Pytania, które pojawiły się na egzaminie z “Ochrony danych” w roku 2006



Pobieranie 266,37 Kb.
Strona3/3
Data14.02.2018
Rozmiar266,37 Kb.
1   2   3

37. Czym różni się uwierzytelnianie od autoryzacji?

Uwierzytelnianie polega na wiarygodnym sprawdzeniu czy podmiot jest rzeczywiście tym za kogo lub za co się podaje. 

Może więc ono dotyczyć nie tylko użytkowników, lecz także procesów, systemów czy nawet całych instytucji (hasło). Autoryzacja polega na sprawdzeniu czy dana osoba posiada prawa do danych zasobów. Podczas autoryzacji (przed otwarciem danych) dany zasób odwołuje się do autorytetu (systemu) i sprawdza czy osoba jest osobą za którą się podaje i czy ma prawa do danych zasobów.

38. Podaj protokół uzgadniania kluczy sesyjnych wykorzystujący kryptografię asymetryczną.

Uzgadnianie kluczy za pomocą szyfrowania asymetrycznego:

Protokół bez podpisu:

A ustala klucz k i szyfruje go kluczem publicznym B EB (k, IDA)

B deszyfruje wiadomość swoim kluczem prywatnym i otrzymuje klucz sesyjny k.

Protokół z podpisem:

A ustala klucz i szyfruje kluczem publicznym B EB (k, t, sig A (IDA , k, t) )

B deszyfruje i otrzymuje k – sprawdza poprawność podpisu.

ATAK:

B przesyła A swój klucz publiczny (atakujący przechwytuje klucz publiczny B i wysyła do A swój klucz publiczny)

A wybiera losowo liczbę k

A szyfruje k kluczem publicznym B i wysyła do B (atakujący przechwytuje, deszyfruje swoim kluczem prywatnym, szyfruje kluczem publicznym B i wysyła do B)

B deszyfruje swoim kluczem prywatnym i otrzymuje k (atakujący zna k).

41. Wyjaśnij idee “dowodów w wiedzą zerową”. Jaką główną zaletę mają oparte na niej systemy uwierzytelniania?

Dowód z wiedzą zerową to procedura kryptograficzna, w której udowadniamy, że posiadamy pewną informację, nie ujawniając tej informacji.



Właściwości takiej procedury są następujące:

- Jeśli dowodzący posiada daną informację, może zawsze przekonać o tym weryfikującego

- Jeśli dowodzący nie posiada danej informacji, może oszukać weryfikującego, że ją posiada, z prawdopodobieństwem dowolnie bliskim zera (chociaż nie równym 0).

Dowody takie przydają się np. przy uwierzytelnianiu.



44. Przedstaw wybrany współczesny algorytm szyfrowania symetrycznego?

Np. DES -> pytanie 4.



46. Omów działanie algorytmu Elgamala.

Algorytm ElGamala opiera się na problemie algorytmów dyskretnych.



Generowanie kluczy:

Wybieramy dużą liczbę pierwsza p, generator  grupy multiplikatywnej,

Obieramy liczby t i  takie, że t < p-1 i  = t mod p

Na klucz publiczny składają się (p,  i ). Liczba t jest kluczem prywatnym.



Szyfrowanie:

Załóżmy, że szyfrowana ma być liczba x < p.

Wykonuje się następujące kroki:

- wybieramy losowo (nie ujawniając rezultatu) k < p

- obliczamy y1 = k mod p oraz y2 = xk mod p

- para liczb (y1,y2) to kryptogram



Deszyfrowanie:

Zauważmy, że . Ponieważ osoba deszyfrująca zna t, może więc wyznaczyć liczbę mod p, a tym samym x (odwrotność liczby może być łatwo obliczona za pomocą algorytmu Euklidesa).

47. Porównaj dowolne dwie, znane Ci metody dystrybucji kluczy publicznych.

Public Key Infrastructuryjest to skomplikowany system, pozwalający na hierarchiczne potwierdzanie tożsamości stron komunikacji (klientów i serwerów). W modelu PKI najważniejszą rolę spełnia tutaj zaufana trzecia strona (CA) np. instytucja rządowa. Rolą CA jest w przypadku SSL uprzednie stwierdzenie tożsamości serwera oraz poświadczenie jej przez złożenie podpisu cyfrowego na kluczu publicznym zainteresowanego.

Sieć zaufania (Web of trust) – to zdecentralizowana metoda uwierzytelniania osób, w której nie ma hierarchicznej struktury organizacji uwierzytelniających, a zaufanie do poszczególnych certyfikatów jest sumą podpisów złożonych przez innych uczestników sieci. Każdy uczestnik sieci podpisuje klucze osób, które osobiście zweryfikował. Podpis stanowi poświadczenie, że osoba podpisująca jest przekonana o autentyczności klucza oraz tym, że faktycznie należy on do osoby, która deklaruje że jest jego właścicielem. Na sieci zaufania opiera się OpenPGP.

48. “IV” (z ang. Initialization Vector) to wektor inicjujący. Jaka jest jego rola w szyfrowaniu blokowym?

Każdy blok tekstu jawnego jest przed zaszyfrowaniem XORowany z poprzednim blokiem kryptogramu. Natomiast pierwszy jest XORowany z losowym wektorem inicjalizującym.

Schematycznie: P – blok tekstu jawnego, C – blok kryptogramu

DES ( P1 XOR IV ) = C1

DES ( P2 XOR C1) = C2

DES ( Pn XOR Cn-1 ) = Cn

Rolą IV jest zainicjalizowanie szyfrowania, rozdzielenie pierwszego bloku od klucza, żeby każda wiadomość tekstu jawnego była za każdym razem inna.

51. Podać 3 zastosowania funkcji jednokierunkowej

1. Do szyfrowania np. HMAC.

2. Kody wykrywania błędów np. MD5, CRC.

3. Do przechowywania haseł w formie niejawnej.



52. Polityka bezpieczeństwa

Polityka bezpieczeństwa (ang. security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione.

Polityka powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania).

Istotne jest, aby polityka bezpieczeństwa była dokumentem spisanym i znanym oraz zrozumianym przez pracowników organizacji korzystających z zasobów informatycznych. Dotyczy to także klientów organizacji (użytkowników jej zasobów).

Przy projektowaniu polityki należy rozważyć, czy organizacja będzie w stanie ponieść koszty wprowadzania tej polityki w życie. Podwyższanie poziomu bezpieczeństwa organizacji/systemu odbywa się najczęściej kosztem wygody i efektywności działania. Dlatego, opierając się na zalecanych modelach czy standardach w tej dziedzinie, należy pamiętać o dostosowaniu rozwiązania do specyfiki organizacji, tak aby nadać jej cechy ułatwiające zastosowanie w praktyce. Podstawowym zadaniem jest przeprowadzenie analizy ryzyka i ustalenie akceptowalnego poziomu ryzyka - bo tylko wtedy możemy zacząć myśleć o tworzeniu polityki bezpieczeństwa.

53. MAC, DAC, RBAC, LBAC

MAC – (ang. Mandatory Access Control) – obowiązkowa polityka bezpieczeństwa, pełna kontrola nad systemem, dostępem oraz sterowaniem. Wszystko jest kontrolowane. Wyidealizowany model, niepraktyczny w zwykłych systemach.

DAC – (ang. Discretionary Access Control) - sposób kontroli dostępu do obiektów w systemie plików. DAC pozwala użytkownikowi na całkowite ustalenie uprawnień dostępu do swoich zasobów. Kontrola dostępu do danych obiektów bazuje na sprawdzeniu tożsamości właścicieli/grup, do których on należy.

Podstawowy model bezpieczeństwa w większości systemów operacyjnych. Obiekty użytkownika i procesu domyślnie dziedziczą po nim prawa dostępu.



RBAC – (ang. Role-based Access Control) – uprawnienia są przyznawane na podstawie roli, podstawa współczesnych systemów, np. FreeBSD, ActiveDirectory.

LBAC – (ang. Lattice-based Access Control) – uprawnienia nadawane na podstawie macierzy kontroli dostępu. Przydzielanie kombinacji obiekt – podmiot uprawnień.

1   2   3


©operacji.org 2017
wyślij wiadomość

    Strona główna