1 RKO-1 2006/2007 1-170 Arso Savanović ISO OSI vs. TCP/IP fizična povezovalna omrežna transportna sejna predstavitvena aplikacijska fizična povezovalna omrežna transportna aplikacijska RKO-1 2006/2007 1-171 Arso Savanović Predstavitvene storitve ISO/OSI Predstavitvena plast Transformacija uporabniških podatkov v obliko, ki je primerna za prenos prek omrežja Kodiranje podatkov z različnimi postopki za različne namene Storitve: Predstavitveno formatiranje: Prikaz podatkov v obliki, ki je razumljiva lokalnemu računalniku Stiskanje in raztezanje (de/kompresija) Boljša izraba omrežja oz. prenosnih kapacitet Šifriranje (kodiranje) Zaščita podatkov pri prenosu prek omrežja RKO-1 2006/2007 1-172 Arso Savanović Predstavitveno formatiranje Omogoča združljivost podatkov med računalniki Različni računalniki – različno interno delovanje ASN.1 – Abstract Syntax Notation One Standardna pravila za tehnološko nedovisno opisovanje strukture podatkovnih objektov Formalna, nedvoumna definicija podatkovnih objektov Določa abstraktno sintakso objektov Za prenos podatkov poleg ASN.1 potreben še standard kodiranja določa dejanski način kodiranja podatkov v sporočilu npr. BER, CER, DER Kodne tabele za prikazovanje alfanumeričnih znakov Npr. Latin-2: CP-1250, ISO-8859-2, UTF-8
14
Embed
Arso Savanovi ISO OSI vs. TCP/IPshrani.si/files/rko1l7u5xh.pdf · ISO OSI vs. TCP/IP fizi čna povezovalna omrežna transportna sejna predstavitvena aplikacijska fizi čna povezovalna
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
razumljiva samo oddajniku in sprejemniku� Celovitost sporočil (Message integrity): potrebno je
zaznati vsako neavtorizirano spremembo sporočila med prenosom prek omrežja
� Overjanje (Authentication): oddajnik overi identiteto sprejemnika in obratno
� Preprečevanje zanikanja (Non-repudiation): oddajnik overi identiteto sprejemnika in obratno
� Kontrola dostopa (Access Control): potrebno je nadzorovati in omejevati dostop do virov glede na uporabnikova pooblastila
� Razpoložljivost (Availability): viri in storitve moreajo biti uporabnikom dostopni
RKO-1 2006/2007 1-177
Arso Savanović
čistopis(plaintext)
Šifriranje (encryption, cryptography)
simetrično šifriranje: uporabnik in sprejemnik uporabljata identičen ključ
asimetrično šifriranje: šifrirni in dešifrirni ključ sta različna, vendar povezana
čistopis(plaintext)
tajnopis(cyphertext)
KA
šifriranje dešifriranje
Alicin šifrirni ključ
Bobovdešifrirniključ
KB
RKO-1 2006/2007 1-178
Arso Savanović
Simetrično šifriranje
Simetrično šifriranje: Bob in Alice uporabljata isti, simetrični (skupni) šifrirni ključ: K
� Npr., ključ je sistem zamenjave črk v monoalfabetičnem algoritmu
� Kako se Alice in Bob določita skupni ključ?
čistopistajnopis
KA-B
šifriranje dešifriranje
A-B
KA-B
čistopissporočilo, m
K (m)A-B
K (m)A-B
m = K ( )A-B
4
RKO-1 2006/2007 1-179
Arso Savanović
Simetrični substitucijski algoritmi� zamenjava podatkov z drugimi podatki
� monoalfabetični algoritem: zamenjava ene črke z drugo črko
čistopis: abcdefghijklmnopqrstuvwxyz
tajnopis: mnbvcxzasdfghjklpoiuytrewq
čistopis: bob. i love you. alice
tajnopis: nkn. s gktc wky. mgsbc
Npr.:
RKO-1 2006/2007 1-180
Arso Savanović
Simetrični algoritem DES
� DES - Data Encryption Standard� Ameriški standard šifriranja [NIST 1993]� 56-bit simetrični ključ, 64-bitni bloki podatkov (čistopis)� Varnost DES-a
� DES Challenge: tekst “Strong cryptography makes the world a safer place”, ki je bil šifriran z DESom s 56-bitnim ključem, je bil dešifriran z “brute force”metodo v slabih 4 mesecih (1997)
� Boljša metoda od “brute force” ni poznana� 3DES - izboljšava DES:
� Vsak blok podatkov gre trikrat čez DES s tremi različnimi ključi
RKO-1 2006/2007 1-181
Arso Savanović
AES: Advanced Encryption Standard
� nov standard simetričnega šifiriranja, ki nadomešča DES (NIST nov 2001)
� Obdeluje 128 bitne bloke podatkov� 128, 192, or 256 bitni ključ� brute force dešifriranje (preskus vsakega
ključa):�Če za DES brute force potrebna 1 sec potem�Za AES brute force potrebno 149 bilijonov let
(?)
5
RKO-1 2006/2007 1-182
Arso Savanović
Asimetrično šifriranje� Problem simetričnega šifriranja:
� Oddajnik in sprejemnik vnaprej poznata skupni skriti ključ
� Kako se dogovorita za ključ, še zlasti � Na daljavo prek mreže?� Če se nista prej poznala?
� Asimetrično šifriranje� Povsem drugačen pristop [Diffie-Hellman76, RSA78]� Oddajnik in sprejemnik uporabljata drugačna, a
povezana ključa� javni šifrirni ključ je poznan vsem
� privatni dešifrirni ključ je poznan le sprejemniku
RKO-1 2006/2007 1-183
Arso Savanović
Asimetrično šifriranje (Public keyencryption)
čistopissporočilo, m
tajnopisšifriranje dešifriranje
Bobov javniključ
čistopissporočiloK (m)
B+
K B+
Bobov privatniključ
K B-
m = K (K (m))B+
B-
RKO-1 2006/2007 1-184
Arso Savanović
Simetrično vs. asimetrično šifriranje� Simetrično:
� Hitro� Problem distribucije skupnega skritega ključa med oddajnikom in
sprejemnikom� Asimetrični šifriranje - večinoma� Pooblaščen distribucijski center
� Uporablja se za šifriranje uporabniških podatkov
� Asimetrično:� Počasno (tudi 2 velikostna razreda počasneje od simetričnega
šifriranja)� Problem: kako Alice preveri ali Bobov javni ključ, ki ga dobi npr.
na spletnem strežniku, v resnici pripada Bobu in ne Trudy� Digitalni certifikat (potrdilo)� Certifikatske agencije (CA - certification authority)� Infrastruktura javnih ključev (PKI)
6
RKO-1 2006/2007 1-185
Arso Savanović
Digitalni certifikat� Certifikatska agencija (CA): poveže določen javni ključ
in njegovega lastnika E� Lastnik E (npr. oseba, strežnik) registrira svoj javni
ključ pri CA� lastnik E fizično predloži CA-ju “identifikacijsko dokazilo”� CA izda digitalni certfikat s katerim poveže lastnika E in
njegov javni ključ� Certifikat: vsebuje identiteto javni ključ lastnika E, podpisan z
javnim ključem CA� CA trdi “to je E-jev ključ”
Bobovjavni ključ K B
+
Bobov osebni
dokument
Digitalni podpis(šifrir)
Privatni ključ CA K CA
-
K B+
Certifikat za Bobov javni ključ, podpisan s
strani CA
RKO-1 2006/2007 1-186
Arso Savanović
Digitalni certifikat� Kako Alice varno pridobi Bobov javni ključ:
�Pridobi Bobov certifikat (pri Bobu ali kje drugje), ki vsebuje njegov javni ključ
�S pomočjo javnega ključa CA preveri certifikat
BobovjavniključK B
+
preverjanjepodpisa(dešifr)
Javni ključ CA K CA
+
K B+
RKO-1 2006/2007 1-187
Arso Savanović
veliko sporočilo
mzgostitev(hash) H(m)
digitalnipodpis(šifrir)
Bobovprivatni
ključ K B-
+
Bob pošlje sporočilo z elektronskim podpisom:
Alice preveri podpis (in celovitost) Bobovega sporočila:
KB(H(m))-
šifriran hash
KB(H(m))-
šifriran hash
velikosporočilo
m
Zgostitev(hash)
H(m)
prevrjanjepodpisa(dešifr)
H(m)
Bobovjavniključ K B
+
Ali sta enaka?
Elektronski podpis = zgoščeno in podpisano sporočilo
7
RKO-1 2006/2007 1-188
Arso Savanović
Umestitev varnostnih storitev (šifriranja)
Lahko v različnih plasteh�Aplikacijska: varna elektronska pošta
(S/MIME, PGP)�Transportna: SSL/TLS�Omrežna: IPSec�Povezovalna: Varnost v 802.11
(WLAN)
RKO-1 2006/2007 1-189
Arso Savanović
Secure sockets layer (SSL)� Enotne varnostne storitve v transportni plasti
�za vse aplikacije, ki uporabljajo TCP� Uporabljajo WWW strežniki in odjemalci v
1972-1980: omrežje omrežij, nove nestandardne mreže
RKO-1 2006/2007 1-210
Arso Savanović
Zgodovina Interneta
� 1983: prehod na TCP/IP� 1982: določen protokol SMTP za elektronsko pošto� 1983: določen DNS - prevajanje imen v IP-naslove� 1985: določen protokol FTP� 1988: TCP kontrola zasičenja� Vedno več novih (nacionalnih) mrež se povezuje v
omrežje omrežij� 100,000 računalnikov povezanih v omrežje omrežij
1980-1990: novi protokoli, rast števila mrež
RKO-1 2006/2007 1-211
Arso Savanović
Zgodovina Interneta
� zgodnja 90-ta: ARPAnet uradno razpuščen� 1991: NSF odpravi omejitve za komercialno rabo NSFneta � zgodnja 90-ta: WWW
� hypertext [Bush 1945, Nelson 1960’s]� HTML, HTTP: Tim Berners-Lee� 1994: prvi brkljalnik Mosaic, nato Netscape
� Pozna 90-ta: komercializacija, predvsem svetovni splet� Konec 90-tih, 200x:
� Nove “killer aplikacije”: tekoče sporočanje, P2P izmenjava datotek� Varnost postane ključna� Pribl. 50 milijonov računalnikov, >100 milijonov uporabnikov� Hrbtenične povezave 1-10 Gb/s