My Opera18. zabezpečení dat
By guomej. Sunday, May 17, 2009 4:29:37 PM
18. Zabezpečení dat
• Způsoby zabezpečení dat
• Šifrování
Šifrování:
- použití kryptografie (šifrování) může vyřešit většinu problémů ve všech oblastech
počítačové bezpečnosti
- kryptografie je věda zabývající se šifrováním, tedy utajováním informací
- naproti tomu kryptoanalýza se zabývá luštěním šifer
- zastřešujícím pojmem pro oba dva obory je kryptologie
Na úvod je třeba vysvětlit několik základních pojmů, které budu dále používat:
• Šifrovací algoritmus je funkce sestavená na matematickém základě a provádí samotné
šifrování a dešifrování dat
• Šifrovací klíč říká šifrovacímu algoritmu jak má data (de)šifrovat, podobá se počítačovým
heslům, avšak neporovnává se zadaná hodnota s očekávanou, nýbrž se přímo
používá a vždy tedy dostaneme nějaký výsledek, jehož správnost závisí právě
na zadaném klíči
• Délka klíče ovlivňuje, kromě jiného, časovou náročnost při útoku hrubou silou - což je
Kryptoanalytická metoda, kdy postupně zkoušíme všechny možné hodnoty,
kterých klíč může nabývat
• Síla šifry - čím silnější šifru použijeme, tím větší je třeba vynaložit úsilí na její prolomení
- je vědeckou prací kryptologů analyzovat různé algoritmy a posuzovat jejich sílu
- na druhou stranu i použití té nejsilnější šifry se jemně míjí účinkem, pokud klíč
k jejímu dešifrování máme napsán na papírku přilepeném na monitor - proto
nelze šifrování samo o sobě považovat za dostatečné, ale vždy na něj hledět
jako na součást celku
Kryptografické metody lze dělit podle několika hledisek:
- jednosměrné a obousměrné. U obousměrné šifry jsme schopni při znalosti správného klíče
dešifrovat výsledek a získat tak opět originál. Zatímco u jednosměrné tento zpětný proces provést nelze (a obvykle se ani nepoužívá žádný klíč). Ačkoli se na první pohled jednosměrné šifry mohou zdát nevyužitelné, své uplatnění mají. Nejčastěji slouží k ukládání hesel, čímž se zabrání jejich odhalení i po zpřístupnění jejich uložené verze, ale zároveň zůstává možnost ověření hesla zadaného uživatelem - zadanou hodnotu stačí zakódovat a porovnat s uloženou variantou. Obdobou jednosměrných algoritmů jsou výtahy zpráv a digitální
podpisy. Obousměrné šifry používáme všude tam, kde chceme mít možnost zpřístupnit původní text - ale jen vybrané skupině lidí, znajících příslušný klíč
- šifrování s privátním klíčem (zvaném též symetrické či se symetrickým klíčem)
a šifrování s veřejným klíčem (zvaném též asymetrické či s asymetrickým klíčem)
a šifrování hybridní
Šifrování s privátním klíčem se vyznačuje existencí jediného klíče, který používáme jak
pro zašifrování zprávy, tak i pro její dešifrování. Tyto algoritmy bývají relativně rychlé,
ale jejich použití je omezeno na případy, kdy účastníci znají daný klíč předem.
Naproti tomu asymetrické šifrování používá klíče dva - privátní a veřejný. Cokoli
zašifrováno jedním klíčem, lze dešifrovat pouze druhým klíčem a naopak. Velkou výhodou
tohoto přístupu je, že jeden z klíčů (třeba ten který jsme označili jako veřejný) můžeme dát
k dispozici komukoliv (tedy zveřejnit ho). Kdokoli nám pak chce napsat tajnou zprávu,
použije k jejímu zašifrování tento veřejný klíč. Ani on sám, ani žádný jiný vlastník
našeho veřejného klíče ji nebude schopen dešifrovat. Toho bude schopen pouze držitel
druhého páru - privátního klíče, jímž bychom v ideálním případě měli být pouze my.
Chceme-li poté adresátovi poslat odpověď, nemůžeme ji zašifrovat svým privátním klíčem,
neboť by ji byl schopen dešifrovat kdokoli, ale musíme použít příslušný veřejný klíč.
Šifrování pomocí privátního klíče se používá v případě, kdy zpráva není tajná, ale jde nám
o její autentičnost - bude nepopiratelné, že pochází od nás. K tomuto účelu se ale více hodí
digitální podpisy.
Hybridní šifrování je kombinací obou výše zmíněných a nachází největší uplatnění
v dočasné komunikaci aplikací typu klient/server. Pomalé asymetrické algoritmy se použijí
k výměně náhodně vygenerovaného klíče sezení, který slouží ke kódování další komunikace
pomocí symetrických šifer.
Kromě právě uvedeného způsobu kódování komunikace po výměně klíče sezení, se šifrování s privátním klíčem používá jako ochrana lokálně uložených dat před nepovolaným návštěvníkem. Pokud máme uložena nechráněná data, může je získat kdokoli s fyzickým přístupem k našemu počítači. Fyzická ochrana má svá omezení a lze ji s vynaložením příslušného úsilí překonat. Jsou-li data chráněna ještě kryptologií, bezpečnost tím významně zvýšíme. Stejný bezpečnostní problém představují zálohy, které se většinou nacházejí na
malém přenosném médiu ideálním pro krádež. S použitím šifrování je ovšem spojeno riziko ztráty dat,zapomeneme-li potřebný klíč.
Naproti tomu šifrování s veřejným klíčem má o něco širší použití. Ačkoli bychom ho mohli využít i pro kódování lokálních dat, je to nepraktické kvůli potřebě dvou různých klíčů a náročnosti algoritmů. Oddělenost klíčů je přínosem pro komunikaci subjektů, jež se předem na tajném klíči neměli možnost dohodnout.
Zabezpečení dat:
1. informační systémy většinou při spuštění vyžadují zadání jména a hesla uživatele, bez kterého nedovolí práci. Nejlepší systémy navíc data při ukládání na lokální disk šifrují. Při využití architektury klient – server jsou data fyzicky ukládána pouze na centrálním serveru, ochrana dat na stanicích pak nemusí být řešena, pouze je třeba dobře zabezpečit přístup k serveru.
2. Softwarová ochrana PC. Existují speciální programy, které se stanou téměř součástí OS a šifrují veškeré zápisy na disk a samozřejmě čtení z něho dešifrují. Oprávněný uživatel se opět musí prokázat heslem, bez kterého je obsah disku nečitelný. Heslo může být uloženo na externím zařízení a v takovém případě může být i velmi dlouhé
3. Hardwarová ochrana PC. Podobně fungují i bezpečnostní karty do počítače, které jsou snad ještě spolehlivější. Bez znalosti hesla se s diskem nedá pracovat a jeho obsah je jen změtí nula a jedniček.
Porucha PC, chyba obsluhy, infekce počítačovými viry – všechny tyto události mají společný účinek, a tím je poškození nebo úplné zničení dat, která jsou uložena na pevném disku. Protože mají stejný účinek, je společný i základní způsob ochrany, a tím je zálohování dat.
Zálohování dat:
1. Pevný disk – vhodné např. ve formátu RAR (šetří místo a záloha je odlišená formátem), chrání před chybou uživatele (smazání dat), nechrání před zničením celého disku
2. Kopie na CD nebo DVD – jde o dlouhodobou zálohu, kterou je vhodné udělat po dokončení práce
3. USB disky – okamžité zálohování dat před dokončením práce na kratší dobu
4. Servery sítí – zálohují svůj obsah většinou na pásky
5. Externí pevné disky – připojení přes USB, jsou vhodné pro zálohování celých disků nebo diskových podílů
6. Diskety – malá kapacita a nízká trvanlivost záznamu, zcela nevhodné, použitelné jen v nouzi
• Způsoby zabezpečení dat
• Šifrování
Šifrování:
- použití kryptografie (šifrování) může vyřešit většinu problémů ve všech oblastech
počítačové bezpečnosti
- kryptografie je věda zabývající se šifrováním, tedy utajováním informací
- naproti tomu kryptoanalýza se zabývá luštěním šifer
- zastřešujícím pojmem pro oba dva obory je kryptologie
Na úvod je třeba vysvětlit několik základních pojmů, které budu dále používat:
• Šifrovací algoritmus je funkce sestavená na matematickém základě a provádí samotné
šifrování a dešifrování dat
• Šifrovací klíč říká šifrovacímu algoritmu jak má data (de)šifrovat, podobá se počítačovým
heslům, avšak neporovnává se zadaná hodnota s očekávanou, nýbrž se přímo
používá a vždy tedy dostaneme nějaký výsledek, jehož správnost závisí právě
na zadaném klíči
• Délka klíče ovlivňuje, kromě jiného, časovou náročnost při útoku hrubou silou - což je
Kryptoanalytická metoda, kdy postupně zkoušíme všechny možné hodnoty,
kterých klíč může nabývat
• Síla šifry - čím silnější šifru použijeme, tím větší je třeba vynaložit úsilí na její prolomení
- je vědeckou prací kryptologů analyzovat různé algoritmy a posuzovat jejich sílu
- na druhou stranu i použití té nejsilnější šifry se jemně míjí účinkem, pokud klíč
k jejímu dešifrování máme napsán na papírku přilepeném na monitor - proto
nelze šifrování samo o sobě považovat za dostatečné, ale vždy na něj hledět
jako na součást celku
Kryptografické metody lze dělit podle několika hledisek:
- jednosměrné a obousměrné. U obousměrné šifry jsme schopni při znalosti správného klíče
dešifrovat výsledek a získat tak opět originál. Zatímco u jednosměrné tento zpětný proces provést nelze (a obvykle se ani nepoužívá žádný klíč). Ačkoli se na první pohled jednosměrné šifry mohou zdát nevyužitelné, své uplatnění mají. Nejčastěji slouží k ukládání hesel, čímž se zabrání jejich odhalení i po zpřístupnění jejich uložené verze, ale zároveň zůstává možnost ověření hesla zadaného uživatelem - zadanou hodnotu stačí zakódovat a porovnat s uloženou variantou. Obdobou jednosměrných algoritmů jsou výtahy zpráv a digitální
podpisy. Obousměrné šifry používáme všude tam, kde chceme mít možnost zpřístupnit původní text - ale jen vybrané skupině lidí, znajících příslušný klíč
- šifrování s privátním klíčem (zvaném též symetrické či se symetrickým klíčem)
a šifrování s veřejným klíčem (zvaném též asymetrické či s asymetrickým klíčem)
a šifrování hybridní
Šifrování s privátním klíčem se vyznačuje existencí jediného klíče, který používáme jak
pro zašifrování zprávy, tak i pro její dešifrování. Tyto algoritmy bývají relativně rychlé,
ale jejich použití je omezeno na případy, kdy účastníci znají daný klíč předem.
Naproti tomu asymetrické šifrování používá klíče dva - privátní a veřejný. Cokoli
zašifrováno jedním klíčem, lze dešifrovat pouze druhým klíčem a naopak. Velkou výhodou
tohoto přístupu je, že jeden z klíčů (třeba ten který jsme označili jako veřejný) můžeme dát
k dispozici komukoliv (tedy zveřejnit ho). Kdokoli nám pak chce napsat tajnou zprávu,
použije k jejímu zašifrování tento veřejný klíč. Ani on sám, ani žádný jiný vlastník
našeho veřejného klíče ji nebude schopen dešifrovat. Toho bude schopen pouze držitel
druhého páru - privátního klíče, jímž bychom v ideálním případě měli být pouze my.
Chceme-li poté adresátovi poslat odpověď, nemůžeme ji zašifrovat svým privátním klíčem,
neboť by ji byl schopen dešifrovat kdokoli, ale musíme použít příslušný veřejný klíč.
Šifrování pomocí privátního klíče se používá v případě, kdy zpráva není tajná, ale jde nám
o její autentičnost - bude nepopiratelné, že pochází od nás. K tomuto účelu se ale více hodí
digitální podpisy.
Hybridní šifrování je kombinací obou výše zmíněných a nachází největší uplatnění
v dočasné komunikaci aplikací typu klient/server. Pomalé asymetrické algoritmy se použijí
k výměně náhodně vygenerovaného klíče sezení, který slouží ke kódování další komunikace
pomocí symetrických šifer.
Kromě právě uvedeného způsobu kódování komunikace po výměně klíče sezení, se šifrování s privátním klíčem používá jako ochrana lokálně uložených dat před nepovolaným návštěvníkem. Pokud máme uložena nechráněná data, může je získat kdokoli s fyzickým přístupem k našemu počítači. Fyzická ochrana má svá omezení a lze ji s vynaložením příslušného úsilí překonat. Jsou-li data chráněna ještě kryptologií, bezpečnost tím významně zvýšíme. Stejný bezpečnostní problém představují zálohy, které se většinou nacházejí na
malém přenosném médiu ideálním pro krádež. S použitím šifrování je ovšem spojeno riziko ztráty dat,zapomeneme-li potřebný klíč.
Naproti tomu šifrování s veřejným klíčem má o něco širší použití. Ačkoli bychom ho mohli využít i pro kódování lokálních dat, je to nepraktické kvůli potřebě dvou různých klíčů a náročnosti algoritmů. Oddělenost klíčů je přínosem pro komunikaci subjektů, jež se předem na tajném klíči neměli možnost dohodnout.
Zabezpečení dat:
1. informační systémy většinou při spuštění vyžadují zadání jména a hesla uživatele, bez kterého nedovolí práci. Nejlepší systémy navíc data při ukládání na lokální disk šifrují. Při využití architektury klient – server jsou data fyzicky ukládána pouze na centrálním serveru, ochrana dat na stanicích pak nemusí být řešena, pouze je třeba dobře zabezpečit přístup k serveru.
2. Softwarová ochrana PC. Existují speciální programy, které se stanou téměř součástí OS a šifrují veškeré zápisy na disk a samozřejmě čtení z něho dešifrují. Oprávněný uživatel se opět musí prokázat heslem, bez kterého je obsah disku nečitelný. Heslo může být uloženo na externím zařízení a v takovém případě může být i velmi dlouhé
3. Hardwarová ochrana PC. Podobně fungují i bezpečnostní karty do počítače, které jsou snad ještě spolehlivější. Bez znalosti hesla se s diskem nedá pracovat a jeho obsah je jen změtí nula a jedniček.
Porucha PC, chyba obsluhy, infekce počítačovými viry – všechny tyto události mají společný účinek, a tím je poškození nebo úplné zničení dat, která jsou uložena na pevném disku. Protože mají stejný účinek, je společný i základní způsob ochrany, a tím je zálohování dat.
Zálohování dat:
1. Pevný disk – vhodné např. ve formátu RAR (šetří místo a záloha je odlišená formátem), chrání před chybou uživatele (smazání dat), nechrání před zničením celého disku
2. Kopie na CD nebo DVD – jde o dlouhodobou zálohu, kterou je vhodné udělat po dokončení práce
3. USB disky – okamžité zálohování dat před dokončením práce na kratší dobu
4. Servery sítí – zálohují svůj obsah většinou na pásky
5. Externí pevné disky – připojení přes USB, jsou vhodné pro zálohování celých disků nebo diskových podílů
6. Diskety – malá kapacita a nízká trvanlivost záznamu, zcela nevhodné, použitelné jen v nouzi
