Seznamte se s novinkami v - PowerPoint PPT Presentation

About This Presentation
Title:

Seznamte se s novinkami v

Description:

Seznamte se s novinkami v ifrov n a kryptogafie! Pavel Vondru ka, specialista pro IT bezpe nost a certifika n slu by ESK TELECOM, a.s. – PowerPoint PPT presentation

Number of Views:54
Avg rating:3.0/5.0
Slides: 20
Provided by: Lib128
Category:

less

Transcript and Presenter's Notes

Title: Seznamte se s novinkami v


1
Seznamte se s novinkami v šifrování a
kryptogafie!
  • Pavel Vondruška,
  • specialista pro IT bezpecnost a certifikacní
    služby CESKÝ TELECOM, a.s.
  • http//www.telecom.cz/
  • http//crypto-world.info/

IT Security 2005, 22.2-23.2 2005, Hotel Diplomat,
Praha
2
Svet Kryptografie a Bezpecnost
Paris Hilton's T-Mobile Sidekick gets sidekicked
as a hacker breaks into her account, scoops up
her address book, notes and phone pics.
3
Svet Kryptografie a Bezpecnost
Kolize hašovací funkce MD5 objeveny ! Bezesporu
nejvetší událostí bylo zverejnení kolizí hašovací
funkce MD5 (18.08.2004, Rump Session, konference
Crypto 2004)   Originální zpráva Xiaoyun Wang,
Dengguo Feng, Xuejia Lai, Hongbo Yu Collisions
for Hash Functions MD4, MD5, HAVAL-128 and
RIPEMD, rump session, Crypto 2004,
http//eprint.iacr.org/2004/199.pdf  
4
Svet Kryptografie a Bezpecnost
  • February 15, 2005
  • SHA-1 Broken
  • SHA-1 has been broken. Not a reduced-round
    version. Not a simplified version. The real
    thing.
  • The research team of Xiaoyun Wang, Yiqun Lisa
    Yin, and Hongbo Yu (mostly from Shandong
    University in China) have been quietly
    circulating a paper describing their results
  • collisions in the the full SHA-1 in 269 hash
    operations, much less than the brute-force attack
    of 280 operations based on the hash length.
  • collisions in SHA-0 in 239 operations.
  • collisions in 58-round SHA-1 in 233 operations.
  • http//www.schneier.com/blog/archives/2005/02/sha1
    _broken.html

5
Svet Kryptografie a Bezpecnost
Microsoft chybne implementoval šifrový algoritmus
RC4 ! 16.02.2005 Microsoft uses the RC4 stream
cipher in both Word and Excel. According to a
paper by Hongjun Wu - The Misuse of RC4 in
Microsoft Word and Excel "In this report, we
point out a serious security flaw in Microsoft
Word and Excel. The stream cipher RC4 with key
length up to 128 bits is used in Microsoft Word
and Excel to protect the documents. But when an
encrypted document gets modified and saved, the
initialization vector remains the same and thus
the same keystream generated from RC4 is applied
to encrypt the different versions of that
document. The consequence is disastrous since a
lot of information of the document could be
recovered easily." It's an amateur crypto
mistake. The easy way to prevent this attack is
to use a unique initialization vector (IV) in
addition to the key whenever you encrypt a
document. Zdroj http//www.schneier.com/crypto-g
ram-0502.html4
6
Svet standardy a normy
RFC pro kvalifikované certifikáty V breznu 2004
vyšlo RFC, které se zabývá profilem
kvalifikovaného certifikátu. RFC 3739 on
Internet X.509 Public Key Infrastructure
Qualified Certificates Profile ftp//ftp.rfc-edito
r.org/in-notes/rfc3739.txt
7
Svet standardy a normy
Standard FIPS 180-2 doplnen V únoru 2004 byl
doplnen standard FIPS 180-2, který se zabývá
trídou hashovacích funkcí SHA. Šlo o upresnení
nejmladší fce z této trídy a to
SHA-224. http//csrc.ncsl.nist.gov/publications/fi
ps/index.htmlfips180-2
8
Svet standardy a normy
 Bylo nalezeno 41. Mersennova prvocíslo
Mersennova prvocísla jsou prvocísla speciálního
tvaru M(n)2n-1. Doposud bylo takovýchto
prvocísel známo 40. Dne 22. 5. 2004 bylo
oficiálne oznámeno nalezení 41. Mersennova
prvocísla a po kontrole správnosti byla 29. 5.
zverejnena jeho hodnota je jím 224 036 583-1.
Toto císlo se stalo nejvetším v soucasnosti
známým prvocíslem lze jej zapsat pomocí
7 235 733 dekadických cifer. http//technet.idnes.
cz/sw_internet.asp?rsw_internetcA040622_5263958
_sw_internet 18.2.2005 pravdepodobne bylo
objeveno 42.Mersennovo prvocíslo
. http//mathworld.wolfram.com/news/2005-02-18/me
rsenne/
9
Ceská Republika - Legislativa
Novela zákona c. 227/2000 Sb., o elektronickém
podpisu Dne 26. cervence 2004 nabyla úcinnosti
novela zákona o elektronickém podpisu (c.
440/2004 Sb.). Tento predpis nove zavádí pojem
"kvalifikované casové razítko", které prokazuje
existence elektronického dokumentu v case. Další
novinkou je možnost používat elektronické
znacky. Elektronickou znackou muže oznacovat
data právnická osoba nebo organizacní složka
státu a používat k tomu automatizované postupy.
Elektronické znacky jsou podmínkou pro
pripravované zavedení výpisu ze stáních rejstríku
na poštách a matrikách. Novela dále upravuje
používání elektronických podatelen na orgánech
verejné moci. http//www.micr.cz/scripts/detail.p
hp?id1540
10
Ceská Republika - Legislativa
Vyhláška c. 496/2004 Sb., k elektronickým
podatelnám Vyhláška c. 496/2004 Sb., k
elektronickým podatelnám upravuje postup, jak
mají orgány verejné moci prijímat a odesílat
datové zprávy prostrednictvím elektronické
podatelny. Tato vyhláška navazuje na narízení
vlády c. 495/2004 Sb., k elektronickým
podatelnám, které narizuje orgánum verejné moci
elektronickou podatelnu zrídit a má sloužit jako
návod, jak naplnit podmínky dané tímto narízením
vlády. Vyhláška nabyla úcinnosti k 1. lednu
2005. http//www.micr.cz/scripts/detail.php?id170
5
11
Ceská Republika - Legislativa
Pripojení Ceské republiky k CCRA Ceská republika
se na konci zárí 2004 pripojila jako dvacátá zeme
k mezinárodní dohode o vzájemném uznávání
certifikátu vydávaných v oblasti bezpecnosti
informacních technologií pro osvedcení shody s
kritérii "Common Criteria for Information
Technology Security Evaluation" (dále jen "CC").
Norma ISO/IEC 15408-11999 je totožná s textem
zverejneným pod názvem "Common Criteria for
Information Technology Security Evaluation",
verze 2.1. Tato kritéria jsou obvykle nazývána
pouze "Common Criteria (zkratka "CC). NBÚ
požádal o pripojení k dohode v lednu roku 2004 a
to jako úcastník využívající certifikáty vydávané
v rámci CCRA. Tímto aktem je vymezeno, které
certifikáty vydané v oblasti bezpecnosti
informacních technologií bude NBÚ automaticky
uznávat. http//www.nbu.cz/aktualita12.php
12
Ceská Republika - Legislativa
Návrh novely zákona c.148/1998 schválen vládou
CR Vláda Ceské republiky na zasedání 26. ledna
2005 schválila návrh nového zákona o ochrane
utajovaných informací a o bezpecnostní
zpusobilosti a s ním související zákon o zmene
zákonu v souvislosti s prijetím zákona o ochrane
utajovaných informací a o bezpecnostní
zpusobilosti.Úcelem návrhu zákona o ochrane
utajovaných informací a o bezpecnostní
zpusobilosti je nove upravit oblast ochrany
utajovaných informací a oblast overování
bezpecnostní zpusobilosti pro výkon citlivých
cinností tak, aby právní úprava byla slucitelná s
právem Evropských spolecenství a zároven aby
odstranila nedostatky dosavadního zákona c.
148/1998 Sb. http//www.nbu.cz/tz/tz260105.php
13
Ceská Republika Kryptografie a Bezpecnost
Crypto-World oslavil 5-té výrocí Domácí e-zin
Crypto-World vydávaný od zárí roku 1999 pod
vedením Pavla Vondrušky oslavil své 5-té výrocí.
Mimo mesícníku, který je zdarma rozesílán
registrovaným ctenárum (více jak 780) jsou
s e-zinem spojeny další aktivity tradicní
podzimní soutež, informace poskytované na webu
(legislativa, standardy a normy) a od ledna 2004
i pravidelní denní Crypto-News, které pripravují
pánové Vondruška, Klíma, Rosa a Pinkava.
http//crypto-world.info/
14
Ceská Republika Kryptografie a Bezpecnost
První publikovaná praktická ukázka využíti kolize
MD5 Ondrej Mikle, student MFF UK, ukázal, že lze
využít i jednu publikovanou kolizi MD5 ke
konstrukci reálných útoku. Mikle, Ondrej
Practical Attacks on Digital Signatures Using MD5
Message Digest, Cryptology ePrint Archive, Report
2004/356, http//eprint.iacr.org/2004/356 , 2nd
December 2004 Detaily viz napr. Crypto-World
1/2005
15
Ceská Republika Kryptografie a Bezpecnost
Mezinárodní workshop Mikulášská kryptobesídka 6.
- 7. prosinec 2004, Hotel STEP, Praha. Tradicní
workshop se stává bezesporu nejduležitejší domácí
akcí v oboru kryptologie. Mimo predních ceských
odborníku (V.Klíma, V.Matyáš, D.Cvrcek, Krhovjak,
L.Smolík, P.Vondruška) se akce zúcastnili
významní odborníci ze zahranicí Karthik
Bhargavan (Microsoft Research, Cambridge, UK) ,
Peter Hellekalek (pLab, University of Salzburg),
Alexandre Stervinou (RSA Security, Europe),
Klonowski, Kutylowski, Lauks, Zagorski (Wroclaw
University of technology) . http//www.tns.cz/kry
ptobesidka/
16
Ceská Republika Kryptografie a Bezpecnost
Prolomení proudové šifry Hiji-bij-bij Vlastimil
Klima Cryptanalysis of Hiji-bij-bij (HBB), IACR
ePrint archive 2005/003, January 2005.
17
Ceská Republika Kryptografie a Bezpecnost
Zdrojové kódy Microsoftu pro NBÚ Díky podpisu
smlouvy (2.2.2005) mezi Microsoftem zastoupeným
Billem Gatesem a Jirím Devátem, reditelem ceské
pobocky Microsoftu, a Janem Marešem, reditelem
Národního bezpecnostního úradu získá Ceská
republika na tri roky prístup ke zdrojovým kódum
operacních systému Windows 2000, Windows XP,
Windows Server 2003, a dále na Windows CE 3.0,
Windows CE 4.0 (.NET) a Windows CE 5.0. Smlouva
dále zprístupnuje zdrojové kódy sady aplikací,
serveru a služeb Microsoft Office System. Národní
bezpecnostní úrad muže prístup k temto kódum
podle presne stanovených podmínek poskytnout i
tretím stranám.
18
(No Transcript)
19
Kontakty
V prípade dotazu kontaktujte Mgr.Pavel
Vondruška Pavel.vondruska_at_ct.cz Pavel.vondruska_at_cr
ypto-world.info ----------------------------------
------------------------ Další informace mužete
najít zde http//crypto-world.info
Write a Comment
User Comments (0)
About PowerShow.com