PB001 Uvod do informačních technologií
Zálohování a bezpečnost
Doc. RNDr. Eva Hladká, Ph. D. Fakulta Informatiky podzim 2013
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
• Zálohování
• Princip redundance
• příroda
• data: náklady x zajištění
• Manuální zálohování
• Zálohovací systémy s verzováním
• RAID
• Zálohování na MU
• Bezpečnost
• Teoretické základy
• Síťová bezpečnost
• Bezpečnost x zveřejňování dat
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
rincip redundance
• Příroda
• Párové orgány - např. ledviny
• náklady x šance na přežití
• Lidé a dokumenty
• originál a kopie
• kvalita kopie
• náklady na kopii - čas, energie, lidská práce
• Zajištění
• dokumenty (data) zajištěna proti ztrátě
• náklady na uchovávání kopií
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
ata v elektronické podobě
• Elektronická data:
• multimediální povaha - text, zvuk, obraz, video. . ..
• kopie ve stejné kvalitě - stejný datový objem, nelze rozlišit kopii a originál
• kopie v nižší kvalitě
» Náklady na archivování
• Malá časová stabilita el. médií
• Elektrická energie
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
BBiEffiffl
• Zálohování bez podpory SW systémů
• Záloha - přesný obraz původního souboru, adresáře, systému souborů,
• Časový režim - důvody
• 1-7-28
Doc. RNDr. Eva Hladká, Ph. D.
PB001 Uvod do informačních technologií
• Verze - práce několika jedinců nad jedním dokumentem
• Možnost se vrátit k předchozím podobám dokumentu
• CVS, SVN, GIT
• CVS - Concurrent Version System
• repozitář obsahující 1 nebo více skupin souborů
• víceuživatelská klient-server aplikace
• příkazový řádek nebo graf. nadstavba (WinCVS)
• GIT
• distribuovaný systém správy verzí
• vytvořený původně pro vývoj jádra Linuxu
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
ázka příkazů verzovacího nástroje CVS
export CVSROOT=:gserver:lindir.ics.muni.cz:/cvs/collab
# ... export nastavení
cvs co eva-thesis
# ... vytvori lokálni kopii z CVSky (vytvori adrear eva-thesis) cd eva-thesis
cvs update
# ... zaktualizuje obsah aktuálního adresáře, případně sloučí
změny oproti repozitáři a vyhlásí, co nemohl sloučit,
pokud je konflikt příliš zásadní (pak jsou označeny relevantní
části souboru pomocí »» ««)
cvs ci
# ... uloží aktuální verzi souborů do CVS cd . .
cvs rel -d eva-thesis
... zkontroluje, jestli všechny změny byly commitnuty
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
dání na discích / diskových polích a redundance (zabránění ztráty dat)
RAID - Redundant Array of Inexpensive/lndependent Disks -vícenásobné diskové pole
metoda zabezpečení dat proti selhání pevného disku ukládání dat na více nezávislých disků, uložená data zachována i při selhání některého z nich úroveň zabezpečení se liší podle zvoleného typu RAID, které je označováno čísly dojde-li k výpadku některého disku, je výkon pole nižší, avšak stále jsou všechna uložená data k dispozici
Doc. RNDr. Eva Hladká, Ph. D.
• MU - centrální zálohovací systém spravovaný ÚVT MU
• System NETWORKER od EMC (dříve Legato)
• Uchovávají se data, jména souborů, poloha na disku
• Časové značky =>• lze se vrátit i ke starším verzím
• Nevhodný pro archivaci databází (nutno zálohovat v jiném režimu)
• Historie cca 2 měsíce
• 2 servery + pásková knihovna
• Brzy data z MU na datové úložiště CESNETu
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
• Student má tyto možnosti zálohování dat v ISu (i po úspěšném absolvování)
• Můj web - 500 MB
• Úschovna - 5 GB POZOR expiruje !!!
• Dokumentový server - pouze pro spec. typ souborů
• Kruhy —>• v aplikaci Náš web
• nápověda https://is.muni.cz/auth/help/komunikace/kruhy
• kapacita úložného prostoru dle velikosti Kruhu
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
bezpečnost - zpřístupňování dat
• Dva základní přístupy
• Zveřejním vše - neexistují data, kterými by mě bylo možno vydírat, ale vše je o mě známo a nic nemohu skrýt
• Nezveřejním nic, co nemusím
• Veřejný informační prostor
• využití mnou zveřejněných dat v můj neprospěch
• zneužití mnou zveřejněných dat
• zneužití mé identity
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
ezpečnost - přístupová práva
Tstupová práva k souborům
• ACL (Acces Control List), připojen ke každému souboru
• Základní ACL (UNIX like)
• r - read, čtení
• w - write, zápis
ox- spuštění (sestup do podaresáře)
• Definována pro trojici (svět, skupina, vlastník)
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
Bezpečnost
ipečení = klasický problém Kryptograr
Kryptografie (Cryptography):
Nauka o metodách utajování smyslu zpráv převodem do podoby, která je čitelná jen se speciální znalostí (= klíčem) Základní mechanismy kryptografie:
kryptografie s využitím symetrických klíčů (symetrická
kryptografie)
kryptografie s využitím asymetrických klíčů (asymetrická kryptografie)
Symetrická kryptografie
Doc. RNDr. Eva Hladká, Ph. D.
symetrická kryptografie
• Též Kryptografie veřejným klíčem
• K šifrování je použit jiný klíč než pro dešifrování
• oba klíče se dohromady nazývají pár klíčů (keypair)
• šifruje se pomocí veřejného klíče (public key), dešifruje pomocí soukromého klíče (priváte key)
• zpráva zašifrovaná veřejným klíčem lze dešifrovat pouze příslušejícím soukromým klíčem
• Výhody:
• není potřeba nikam posílat šifrovací klíč =>• snížení rizika jeho vyzrazení/odposlechnutí
• veřejný klíč je možno dát všem
• Nevýhody:
• rychlost =>• asymetrické šifry jsou vhodné pro krátké zprávy
• Např. RSA, DSA, apod.
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
asymetrická kryptografie
certifikát veřejného klíče
• Certifikát - informace, která váže identitu entity (uživatel, server, ...) s jeho veřejným klíčem
• 4 základní informace obsažené v certifikátu:
• jméno vlastníka (držitele)
• hodnota veřejného klíče
• doba platnosti veřejného klíče
• podpis vydavatele certifikátu
• Certifikáty vydávají tzv. Certifikační autority
• organizace, kterým se důvěřuje
o vydané certifikáty mohou být dostupné na veřejném serveru o kdokoli může o jeho kopii požádat
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
Vutentizace komunikujících stran
utentizace heslem
Autentizace heslem:
• Alice se autentizuje Bobovi zasláním hesla
• Heslo je šifrováno sdíleným symetrickým klíčem
• — negarantuje „čerstvost" hesla
• heslo mohlo být uloženo a nyní se jedná o pokus o opakovanou
autentizaci (možný útok)
Alice
Roh
Alice, Passwd
Alice sends data to Bob using KAB
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
^utentizace komunikujících stran
\utentizace s využitím náhodných čísel
Autentizace s využitím náhodných čísel:
• Alice si od Boba vyžádá zaslání náhodného čísla (tzv. keksík)
• Alice toto náhodné číslo zašifruje symetrickým klíčem
• + řeší problém „čerstvosti" hesla
Alice Bob
Alice sends únia lu Bub using KAB
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
utentizace komunikujících stran
:ájemná autentizace s využitím náhodných čísel
Vzájemná autentizace s využitím náhodných čísel: • Stejný princip jako předchozí, autentizace je však obousměrná
Alice Bob
Alice sends data to Bob using KAE
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
istení důvěrnosti přenosu - šifrování
• Přenášená data šifrována nejčastěji s využitím symetrické kryptografie
• Pro získání sdíleného tajemství (před začátkem přenosu) lze využít:
• např. algoritmus Diffie-Hellman
• asymetrickou kryptografii - zvolený symetrický klíč je šifrován veřejným klíčem protistrany
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
zajištění integrity a nepopíratelnosti přenosu - digitální odpis
Digitální podpis:
• Mimo integrity a nepopíratelnosti zajišťuje i autentizaci komunikujících stran
• Obrácený mechanismus asymetrické kryptografie
o zpráva podepisována (— šifrována) soukromým klíčem odesílatele, ověřována (— dešifrována) veřejným klíčem odesílatele
• 2 základní mechanismy:
• podpis celého dokumentu
• podpis otisku dokumentu (tzv. message digest, hash)
• nejčastěji využívané
• ze zprávy vypočten otisk (hash), který je pak podepsán (= šifrován soukromým klíčem odesílatele) a odeslán spolu
s původním (nijak nešifrovaným) dokumentem
• řeší problém podpisu dlouhých zpráv, pro které jsou asymetrické šifry nevhodné - otisk je vždy pevné (malé) délky
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
zajištění integrity a nepopíratelnosti přenosu - digitální odpis
Hashovací funkce
• Musí poskytovat dvě základní vlastnosti:
• jednosměrnost - jakmile je z dokumentu vytvořen otisk, nelze (žádným způsobem) z otisku získat původní dokument
• one-to-one - je velmi malá pravděpodobnost, že dvě různé zprávy budou mít stejný otisk
• Pro jakkoli dlouhý dokument má vždy pevnou délku
• Např. MD5 (již prolomena), SHA-256 (nyní aktuální)
Sk,		Hash function	
—			
Message Message Digest
(Variable length) (Fixed length)
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
zajištění integrity a nepopíratelnosti přenosu - digitální Dodpis
Strana odesílatele
Alice
Message
Hash
Digest
Alice's private
		Encrypt
		
H +
Signed digest
Message
Message plus signed digest
■♦-To Bob
Obrázek: Mechanismus podepisování odesílané zprávy (strana odesílatele).
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií
Zajištění integrity a nepopíratelnosti přenosu - digitální Dodpis
Strana příjemce
From Alice ■
Bob
Message
Alice's public
	
Decrypt	
	t
Hash
Compare
Digest Digest
Obrázek: Mechanismus ověřování přijaté zprávy (strana příjemce).
Doc. RNDr. Eva Hladká, Ph. D. PB001 Uvod do informačních technologií