ochrona danych - Robert Wójcik

OCHRONA DANYCH
Wykładowca: dr inż. Robert Wójcik
Opis wykładu
Cel: Poznanie elementarnych zagadnień ochrony danych, dotyczących ochrony poufności,
integralności, uwierzytelniania dostępu oraz zabezpieczania przed błędami.
1. Zastosowania kryptografii: zapewnianie poufności i autentyczności danych;
uwierzytelnianie użytkowników, zapewnienie bezpiecznej komunikacji w systemach
i sieciach komputerowych; ochrona poczty elektronicznej.
2. Podstawy matematyczne: systemy algebraiczne; wybrane elementy teorii liczb; ciała
proste; algebra wielomianów; sekwencje pseudolosowe.
3. Ochrona danych: kryptografia; systemy i algorytmy kryptograficzne; kryptoanaliza.
4. Systemy kryptograficzne: systemy z kluczem tajnym - symetryczne; systemy z
kluczem jawnym (publicznym) - asymetryczne.
5. Ocena systemów kryptograficznych. Standardy i poziomy bezpieczeństwa.
6. Podstawowe techniki szyfrowania. Szyfry podstawieniowe i przestawieniowe.
Szyfry kaskadowe.
7. Algorytmy kryptografii symetrycznej.
8. Algorytmy kryptografii asymetrycznej.
9. Techniki szyfrowania i implementacje.
10. Jednokierunkowe funkcje haszujące.
11. Podpisy cyfrowe: realizacja podpisów, uwierzytelnianie i szyfrowanie dokumentów
poczty elektronicznej.
12. Zarządzanie kluczami kryptograficznymi.
13. Certyfikacja kluczy kryptograficznych.
14. Kody korekcyjne, kody cykliczne oparte o wielomiany nad ciałami. Zdolność korekcyjna i
detekcyjna kodów liniowych, cyklicznych. Algorytm kodowania i dekodowania dla kodów
cyklicznych.
15. Wybrane zastosowania praktyczne.
Opis projektu
Celem projektu jest opracowanie przykładowego systemu ochrony danych w systemach i
sieciach komputerowych w oparciu o wybrane metody, protokoły i algorytmy kryptograficzne.
Przedmiotem projektu jest ochrona przed niepowołanym dostępem, ochrona poufności i
autentyczności przesyłanych danych oraz dokumentów, uwierzytelnianie pochodzenia danych,
wzajemne uwierzytelnianie uczestników komunikacji sieciowej, zabezpieczanie komunikacji
sieciowej przed przechwyceniem i zniekształceniem informacji (błędami), zarządzanie kluczami
kryptograficznymi. W ramach projektu należy przedstawić opracowanie i/lub implementację
wybranych rozwiązań zapewniających odpowiedni poziom bezpieczeństwa danych
przechowywanych w węzłach sieci komputerowej lub bazach danych, bezpieczeństwo dostępu
do systemu oraz komunikacji między użytkownikami, a także bezpieczeństwo dokumentów (np.
paszport), banknotów i kart płatniczych.
Zaliczenie:
Egzamin
Przykładowe tematy
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Standardy, normy i ustawy dotyczące ochrony danych (programów komputerowych).
Mechanizmy kryptograficzne w projektowaniu systemów uwierzytelniania.
Algorytmy szyfrowania danych w sieciach VPN, protokołach bezpieczeństwa (SSH, SSL).
Algorytmy szyfrowania danych w systemach typu „firewalls”.
Implementacja wybranych szyfrów podstawieniowych.
Implementacja wybranych szyfrów przestawieniowych.
Implementacja szyfru kaskadowego enigma.
Standard szyfrowania danych DES – zasada działania i zastosowania.
Algorytm szyfrowania danych z kluczem tajnym IDEA.
Standard szyfrowania danych z kluczem tajnym Rijndael - AES.
Szyfr plecakowy Merklego-Hellmana.
Algorytm asymetryczny ElGamala – zasada działania i zastosowania.
Algorytm asymetryczny RSA – zasada działania i zastosowania.
Algorytm haszujący MD5 – zasada działania i zastosowania (lub SHA - do wyboru).
System podpisów cyfrowych – zasada działania i zastosowania.
Standard podpisów cyfrowych DSA.
Podpisy cyfrowe i szyfrowanie – zastosowanie do ochrony poczty elektronicznej.
Zabezpieczanie dokumentów, banknotów i kart płatniczych.
Zabezpieczanie informacji w bazach danych.
Metody uwierzytelniania dostępu do kont bankowych (np. biometryczne).
System szyfrowania plików dyskowych.
System wystawiania certyfikatów kluczy kryptograficznych.
Elektroniczny dokument: protokoły, standardy, rozwiązania techniczne, aspekty prawne.
Standard EDI – zasada działania i zastosowania.
W ramach opisu projektu należy przedstawić następujące elementy.
1.
2.
3.
4.
5.
Stronę tytułową projektu. Spis treści. Spis rysunków. Spis tabel.
Wstęp. Cel i zakres projektu.
Opis działania systemu ochrony. Strukturę i funkcje systemu.
Wykorzystywane metody, protokoły i algorytmy kryptograficzne.
Założenia przyjęte podczas implementacji systemu, np. ograniczenia reprezentacji danych
liczbowych, komunikacji międzyprocesowej.
6. Wykorzystywane środowiska, metody, narzędzia, technologie projektowania oraz
implementacji systemu.
7. Przykłady implementacyjne.
8. Sposób uruchamiania i testowania aplikacji.
9. Ocenę wydajności systemu (np. czasy generowania kluczy, szyfrowania, deszyfrowania,
podpisywania dokumentów, weryfikowania podpisów)
10. Podsumowanie – zawiera wnioski końcowe, ocenę właściwości systemu ochrony.
11. Wykorzystywane pozycje literaturowe. Literatura powinna być sformatowana zgodnie ze
wzorem podanym na kolejnej stronie.
Przykładowa strona tytułowa projektu z ochrony danych znajduje się na stronie
internetowej prowadzącego; jako wzór spisu treści można przyjąć spis treści opracowany
w ramach sprawozdania z laboratorium z BSK (poprzedni semestr).
Projekt, o tematyce ustalonej z prowadzącym zajęcia, należy wysłać na adres mailowy
prowadzącego w wersji DOC lub PDF ( e-mail: [email protected] ).
Literatura
[1] Mochnacki W., Kody korekcyjne i kryptografia, Oficyna Wydawnicza Politechniki
Wrocławskiej, Wrocław, 2000.
[2] Kutyłowski M., Strothmann W., Kryptografia. Teoria i praktyka zabezpieczania systemów
komputerowych, Oficyna Wydawnicza Read Me, Warszawa, 1999.
[3] Welschenbach M., Kryptografia w C i C++, Wydawnictwo Mikom, Warszawa, 2002.
[4] Schneier B., Kryptografia dla praktyków. Protokoły, algorytmy i programy źródłowe w
języku C, WNT, Warszawa, 1995.
[5] Schneier B., Ochrona poczty elektronicznej, WNT, Warszawa, 1996.
[6] Stoklosa J., Bilski T., Pankowski T., Bezpieczeństwo danych w systemach informatycznych,
PWN, Warszawa, 2001.
[7] Zwicky E.D., Cooper S., Chapman D.B., Internet Firewalls. Tworzenie zapor ogniowych,
RM, Warszawa, 2001.
[8] Wrona M., Niebezpieczeństwo komputerowe, RM, Warszawa, 2000.
[9] Kaeo M., Tworzenie bezpiecznych sieci, Warszawa, Mikom, 2000.
[10] Internet: Agresja i ochrona, Wydawnictwo Robomatic, Wrocław, 1998.
[11] Stallings W., Ochrona danych w sieci i intersieci: W teorii i praktyce, WNT, Warszawa,
1997.
[12] Strona internetowa: http://pl.wikipedia.org, 15.10.2008r.