Počítačové sítě a operační systémy
Jaromír PlhákPB169 Počítačové sítě a operační systémy
Jaromír Plhák
xplhak@fi.muni.cz
Bezpečnost v informačních
technologiích
PB169 Počítačové sítě a operační systémy Snímek 2 z 54
Základní pojmy (1)
• Aktiva
– Něco co mám a má to pro mne hodnotu
• Škoda
– Snížení hodnoty aktiva
• Hrozba
– Existuje pokud je systém zranitelný
• Zranitelnost
– Zranitelné místo + potenciální útočník
• Útok
– Útok může způsobit škodu
– Je realizací hrozby
PB169 Počítačové sítě a operační systémy Snímek 3 z 54
Základní pojmy (2)
• Důvěrnost dat (Confidentiality)
– Informace jsou srozumitelné / přístupné / sdělené jen
těm, kdo jsou k tomu oprávněni
• Integrita dat (Integrity)
– Informace jsou správné, úplné, nebyly neautorizovaně
změněny
• Dostupnost dat (Availability)
– Informace / služby jsou autorizovaným uživatelům k
dispozici kdykoli to potřebují resp. kdykoli je určeno,
že mají být k dispozici
PB169 Počítačové sítě a operační systémy Snímek 4 z 54
Základní pojmy (3)
• Autentičnost (Authenticity)
– Integrita + zajištění původu (zpráv, dat, ..)
• Odpovědnost (Accountability)
– Kdo za co odpovídá
• Nepopiratelnost (Nonrepudiation)
– Nemožnost popřít deklarovaný původ (např.
zprávy)
PB169 Počítačové sítě a operační systémy Snímek 5 z 54
Základní pojmy (4)
• Autentizace
– Proces ověření (a tím i ustavení) identity (s
požadovanou mírou záruky)
• Autorizace
– Udělení určitých práv a určení povolených aktivit
• Identifikace
– Rozpoznání určité entity (systémem) v dané
množině entit
PB169 Počítačové sítě a operační systémy Snímek 6 z 54
Základní pojmy (5)
• Kryptografie
– Ochrana významu (informační hodnoty) dat i „na dálku“
• Kryptoanalýza
– Zjišťování slabin kryptografických algoritmů a parametrů
• Kryptologie
– Kryptografie & kryptoanalýza
• Steganografie
– Utajení samotné existence dat
• Vodotisk (watermarking)
– Překryv se steganografií, metody vložení (ochranných)
informací do dat
PB169 Počítačové sítě a operační systémy Snímek 7 z 54
Kde kryptografie pomáhá
• Důvěrnost dat
• Integrita dat
• Autenticita dat (integrita a ověření původu)
• Nepopiratelnost
• Autentizace a autorizace uživatelů/strojů
– Dostupnost
– Prokazatelná zodpovědnost
– Řízení přístupu
• ...
PB169 Počítačové sítě a operační systémy Snímek 8 z 54
Tři dimenze kryptografie
• Druh a parametry klíčů
– Symetrické = konvenční = sdílené
– Asymetrické = veřejné & soukromé
– Bez klíčů (hašovací funkce, RND)
• Způsob zpracování dat
– Po blocích
– V souvislém proudu
• Druhy použitých operací
– Substituce
– Permutace
PB169 Počítačové sítě a operační systémy Snímek 9 z 54
Kerckhoffsův princip
• Algoritmus – postup – je všem znám a všemi
ověřitelný (jako bezpečný)
• Klíč – tajná informace – musí být chráněna
před nepovolanými osobami
PB169 Počítačové sítě a operační systémy Snímek 10 z 54
Co je hašování (hashování)
• “Otisk dat”
– Malý a jedinečný reprezentant jakkoliv velkých dat
– 01:A0:7D:2B:76:52:67:05:EC:43:6F:B3:68:CE:20:E7
• Hašovací funkce
– Jednosměrnost, bezkoliznost
– Dnes považovány za bezpečné – SHA-256 a verze
vyšší
– Nedostatečně bezpečné – SHA-1 (160 bit), MD5
(128 bit)
PB169 Počítačové sítě a operační systémy Snímek 11 z 54
Obvyklé označení činitelů
Alice
Bob
Eva
PB169 Počítačové sítě a operační systémy Snímek 12 z 54
Šifrovací
algoritmus
Dešifrovací
algoritmus
Tajný klíč
Otevř. text Zašifr. text Otevř. text
Převzato z: Network and
Internetwork Security (Stallings)
Zjednodušený model
konvenčního šifrování
PB169 Počítačové sítě a operační systémy Snímek 13 z 54
Šifrovací
algoritmus
Dešifrovací
algoritmus
Bobův veřejný klíč
Otevř. text Zašifr. text Otevř. text
Alice
Bobův privátní klíč
Bob
Převzato z: Network and
Internetwork Security (Stallings)
Zjednodušený model šifrování
veřejným klíčem
PB169 Počítačové sítě a operační systémy Snímek 14 z 54
Šifrování veřejným klíčem
Alice
Šifrování
Bob - veřejný
klíč
Bob
Pošli:
kilo masa,
litr mléka,
alimenty...
Pošle
hjsdkyufdzjc
njkeldhcjdzc
ndjlszhcjdnc
jldzncjdzncjk
lzdxnckzdx
PB169 Počítačové sítě a operační systémy Snímek 15 z 54
Dešifrování zprávy od Alice
Dešifrování
Bob privátní
klíč
hjsdkyufdzjc
njkeldhcjdzc
ndjlszhcjdnc
jldzncjdzncjk
lzdxnckzdx
Bob
Pošli:
kilo masa,
litr mléka,
alimenty...
PB169 Počítačové sítě a operační systémy Snímek 16 z 54
Co je digitální podpis?
Alice
Podpis
Milý Bobe,
o ty alimenty
skutečně žádám
já - Alice
Alice privátní
klíč
Certifikát -
Alicin
veřejný
klíč
Bob
Ověření
podpisu
Tvorba
podpisu
Veřejný klíč B
Podepsaná
zpráva
Uživatel A
Soukromý
klíč B
Uživatel B
Autentičnost
Integrita
Nepopiratelnost původu
Dešif-
rování
Šifrování
Šifrovaná
zpráva
Zpráva
Uživatel A
Veřejný klíč A
Soukromý
klíč A
Uživatel B
Důvěrnost
Zpráva
PB169 Počítačové sítě a operační systémy Snímek 18 z 54
Certifikát
• Certifikát – veřejný klíč uživatele podepsaný soukromým
klíčem důvěryhodné třetí strany
• Certifikát spojuje jméno držitele páru soukromého a
veřejného klíče s tímto veřejným klíčem a potvrzuje tak
identitu osoby
• Poskytuje záruku že identita spojená s vlastníkem daného
veřejného klíče není podvržená
• Případně také představuje doklad o tom, že totožnost
držitele veřejného klíče byla ověřena
PB169 Počítačové sítě a operační systémy Snímek 19 z 54
Elektronický podpis
• Zákon o elektronickém podpisu č. 227/2000 Sb. (změněn
několika novelizacemi)
• „Elektronickým podpisem se rozumí údaje v elektronické
podobě, které jsou připojené k datové zprávě nebo jsou s
ní logicky spojené a které slouží jako metoda k
jednoznačnému ověření identity podepsané osoby ve
vztahu k datové zprávě“
• Elektronickým podpisem tak může být i pouhé jméno
napsané na klávesnici
PB169 Počítačové sítě a operační systémy Snímek 20 z 54
Není podpis jako podpis (1)
• Elektronický podpis
– Téměř cokoliv
• Zaručený elektronický podpis
– V podstatě digitální podpis
• Zaručený elektronický podpis založený na
kvalifikovaném certifikátu
– Digitální podpis, certifikát veřejného klíče vydán
kvalifikovanou CA (splnila podmínky zákona a
oznamovací povinnost)
PB169 Počítačové sítě a operační systémy Snímek 21 z 54
Není podpis jako podpis (2)
• Zaručený elektronický podpis založený na
kvalifikovaném certifikátu od akreditovaného
poskytovatele certifikačních služeb
– Také nazýván jako „uznávaný podpis“
– Digitální podpis, certifikát veřejného klíče vydán
akreditovanou CA (splnila podmínky zákona a získala
akreditaci)
– Jen tento podpis je uznáván v komunikaci se státní
správou a samosprávou
– V ČR dnes tři akreditované CA (I.CA, PostSignum a
eIdentity)
PB169 Počítačové sítě a operační systémy Snímek 22 z 54
Zaručený elektronický podpis
• Je jednoznačně spojen s podepisující osobou (jen
fyzická osoba!)
• Umožňuje identifikaci podepisující osoby ve
vztahu k datové zprávě
• Byl vytvořen a připojen k datové zprávě pomocí
prostředků, které podepisující osoba může udržet
pod svou výhradní kontrolou
• Je k datové zprávě, ke které se vztahuje, připojen
takovým způsobem, že je možno zjistit jakoukoliv
následnou změnu dat
PB169 Počítačové sítě a operační systémy Snímek 23 z 54
Elektronická značka
• Jednoznačně spojena s označující osobou (i
právnickou osobou nebo i org. složkou státu) a
umožňuje její identifikaci prostřednictvím
kvalifikovaného systémového certifikátu
• Byla vytvořena a připojena k datové zprávě
pomocí prostředku pro vytváření elektronických
značek, které označující osoba může udržet pod
svou výhradní kontrolou
• Je k datové zprávě, ke které se vztahuje,
připojena takovým způsobem, že je možné zjistit
jakoukoli následnou změnu dat
PB169 Počítačové sítě a operační systémy Snímek 24 z 54
Elektronický podpis vs. značka
• Elektronický podpis
– Podepisující osoba je fyzická osoba, která je držitelem
prostředku pro vytváření elektronických podpisů a jedná
jménem svým nebo jménem jiné fyzické či právnické osoby
– Pro ověření podpisu je vydáván certifikát (veřejného klíče)
• Elektronická značka
– Označující osobou fyzická osoba, právnická osoba nebo
organizační složka státu, která drží prostředek pro
vytváření elektronických značek a označuje datovou zprávu
elektronickou značkou
– Pro ověření podpisu je vydáván systémový certifikát
(veřejného klíče)
PB169 Počítačové sítě a operační systémy Snímek 25 z 54
Elektronický podpis vs. značka (1)
• Rozdíl je pouze procedurální
– „Datová zpráva je podepsána, pokud je opatřena
elektronickým podpisem. Pokud se neprokáže opak,
má se za to, že se podepisující osoba před podepsáním
datové zprávy s jejím obsahem seznámila.“ (§3 odst. 1)
„Použití zaručeného elektronického podpisu
založeného na kvalifikovaném certifikátu a
vytvořeného pomocí prostředku pro bezpečné
vytváření podpisu umožňuje ověřit, že datovou zprávu
podepsala osoba uvedená na tomto kvalifikovaném
certifikátu.“ (§3 odst. 2)
PB169 Počítačové sítě a operační systémy Snímek 26 z 54
Elektronický podpis vs. značka (2)
– „Použití elektronické značky založené na
kvalifikovaném systémovém certifikátu a
vytvořené pomocí prostředku pro vytváření
elektronických značek umožňuje ověřit, že
datovou zprávu označila touto elektronickou
značkou označující osoba.“ (§3a odst. 1)
„Pokud označující osoba označila datovou zprávu,
má se za to, že tak učinila automatizovaně bez
přímého ověření obsahu datové zprávy a vyjádřila
tím svou vůli. “ (§3a odst. 2)
PB169 Počítačové sítě a operační systémy Snímek 27 z 54
Elektronický podpis a značka
• Technologicky jde o totéž
– Jen automatizace použití a správa soukromého
klíče je jiná
– Viz §17 a §17a zákona
• Podle vyhlášky č. 378/2006 Sb. se jedná o
klasické algoritmy digitálního podpisu
– ETSI technical specifications
– ETSI technical reports
PB169 Počítačové sítě a operační systémy Snímek 28 z 54
Digitální podpis – algoritmy
• První algoritmy asymetrické kryptografie na začátku 70.
let 20. století
– Britská tajná služba GCHQ (Clifford Cocks)
– Veřejné oznámení až koncem 20. století (1997)
– Aplikaci algoritmů pro autentizaci – podpis – „objevila“
později až akademická komunita u svých veřejných
algoritmů
• První veřejné algoritmy koncem 70. let 20. století (W.
Diffie a M. Hellman ovlivněni prací R. Mercla)
• Nejznámější algoritmus RSA (Rivest, Shamir, Adelman)
publikován v roce 1977, patentován v roce 1983 (v
současné době patent již vypršel)
PB169 Počítačové sítě a operační systémy Snímek 29 z 54
Digital Signature Algorithm
• V roce 1994 proběhl v USA výběr Digital
Signature Standard (DSS) – vyhrál DSA (Digital
Signature Algorithm) modifikovaný algoritmus
ElGamal, založený na diskrétním logaritmu v Zp
• Další algoritmy, mj. založeny i na eliptických
křivkách
• NIST FIPS 186-3 nyní podporuje RSA (podle
PKCS#1), DSA (3072 bitů) a ECDSA (podle ANSI
X9.62)
PB169 Počítačové sítě a operační systémy Snímek 30 z 54
Digitální podpis – délky klíčů
• Algoritmus RSA
– Při jednom z popisů algoritmu (ve „Scientific
American“ v roce 1977) autoři publikovali příklad
kryptosystému (prvočísla měla 64 a 65 bitů),
o kterém věřili, že je bezpečný
– Tento příklad byl rozlomen v roce 1994
– Koncem roku 1999 došlo k prolomení 512bitového
modulo RSA (několik set rychlých počítačů pracovalo
přes 4 měsíce), v roce 2010 byl faktorizován 768
bitový RSA klíč
– V současné době se používá modulo o délkách 1024 až
4096 bitů
PB169 Počítačové sítě a operační systémy Snímek 31 z 54
Digitální podpis – RSA–
matematika
• Násobení prvočísel snadné, ale faktorizace čísel
výpočetně náročná
• Velká prvočísla p a q, n = p·q,
φ(n) = (p-1)(q-1)
• Zvolíme velké e takové, že gcd(e, φ(n)) = 1
• Spočítáme d = e-1 (mod φ(n))
• Veřejný klíč – n, e
Neveřejné parametry – p, q, d
• Šifrování – c = we mod n
• Dešifrování – w = cd mod n
PB169 Počítačové sítě a operační systémy Snímek 32 z 54
RSA příklad (1)
• Karel má veřejný klíč (e, n) = (13, 77)
• Zašifrujte vzkaz pro Karla, jímž je číslo m = 26
• Označme zašifrovaný text jako c
• Je to číslo z množiny {0, . . . , 76} splňující vztah
– c ≡ me ( mod n)
PB169 Počítačové sítě a operační systémy Snímek 33 z 54
RSA příklad (2)
• Řešíme kongruenci c ≡ 2613 (mod 77)
• Je zbytečné počítat číslo 2613 - místo toho
postupujeme následovně
– 261 ≡ 26 (mod 77)
– 262 ≡ 676 ≡ − 17 (mod 77)
– 264 ≡ ( − 17) 2 ≡ − 19 (mod 77)
– 268 ≡ ( − 19) 2 ≡ − 24 (mod 77)
– c ≡ 2613 ≡ 268+4+1 ≡ − 24 · ( − 19) · 26 ≡ 75 (mod 77)
• ⇒ Zašifrovaný text je c = 75
PB169 Počítačové sítě a operační systémy Snímek 34 z 54
RSA příklad (3)
• Dešifrujte vzkaz pro Karla, jímž je číslo c = 75
pomocí jeho soukromého klíče (d, n) = (37, 77)
(d je dešifrovací exponent).
• Označme dešifrovaný text jako m. Je to číslo z
množiny {0, . . . , 76} splňující vztah
– m ≡ cd (mod n) m ≡ 7537 (mod 77)
PB169 Počítačové sítě a operační systémy Snímek 35 z 54
RSA příklad (4)
• Řešíme kongruenci m ≡ 7537(mod 77)
• Je zbytečné počítat číslo 7537 - místo toho
postupujeme následovně
– 751 ≡ 75 (mod 77)
– 752 ≡ 5625 ≡ 4 (mod 77)
– 754 ≡ (4)2 ≡ 16 (mod 77)
– 758 ≡ (16)2 ≡ 25 (mod 77)
– 7516 ≡ (25)2 ≡ 9 (mod 77)
– 7532 ≡ (9)2 ≡ 4 (mod 77)
– m ≡ 7537 ≡ 7532+4+1 ≡ 4 · 16 · 75 ≡ 26 (mod 77)
• ⇒ Dešifrovaný text je m = 26
PB169 Počítačové sítě a operační systémy Snímek 36 z 54
RSA příklad (5)
• n = 77 = p · q = 7 · 11
• φ(n) = (p-1)(q-1) = 6 · 10 = 60
• gcd(e, φ(n)) = 1, platí gcd(13, 60) = 1
• d = e-1 (mod φ(n))
• x · 60 + y · 13 ≡ 1 (mod 60) a x · 60 ≡ 0 (mod 60)
• 60 = 4 · 13 + 8 ⇒ 8 = 60 - 4 · 13
• 13 = 1 · 8 + 5 ⇒ 5 = 13 - 1 · 8 ⇒ 5 = 13 - 1 · (60 - 4 · 13) ⇒ 5 = 5 · 13 -
60
• 8 = 1 · 5 + 3 ⇒ 3 = 8 - 1 · 5 ⇒ 3 = 60 - 4 · 13 - 1 · (5 · 13 - 60) ⇒ 3 =
120 - 9 · 13
• 5 = 1 · 3 + 2 ⇒ 2 = 5 - 1 · 3 ⇒ 2 = 5 · 13 - 60 - 1 · (120 - 9 · 13) ⇒ 2 =
14 · 13 - 180
• 3 = 1 · 2 + 1 ⇒ 1 = 3 - 1 · 2 ⇒ 1 = 120 - 9 · 13 - 1 · (14 · 13 - 180) ⇒ 1
= 300 - 23 · 13 ⇒ 1 = 5 · 60 - 23 · 13 a -23 ≡ 37 (mod 60)
PB169 Počítačové sítě a operační systémy Snímek 37 z 54
Výpočetní bezpečnost
• Bezpečnost RSA je založena na nesnadnosti faktorizace čísel
• Je zřejmé, že pouhým „vyzkoušením“ všech čísel do
odmocniny z n se nám podaří n faktorizovat
• Bezpečnost RSA je založena na tom, že faktorizovat velká
čísla (tím v současné době myslíme čísla o tisících bitů) v
rozumném čase neumíme
• Pokrok v oblasti faktorizace čísel (například nalezení nového
algoritmu) však může znamenat, že z veřejného klíče
budeme schopni odvodit klíč privátní
• Tento algoritmus je založen na tzv. „výpočetní bezpečnosti“
(nejen tento algoritmus, „výpočetní bezpečnost“ je běžně
používaný přístup)
PB169 Počítačové sítě a operační systémy Snímek 38 z 54
Hašovací funkce
• Kryptografická hašovací funkce
– Vstup libovolné délky
– Výstup pevné délky – n bitů
– Funkce není prostá (vznikají kolize)
– Haš slouží jako kompaktní reprezentace vstupu (nazýváme
též otisk, anglicky imprint, digital fingerprint nebo message
digest)
• Hašovací funkce často používáme při zajišťování
integrity dat. Spočítáme nejprve haš a pak pracujeme s
tímto hašem (například jej podepíšeme)
• Od 2012 již třetí verze SHA-3!
PB169 Počítačové sítě a operační systémy Snímek 39 z 54
Vlastnosti hašovacích funkcí
• Jednosměrnost
– Pro libovolné x je snadné spočítat h(x)
– V rozumném čase nejsme schopni pro pevně dané
y najít takové x, že h(x) = y
• Bezkoliznost
– (Slabá) – pro dané x nejsme schopni
v rozumném čase najít x’ (x ≠ x’) takové, že h(x) =
h(x’)
– (Silná) – v rozumném čase nejsme schopni najít
libovolná x, x’ taková, že h(x) = h(x’)
PB169 Počítačové sítě a operační systémy Snímek 40 z 54
Příklad hašovací funkce
• Uvažujme následující hašovací funkci
– Jednoduchý součet bajtů modulo 256
– Fixní osmibitový výstup
– Pro text „ahoj“ získáme 97 + 104 + 111 + 106
(mod 256) = 162
• Tuto funkci je sice jednoduché spočítat, není
to však dobrá kryptografická hašovací funkce,
neboť nemá vlastnost bezkoliznosti
– h(„ahoj“) = h(„QQ“) = h(„zdarFF“)
PB169 Počítačové sítě a operační systémy Snímek 41 z 54
Běžné kryptografické hašovací
funkce (1)
• MD4 – výstup 128 bitů
– Dnes se již nepoužívá
– Byly nalezeny slabiny v algoritmu (umožňující
nalezení kolizí, snižující efektivní výstup asi na 20
bitů)
• MD5 – výstup 128 bitů
– Dnes ještě používána, ačkoliv byly nalezeny
významné slabiny a algoritmus pro nalezení kolizí
– 128 bitů se již nepovažuje za dostatečně
bezpečnou délku!
PB169 Počítačové sítě a operační systémy Snímek 42 z 54
Běžné kryptografické hašovací
funkce (2)
• SHA-1 (Secure Hash Algorithm)
– Výstup 160 bitů
– NIST standard, používána v DSS (Digital Signature
Standard)
– Považována za bezpečnou pro jen nejbližší rok(y)
• „SHA-2“
– SHA-256, SHA-384, SHA-512 (a dodána SHA-224)
– Doporučuje se používat především tyto funkce!
– Definovány ve standardu (NIST) FIPS 180-2
PB169 Počítačové sítě a operační systémy Snímek 43 z 54
Hašovací funkce – příklady
• MD5
– Vstup – „Autentizace“
– Výstup – 2445b187f4224583037888511d5411c7
– Výstupem je 128 bitů, zapisujeme hexadecimálně
– Vstup – „Cutentizace“
– Výstup – cd99abbba3306584e90270bf015b36a7
– Změna jednoho bitu vstupu → velká změna výstupu
• SHA-1
– Vstup – „Autentizace“
– Výstup – dfcee447d609529f0335e67016557c281fc6eb44
PB169 Počítačové sítě a operační systémy Snímek 44 z 54
Protokoly vyšší úrovně – SSL/TLS
• Protokol SSL/TLS poskytuje
– Autentizaci stran – strany jsou autentizovány pomocí
certifikátů a protokolu výzva-odpověď
– Integritu – autentizační kódy (message authentication
code – MAC) zajišťují integritu a autenticitu dat
– Důvěrnost – po úvodní inicializaci („handshake“), je
ustaven symetrický šifrovací klíč, kterým je šifrována
všechna následující komunikace (včetně přenosu hesel
apod.)
PB169 Počítačové sítě a operační systémy Snímek 45 z 54
Principy SSL/TLS
• Pozice SSL/TLS
• Mezi aplikační vrstvou a protokolem TCP
• SSL/TLS nevidí do aplikačních dat
• SSL/TLS neprovádí elektronické
podepisování přenášených dat
Aplikační vrstva
SSL/TLS
TCP/UDP
IP
Linková vrstva
Fyzická vrstva
PB169 Počítačové sítě a operační systémy Snímek 46 z 54
Klíče v SSL/TLS
• Použití klíčů
– Klient generuje PreMasterSecret, šifruje veřejným
klíčem serveru a posílá serveru
– Obě strany vytvoří blok klíčů z PreMasterSecret (posílá
se šifrovaně) a náhodných čísel ClientHello a
ServerHello (posílají se nešifrovaně)
– Blok klíčů tvoří klíče pro
• MAC klient → server
• MAC server → klient
• Šifrování klient → server
• Šifrování server → klient
• Inicializační vektory
SSL/TLS
Client Hello
Server Hello, ( , Client Cert Request,…)
Server
Cert
Client
CertClient Key Exchange, Cipher Spec, ( , ...)
Application Data
S E C U R E
Client
Server
PB169 Počítačové sítě a operační systémy Snímek 48 z 54
Autentizace uživatelů tajnými
informacemi
• „Něco, co uživatel zná“ (a ostatní ne)
• Hesla
– Druhy hesel a jejich použití
– Správná práce s hesly
• PINy
• Výhody a nevýhody těchto autentizačních
metod
PB169 Počítačové sítě a operační systémy Snímek 49 z 54
Čas potřebný k analýze NTLM
hašů (na Anxurovi)
n c→ 26 znaků 36 (alfan.) 62 (a/A,alfan) 95 (kláves.)
5 15 s 1,3 min 19,9 min 2,8 h
6 6,69 min 47,2 min 20,5 h 11 d
7 3 h 1,2 d 55 d 3,1 r
8 3,26 d 44 d 9,6 r 290 r
9 84,8 d 4,5 r 590 r 28000 r
10 7,1 r 180 r 42000 r 3000000 r
PB169 Počítačové sítě a operační systémy Snímek 50 z 54
Autentizace uživatelů tokeny
• Token – „něco, co uživatel má“ (a ostatní ne)
• Inteligentní token
– Základní druhy
– Jejich princip a použití
• Čipové karty – využití, parametry, bezpečnost
• Výhody a nevýhody těchto autentizačních
metod
PB169 Počítačové sítě a operační systémy Snímek 51 z 54
Nejčastější tokeny v IT/IS
• Karty
– S magnetickým proužkem
– Čipové
– Kontaktní / bezkontaktní
• Čtečka na straně dotazovatele / kontrolovaného
(mobil)
– Autentizační kalkulátory
– S tajnou informací
– S hodinami
– Způsob vstupu/výstupu
PB169 Počítačové sítě a operační systémy Snímek 52 z 54
Úvod do biometrik
• „Něco, co uživatel je“ (a ostatní ne)
• Měřitelné biologické charakteristiky člověka-
uživatele
• Fyzické – parametry částí těla
• Chování (behaviorální) – parametry činnosti
• Míra tolerance – prahová hodnota
• Nesprávné odmítnutí/přijetí
PB169 Počítačové sítě a operační systémy Snímek 53 z 54
Biometrické autentizační metody
 Otisk prstu
 Vzor oční duhovky
 Vzor oční sítnice
 Srovnání obličeje
 Geometrie ruky
 Verifikace hlasu
 Dynamika podpisu
 Dynamika psaní na
klávesnici
PB169 Počítačové sítě a operační systémy Snímek 54 z 54
Využití biometrik
• Problémy biometrik – bezpečnost
• Otázky praktického použití
– Současná omezení a použitelnost
– Vhodné použití
– Nevhodné použití
• Vztah biometrik a kryptografie