλαγών Ηλεκτρονικού Εμπορίου Πιστοποίηση Αυθεντικότητας (authentication): μια μέθοδος επαλήθευσης της ταυτότητας των δυο συναλλασσόμενων μερών (π.χ. αγοραστή και πωλητή) πριν να ολοκληρωθούν κρίσιμες ενέργειες (π.χ. πριν γίνει η πληρωμή). Εξουσιοδότηση (authorization): περιλαμβάνει τον έλεγχο της πρόσβασης (access control) των χρηστών σε συγκεκριμένες πληροφορίες και υπηρεσίες με υποστήριξη δικαιωμάτων (permissions) πρόσβασης Μη-αποποίηση ευθύνης (non-repudiation): προστασία από την άρνηση των συναλλασσομένων να αρνηθούν τη συμμετοχή τους σε μια συναλλαγή (π.χ. πελατών να πληρώσουν παραγγελίες που έδωσαν, ήπωλητώνότι έλαβαν μια πληρωμή). Βασική αρχή: υπευθυνότητα (accountability). 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 2

Απαιτήσεις Ασφάλειας Συναλλαγών Ηλεκτρονικού Εμπορίου -2 Εμπιστευτικότητα (confidentiality): εξασφάλιση ότι τα μηνύματα θα είναι ακατάληπτα για όλους εκτός εκείνων που πρέπει να τα κατανοήσουν. Ακεραιότητα (integrity): επιβεβαίωση ότι οι πληροφορίες δεν θα αλλάξουν/καταστραφούν κατά λάθος ή σκόπιμα (συνήθως κατά τη μετάδοση, αλλά όχι μόνο). ιαθεσιμότητα (availability): Aφορά τη δυνατότητα άμεσης πρόσβασης στις πληροφορίες, στις υπηρεσίες και γενικότερα σε όλους τους πόρους πληροφορικής τεχνολογίας (IT resources) όταν ζητούνται, χωρίς αδικαιολόγητες καθυστερήσεις. Ο όρος άρνηση εξυπηρέτησης (denial of service) αντίθετος του όρου διαθεσιμότητα - περιγράφει συνήθως μια επιτυχημένη επίθεση (attack) κατηγορίας «διακοπής». 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 3

Ασφάλεια Ηλεκτρονικού Εμπορίου ειδικά θέματα απειλές στο ιαδίκτυο 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 4

Βασικές απειλές ασφάλειας στο Διαδίκτυο Σε γενικές γραμμές τα πρωτόκολλα του Internet, δίνουν τη δυνατότητα σε ένα τρίτο μέρος να παρέμβει με τους ακόλουθους τρόπους στην επικοινωνία δυο νόμιμων μερών: Κρυφάκουσμα (eavesdropping): Οι πληροφορίες παραμένουν ανέγγιχτες, αλλά παραβιάζεται η εμπιστευτικότητά τους. Πχ. η καταγραφή μιας ιδιωτικής συζήτησης. Παραποίηση (tampering): Οι πληροφορίες κατά τη μεταφορά τους μεταβάλλονται ή τροποποιούνται και στη συνέχεια στέλνονται στον αποδέκτη. Πχ. η αλλαγή μιας αίτησης χρήστης (user s request) ή μιαςαπάντησης συστήματος (system s response). 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 5

Βασικές απειλές ασφάλειας στο Διαδίκτυο II Πλαστοπροσωπία (impersonation): Οι πληροφορίες πηγαίνουν σε ένα πρόσωπο που παριστάνει το νόμιμο αποδέκτη. Χρησιμοποιείται και ο όρος προσποίηση (spoofing) για τη περιγραφή της κατάστασης όπου κάποιος ή κάτι επιχειρεί να φανεί σαν κάποιος ή κάτι άλλο. Π.χ. ένας χρήστης μπορεί να ισχυρίζεται ότι έχει μια συγκεκριμένη διεύθυνση e-mail, ή ένας δικτυακός τόπος μπορεί να αυτό-προσδιορίζεται ως μια συγκεκριμένη URL (Uniform Resource Locator) διεύθυνση, χωρίς τίποτε από αυτά να ισχύει στη πραγματικότητα. 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 6

Βασικοί χειρισμοί ασφάλειας στο Διαδίκτυο Συνεπώς, οι χειρισμοί ασφάλειας (security controls) στο ιαδίκτυο κινούνται σε τρεις κυρίως κατευθύνσεις: Αρχικά, είναι η προστασία της ιδιωτικότητας των δεδομένων με βασικό όπλο τους μηχανισμούς κρυπτογράφησης. Στη συνέχεια είναι η προστασία στα επικοινωνούντα μέρη του ενόςαπότοάλλο, δηλαδή του αποστολέα από το παραλήπτη, και αντίστροφα. Αυτό σημαίνει τη προστασία της ακεραιότητας των δεδομένων από τότε που έφυγαν από τον αποστολέα, αλλά και την υποστήριξη μη-αποποίησης ευθύνης ενεργειών για τα δυο μέρη. Μηχανισμοί σχετικοί με ψηφιακές υπογραφές χρησιμοποιούνται ευρύτατα για τέτοιες λειτουργίες. 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 7

Βασικοί χειρισμοί ασφάλειας στο Διαδίκτυο IΙ Τέλος, είναι ο έλεγχος γνησιότητας της ταυτότητας των χρηστών, των προγραμμάτων ή των μηχανημάτων (μέσω κυρίως συνθηματικών και ψηφιακών πιστοποιητικών) καθώς και των εξουσιοδοτήσεων που διαθέτουν για τη προσπέλαση των προστατευμένων πόρων του συστήματος (μέσω μηχανισμών ελέγχου προσπέλασης). 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 8

Υπηρεσίες ασφάλειας (security services) Πιο αναλυτικά, η διαχείριση ασφάλειας (security management) οφείλει να υποστηρίξει τις ακόλουθες υπηρεσίες ασφάλειας γνωστές και ως λειτουργίες ασφάλειας (security functions): α) Εμπιστευτικότητα δεδομένων (data confidentiality): Η προστασία ενάντια σε μη-εξουσιοδοτημένες αποκαλύψεις πληροφοριών. Η τεχνολογία της κρυπτογράφησης (encryption or cryptography) είναι σχεδόν συνώνυμη της λειτουργίας αυτής, λόγω του κυρίαρχου ρόλου της. Υπάρχει όμως και μια ειδική κατηγορία απειλών εμπιστευτικότητας που απαιτεί ειδικά μέτρα αντιμετώπισης: 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 9

Μέθοδοι ελέγχου κίνησης δικτύου (traffic controls) Έλεγχος δρομολόγησης (routing control): Ο διαχειριστής προσπαθεί να επέμβει ενεργά στη διαδρομή που ακολουθούν τα μηνύματα. Έτσι περιοδικά, καθυστερεί πακέτα δεδομένων, αλλάζει τους ενδιάμεσους κόμβους που επισκέπτονται ή ακόμη και σβήνει ορισμένα (δεν υπάρχει πρόβλημα, αφού το TCP/IP έχει ανοχές αρκετές ώστε να ξαναζητάει από τους διανομείς τα χαμένα πακέτα δεδομένων). Παρεμβολές στη κίνηση (traffic pad): Ο διαχειριστής ασφάλειας εισάγει θόρυβο στο δίκτυο, δηλαδή πλαστά μηνύματα, με σκοπό να διαταραχθεί η κανονική ροή των πληροφοριών και να συγκαλύψει τις πραγματικές ποσότητες στη κυκλοφορία των δεδομένων. 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 10

Υπηρεσίες ασφάλειας: ακεραιότητα δεδομένων β)ακεραιότητα δεδομένων (data integrity): Η δυνατότητα εντοπισμού παραποίησης και ανάκτησης των δεδομένων. Για τη προστασία της εγκυρότητας των δεδομένων εκτός της κρυπτογράφησης, χρησιμοποιούνται μηχανισμοί δημιουργίας περιλήψεων μηνυμάτων (message digests) και ψηφιακών υπογραφών (digital signatures). 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 11

Υπηρεσίες ασφάλειας: αδυναμία απάρνησης γ) Μη-αποποίηση ευθύνης (non-repudiation): Η προστασία από την μη-ανάληψη ευθύνης ενός αποστολέα ότι αυτός έστειλε συγκεκριμένα δεδομένα (non-repudiation of origin), καθώς και από την άρνηση ενός παραλήπτη ότι παρέλαβε κάποια δεδομένα (non-repudiation of delivery). Χρησιμοποιούνται οι προαναφερθέντες μηχανισμοί προστασίας ακεραιότητας δεδομένων, μαζί με υποδομές υποστήριξης και διακίνησης ψηφιακών πιστοποιητικών (X.509 certificates). Εποπτείες ή Αρχές Πιστοποίησης (Certification Authorities) αναλαμβάνουν την ευθύνη, ως τρίτες έμπιστες συμβολαιογραφικές αρχές (3 rd party trusted notaries) για την δημιουργία κλίματος εμπιστοσύνης στα επικοινωνούντα μέρη. 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 12

Υπηρεσίες ασφάλειας:αναγνώριση-πιστοποίηση δ) Αναγνώριση και πιστοποίηση (identification and authentication): Η απαίτηση πληροφοριών πιστοποίησης, οι οποίες διακινούνται συνήθως κρυπτογραφημένα, και οι οποίες μπορούν να επιβεβαιώνουν τη ταυτότητα των μερών που επικοινωνούν. Ο έλεγχος αυθεντικότητας αφορά δυο διακεκριμένες περιπτώσεις: τη ταυτότητα των χρηστών (user or entity authentication). τη ταυτότητα των συστημάτων ως αφετηρίες πηγές προέλευσης μηνυμάτων (origin authentication). 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 13

Υπηρεσίες ασφάλειας: αναγνώριση-πιστοποίηση ΙΙ Ταυτότητα των χρηστών - Συνήθως συμβαίνει στην αρχή μιας τοπικής σύνδεσης (local logon) καιοιμηχανισμοίπου χρησιμοποιούνται ονομάζονται πρωτόκολλα αυθεντικότητας (authentication protocols). Παραδείγματα τέτοιων μηχανισμών είναι η χρήση αναγνωριστικού και συνθηματικού (user-id & password), οι τεχνικές πρόκλησης-απόκρισης (challenge-response techniques) και άλλες μορφές διαπιστευτηρίων (credentials). ταυτότητα των συστημάτων - Χρησιμοποιείται και ο όρος πιστοποίηση κατανεμημένων συστημάτων (authentication of distributed systems). Η λειτουργία αυτή έχει συναφές έργο με την λειτουργία της μη-αποποίησης ευθύνης αποστολέα (nonrepudiation of origin) και συνεπώς στηρίζεται στις μηχανισμούς ψηφιακών υπογραφών πιστοποιητικών και αξιοποίησης έμπιστων τρίτων μερών (trusted third parties). 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 14

Υπηρεσίες ασφάλειας: έλεγχος προσπέλασης ε) Έλεγχος προσπέλασης (access control) και εξουσιοδοτήσεις (authorizations): Η προστασία ενάντια σε μη-εξουσιοδοτημένη χρήση των πόρων, είτε είναι υλικό (δικτυακό υλικό, μονάδες επεξεργασίας αποθήκευσης κλπ.), είτε λογισμικό (κώδικας που εκτελείται ή πρόκειται να εκτελεστεί), είτε δεδομένα. Μηχανισμοί όπως οι λίστες ελέγχου προσπέλασης (Access Control Lists-ACLs) και οι ετικέτες ασφάλειας (security labels), χρησιμοποιούνται για το περιορισμό στη προσπέλαση των πόρων. Γενικότερα, υποστηρίζουν πολιτικές ασφάλειας που παρέχουν μια πολλαπλών επιπέδων και διαφοροποιημένη προσπέλαση πόρων (supporting different levels of resource access) στους χρήστες ανάλογα με το επίπεδο εμπιστοσύνης που μπορούν να τεκμηριώσουν. 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 15

Υπηρεσίες ασφάλειας: έλεγχος προσπέλασης ΙΙ Τα δικαιώματα προσπέλασης (access rights) είναι οι απαραίτητες πληροφορίες που συσχετίζουν ένα σύστημα πελάτη με ένα σύστημα διανομέα και καθορίζουν αν ο πελάτης θα αποκτήσει συγκεκριμένου τύπου προσπέλαση σε ένα συγκεκριμένο πόρο του διανομέα. Να τονιστεί εδώ, ότι στη περίπτωση του Internet πολύ συχνά και ανάλογα με τη χρονική στιγμή, οι ρόλοι αλλάζουν και ένας διανομέας λειτουργεί προσωρινά ως πελάτης και το αντίστροφο. Οπότε η ασφάλεια πρέπει κάθε φορά να βλέπει και προς τις δυο κατευθύνσεις ροής των πληροφοριών. 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 16

Υπηρεσίες ασφάλειας: διαχείριση ασφάλειας Επιπλέον σημαντικές παράμετροι για την διαχείριση ασφάλειας στο ιαδίκτυο, αποτελούν οι μηχανισμοί: Επίβλεψης (auditing) και υπευθυνότητας (accountability): Καταγράφουν τις δηλώσεις ταυτότητας και τις ενέργειες των χρηστών (αλλά και των συστημάτων) που αποκτούν πρόσβαση σε προστατευμένους πόρους. Ελέγχου αποδοτικότητας δικτύου (efficiency controls): Πρόκειται για μηχανισμούς που καταγράφουν και παρακολουθούν τη συνολική απόδοση του συστήματος και τη κίνηση του δικτύου, με σκοπό την αποτροπή καταστάσεων άρνησης εξυπηρέτησης (prevention of Denial of Service). 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 17

Υπηρεσίες ασφάλειας: διαχείριση ασφάλειας ΙΙ Υποστήριξης συνεργασίας των υπηρεσιών ασφάλειας που προσφέρονται από εφαρμογές (callable security services from applications): Οι εφαρμογές που εκτελούνται στο ιαδίκτυο, διαθέτουν ενδεχομένως χαρακτηριστικά ασφάλειας που πρέπει να μπορούν να κληθούν και να λειτουργούν με ενιαίους τρόπους. Η βασική έννοια της υποστήριξης ενός βασικού πλαισίου συνεργασίας ασφαλών εφαρμογών (Security Application Program Interface) προωθείται μέσω των τεχνολογιών Generic Security Service API, Generic Cryptographic Service API και Generic Audit Service API). 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 18

Επισημάνσεις - Συμπεράσματα Η ασφάλεια των πληροφοριακών συστημάτων, ως κλάδος της επιστήμης της Πληροφορικής, έχει αντικείμενο τη πρόληψη μη-εξουσιοδοτημένων ενεργειών των χρηστών ενός πληροφοριακού συστήματος καθώς και την ανίχνευση και την κατάλληλη αντίδραση στις περιπτώσεις εκδήλωσής τους. Τα δίκτυα μπορεί να ειδωθούν ως κάποιες περισσότερο σύνθετες περιπτώσεις πληροφοριακών συστημάτων, και έτσι είναι ουσιαστικά οι γνώριμες απειλές εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας οι οποίες εκδηλώνονται και σε αυτά αλλά με πολύ περισσότερους και διαφορετικούς τρόπους. Σε ένα μάλιστα ανοικτό δικτυακό περιβάλλον, όπως αυτό του Internet, oι κίνδυνοι πολλαπλασιάζονται λόγω της έλλειψης εμπιστοσύνης προς οποιαδήποτε εξωτερική, ως προς το υπό προστασία σύστημα, οντότητα 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 19

Επισημάνσεις ΙΙ Ο τρόπος αντιμετώπισης των προβλημάτων ασφάλειας στηρίζεται σε τρεις θεμελιώδεις αρχές. Σύμφωναμετην αρχή της ευκολότερης διείσδυσης, ένας επίδοξος εισβολέας θα χρησιμοποιήσει τον ευκολότερο για αυτόν τρόπο επίθεσης. Για αυτό το λόγο όλες οι αδυναμίες ενός πληροφοριακού συστήματος πρέπει να προφυλαχθούν στον ίδιο βαθμό. Ακόμη περισσότερο, πρέπει τα ζητήματα ασφάλειας, από κάθε άποψη, να μελετηθούν και να απαντηθούν ως ένα ενιαίο σύνολο, έτσι ώστε να είναι δυνατή η επίτευξη ενός ομοιόμορφου επιπέδου ασφάλειας σε όλα τα συστατικά μέρη του πληροφοριακού συστήματος ή δικτύου. Σύμφωναμετηδεύτερη αρχή της κατάλληλης προστασίας, τα μέρη ενός συστήματος πρέπει να προστατεύονται πάντα σε ένα βαθμό ανάλογο και συνεπή ως προς την αξία τους. 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 20

Επισημάνσεις ΙΙΙ Τέλος, σημαντικό ρόλο διαδραματίζει και η τρίτη αρχή της αποτελεσματικότητας, η οποία ορίζει ως προϋποθέσεις αποτελεσματικότητας των μέτρων προστασίας, την ευχρηστία, την επάρκεια και τη καταλληλότητά τους, έτσι ώστε αυτά να είναι όντωςσεισχύότανεκδηλωθούνταπροβλήματαασφάλειας. 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 21

ΤΕΧΝΟΛΟΓΙΕΣ ΑΣΦΑΛΕΙΑΣ ΣΤΟ ΙΑ ΙΚΤΥΑΚΟ ΠΕΡΙΒΑΛΛΟΝ Σε επόμενη ενότητα, θα παρουσιαστούν οι σημαντικότερες από τις διαθέσιμες τεχνολογίες διασφάλισης στο ιαδίκτυο, οι οποίες αποτελούν πολύ χρήσιμα εργαλεία υποστήριξης μέτρων προστασίας. Η κατάλληλη διαμόρφωση και εφαρμογή τους, πρέπει να γίνεται πάντοτε με γνώμονα τις θεμελιώδεις προαναφερθείσες αρχές, έτσι ώστε αυτές να οδηγούν στο υψηλότερο δυνατό επίπεδο ασφάλειας. 12/12/2011 Δρ. Χρήστος Κ. Γεωργιάδης - Πανεπιστήμιο Μακεδονίας 22

Τεχνολογίες Ασφαλείας - Κρυπτογράφηση Κρυπτογράφηση μυστικού κλειδιού (συμμετρική) Κλειδί αποστολέα (= Κλειδί παραλήπτη ) Κλειδί παραλήπτη Original Scrambled Internet Scrambled Original Sender Encryption Decryption Receiver 12/12/2011 Πανεπιστήμιο Μακεδονίας Δρ. Γεωργιάδης Κ. Χρήστος 23

Τεχνολογίες Ασφαλείας -2 Κρυπτογράφηση δημόσιου κλειδιού (ασύμμετρη) Public Key receiver Private Key receiver Μήνυμα () Original Scrambled Internet Scrambled Original Sender Receiver Ψηφιακή Υπογραφή (Digital Signature) Private Key sender Original Sender Scrambled Internet Public Key sender Scrambled Original Receiver 12/12/2011 Πανεπιστήμιο Μακεδονίας Δρ. Γεωργιάδης Κ. Χρήστος 24

Ψηφιακή Υπογραφή o Κατ αναλογία με τη χειρόγραφη υπογραφή 12/12/2011 Ο αποστολέας κρυπτογραφεί ένα μήνυμα με το ιδιωτικό κλειδί του (κλειδί υπογραφών) Ηψηφιακήυπογραφή επισυνάπτεται από τον αποστολέα σε ένα μήνυμα κρυπτογραφημένο με το δημόσιο κλειδί του παραλήπτη Πανεπιστήμιο Μακεδονίας Κάθε παραλήπτης που έχει το δημόσιο κλειδί του αποστολέα, μπορεί να παραλάβει το μήνυμα Ο παραλήπτης είναι ο μόνος που μπορεί να διαβάσει το μήνυμα και ταυτόχρονα είναι σίγουρος ότι αυτό στάλθηκε πράγματι από τον αποστολέα Δρ. Γεωργιάδης Κ. Χρήστος 25

Συνδυασμός Συμμετρικής και Ασύμμετρης Κρυπτογραφίας Υπολογιστής Αποστολέα (sender) 1. Το μήνυμα μετατρέπεται (hashed) σε μια προκαθορισμένου μήκους σύνοψη μηνύματος. 2. Η σύνοψη (message digest) κρυπτογραφείται με το ιδιωτικό κλειδί υπογραφών του αποστολέα, και μια ψηφιακή υπογραφή δημιουργείται (μοναδική για το συγκεκριμένο μήνυμα). 3. Η σύνθεση του μηνύματος, της ψηφιακής υπογραφής, και του πιστοποιητικού του αποστολέα κρυπτογραφείται με το συμμετρικό (γρήγορης κρυπτογράφησης) κλειδί που παράγεται στον υπολογιστή του αποστολέα για κάθε συναλλαγή. Το αποτέλεσμα είναι ένα κρυπτογραφημένο μήνυμα. 4. Το ίδιο το συμμετρικό κλειδί κρυπτογραφείται με το δημόσιο κλειδί του αποδέκτη που έχει σταλεί στον αποστολέα εκ των προτέρων. Το αποτέλεσμα είναι ένας ψηφιακός φάκελος. 12/12/2011 Πανεπιστήμιο Μακεδονίας Δρ. Γεωργιάδης Κ. Χρήστος 26

Υπολογιστής Αποστολέα (sender) Sender s Private Signature Key + Digest Digital Signature + + Sender s Certificate Encrypt Symmetric Key Encrypted Receiver s Certificate Encrypt Receiver s Key-Exchange Key Digital Envelope 12/12/2011 Πανεπιστήμιο Μακεδονίας Δρ. Γεωργιάδης Κ. Χρήστος 27

Συνδυασμός Συμμετρικής και Ασύμμετρης Κρυπτογραφίας Υπολογιστής Αποδέκτη (receiver) 5. Το κρυπτογραφημένο μήνυμα και ο ψηφιακός φάκελος διαβιβάζονται στον υπολογιστή του αποδέκτη μέσω του Διαδικτύου. 6. Ο ψηφιακός φάκελος αποκρυπτογραφείται με το ιδιωτικό κλειδί του αποδέκτη. 7. Χρησιμοποιώντας το αποκατεστημένο συμμετρικό κλειδί, το κρυπτογραφημένο μήνυμα μπορεί να αποκατασταθεί στο μήνυμα, την ψηφιακή υπογραφή, και το πιστοποιητικό του αποστολέα. 8. Για να επιβεβαιώσει την ακεραιότητα, η ψηφιακή υπογραφή αποκρυπτογραφείται από το δημόσιο κλειδί του αποστολέα, λαμβάνοντας τη σύνοψη μηνύματος. 9. Το παραδοθέν μήνυμα μετατρέπεται για να παραγάγει τη σύνοψη μηνύματος. 10. Οι συνόψεις μηνυμάτων που λαμβάνονται από τα βήματα 8 και 9 αντίστοιχα, συγκρίνονται από τον αποδέκτη για να επιβεβαιώσουν εάν υπήρξε οποιαδήποτε αλλαγή κατά τη διάρκεια της μετάδοσης. Αυτό το βήμα επιβεβαιώνει την ακεραιότητα. 12/12/2011 Πανεπιστήμιο Μακεδονίας Δρ. Γεωργιάδης Κ. Χρήστος 28

Υπολογιστής Αποδέκτη (receiver) Digital Envelope Receiver s Private Key-Exchange Key Decrypt Digest Encrypted Decrypt Symmetric Key + + Sender s Certificate compare Digital Signature Decrypt Sender s Public Signature Key Digest 12/12/2011 Πανεπιστήμιο Μακεδονίας Δρ. Γεωργιάδης Κ. Χρήστος 29

Πιστοποιητικό (certificate) o Αναγνωρίζει το κάτοχο ενός δημόσιου κλειδιού (Key-Exchange key) o Εκδίδεται από μια έμπιστη αρχή πιστοποίησης (certificate authority, CA) o Ζητήματα Εμπιστοσύνης (Trust) Name : Richard key-exchange Key : Signature Key : Serial # : 29483756 Other Data : 10236283025273 Expires : 9/12/09 Signed : CA s Signature 12/12/2011 Πανεπιστήμιο Μακεδονίας Δρ. Γεωργιάδης Κ. Χρήστος 30

Αρχές Πιστοποίησης (CAs) Ενδεικτικά: VeriSign, PKI@AUTH o Οργανισμοί δημόσιοι ή ιδιωτικοί, ιεραρχικά δομημένοι o Υπηρεσίες έμπιστου τρίτου μέρους (trusted third party) o Εκδίδουν ψηφιακά πιστοποιητικά και επιβεβαιώνουν ότι ένα δημόσιο κλειδί ανήκει πράγματι σε ένα συγκεκριμένο άτομο RCA BCA GCA CCA MCA PCA RCA : Root CA, Κεντρική Αρχή BCA : Brand CΑ, Επώνυμη Αρχή GCA : Geo-political CΑ, μια εθνικά καθορισμένη Αρχή Πιστοποίησης CCA : Cardholder CΑ, Αρχή Κατόχου κάρτας MCA : Merchant CΑ, Αρχή Εμπόρου PCA : Payment Gateway CA, πιστοποίησης πύλης πληρωμών Ιεραρχία Αρχών Πιστοποίησης 12/12/2011 Πανεπιστήμιο Μακεδονίας Δρ. Γεωργιάδης Κ. Χρήστος 31

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια