ochrona danych - Robert Wójcik
Transkrypt
ochrona danych - Robert Wójcik
OCHRONA DANYCH Wykładowca: dr inż. Robert Wójcik Opis wykładu Cel: Poznanie elementarnych zagadnień ochrony danych, dotyczących ochrony poufności, integralności, uwierzytelniania dostępu oraz zabezpieczania przed błędami. 1. Zastosowania kryptografii: zapewnianie poufności i autentyczności danych; uwierzytelnianie użytkowników, zapewnienie bezpiecznej komunikacji w systemach i sieciach komputerowych; ochrona poczty elektronicznej. 2. Podstawy matematyczne: systemy algebraiczne; wybrane elementy teorii liczb; ciała proste; algebra wielomianów; sekwencje pseudolosowe. 3. Ochrona danych: kryptografia; systemy i algorytmy kryptograficzne; kryptoanaliza. 4. Systemy kryptograficzne: systemy z kluczem tajnym - symetryczne; systemy z kluczem jawnym (publicznym) - asymetryczne. 5. Ocena systemów kryptograficznych. Standardy i poziomy bezpieczeństwa. 6. Podstawowe techniki szyfrowania. Szyfry podstawieniowe i przestawieniowe. Szyfry kaskadowe. 7. Algorytmy kryptografii symetrycznej. 8. Algorytmy kryptografii asymetrycznej. 9. Techniki szyfrowania i implementacje. 10. Jednokierunkowe funkcje haszujące. 11. Podpisy cyfrowe: realizacja podpisów, uwierzytelnianie i szyfrowanie dokumentów poczty elektronicznej. 12. Zarządzanie kluczami kryptograficznymi. 13. Certyfikacja kluczy kryptograficznych. 14. Kody korekcyjne, kody cykliczne oparte o wielomiany nad ciałami. Zdolność korekcyjna i detekcyjna kodów liniowych, cyklicznych. Algorytm kodowania i dekodowania dla kodów cyklicznych. 15. Wybrane zastosowania praktyczne. Opis projektu Celem projektu jest opracowanie przykładowego systemu ochrony danych w systemach i sieciach komputerowych w oparciu o wybrane metody, protokoły i algorytmy kryptograficzne. Przedmiotem projektu jest ochrona przed niepowołanym dostępem, ochrona poufności i autentyczności przesyłanych danych oraz dokumentów, uwierzytelnianie pochodzenia danych, wzajemne uwierzytelnianie uczestników komunikacji sieciowej, zabezpieczanie komunikacji sieciowej przed przechwyceniem i zniekształceniem informacji (błędami), zarządzanie kluczami kryptograficznymi. W ramach projektu należy przedstawić opracowanie i/lub implementację wybranych rozwiązań zapewniających odpowiedni poziom bezpieczeństwa danych przechowywanych w węzłach sieci komputerowej lub bazach danych, bezpieczeństwo dostępu do systemu oraz komunikacji między użytkownikami, a także bezpieczeństwo dokumentów (np. paszport), banknotów i kart płatniczych. Zaliczenie: Egzamin Przykładowe tematy • • • • • • • • • • • • • • • • • • • • • • • • Standardy, normy i ustawy dotyczące ochrony danych (programów komputerowych). Mechanizmy kryptograficzne w projektowaniu systemów uwierzytelniania. Algorytmy szyfrowania danych w sieciach VPN, protokołach bezpieczeństwa (SSH, SSL). Algorytmy szyfrowania danych w systemach typu „firewalls”. Implementacja wybranych szyfrów podstawieniowych. Implementacja wybranych szyfrów przestawieniowych. Implementacja szyfru kaskadowego enigma. Standard szyfrowania danych DES – zasada działania i zastosowania. Algorytm szyfrowania danych z kluczem tajnym IDEA. Standard szyfrowania danych z kluczem tajnym Rijndael - AES. Szyfr plecakowy Merklego-Hellmana. Algorytm asymetryczny ElGamala – zasada działania i zastosowania. Algorytm asymetryczny RSA – zasada działania i zastosowania. Algorytm haszujący MD5 – zasada działania i zastosowania (lub SHA - do wyboru). System podpisów cyfrowych – zasada działania i zastosowania. Standard podpisów cyfrowych DSA. Podpisy cyfrowe i szyfrowanie – zastosowanie do ochrony poczty elektronicznej. Zabezpieczanie dokumentów, banknotów i kart płatniczych. Zabezpieczanie informacji w bazach danych. Metody uwierzytelniania dostępu do kont bankowych (np. biometryczne). System szyfrowania plików dyskowych. System wystawiania certyfikatów kluczy kryptograficznych. Elektroniczny dokument: protokoły, standardy, rozwiązania techniczne, aspekty prawne. Standard EDI – zasada działania i zastosowania. W ramach opisu projektu należy przedstawić następujące elementy. 1. 2. 3. 4. 5. Stronę tytułową projektu. Spis treści. Spis rysunków. Spis tabel. Wstęp. Cel i zakres projektu. Opis działania systemu ochrony. Strukturę i funkcje systemu. Wykorzystywane metody, protokoły i algorytmy kryptograficzne. Założenia przyjęte podczas implementacji systemu, np. ograniczenia reprezentacji danych liczbowych, komunikacji międzyprocesowej. 6. Wykorzystywane środowiska, metody, narzędzia, technologie projektowania oraz implementacji systemu. 7. Przykłady implementacyjne. 8. Sposób uruchamiania i testowania aplikacji. 9. Ocenę wydajności systemu (np. czasy generowania kluczy, szyfrowania, deszyfrowania, podpisywania dokumentów, weryfikowania podpisów) 10. Podsumowanie – zawiera wnioski końcowe, ocenę właściwości systemu ochrony. 11. Wykorzystywane pozycje literaturowe. Literatura powinna być sformatowana zgodnie ze wzorem podanym na kolejnej stronie. Przykładowa strona tytułowa projektu z ochrony danych znajduje się na stronie internetowej prowadzącego; jako wzór spisu treści można przyjąć spis treści opracowany w ramach sprawozdania z laboratorium z BSK (poprzedni semestr). Projekt, o tematyce ustalonej z prowadzącym zajęcia, należy wysłać na adres mailowy prowadzącego w wersji DOC lub PDF ( e-mail: [email protected] ). Literatura [1] Mochnacki W., Kody korekcyjne i kryptografia, Oficyna Wydawnicza Politechniki Wrocławskiej, Wrocław, 2000. [2] Kutyłowski M., Strothmann W., Kryptografia. Teoria i praktyka zabezpieczania systemów komputerowych, Oficyna Wydawnicza Read Me, Warszawa, 1999. [3] Welschenbach M., Kryptografia w C i C++, Wydawnictwo Mikom, Warszawa, 2002. [4] Schneier B., Kryptografia dla praktyków. Protokoły, algorytmy i programy źródłowe w języku C, WNT, Warszawa, 1995. [5] Schneier B., Ochrona poczty elektronicznej, WNT, Warszawa, 1996. [6] Stoklosa J., Bilski T., Pankowski T., Bezpieczeństwo danych w systemach informatycznych, PWN, Warszawa, 2001. [7] Zwicky E.D., Cooper S., Chapman D.B., Internet Firewalls. Tworzenie zapor ogniowych, RM, Warszawa, 2001. [8] Wrona M., Niebezpieczeństwo komputerowe, RM, Warszawa, 2000. [9] Kaeo M., Tworzenie bezpiecznych sieci, Warszawa, Mikom, 2000. [10] Internet: Agresja i ochrona, Wydawnictwo Robomatic, Wrocław, 1998. [11] Stallings W., Ochrona danych w sieci i intersieci: W teorii i praktyce, WNT, Warszawa, 1997. [12] Strona internetowa: http://pl.wikipedia.org, 15.10.2008r.