Bilgi Gьvenligi: Dьnyadaki Egilimler - PowerPoint PPT Presentation

1 / 28
About This Presentation
Title:

Bilgi Gьvenligi: Dьnyadaki Egilimler

Description:

D nyadaki E ilimler ULAKNET Sistem Y netimi Konferans -G venlik 3-4 Ekim 2003, Ankara Dr. M. Ufuk a layan 3 Ekim 2003 Genel Bak Bilgi g venli i nedir? – PowerPoint PPT presentation

Number of Views:50
Avg rating:3.0/5.0
Slides: 29
Provided by: ulakbimGo
Category:

less

Transcript and Presenter's Notes

Title: Bilgi Gьvenligi: Dьnyadaki Egilimler


1
Bilgi GüvenligiDünyadaki Egilimler
  • ULAKNET
  • Sistem Yönetimi Konferansi-Güvenlik
  • 3-4 Ekim 2003, Ankara
  • Dr. M. Ufuk Çaglayan
  • 3 Ekim 2003

2
Genel Bakis
  • Bilgi güvenligi nedir?
  • Sifreleme
  • Kimlik kanitlama, sayisal imzalar
  • Protokoller
  • Isletim sistemi ve ag güvenligi
  • Güvenlik plani ve modelleri

3
Bilgi güvenligi nedir? - 1
  • Bilgi güvenligi (information security) Tanim
  • Bilginin bir varlik (asset) olarak hasarlardan
    korunmasi
  • Tanim ile ilgili konular
  • Korunmasi gerekli bilginin, olasi hasarlarin ve
    bunlarin degerlerinin saptanmasi
  • Koruma adimlarinin tanimi ve bunlarin maliyetinin
    saptanmasi

4
Bilgi güvenligi nedir? - 2
  • Koruma adimlari
  • Hasari önleme (prevention)
  • Hasari saptama (detection) Ne zaman, nasil,
    kim?
  • Reaksiyon gösterme (hasari giderme, bilgiyi
    hasardan önceki haline getirme)
  • Risk analizi 100 güvenlik yoktur..!
  • Koruma maliyeti, (hasar olasiligi) x (hasarin
    degeri)nden küçük olmali..!

5
Bilgi güvenligi nedir? - 3
  • Bilgi güvenliginin boyutlari (servisler)
  • Gizlilik (confidentiality), bütünlük (integrity)
  • Kimlik kanitlama (authentication)
  • Erisilebilirlik (availability)
  • Sorumluluk (accountability)
  • Erisim denetimi (access control), inkar edememe
    (nonrepudiation)
  • Bu boyutlara güvenilirlik (reliability) ve
    emniyet (safety) eklenebilmekte

6
Bilgi güvenligi nedir? - 4
  • Güvenlige saldirilari (tehditler)
  • Pasif Dinleme (Interception)
  • Aktif Kesme (interruption), degistirme
    (modification), üretme (fabrication)
  • Güvenlik mekanizmalari
  • Farkli bir çok mekanizma bulunmakta
  • Sifreleme teknikleri ve protokoller
    mekanizmalarinin altyapisini olusturmakta

7
Sifreleme
  • Sifrebilim (cryptography) ana dallari
  • Sifreleme (cryptography)
  • Sifre çözme (cryptanalysis)
  • Sifreleme ana dallari
  • Konvansiyonel (simetrik) sifreleme Klasik
    teknikler ve modern teknikler
  • Açik anahtar sifreleme

8
Modern Sifreleme Teknikleri - 1
  • 1971den bu yana LUCIFER, DES, IDEA, BLOWFISH,
    RC5, RC4, Üçlü (Triple) DES, .
  • AES (Advanced Encryption Standard)
  • Kasim 2001den bu yana US NIST standardi
  • 128, 192, 256 bit blok ve anahtar
  • Bilinen tüm saldirilara dayaniklilik
  • Farkli platformlara uyarlanabilirlik, açiklik

9
Modern Sifreleme Teknikleri - 2
  • Modern tekniklerin ortak özellikleri
  • degisken uzunlukta anahtar ve blok
  • degisken sayida yer degistirme ve permutasyonun
    islemi
  • yer degistirme ve permutasyonlari denetleyen
    anahtarin veri bagimli islenmesi
  • Modern tekniklerin ortak problemleri
  • Anahtar dagitimi ve kimlik kanitlama

10
Açik Anahtar Sifreleme - 1
  • Özellikler ve Teknikler
  • Asimetrik sifreleme ve sifre çözme için bir
    açik ve bir gizli anahtar çifti
  • Gizlilik ve kimlik kanitlama beraberce
    saglanabilir
  • RSA, El Gamal, Schnorr, .. (çarpma bazli)
  • Elliptic curve sifreleme RSAdan hizli
    (toplama bazli)

11
Açik Anahtar Sifreleme - 2
  • Tüm algoritmalar modern konvansiyonel sifrelemeye
    göre çok yavas, dolayisiyla bilginin yüksek
    hizlarda devamli bir sekilde sifrelenmesi pratik
    degil
  • Pratikte Kullanim
  • Kimlik kanitlamada ve oturum anahtari (session
    key) (süresi?) yaratmada açik anahtar sifreleme
  • Bilginin yüksek hizlarda devamli bir sekilde
    sifrelenmesinde simetrik sifreleme (AES)

12
Anahtar Dagitimi
  • Açik anahtarlarin dagitimi
  • Rehberler, Açik Anahtar Otoriteleri (AAO)
  • Açik Anahtar Sertifikalari Sertifika, bir
    AAOnin gizli anahtari ile sayisal olarak
    imzalanmis kullanici kimligi ve kullanici açik
    anahtari. Sertifika geçerlilik süresi (X.509)
  • Gizli anahtarlarin dagitimi
  • Needham-Schroeder Protokolu ve ..
  • Diffie-Hellman Anahtar Degisimi, 1976

13
Sayisal Imzalar
  • Özet Kodlar (hash, digest, MAC) MD4, MD5,
    SHA-1, RIPEMD-160, HMAC, .
  • Sayisal Imzalar
  • Genellikle açik anahtar sifreleme üzerine kurulu
  • RSA sayisal imzalari (RSA sifreleme)
  • DSS (Digital Signature Standard) sayisal imzalari
    (NIST), DSA (El Gamal, Schnorr)

14
Servisler ve Protokoller
  • Kimlik Kanitlama Servisleri/Uygulamalari
  • Kerberos
  • X.509 kimlik kanitlama (sertifika) servisi
  • Elektronik Posta
  • PGP (Pretty Good Privacy)
  • S/MIME
  • Transport ve Ag Katmani
  • SSL ve Güvenli IP (IPsec)

15
Kerberos
  • MIT Athena projesi, Version 4, 5, RFC1504
  • Sadece konvansiyonel sifreleme.
  • Needham Schroeder kimlik kanitlama bazli,
    replay duyarli, çok emniyetli.
  • Servis biletleri, bilet süresi, Authentication
    Server (AS), Ticket Granting Server (TGS),
  • Uygulamalarin kerberize edilmesi lazim.

16
X.509 Sertifikalari
  • X.509 (1988) Özellikleri
  • 1995de Version 3. Sertifika formatini IP,
    S/MIME, SSL/TLS, SET kullanmakta.
  • X.509 sertifika içerigi
  • Sürüm No, seri No, sayisal imza tipi, sertifika
    otoritesi, geçerlilik tarihleri, kimlik, açik
    anahtar, sayisal imza (sertifika özet kodunun
    sertifika otoritesi gizli anahtari ile sifresi).

17
Elektronik Posta - PGP
  • Pretty Good Privacy
  • Tek bir kisinin üretimi (Phil Zimmermann)
  • Özellikleri
  • Sayisal Imzalar DSS/SHA veya RSA/SHA
  • Sifreleme CAST veya IDEA veya Üçlü DES, vb tek
    kullanimlik oturum anahtari
  • ZIP ve Radix-64 kodlama
  • Farkli gizlilik paylasimi felsefesi

18
Elektronik Posta - S/MIME
  • Secure/Multipurpose Internet Mail Extensions
  • RFC822 ve MIMEin dogal takipçisi
  • Zarf kavrami
  • MD5 ve tercihan SHA-1
  • Sayisal Imzalar DSS RSA (512 - 1024 bit)
  • Sifreleme Tek kullanimlik anahtar, Üçlü DES ve
    RC2/40 bits

19
SSL (Secure Socket Layer) - 1
  • SSLv3 Özellikleri (Netscape)
  • Iki nokta arasindaki güvenli bilgi transferi için
    de facto standart, açik tasarim, yaygin kullanim.
  • Iki katmanli mimari TCP üzerine Record
    Protocol, bunun üzerine Handshake, Change Cipher
    Spec ve Alert protokolleri
  • Internet Society IETF TLS ile ayni
  • Temel olarak web kullaniminda (HTTPS)

20
SSL - 2
  • SSL oturum ve baglanti (session/connection)
  • Handshake protokolu güvenlik parametrelerini
    saptar ve oturum kurar.
  • Oturum basina ayni güvenlik parametrelerini
    kullanan birden fazla baglanti olabilir.
  • Amaç, her seferinde yeni güvenlik parametreleri
    üzerine anlasma yapma maliyetini (toplam 13
    mesaj) düsürmektir.

21
SSL - 3
  • SSL güvenlik parametreleri degisimi
  • Gönderici/alici arasinda 13 mesaj olarak
  • Gönderici/alici kimliklerinin kanitlanmasi
  • Anahtar degisim algoritmasi üzerine anlasma
  • Anahtar ve nonce (replay önlemek için) degisimi
  • Konvansiyonel sifreleme ve özet kod algoritmalari
    ile bunlarin parametreleri üzerine anlasma

22
Secure Electronic Transaction (SET)
  • Ikiden fazla taraf arasinda güvenli bilgi (temel
    olarak kredi karti alisverisleri) transferi için
    standart, açik tasarim.
  • Orijinal olarak MasterCard ve VISA tarafindan.
    Version 1, Subat 1996
  • Karmasik protokol. Tüm mesaj degisimleri sifreli,
    sayisal imzali ve sertifikali.
  • Ismarlama (IB)/Ödeme (ÖB) Bilgisi ayirimi

23
IPsec - 1
  • Açik ag üzerinden güvenli IP paket aktarimi
  • Iki protokol
  • Kimlik Kanitlama (AH, Authentication Header)
  • Sifreleme/Kimlik Kanitlama (ESP, Encapsulating
    Security Payload)
  • Hedefler
  • Erisim denetimi, orijin kanitlama, paket replay
    önleme, gizlilik (headerData), vb

24
IPsec - 2
  • Transport ve Tünel kipleri (modes)
  • Transport kipi IPv6 stili ara header eklenmesi
  • Tünel kipi Tüm IP paketinin yeni bir IP paketi
    içine konularak gönderilmesi ve yönlendirilmesi
  • VPN (Virtual Private Network) baglantilarinda
    kullanim
  • Temel olarak tünel kipinde

25
Isletim Sistemi ve Ag Güvenligi
  • Isletim sistemi ve ag yazilimindaki sorunlu
    tasarim ve kodlamalardan kaynaklanan güvenlik
    problemleri
  • En son sürümleri kullan, güvenlik ikazlarini
    izle, yazilim eklerini uygula
  • Kullanici hesaplari ve parolalar
  • Kurallar, rastgele parolalar, denial of service
  • Erisim haklarinin kullanicilara dagitimi

26
Güvenlik Plani
  • Bilgisayar ve ag ortami olan her kurumun yazili
    bir Güvenlik Plani olmali..!
  • Kapsami
  • Kullanici ve sistem idarecilerinin güvenlik
    sorumluluklari ve bilgi kaynaklarinin dogru
    kullaniminin tanimlari, politikalar (policies)
  • Güvenlik problemi oldugunda izlenecek prosedürler
  • Baslangiç için rehber RFC 1244

27
Güvenlik Modelleri
  • Aktif bir arastirma alani
  • Bell-LaPadula Modeli (BLP)
  • Subjelerin objelere erisim haklarindaki
    gizliligin bir sonlu makina olarak modellenmesi
  • Harrison-Ruzzo-Ullman Modeli
  • BLP dinamik erisim haklari, subjeler ve objeler
  • Chinese Wall Model, Biba Model, Clark-Wilson
    Model, vb

28
Bilgi ve Iletisim Için
  • Prof. Dr. M. Ufuk Çaglayan
  • Bilgisayar Mühendisligi Bölümü
  • Bogaziçi Üniversitesi
  • Bebek, Istanbul 80815
  • Faks (212) 287 2461
  • Tel (212) 358 1540 x1698
  • E-posta caglayan_at_boun.edu.tr
  • Web http\\netlab.boun.edu.tr\people
Write a Comment
User Comments (0)
About PowerShow.com