資訊安全與防護 陳以德 Yiter itchen@kmu.edu.tw 1.

Slides:



Advertisements
Similar presentations
第三章 對稱式金鑰密碼系統 - 資料加密標準.  1970 年代 Horst Feistel 為美國 IBM 電腦公司研發出 “Lucifer” 系統。  美國國家標準局 (NBS, 現為 NIST) 在 1973 年徵求構想 書,希望能訂定國際加密標準。  DES 最後在 1997 年 1.
Advertisements

3.1 信息加密技术概述 3.2 密码技术 3.3 密钥管理 3.4 网络加密技术 习题与思考题 参考文献 实训指南
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
第5章 电子商务安全 学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。
電子商務安全防護 線上交易安全機制.
資訊安全管理 與 個人資訊安全防護 日期:99年12月01日 13:30~16:30 地點:e化專科教室 主講人:黃尚文.
質數的應用 – RSA加密演算法 國立中央大學 資工系 江振瑞.
第二讲 电子商务技术 Internet和www技术(重点掌握) 信息处理技术(重点掌握) EDI技术(熟悉) 电子支付系统(熟悉)
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
Chapter 1: 概論 1.1 密碼學術語簡介及假設
資訊安全 Security 陳以德 助理教授: 濟世CS 轉
网络安全协议 Network Security Protocols
資訊安全與防毒 Chapter 認識資訊安全 14-2 網路帶來的安全威脅 14-3 電腦病毒/特洛依木馬/網路蠕蟲
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
计算机网络 第 7 章 计算机网络的安全.
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
電子資料保護 吳啟文 100年6月7日.
06資訊安全-加解密.
计算机网络 暨南大学计算机科学系 学年 第一学期.
密码学基础 电子科技大学•计算机学院.
電子戶籍謄本申辦及驗證實務作業與問題討論
大專院校校園e 化 PKI、智慧卡應用與整合.
計算機概論 蘇俊銘 (Jun Ming Su) 資料加密技術簡介 計算機概論 蘇俊銘 (Jun Ming Su)
電子商務 11-1 電子商務概論 11-2 電子商務交易安全與 加密機制 11-3 電子商務交易付費機制
计算机应用专业系列教材 计算机网络.
公開鑰匙加密演算法 密碼學大革命 public key所想要解決的問題 public key密碼系統特性
密碼學簡介與簡單生活應用 Introduction to Cryptography & Simple Applications in Life 2010 Spring ADSP 05/07.
資訊安全-資料加解密 主講:陳建民.
網路與多媒體實驗 第一組報告 B 鄧鎮海 B 葉穎達
第5章 高级加密标准(AES) AES的起源 AES的设计原则 AES算法描述.
第9章 電子商務安全防範.
二、現代的加解密法:RSA 非對稱式密碼系統的一種。
David liang 数据通信安全教程 防火墙技术及应用 David liang
华南师范大学 防火墙 华南师范大学
第九章 網路病毒犯罪 林義貴 講座教授.
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第三章 公钥基础设施PKI 本章学习重点掌握内容: 密码学基本术语 密码体制分类 私钥密码体制的主要特点 公钥密码体制的主要特点
電子商務 E-Commerce 梁榮亮 B
Cryptography and Network Security - 2
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
Module 2:電子商務之安全.
CH19資訊安全 認識資訊安全與其重要性 了解傳統與公開金鑰密碼系統, 以及基本的安全性觀念 了解訊息鑑別與雜湊函數 了解數位簽章法
資電學院 計算機概論 F7810 第十七章 資訊安全 陳邦治編著 旗標出版社.
Instructor: Shu-Tsai Gue 顧 叔 財
秘密金鑰密碼系統 (Secret Key Cryptosystems)
P2P通信之 ——UDP穿越NAT方案的讨论
第9章 虛擬私人網路VPN.
基礎密碼學 非對稱式金鑰加密法 樹德科技大學 資訊工程系 林峻立 助理教授.
李开祥 郭雪丽 马高峰 杨洋 孙凤英 陈静 Copyright © 2007 西安交通大学电子商务系
FTP檔案上傳下載 實務與運用.
弘光技術學院 資訊管理系助理教授兼電算中心主任 丁德榮 博士
ISA Server 2004.
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
公開金鑰密碼系統 (Public-Key Cryptosystems)
Firewall-pfsense Mars Su
傳輸控制協議 /互聯網協議 TCP/IP.
公钥密码学与RSA.
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
密碼學 Chapter 4 基於電腦的非對稱性金鑰密碼學演算法
應用加密技術 A 譚惠心 指導教授:梁明章教授.
所以我們需要     密碼學…. 每個人都有秘密….. 安俐的體重.
Common Security Problems in Business and Standards
整合線上軟體開發工具、線上廣播與加密技術之軟體工程線上考試系統
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
張仁俊 (Jen-Chun Chang) 國立台北大學 資訊工程學系 通訊工程研究所 電機工程研究所
Computer Security and Cryptography
應用加密技術 張維哲 指導老師:梁明章.
Website: 第1章 密码学概论 Website: 年10月27日.
Presentation transcript:

資訊安全與防護 陳以德 Yiter itchen@kmu.edu.tw 1

Outline(1/2) 密碼學簡介 網路傳輸的危險性 加密與解密 對稱性加密(Substitution, Transposition, DES) 高級加密標準(Advanced Encryption Standard, AES) 非對稱性加密(RSA) MAC 電子簽章 2

Outline(2/2) 防火牆(Firewall) 簡單交通記錄系統 Packet Filtering Application Gateway Proxy Server Screened Host Firewall 3

明文在網路上傳輸的危險性 A B eavesdropper E pw:天地玄黃 pw:天地玄黃 Sniffer, WireShark 4

網路封包分析軟體 Sniffer http://www.netscout.com Wireshark http://www.wireshark.org http://zh.wikipedia.org/zh-tw/Wireshark 5

WireShark http://www.wireshark.org/download.html

相關法規 電腦個人資料保護法 相關刑法 網路下載軍機 外患罪起訴 318-1 無故洩漏因利用電腦或其他相關設備知悉或持有他人之秘密者,處二年以下有期徒刑、拘役或五千元以下罰金 318-2 利用電腦或其相關設備犯第三百十六條至第三百十八條之罪者,加重其刑至二分之一 339-3 意圖為自己或第三人不法之所有,以不正方法將虛偽資料或不正指令輸入 電腦或其相關設備,製作財產權之得喪、變更紀錄,而取得他人財產者,處七年以下有期徒刑。 以前項方法得財產上不法之利益或使第三人得之者,亦同 352 毀棄、損壞他人文書或致令不堪用,足以生損害於公眾或他人者,處三年 以下有期徒刑、拘役或一萬元以下罰金 網路下載軍機 外患罪起訴

刑法 -妨害電腦使用罪 358 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞 ,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或 併科十萬元以下罰金 359 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公 眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金 360 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於 公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金 361 對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一 362 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害 於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰 金 363 第三百五十八條至第三百六十條之罪,須告訴乃論。 8

其他網路危險 Eavesdropping OS漏洞 Password的竊取 Spoofing Session Hijacking 特洛依木馬、virus、trapdoor DOS, DDOS 9

加密系統的應用 B A 解密 加密 eavesdropper E pw:天地玄黃 pw:天地玄黃 @#$%&* @#$%&* Sniffer, WireShark @#$%&* E eavesdropper 10

加 密 與 解 密 Decryption Encryption M C e K d 密文 明文 11

對稱,秘密與公開金匙 對稱金匙(Symmetric Key)系統 Ke=Kd 非對稱金匙(Asymmetric Key)系統 Ke≠Kd 12

表 白 雖萍水相逢,但覺你是很好的人, 仔細思考後,決定向你用以最最笨拙 的方式表白,也許我沒有你想要的優 點,也許是一廂情願,我卻甘心.我 表 白   雖萍水相逢,但覺你是很好的人, 仔細思考後,決定向你用以最最笨拙 的方式表白,也許我沒有你想要的優 點,也許是一廂情願,我卻甘心.我 並不需要你的回報,我只願默默的關 心你,在背後祝福你,不讓你苦惱, 也無意擾亂你生活,要是你深覺不妥, 我願意忍住痛苦,裝做不曾為了你而 動過心,我不是聰明伶俐的人,但也 不至是如此不明理的人.年輕都會有 夢想,我的愚昧,使我踏入了情感陷 阱,整個人就如斷線風箏,飛向夢想. 在這季節裡,天氣正如我的心情,時 而愉快,時而感傷.此時,我不抱任 何樂觀的態度,但只願你瞭解我的心. ...僅以真誠的心... 13

加密法 Substitution Transposition 14

Substitution Ciphers(對稱性加密) 原始文字與加密文字對照表 那麼apple這個字就會變成bqqmf了 I love you 變成j mpwf zpv 加密時向右移一位, 解密時向左移一位 加解密的 Key 相同 15

Transposition Ciphers 這富額代能都一 獸貴上表買能個 又,打名賣夠人 強奴印字。算。 迫隸記的這出這 所或。數裡獸數 有自這字需的字 的由印;要數是 人人記沒有字六 ,就有智,百無 在是這慧因六論 他那印。為十 大們獸記凡這六 小的的的是數。 ,右右,聰字貧 手字就明代 窮和或不人表 16

這富額代能都一 獸貴上表買能個 又,打名賣夠人 強奴印字。算。 迫隸記的這出這 所或。數裡獸數 有自這字需的字 的由印;要數是 這富額代能都一  獸貴上表買能個  又,打名賣夠人  強奴印字。算。 迫隸記的這出這 所或。數裡獸數 有自這字需的字 的由印;要數是 人人記沒有字六 ,,就有智,百 無在是這慧因六 論他那印。為十 大們獸記凡這六 小的的的是數。 ,右右,聰字 貧手字就明代 窮和或不人表 17

26個英文字母出現的頻率表 英文字母 使用頻率 A 0.0856 J 0.0013 S 0.0607 B 0.0139 K 0.0042 T 0.1045 C 0.0297 L 0.0339 U 0.0249 D 0.0378 M V 0.0092 E 0.1304 N 0.0707 W 0.0149 F 0.0289 O 0.0797 X 0.0017 G 0.0199 P Y H 0.0528 Q 0.0012 Z 0.0008 I 0.0627 R 0.0677

古典加密法 Caesar Cipher Momoalphabetic Cipher Hill Cipher Playfair Cipher Vegenere Cipher (Polyalphabetic cipher) Permutation Cipher One-Time Pad 19

DES(Data Encryption Standard) Plaintext M(64 bits) Ciphertext C(64 bits) Key K(56 bits or 64 bits) Round Function F(X, Y) : X(32 bits) and Y(48 bits) Rounds: 16 20

DES(Cont.) IP: initial permutation IP(M) = (L, R) FP: final permutation : IP.FP = FP.IP (Ln, Rn) = (Rn-1, Ln-1  F(Rn-1, K)) F(X, Y) = Perm(S_box( Ext(X)  Y)) C = FP(R, L) 21

DES(Fig.) 22

DES(One round) 23

Triple DES 24

AES (Advanced Encryption Standard) Joan Daemen, Vincent Rijmen in Belgium 128/192/256 bit keys, 128 bit data 主要 4 個步驟 , 10/12/14 round AddRoundKey SubBytes ShiftRows MixColumns http://zh.wikipedia.org/zh-tw/高階加密標準

AES - AddRoundKey

AES - SubBytes

AES - ShiftRows

AES - MixColumns

RSA密碼系統(非對稱加密) 產生兩把鑰匙的步驟: 隨機取兩個很大的質數p, q(最好大於21024) 2005年, 663bit RSA 可用Lattice sieve 破 計算出 n = p * q 及 (n)=(p-1)*(q-1) 隨機找一個與 (n) 互質的數目 : e。 (意即 gcd (e, (n))=1) 利用歐幾里得演算法得出 : d such that  d 滿足e * d ≡1 mod (n)。 以(e, n)為 Public key,d為 Private key。 30

RSA (原理) (Cd mod n) = ((Me mod n)d mod n) = Me*d mod n = M(k * (p-1) * (q-1)) + 1 mod n = M1 mod n=M (因為e * d ≡1 (mod ((p-1) * (q-1)))。) Fermat’s little Theorem (n) mod n =1 Where (,n)=1 31

RSA (例子1) 取兩個質數 p=101, q=53, n=101*53=5353 明文=4657 設A的公開金匙(eA,NA)=(7,5353) 利用歐幾里得演算法得出秘密金匙dA=743, [Where eA, dA=1 mod (100*52)] 得到密文為 4657743 mod 5353 = 1003 密文用的公開金匙(eA,NA )解開得回明文 10037mod 5353=4657 32

RSA 例子2,BA Φ(n)= (3-1)*(5-1)=8 取兩個質數 p=3, q=5 n=3*5=15 明文 m=13 任取一數11得A’s Public key (eA,NA)=(11,15) 利用歐幾里得演算法得出 Private key dA=3, 33

11與Φ(n) 輾轉相除 11 8 1=3-2 =3-(8-6) 8 6 =3-8+6 =(11-8)-8+2(11-8) 3 2 11 8 1=3-2 =3-(8-6) =3-8+6 =(11-8)-8+2(11-8) =3(11-8)-8 =3(11)-4(8) 取Public key 11與Φ(n) 輾轉相除 最後(11)旁的係數3,為另一支key 8 6 3 2 2 1 34

RSA 例子2,BA(Cont.) eA*dA=11*3=1 mod Φ(n) B用A’s Public key加密得密文為:1311 mod 15 = 7 A 用自己的Private key 解開密文得回明文 73mod 15=13 35

RSA (例子3, 驗證) Example(承上例, p=3, q=5, n=15, e=11, d=3) A將文件(m=13)用A的 Private key 加密 133 mod 15=7 B拿到 (13,7)用A’s Public key 解密得回明文 711 mod 15 看會不會=13 可用來做電子簽章驗證 36

RSA特性及其運用 RSA運用exponential algorithm RSA執行速度較DES等對稱加密慢 digital signature protocol中的key exchange。 37

單向函數 One-way Function 定義:一函數滿足下列條件則稱 f 為One-way Function Example: 1. 對於所有屬於F域之x, 很容易計算出f(x)=y. 2. 對於幾乎所有屬於f 之範圍的任一y, 在計算上不可 能求出x 使得y=f(x) Example: y = f(x) =xn+an-1 xn-1+…+a1x+a0 mod p 易 f 難 X Y 38

Message Authentication Codes (MAC) MAC is an authentication tag (also called a checksum) derived by appying an authentic-ation scheme, together with a secret key, to a message. There are four types of MACs: (1) unconditionally secure (2) hash function-based (3) stream cipher-based or (4) block cipher-based. 39

MAC -2 Hash function H(m1, m2, …, mt)=m 現有的Hash function: MD5, SHA-1, ... MAC is key-dependent one-way hash function MAC are computed and verified with the same key A & B 共同擁有 key K A send H(K, M) to B B can reproduce A’s result 40

現有對稱與非對稱加密法 對稱加密法 非對稱加密法 DES, IDEA, AES(MARS, RC6, Rijndael, Serpent, and Twofish), ... 非對稱加密法 RSA, ElGamal, Elliptic Curve Cryptography… 41

總結(1/) 對稱式加密 DES DES Session Key Session Key I am Yiter Asd$#v#$h I am 42

總結(2/) 非對稱式加密 第三公正者 RSA RSA 對方的 Public key 自己的Private Key I am Yiter @#SDFGSASDF I am Yiter RSA RSA 43

總結(3/) 對稱與非對稱式加密交互運用 RSA RSA AES AES 孫中山 自己的Private Key 對方的 Public key Session Key ^%$(*&#$ Session Key RSA RSA Session Key Session Key I am 孫中山 Dthfgb$shgzxcv I am 孫中山 AES AES Bdve$%^@dgrse 44

總結(4/)電子簽章 Example(承上例, p=3, q=5, n=15, e=11, d=3) 將簽署文件(m=13)用A自己的Private key 加密後得到密文 133 mod 15=7 A 將簽署文及密文(m=13, c=7)一齊送給B B 可拿A的 Public key (eA,NA)驗證得回簽署文 m’=711 mod 15 =13 若m=m’ 則驗證正確 45

總結(5/) 電子簽章圖示 原文 原文 Hashing 原 文 比對 Hashing Secret Key Public Key 訊息摘要  原文  原文 Hashing 訊息摘要 原 文 電子簽章 比對 Hashing 訊息摘要 電子簽章 電子簽章 訊息摘要 Secret Key Public Key 46

總結(6/) 對稱;非對稱式加密加電子簽章 RSA RSA 原 文 原 文 Rijndael Rijndael 自己的Private Key 對方的 Public key Session Key ^%$(*&#$ Session Key RSA RSA Session Key Session Key 原 文 電子簽章 原 文 電子簽章 Dthfgb$shgzxcv Rijndael Rijndael 47

SSL Architecture 48

SSL Firefox Example Https://...

Firefox - Facebook Http://... 鎖呢?

IE- Facebook Http://...

IE-Yahoo Https://...

個人電腦安全防護 密碼設定 社交攻擊 備份

個人電腦 -防毒,木馬 防毒與防火牆 掃木馬 spybot 掃廣告病毒 Ad-aware Pc cillin (Officescan), Norton, Kaspersky, AVG, Avast, Avira (小紅傘), PC Tools, Comodo, ClamWin, BitDefender, F-Secure, Dr. Web 掃木馬 spybot 掃廣告病毒 Ad-aware 掃隨身碟 WowUSBProtector, Kavo_Killer 54

Firewall 定義: 只讓具備特殊身分的外在使用者才能連上一個被保護的網站, 使用其軟體或硬體 A firewall system is used to control access to or from a protected network ( a site ). 小問題: pcanywhere 55

Firewall圖示 56

Firewall 的種類 簡單交通記錄系統 封包過濾(Packet Filtering) Application Gateway (Dual-homed Gateway) Proxy Server Screened Host Firewall 57

簡單交通記錄系統 將網路上傳輸記錄在稽查記錄檔案(.log) 記錄的資料 被存取的檔案 使用者何時由何地用什麼程式進來 使用者存取及上傳的位元數 58

封包過濾(Packet Filtering) 59

封包過濾常用審查法則 根據協定(ICP, UDP, ICMP)來控制及過濾 對某些應用做限制性取用(port 80, 443...) 對己知來源的IP位置做限制(.edu) Block or filter protocols「ports」and「addresses」 60

封包過濾優缺點 優點 Most Common ,easy and cheap Fully transparency, no impact to user 缺點 Little or no logging capability Complex filtering rules may become unmanageable Rules are difficult to test thoroughly 61

Application Gateway Dual-homed Gateway 62

Application Gateway圖示 63

Application Gateway 外界使用者在做進一步連結前, 先連接到受信賴的應用程式上 系統管理注意事項 除Firewall必須帳戶外, 刪除所以使用者帳戶 刪除不必要的檔案及程式(FTP, Telnet) 將記錄(.log)和監控延伸到可以檢查遠端存取 關閉IP轉寄的功能 64

Proxy Server Client Proxy Server Remote Server Proxy Server 位於Internet 和內部網路之間, 提供中間人的服務 支援「extra logging」and「advanced authentication」 Client Proxy Server Remote Server Cache 65

Screened Host Firewall Screened Host Firewall為封包濾器 (packet filter) 與應用閘道器 (application gateway) 的組合 66

Screened Host Firewall 允許外界封包輸至內部閘道器 不允許外界封包輸至內部其它主機 允許閘道器的封包輸出至外界網路 不允許其它內部主機的封包輸出至外界網路 67

Screened Host Firewall 優點 More flexibility. Router filtering rules are simplified . 缺點 Less security. (packet can go directly inside) 68

Screened Subnet Firewall 69

“Subnet v.s. Host” Screened Gateway Subnet 將 Host中的單部Gateway擴展成數部,並將風險及效能的負擔分散至數部主機,所以較有彈性、安全、且有效率。 缺點 More expensive complex management Less security if permit special「trusted」service. 70

What Can’t a Firewall Protect Against Firewalls can’t protect against attacks that don’t go through the firewall , or rules that make a leak. Firewalls can’t protect against「data driven」 attacks , like「Virus」. 71

Firewall的安全策略 管理者工作 對機構內的安全策略必須十分清楚 知道Firewall功能中監視, 複製, 控制的程度 不能允許不受限制的modem上線 機密資料就不該連到Internet 私人資料系統與公司網路的其它部分分開 Firewall非萬能 72

Firewall管理問題 自己建立或買現成的 容量管理問題 內容管理和控制問題 買現成的貴又怕 Trapdoor 自行設計要考慮支援和系統更新等後續維修 容量管理問題 Bottleneck 內容管理和控制問題 MIS部門, 行銷通訊部門或功能部門的工作 73

參考資料 Electronic Commerce : A Manager’s Guide Kalakota & Whinston William Stallings Cryptography and Network Security 5th 網站 http://www.rsasecurity.com/ http://khchu.virtualave.net/index.htm http://cissnet.edu.tw 教育部資安網 http://www.nii.org.tw/tanet/docs/一般人員資安宣導與法規.pdf 74